SPF, DKIM und DMARC erklärt (in verständlichem Deutsch) | Scanthra

Scanthra · 7 Min Lesezeit · Aktualisiert Mai 2026

Die 30-Sekunden-Erklärung

• SPF — eine Liste von Servern, die E-Mails von deiner Domain senden dürfen.
• DKIM — eine digitale Signatur auf jeder Nachricht, die beweist, dass sie wirklich von deiner Domain kam und nicht manipuliert wurde.
• DMARC — deine Policy, die Empfängern mitteilt, was sie mit E-Mails tun sollen, die SPF oder DKIM nicht bestehen (zulassen, in Spam verschieben, ablehnen) und wohin Berichte gesendet werden sollen.

Alle drei sind DNS-TXT-Einträge. Du fügst sie einmal hinzu und vergisst sie (bis du den E-Mail-Anbieter wechselst).

Warum ein kleines Unternehmen das beachten sollte

Zwei konkrete Folgen fehlender SPF/DKIM/DMARC, beide häufig:

• Kunden sehen „via mailer.scanthra.net" in Gmail statt deiner Domain. Unscheinbar, aber es tötet das Vertrauen bei der ersten E-Mail.
• Jeder kann sich als du ausgeben. Ein Betrüger sendet „Rechnung überfällig — bitte auf dieses Konto überweisen" von buchhaltung@deinhop.de an deine Kunden. Mit striktem DMARC wird die Nachricht abgelehnt, bevor sie ankommt. Ohne landet sie im Posteingang.

Microsoft und Google verlangen jetzt SPF + DKIM + DMARC für Massenversender (seit Februar 2024). Wenn du irgendein E-Mail-Volumen versendest — auch transaktionale Quittungen aus einem WordPress-Shop — werden fehlende Einträge die Zustellbarkeit beeinträchtigen.

SPF — die Erlaubnisliste

Ein SPF-Eintrag sieht so aus:

yourdomain.com.  IN TXT  "v=spf1 include:_spf.google.com include:sendgrid.net ~all"

Drei wichtige Punkte:

• v=spf1 — immer erforderlich, Versionsmarkierung.
• include: — verweist auf den eigenen SPF deines Postfach- oder transaktionalen Absenders. Jeder Anbieter teilt dir den genauen Wert mit.
• ~all — die Policy für alle anderen. Nutze ~all (Softfail) beim Testen, -all (Hardfail) sobald es stabil ist.

Limit: 10 DNS-Lookups. Jedes include: zählt. Zu viele Anbieter zu stapeln bricht SPF still. Wenn du an das Limit stößt, nutze einen SPF-Flattener wie den von EasyDMARC, Postmark oder Cloudflare.

DKIM — die Signatur

DKIM signiert jede ausgehende Nachricht mit einem privaten Schlüssel, der auf dem Mail-Server liegt, und veröffentlicht den passenden öffentlichen Schlüssel im DNS:

selector1._domainkey.yourdomain.com.  IN TXT  "v=DKIM1; k=rsa; p=MIIBIjANBgkq..."

Jeder Anbieter hat seinen eigenen Selektor (selector1, google, k1 usw.). Folge den Anbieteranweisungen wörtlich — sie generieren den genauen Wert zum Einfügen. Du kannst mehrere DKIM-Einträge haben, einen pro Anbieter, nebeneinander.

DMARC — deine Policy

Ein DMARC-Starter-Eintrag:

_dmarc.yourdomain.com.  IN TXT  "v=DMARC1; p=none; rua=mailto:dmarc@yourdomain.com; pct=100; adkim=s; aspf=s"

Die wichtigsten Felder:

• p=none — Berichte empfangen, keine Maßnahmen ergreifen. Beginne immer hier.
• p=quarantine — fehlgeschlagene E-Mails gehen in den Spam.
• p=reject — fehlgeschlagene E-Mails werden zurückgewiesen. Das Ziel.
• rua=mailto:... — tägliche Sammelberichte. Leite diese in einen kostenlosen Reader wie Postmark DMARC Digests oder dmarcian um.

Das sichere Rollout

1. SPF und DKIM für jeden legitimen Absender hinzufügen (dein Postfach-Anbieter, transaktionaler Absender, Marketing-Tool, Helpdesk).
2. DMARC mit p=none veröffentlichen. 2–4 Wochen warten, während du die Sammelberichte liest.
3. Wenn alle legitimen Quellen korrekt ausgerichtet sind (keine „fail"-Zeilen von deinen eigenen Diensten), zu p=quarantine wechseln.
4. Nach weiteren 2–4 Wochen sauberer Berichte zu p=reject wechseln.

Dieses stufenweise Rollout ist das, was jedes große Unternehmen macht. Direkt zu p=reject zu springen funktioniert — bis Marketing ein neues Tool kauft und keine E-Mails mehr durchkommen. Dann ist es Feuerwehr.

Häufige Fehler

• Zwei SPF-Einträge auf demselben Hostnamen — sie addieren sich nicht, sie heben sich gegenseitig auf. Immer in einen zusammenführen.
• Vergessen, SPF/DKIM für den Marketing-Absender hinzuzufügen (Mailchimp, Brevo, HubSpot). Die gehen auch unter deiner Domain raus.
• Falsche DMARC-Subdomain-Policy (sp=) — wenn du p=reject hast, aber kein sp=, erben Subdomains eine entspanntere Policy. Sei explizit.
• ?all in SPF verwenden. Das ist effektiv „keine Policy" — Empfänger ignorieren es.

So prüft Scanthra diese Einträge

Unser Modul E-Mail-Sicherheit führt passive DNS-Lookups für SPF, DKIM (gängige Selektoren) und DMARC durch. Wir markieren fehlende Einträge, schwache Policies (p=none nur nach Übergangszeit), SPF-Lookup- Overflow und SPF-Einträge mit ?all oder +all. Du siehst die genaue Lücke in deinem PDF-Bericht.