23 Jahre aus Stockholm
Operator-Notizen · Aus dem Stockholm-Büro

Authentifizierungs-Alignment für Multi-Domain-Versender

Multi-Brand- oder Multi-Mandanten-Setups sind in DACH-Mittelständlern und Konzernen häufig. Authentication-Alignment ist hier deutlich anspruchsvoller als bei einer einzelnen Domain.

Multi-Brand- oder Multi-Mandanten-Setups sind in DACH-Mittelständlern und Konzernen häufig — eine Holding mit mehreren Marken, ein SaaS mit White-Label-Versand für Kunden, eine Agentur mit Versand für mehrere Unternehmen. Authentication-Alignment in diesen Konstellationen ist deutlich anspruchsvoller als bei einer einzelnen Domain.

Die Grundsatz-Architektur

Option A: Eine Versand-Domain für alle Brands. Strukturell einfach, aber Reputations-Probleme einer Brand wirken sich auf alle aus.

Option B: Subdomains pro Brand. noreply@brand-a.holding.de, noreply@brand-b.holding.de. Reputation pro Subdomain isoliert.

Option C: Eigenständige Domains pro Brand. Vollständige Reputations-Trennung, klare Empfänger-Erwartung, höchste Compliance-Komplexität.

Für DACH-Konstellationen mit mehreren etablierten Marken ist Option C strukturell überlegen.

SPF für Multi-Domain

brand-a.de. IN TXT "v=spf1 include:_spf.authorizehosting.com -all"
brand-b.de. IN TXT "v=spf1 include:_spf.authorizehosting.com -all"
brand-c.de. IN TXT "v=spf1 include:_spf.authorizehosting.com include:spf.salesforce.com -all"

Das 10-Lookup-Limit gilt pro SPF-Eintrag, nicht kumulativ über Domains.

DKIM-Strategie

auth1._domainkey.brand-a.de. IN TXT "v=DKIM1; k=rsa; p=MIGfMA0..."
auth1._domainkey.brand-b.de. IN TXT "v=DKIM1; k=rsa; p=MIGfMA0..."
auth1._domainkey.brand-c.de. IN TXT "v=DKIM1; k=rsa; p=MIGfMA0..."

Bei 5+ Domains: Selektor-Konvention mit Datum, z.B. auth-2026q1._domainkey. Bei Schlüssel-Rotation neuer Selektor (auth-2026q2), Übergangsphase 4 Wochen.

DMARC pro Domain — Strategie-Entscheidungen

Frage 1: Gleiche oder unterschiedliche Policies?

Bei einheitlichen Setups: identische Policies einfacher. Bei unterschiedlich gewachsenen: phasenweise Hochfahrung pro Domain.

Frage 2: Zentrale oder verteilte rua-Adresse?

Bei externer Domain als rua-Adresse muss die Empfangs-Domain explizit autorisieren:

brand-a.de._report._dmarc.holding.de. IN TXT "v=DMARC1"

Frage 3: Subdomain-Policy

Mit sp= kann die Policy für Subdomains spezifiziert werden, unabhängig von der Hauptdomain.

Konkretes DACH-Holding-Beispiel

# brand-a.de — etablierte Hauptmarke
_dmarc.brand-a.de. IN TXT "v=DMARC1; p=reject; sp=reject; pct=100; rua=mailto:dmarc@brand-a.de"

# brand-b.de — neue Marke
_dmarc.brand-b.de. IN TXT "v=DMARC1; p=quarantine; sp=quarantine; pct=50; rua=mailto:dmarc@brand-b.de"

# brand-c.de — sehr neu
_dmarc.brand-c.de. IN TXT "v=DMARC1; p=none; rua=mailto:dmarc@brand-c.de"

Reputations-Trennung in der Praxis

  • Eine dedizierte IP pro Brand für transactional
  • Optional: separate IP für Marketing pro Brand
  • Cold-Outreach pro Brand auf eigener IP — niemals auf transactional-IP der gleichen Brand

Häufige Fehler

Fehler 1: Cross-Domain DKIM-Signierung. Mail mit From-Header noreply@brand-a.de wird mit DKIM-Schlüssel von brand-b.de signiert. DMARC fail.

Fehler 2: SPF zeigt auf Mutter-Domain. SPF-Eintrag von brand-a.de hat include:_spf.holding.de. Wenn die Mutter-Domain andere Versand-Quellen autorisiert, wird das vererbt.

Fehler 3: DMARC-Reports gehen verloren. rua-Adresse auf anderer Domain ohne Authorization-Eintrag.

Fehler 4: Zentrale Verwaltung ohne Per-Brand-Sicht. Probleme einer Brand werden in der Masse übersehen.

Compliance-Aspekte

Aus DSGVO-Perspektive: jede Brand-Domain ist potentiell separater Verantwortlicher (Art. 4 Nr. 7 DSGVO). Versand-Daten und Suppression-Listen müssen pro Brand getrennt verwaltbar sein.

Aus Marketing-Compliance: UWG §7-Einwilligungen sind brand-spezifisch. Empfänger, die der Brand-A Newsletter zugestimmt haben, dürfen nicht ohne separate Einwilligung Brand-B-Newsletter erhalten.

Multi-Domain-Authentifizierung professionell aufsetzen?

In einem 60-90-minütigen Gespräch besprechen wir Ihre Multi-Brand-Architektur und konfigurieren passende SPF/DKIM/DMARC-Setups.