Deine E-Mails landen im Spam? Oft liegt es nicht am Inhalt, sondern an fehlenden oder falsch konfigurierten DNS Records. DMARC, SPF und DKIM sind drei Authentifizierungsmechanismen, die E-Mail-Providern beweisen, dass deine Mails wirklich von dir kommen.
Was machen SPF, DKIM und DMARC?
Alle drei sind DNS TXT Records, die du in deiner Domain-Verwaltung einträgst. Sie arbeiten zusammen:
- SPF (Sender Policy Framework): Definiert, welche Server E-Mails im Namen deiner Domain senden dürfen.
- DKIM (DomainKeys Identified Mail): Signiert jede ausgehende Mail kryptografisch. Der Empfänger kann prüfen, ob die Mail unterwegs verändert wurde.
- DMARC (Domain-based Message Authentication, Reporting & Conformance): Sagt dem Empfänger-Server, was er tun soll, wenn SPF oder DKIM fehlschlagen (nichts tun, in Quarantäne, ablehnen).
Warum ist das wichtig?
Seit Februar 2024 verlangen Google und Yahoo von allen Massenversendern (5.000+ Mails/Tag), dass SPF, DKIM und DMARC korrekt eingerichtet sind. Ohne diese Records landen deine Mails zunehmend im Spam oder werden komplett abgelehnt.
Auch Klaviyo erfordert seit 2024 eine eigene Sending Domain mit DKIM-Verifizierung für alle Accounts.
SPF einrichten
Ein SPF Record ist ein DNS TXT Eintrag auf deiner Root-Domain. Beispiel:
v=spf1 include:_spf.google.com include:sendgrid.net ~all
Die include:-Einträge listen alle Services auf, die für dich Mails senden dürfen (z.B. Google Workspace, Klaviyo, dein Shopify-Shop). ~all (Soft Fail) sagt: Alles andere ist verdächtig.
Wichtig: Du darfst nur EINEN SPF Record pro Domain haben. Wenn du mehrere Services nutzt, müssen alle include:-Anweisungen in einem einzigen Record stehen.
DKIM einrichten
DKIM verwendet ein Schlüsselpaar: einen privaten Schlüssel beim Versender (z.B. Klaviyo) und einen öffentlichen Schlüssel im DNS. Der Empfänger prüft die Signatur gegen den DNS-Eintrag.
Bei Klaviyo richtest du DKIM ein, indem du eine Sending Domain hinzufügst. Klaviyo gibt dir dann zwei CNAME Records, die du in deinem DNS einträgst. Beispiel:
s1._domainkey.deinshop.de→ CNAME →dkim1.klaviyo.coms2._domainkey.deinshop.de→ CNAME →dkim2.klaviyo.com
DMARC einrichten
DMARC baut auf SPF und DKIM auf. Es ist ein DNS TXT Record auf _dmarc.deinshop.de. Ein einfacher Start:
v=DMARC1; p=none; rua=mailto:[email protected]
- p=none: Nur beobachten (Reports sammeln, nichts blockieren). Empfohlen zum Start.
- p=quarantine: Verdächtige Mails in den Spam-Ordner schieben.
- p=reject: Nicht authentifizierte Mails komplett ablehnen. Das Ziel, aber erst wenn alles sauber läuft.
- rua: E-Mail-Adresse für DMARC Reports (zeigt dir, wer Mails über deine Domain sendet).
Empfohlene Reihenfolge
- SPF einrichten (alle sendenden Services eintragen)
- DKIM einrichten (bei jedem Service, der es anbietet)
- DMARC mit
p=nonestarten und Reports auswerten - Nach 2-4 Wochen auf
p=quarantinewechseln - Wenn alles sauber:
p=rejectsetzen
Häufige Fehler
- Mehrere SPF Records: Nur einer erlaubt. Mehrere werden ignoriert.
- SPF Lookup Limit: Maximal 10 DNS Lookups pro SPF Record. Zu viele
include:führen zu einem PermError. - DKIM nicht für alle Services: Wenn du über Google Workspace UND Klaviyo sendest, brauchst du DKIM für beide.
- Direkt mit p=reject starten: Kann legitime Mails blockieren. Immer erst mit
p=nonebeobachten.
Wie prüfe ich ob alles funktioniert?
Kostenlose Tools zum Testen:
- Google Postmaster Tools: Zeigt dir Zustellraten, Spam-Rate und Authentifizierungsstatus für Gmail-Empfänger.
- MXToolbox.com: Prüft SPF, DKIM und DMARC Records auf Fehler.
- Mail-Tester.com: Schicke eine Test-Mail und bekomme einen Score mit konkreten Verbesserungsvorschlägen.
Fazit: SPF, DKIM und DMARC sind kein "nice-to-have" mehr. Sie sind Pflicht, wenn du willst, dass deine E-Mails ankommen. Die Einrichtung dauert 30 Minuten. Der Effekt auf deine Zustellbarkeit kann enorm sein.