Das Vokabular der Zustellbarkeit, definiert, um für sich zu stehen
E-Mail hat eine ungewöhnliche Menge an Fachjargon angesammelt — meist Akronyme, die einfache Ideen verbergen. Jede Definition hier ist so geschrieben, dass Sie auf jedem Begriff landen, ihn lesen und ihn verstanden wieder verlassen können, ohne die drei Begriffe darüber zu brauchen. Und wo sich die praktische Bedeutung eines Begriffs änderte, als das Massensender-Enforcement über 2024 und 2025 kam, spiegelt die Definition die Realität von 2026, nicht die Lehrbuchversion.
Das Vokabular der E-Mail-Infrastruktur, klar definiert
Die E-Mail-Zustellbarkeit hat eine ungewöhnliche Menge an Fachjargon angesammelt, vieles davon Akronyme, die einfache Ideen verbergen. Dieses Glossar definiert die Begriffe, denen Sie beim Einrichten oder Diagnostizieren eines Versand-Setups begegnen, so geschrieben, dass jede Definition für sich allein steht: Sie können auf jedem Begriff landen, ihn lesen und ihn verstanden wieder verlassen, ohne die drei Begriffe darüber zu brauchen. Wo eine Definition kürzlich ihre praktische Bedeutung geändert hat, spiegelt sie die Realität von 2026 statt der Lehrbuchversion, denn das Massensender-Enforcement, das über 2024 und 2025 kam, machte mehrere davon von „gute Praxis" zu „überhaupt erforderlich, um den Posteingang zu erreichen".
Alignment (Ausrichtung)
Die Anforderung, dass die Domain im sichtbaren From:-Header mit der durch SPF validierten oder durch DKIM signierten Domain übereinstimmt. Die Authentifizierung kann technisch bestehen und trotzdem das Alignment verfehlen, und DMARC besteht nur, wenn mindestens eines von SPF oder DKIM sowohl besteht als auch ausgerichtet ist. Fehlausrichtung ist einer der häufigsten Gründe, warum ein Setup, das „authentifiziert aussieht", trotzdem abgewiesen wird.
ARC — Authenticated Received Chain
Ein Satz von Headern, die Authentifizierungsergebnisse bewahren, wenn eine Nachricht weitergeleitet wird — über eine Mailingliste oder ein Eingangs-Gateway zum Beispiel. Weiterleitung bricht normalerweise SPF und kann DKIM brechen; ARC lässt einen Weiterleiter bezeugen, dass die Nachricht die Authentifizierung bestand, bevor er sie berührte, sodass eine legitim weitergeleitete Nachricht am endgültigen Ziel nicht als nicht authentifiziert behandelt wird.
BIMI — Brand Indicators for Message Identification
Ein Standard, der Ihr verifiziertes Logo neben Ihren Nachrichten in unterstützenden Posteingängen anzeigt. Er hängt von DNS-Einträgen ab und erfordert DMARC bei p=quarantine oder p=reject als Voraussetzung, plus, für die großen Anbieter, ein Verified Mark Certificate, das nachweist, dass Sie die Marke am Logo besitzen. BIMI ist die sichtbare Belohnung dafür, die Authentifizierung vollständig richtig zu machen.
Blocklist (DNSBL / RBL)
Eine veröffentlichte Liste von IP-Adressen oder Domains, von denen man glaubt, dass sie Spam senden, in Echtzeit von empfangenden Servern über DNS abgefragt. Auf einer bedeutenden Blocklist zu landen kann die Zustellung scharf beschneiden. Listen unterscheiden sich im Einfluss und darin, wie sie das Delisting handhaben, also ist der erste Diagnoseschritt, wenn die Zustellung fällt, zu identifizieren, welche Liste, was die Blocklist-Abfrage über die wichtigsten auf einmal tut.
Bounce (hard vs soft)
Ein Bounce ist ein Zustellfehler, der vom empfangenden Server zurückgegeben wird. Ein Hard Bounce ist permanent — die Adresse existiert nicht — und die Adresse sollte unterdrückt werden. Ein Soft Bounce ist temporär — ein voller Briefkasten, ein vorübergehendes Serverproblem — und ist einen Wiederholungsversuch wert. Einen Soft Bounce als Hard zu fehlklassifizieren unterdrückt eine wiederherstellbare Adresse, eine stille Art, eine Liste zu schrumpfen, ohne es zu wollen.
Massensender (Bulk sender)
Unter den Gmail- und Yahoo-Regeln ein Sender von ungefähr mehr als 5.000 Nachrichten pro Tag an deren Nutzer. Massensender unterliegen den vollen Authentifizierungs-, Spam-Raten- und One-Click-Unsubscribe-Anforderungen. Die Schwelle ist wichtig, weil ihr Überschreiten Ihre Pflichten über Nacht ändert, und ein wachsender Sender kann sie überschreiten, ohne es zu bemerken.
