Multi-Brand- oder Multi-Mandanten-Setups sind in DACH-Mittelständlern und Konzernen häufig — eine Holding mit mehreren Marken, ein SaaS mit White-Label-Versand für Kunden, eine Agentur mit Versand für mehrere Unternehmen. Authentication-Alignment in diesen Konstellationen ist deutlich anspruchsvoller als bei einer einzelnen Domain.
Die Grundsatz-Architektur
Option A: Eine Versand-Domain für alle Brands. Strukturell einfach, aber Reputations-Probleme einer Brand wirken sich auf alle aus.
Option B: Subdomains pro Brand. noreply@brand-a.holding.de, noreply@brand-b.holding.de. Reputation pro Subdomain isoliert.
Option C: Eigenständige Domains pro Brand. Vollständige Reputations-Trennung, klare Empfänger-Erwartung, höchste Compliance-Komplexität.
Für DACH-Konstellationen mit mehreren etablierten Marken ist Option C strukturell überlegen.
SPF für Multi-Domain
brand-a.de. IN TXT "v=spf1 include:_spf.authorizehosting.com -all"
brand-b.de. IN TXT "v=spf1 include:_spf.authorizehosting.com -all"
brand-c.de. IN TXT "v=spf1 include:_spf.authorizehosting.com include:spf.salesforce.com -all"
Das 10-Lookup-Limit gilt pro SPF-Eintrag, nicht kumulativ über Domains.
DKIM-Strategie
auth1._domainkey.brand-a.de. IN TXT "v=DKIM1; k=rsa; p=MIGfMA0..."
auth1._domainkey.brand-b.de. IN TXT "v=DKIM1; k=rsa; p=MIGfMA0..."
auth1._domainkey.brand-c.de. IN TXT "v=DKIM1; k=rsa; p=MIGfMA0..."
Bei 5+ Domains: Selektor-Konvention mit Datum, z.B. auth-2026q1._domainkey. Bei Schlüssel-Rotation neuer Selektor (auth-2026q2), Übergangsphase 4 Wochen.
DMARC pro Domain — Strategie-Entscheidungen
Frage 1: Gleiche oder unterschiedliche Policies?
Bei einheitlichen Setups: identische Policies einfacher. Bei unterschiedlich gewachsenen: phasenweise Hochfahrung pro Domain.
Frage 2: Zentrale oder verteilte rua-Adresse?
Bei externer Domain als rua-Adresse muss die Empfangs-Domain explizit autorisieren:
brand-a.de._report._dmarc.holding.de. IN TXT "v=DMARC1"
Frage 3: Subdomain-Policy
Mit sp= kann die Policy für Subdomains spezifiziert werden, unabhängig von der Hauptdomain.
Konkretes DACH-Holding-Beispiel
# brand-a.de — etablierte Hauptmarke
_dmarc.brand-a.de. IN TXT "v=DMARC1; p=reject; sp=reject; pct=100; rua=mailto:dmarc@brand-a.de"
# brand-b.de — neue Marke
_dmarc.brand-b.de. IN TXT "v=DMARC1; p=quarantine; sp=quarantine; pct=50; rua=mailto:dmarc@brand-b.de"
# brand-c.de — sehr neu
_dmarc.brand-c.de. IN TXT "v=DMARC1; p=none; rua=mailto:dmarc@brand-c.de"
Reputations-Trennung in der Praxis
- Eine dedizierte IP pro Brand für transactional
- Optional: separate IP für Marketing pro Brand
- Cold-Outreach pro Brand auf eigener IP — niemals auf transactional-IP der gleichen Brand
Häufige Fehler
Fehler 1: Cross-Domain DKIM-Signierung. Mail mit From-Header noreply@brand-a.de wird mit DKIM-Schlüssel von brand-b.de signiert. DMARC fail.
Fehler 2: SPF zeigt auf Mutter-Domain. SPF-Eintrag von brand-a.de hat include:_spf.holding.de. Wenn die Mutter-Domain andere Versand-Quellen autorisiert, wird das vererbt.
Fehler 3: DMARC-Reports gehen verloren. rua-Adresse auf anderer Domain ohne Authorization-Eintrag.
Fehler 4: Zentrale Verwaltung ohne Per-Brand-Sicht. Probleme einer Brand werden in der Masse übersehen.
Compliance-Aspekte
Aus DSGVO-Perspektive: jede Brand-Domain ist potentiell separater Verantwortlicher (Art. 4 Nr. 7 DSGVO). Versand-Daten und Suppression-Listen müssen pro Brand getrennt verwaltbar sein.
Aus Marketing-Compliance: UWG §7-Einwilligungen sind brand-spezifisch. Empfänger, die der Brand-A Newsletter zugestimmt haben, dürfen nicht ohne separate Einwilligung Brand-B-Newsletter erhalten.
Multi-Domain-Authentifizierung professionell aufsetzen?
In einem 60-90-minütigen Gespräch besprechen wir Ihre Multi-Brand-Architektur und konfigurieren passende SPF/DKIM/DMARC-Setups.