Zum Hauptinhalt gehen

Zustellbarkeit von E-Mails verbessern (SPF, DKIM und DMARC)

Damit E-Mails zuverlässig beim Empfänger ankommen und nicht als Spam eingestuft werden, müssen bestimmte Authentifizierungsverfahren korrekt eingerichtet sein. Die wichtigsten Verfahren hierfür sind SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail).

Diese Mechanismen ermöglichen es empfangenden Mailservern zu prüfen, ob E-Mails tatsächlich von berechtigten Servern versendet wurden und ob deren Inhalt unverändert ist.

 

SPF (Sender Policy Framework)

SPF definiert, welche Mailserver berechtigt sind, E-Mails im Namen einer Domain zu versenden.

  • Umsetzung über einen TXT-Record im DNS der Domain
  • Enthält eine Liste erlaubter Versandserver (z. B. IP-Adressen oder Hostnamen)
  • Verhindert, dass unautorisierte Server E-Mails im Namen der Domain versenden

Die Einrichtung eines SPF-Eintrags ist im separaten FAQ-Eintrag beschrieben.

 

DKIM (DomainKeys Identified Mail)

DKIM stellt sicher, dass E-Mails digital signiert werden und während der Übertragung nicht verändert wurden.

  • Signierung erfolgt durch den sendenden Mailserver
  • Verifikation erfolgt über einen öffentlichen Schlüssel im DNS
  • Erhöht die Vertrauenswürdigkeit der E-Mail beim Empfänger

Die Einrichtung eines DKIM-Eintrags ist im separaten FAQ-Eintrag beschrieben.

 

DMARC (Domain-based Message Authentication, Reporting and Conformance)

DMARC baut auf SPF und DKIM auf und definiert, wie empfangende Mailserver mit E-Mails umgehen sollen, die die Authentifizierungsprüfungen nicht bestehen.

  • Umsetzung über einen TXT-Record im DNS der Domain
  • Verknüpft SPF und DKIM mit einer Richtlinie (Policy)
  • Ermöglicht Berichte über Authentifizierungsprüfungen

Typische Parameter:

  • Record-Typ: TXT
  • Name (Host):
    _dmarc
  • Wert (Value):
    v=DMARC1; p=none; rua=mailto:postmaster@<ihre-domain.tld>

Policy-Optionen (p=):

  • none → nur Überwachung (keine Maßnahmen)
  • quarantine → verdächtige E-Mails werden als Spam behandelt
  • reject → nicht authentifizierte E-Mails werden abgelehnt

Die Einrichtung eines DMARC-Eintrags kann analog zu SPF/DKIM im DNS erfolgen.

 

Voraussetzungen für eine gute Zustellbarkeit

Für eine optimale Zustellbarkeit sollten folgende Bedingungen erfüllt sein:

  • SPF-Eintrag ist korrekt im DNS hinterlegt
  • DKIM-Signierung ist aktiv und korrekt konfiguriert
  • DMARC-Eintrag ist vorhanden und sinnvoll konfiguriert
  • Die verwendeten Mailserver entsprechen den im SPF-Eintrag definierten Quellen
  • Der DKIM-Schlüssel ist aktuell und vollständig im DNS hinterlegt

Hinweise

  • Fehlende oder fehlerhafte SPF-, DKIM- oder DMARC-Einträge können dazu führen, dass E-Mails abgelehnt oder als Spam eingestuft werden
  • Änderungen an DNS-Einträgen benötigen in der Regel einige Zeit, bis sie weltweit wirksam sind
  • Bei Nutzung externer Mail-Dienstleister müssen die jeweiligen SPF-, DKIM- und DMARC-Vorgaben dieses Anbieters übernommen werden
  • Es wird empfohlen, DMARC zunächst mit der Policy none zu starten und anschließend schrittweise zu verschärfen

Verwandte Beiträge