DANE — DNS-based Authentication of Named Entities
Ein Mechanismus, der DNSSEC-signierte TLSA-Einträge verwendet, um einem sendenden Server mitzuteilen, welches TLS-Zertifikat zu erwarten ist, und die Vertrauensannahme gegenüber der Zertifizierungsstelle vollständig entfernt. Es ist eine Alternative oder Ergänzung zu MTA-STS zur Durchsetzung verschlüsselten Transports, besonders bevorzugt in deutschen, niederländischen und anderen DNSSEC-starken Netzen.
Dedizierte IP
Eine Versand-IP-Adresse, die nur von einem Kunden genutzt wird, im Gegensatz zu einem geteilten Pool. Die Reputation einer dedizierten IP gehört allein Ihnen — der Spam-Lauf eines Nachbarn kann Sie nicht blocklisten —, aber sie trägt die Verantwortung des Warmings, da eine neue dedizierte IP gänzlich ohne Reputation startet.
DKIM — DomainKeys Identified Mail
Eine kryptografische Signatur, die jeder Nachricht hinzugefügt wird, vom Empfänger gegen einen in Ihrem DNS veröffentlichten öffentlichen Schlüssel verifiziert. Sie beweist, dass die Nachricht im Transit nicht verändert wurde und genuin von einem für die Domain autorisierten Absender kam. Moderne Praxis ist ein 2048-Bit-Schlüssel; 1024-Bit gilt jetzt als schwach. Prüfen Sie das Setup jeder Domain mit dem DKIM-Tester.
DMARC — Domain-based Message Authentication, Reporting and Conformance
Die Richtlinienschicht, die auf SPF und DKIM aufsetzt. Sie sagt Empfängern, was mit Nachrichten zu tun ist, die die Authentifizierung verfehlen (p=none überwacht, p=quarantine sendet in den Spam, p=reject blockiert) und erzeugt aggregierte Berichte, die zeigen, wer als Ihre Domain sendet. Seit den Massensender-Regeln von 2024 ist ein veröffentlichter DMARC-Eintrag eine Grundanforderung, keine Verbesserung. Der DMARC-Prüfer liest die Richtlinie jeder Domain in Klartext.
DNSSEC
Ein Satz von DNS-Erweiterungen, die DNS-Einträge kryptografisch signieren, sodass ein Resolver verifizieren kann, dass sie nicht manipuliert wurden. Es ist die Grundlage, von der DANE abhängt, und seine Präsenz in einem empfangenden Netz ist das, was DANE-basierte Transportsicherheit möglich macht.
Posteingangs-Platzierung (Inbox placement)
Ob eine zugestellte Nachricht den Posteingang statt des Spam-Ordners erreicht. Verschieden von der Zustellung, die nur bedeutet, dass der empfangende Server die Nachricht akzeptierte. Die Posteingangs-Platzierung ist die Metrik, die tatsächlich bestimmt, ob E-Mail ihre Aufgabe erfüllt, und über Branchen hinweg reicht sie 2026 von rund 86% bis 92% für disziplinierte Sender — eine Spanne, getrieben von Reputation und Authentifizierung, nicht von Server-Uptime.
IP-Warming
Die Praxis, eine neue Versand-IP bei niedrigem Volumen an engagierte Empfänger zu starten und über Wochen schrittweise hochzufahren, damit die empfangenden Anbieter eine positive Reputation aufbauen, bevor hohes Volumen ankommt. Das Warming zu überspringen gehört zu den schnellsten Wegen, eine neue IP in den Spam zu bringen, egal wie sauber die zugrundeliegende Liste ist.
MTA — Mail Transfer Agent
Die Software, die E-Mail zwischen Servern routet und überträgt. PowerMTA ist ein leistungsstarker kommerzieller MTA, der für großvolumigen Versand genutzt wird; Postfix und Exim sind gängige Open-Source-MTAs. Der MTA ist der Motor einer Versandplattform — das, was die Post tatsächlich bewegt.
MTA-STS — Mail Transfer Agent Strict Transport Security
Eine über HTTPS veröffentlichte Richtlinie, die sendenden Servern sagt, dass TLS für Ihre Domain verpflichtend ist und die Zustellung fehlschlagen soll, statt auf Klartext zurückzufallen. Sie schließt das Downgrade-Angriffsloch im opportunistischen STARTTLS, wo ein Angreifer das Verschlüsselungs-Upgrade abstreift und Klartext erzwingt. Im enforce-Modus betrieben, verhindert sie die stille Abfangung, die STARTTLS allein erlaubt.
One-Click-Unsubscribe (RFC 8058)
Ein List-Unsubscribe-Header, der dem Mailbox-Anbieter erlaubt, einen nativen Abmelde-Button anzuzeigen, sodass ein Empfänger sich abmelden kann, ohne „Spam melden" zu drücken. Erforderlich für Massensender unter den Gmail- und Yahoo-Regeln, ausgenommen für genuin transaktionale Post. Jede automatisierte Abmeldung, die eine Spam-Beschwerde ersetzt, schützt Ihre Absender-Reputation.
