23 Jahre aus Stockholm
Operator-Notizen · Aus dem Stockholm-Büro

E-Mail-Authentifizierung für wachsende Versender

Praktischer Leitfaden zu SPF, DKIM und DMARC für Unternehmen, die ihre Authentifizierung professionalisieren wollen. Mit DACH-spezifischen Aspekten und BIMI-Ausblick.

E-Mail-Authentifizierung — SPF, DKIM, DMARC — ist seit Jahren Standard-Empfehlung, wird aber bei vielen wachsenden Unternehmen erst dann ernsthaft angegangen, wenn Zustellbarkeits-Probleme auftreten. Dieser Beitrag richtet sich an Unternehmen, die aus dem Anfangs-Stadium herauswachsen.

SPF — Sender Policy Framework

SPF (RFC 7208) definiert, welche IP-Adressen berechtigt sind, im Namen Ihrer Domain zu versenden. Publiziert wird ein SPF-Eintrag als TXT-Record:

ihr-unternehmen.de. IN TXT "v=spf1 include:_spf.authorizehosting.com ip4:198.51.100.0/24 -all"

Die Komponenten: v=spf1 (Version), include: (delegieren), ip4: (direkte IP-Liste), -all (am Ende: hard fail).

Das 10-Lookup-Limit

SPF erlaubt maximal 10 DNS-Lookups pro Auflösung. Bei 5+ Versand-Quellen wird das Limit schnell erreicht. Lösung: SPF-Flattening — alle IPs der Versand-Quellen direkt aufgelöst und als ip4: in den Hauptrecord geschrieben. Nachteil: muss kontinuierlich gewartet werden.

DKIM — DomainKeys Identified Mail

DKIM (RFC 6376) signiert ausgehende E-Mails kryptographisch. Beispiel DNS-Eintrag:

auth1._domainkey.ihr-unternehmen.de. IN TXT "v=DKIM1; k=rsa; p=MIGfMA0..."

Custom DKIM ist Pflicht für DMARC

Wenn Sie SendGrid, Mailgun oder Brevo standardmäßig konfigurieren, signieren diese mit ihrer eigenen Anbieter-Domain. Das passiert DKIM-Authentifizierung, aber das DMARC-Alignment fail. Custom DKIM mit Ihrer Domain ist Pflicht für DMARC-Erfolg.

Mehrere DKIM-Schlüssel

Bei mehreren Versand-Anbietern: mehrere Selektoren publizieren — auth1._domainkey, brevo._domainkey, salesforce._domainkey. Jeder Anbieter signiert mit seinem eigenen Selektor.

DMARC

_dmarc.ihr-unternehmen.de. IN TXT "v=DMARC1; p=quarantine; pct=100; sp=quarantine; rua=mailto:dmarc@ihr-unternehmen.de; adkim=r; aspf=r"

Wichtige Parameter: p= (Policy für Hauptdomain), sp= (Subdomain-Policy), pct= (Prozent für graduelle Einführung), rua= (Aggregat-Reports), adkim= und aspf= (Alignment-Modi: s=strict, r=relaxed).

Empfohlener Roll-out-Plan

Monat 1: SPF und DKIM korrekt konfigurieren. DMARC mit p=none publizieren.

Monat 2-3: Reports auswerten. Identifizierte Lücken systematisch schließen.

Monat 4: Übergang zu p=quarantine; pct=10.

Monat 5-6: Schrittweise pct erhöhen und dann zu p=reject übergehen.

DACH-spezifische Aspekte

Mittelständler nutzen oft externe Steuerberater oder Buchhalter, die in ihrem Namen versenden — diese müssen explizit in SPF und mit Custom DKIM konfiguriert werden. Klassische deutsche Newsletter-Tools wie CleverReach unterstützen Custom DKIM standardmäßig — bei Konfiguration unbedingt aktivieren.

Forwarding ist in deutschen Unternehmen sehr verbreitet (Outlook-Regeln). Forwarding bricht SPF zuverlässig — nur DKIM überlebt. Deshalb ist Custom DKIM mit Alignment für DACH-Operations besonders wichtig.

BIMI als Belohnung

BIMI (Brand Indicators for Message Identification) zeigt Ihr Logo neben der Mail im Inbox bei Gmail, Yahoo, AOL. Voraussetzung: DMARC mit p=quarantine oder p=reject + Verified Mark Certificate. Sichtbarer Vertrauens-Indikator — gerade in DACH ein wertvoller Marketing-Asset.

Möchten Sie Ihre Authentifizierung professionalisieren?

In einem 30-45-minütigen Gespräch prüfen wir Ihre SPF/DKIM/DMARC-Konfiguration und schlagen Verbesserungen vor.