PTR-Eintrag / Reverse DNS / FCrDNS
Ein PTR-Eintrag bildet eine Versand-IP zurück auf einen Hostnamen ab — die Umkehrung des normalen DNS. Empfangende Server prüfen, dass dieser Reverse-Lookup existiert und vorwärts bestätigt (der Hostname löst zurück zur selben IP auf), bekannt als FCrDNS. Ein fehlender oder nicht übereinstimmender PTR ist eine grundlegende rote Flagge, die die Zustellbarkeit drückt, bevor der Inhalt überhaupt betrachtet wird.
SPF — Sender Policy Framework
Ein DNS-Eintrag, der auflistet, welche Server autorisiert sind, Post für Ihre Domain zu senden. Er hat ein hartes Limit von zehn DNS-Lookups; zu viele include:-Anweisungen zu verketten überschreitet es und kann den gesamten Eintrag fehlschlagen lassen. Flattening — die Includes zu ihren IP-Bereichen aufzulösen — ist die Lösung, erledigt vom SPF-Flattener.
Spam-Rate
Der Anteil Ihrer zugestellten Post, den Empfänger als Spam markieren, wie von Google Postmaster Tools berichtet. Über 0,1% verdient Aufmerksamkeit; über 0,3% ist Enforcement-Territorium, wo Zustellprobleme zu erwarten sind. Es ist die eine Zahl, die die großen Anbieter am genauesten beobachten.
STARTTLS
Der SMTP-Befehl, der eine Klartextverbindung auf TLS-Verschlüsselung hebt. Etwa 90% des E-Mail-Verkehrs nutzt es, aber weil es opportunistisch ist, ist es anfällig für einen Downgrade-Angriff — was das Problem ist, das MTA-STS und DANE zu lösen existieren.
Suppression-Liste
Das Verzeichnis von Adressen, an die Sie nicht senden dürfen — Hard Bounces, Spam-Beschwerden und Abmeldungen. Sie zu pflegen ist sowohl eine Zustellbarkeits- als auch eine Compliance-Notwendigkeit, und sie muss über eine Anbieter-Migration mitgetragen werden, damit jemand, der sich abgemeldet hat, nicht wieder Post erhält, weil Sie die Infrastruktur gewechselt haben.
TLS-RPT
Ein Berichtsstandard, gepaart mit MTA-STS, der Berichte über TLS-Verbindungsfehler an einen von Ihnen veröffentlichten Endpunkt liefert. Er macht Transportsicherheitsprobleme von unsichtbar zu etwas, das Sie tatsächlich sehen und worauf Sie reagieren können. Der TLS-Report-Decoder parst diese Berichte in lesbare Form.
421 vs 550 (SMTP-Antwortcodes)
Zwei Fehlerfamilien, die für die Authentifizierung wichtig sind. Ein 421 ist eine temporäre Zurückstellung — der Empfänger drosselt die Rate oder bittet Sie, es erneut zu versuchen, oft wegen eines leichten Authentifizierungsproblems. Ein 550 ist eine permanente Abweisung — die Post wird rundheraus blockiert, typisch für nicht authentifizierten oder schwer fehlkonfigurierten Versand. Der Wandel, den viele Sender Ende 2025 spürten, war Gmail, das bestimmte Fehler von 421 auf 550 verschob und „Ihre Post ist langsam" in „Ihre Post ist blockiert" verwandelte.
Von der Definition zum funktionierenden Setup
Ein Glossar sagt Ihnen, was ein Begriff bedeutet; die kostenlosen Tools dieser Seite sagen Ihnen, ob Ihres korrekt konfiguriert ist. Lassen Sie Ihre Domain durch die DMARC-, SPF- und DKIM-Prüfungen laufen, und wenn ein Begriff hier ein Problem beschreibt, das Sie tatsächlich sehen, kann das Operator-Team Ihnen helfen, es zu beheben, statt es nur zu definieren.
Eine Anmerkung, warum sich diese Definitionen ständig ändern
Mehrere Begriffe hier bedeuteten vor zwei Jahren etwas Weicheres. SPF, DKIM und DMARC waren „empfohlen", bevor die großen Anbieter sie für Massensender verpflichtend machten; der Wandel von temporärer Zurückstellung zu permanenter Abweisung machte die Authentifizierung von einer Zustellbarkeits-Optimierung zu einer Eintrittsbedingung für den Posteingang. Ein Glossar in diesem Feld muss datiert sein, um ehrlich zu sein, weshalb dieses die Enforcement-Realität von 2026 widerspiegelt statt der nachsichtigeren Welt, die ihr vorausging.