SPF, DKIM und DMARC: Der komplette E-Mail-Authentifizierungsleitfaden
Meister E-Mail-Authentifizierung mit diesem umfassenden Leitfaden zu SPF, DKIM und DMARC. Erfahre, was jedes Protokoll tut, wie du DNS-Records einrichten, häufige Probleme beheben und deine E-Mail-Zustellbarkeit verbessern.
E-Mail-Authentifizierung ist die Grundlage zuverlässiger E-Mail-Zustellung. Ohne korrekte SPF-, DKIM- und DMARC-Konfiguration erreichen deine sorgfältig erstellten E-Mails möglicherweise nie die Posteingänge deiner Kunden, stattdessen landen sie im Spam oder werden komplett abgelehnt.
Warum E-Mail-Authentifizierung wichtig ist
E-Mail wurde in einer Ära entworfen, als Sicherheit keine Priorität war. Das Original-SMTP-Protokoll hat keinen eingebauten Verifizierungsmechanismus. E-Mail-Authentifizierungsprotokolle lösen dies, indem Domain-Inhaber spezifizieren können:
- Welche Server E-Mails senden dürfen (SPF)
- Dass die E-Mail nicht manipuliert wurde (DKIM)
- Was bei fehlgeschlagener Authentifizierung passieren soll (DMARC)
SPF (Sender Policy Framework)
Was SPF macht
SPF definiert über einen DNS-TXT-Record, welche Mailserver autorisiert sind, E-Mails im Namen deiner Domain zu senden.
SPF einrichten
v=spf1 include:spf.brevo.com include:_spf.google.com -allSPF-Syntax
| Mechanismus | Bedeutung |
|---|---|
include: | Autorisiert den SPF-Record einer anderen Domain |
ip4: | Autorisiert eine bestimmte IP-Adresse |
-all | Strikt: Ablehnen, wenn nicht autorisiert |
~all | Soft-Fail: Markieren, aber zustellen |
Häufige SPF-Fehler
- Mehr als ein SPF-Record (nur einer erlaubt)
- Zu viele DNS-Lookups (Maximum: 10)
- Sendedienste nicht eingeschlossen
DKIM (DomainKeys Identified Mail)
Was DKIM macht
DKIM fügt eine kryptographische Signatur zu jeder E-Mail hinzu, die beweist, dass die Nachricht nicht verändert wurde und vom autorisierten Sender stammt.
DKIM einrichten
- Generiere ein Schlüsselpaar (dein ESP macht dies automatisch)
- Veröffentliche den öffentlichen Schlüssel als DNS-TXT-Record
- Der private Schlüssel signiert jede ausgehende E-Mail
Häufige DKIM-Probleme
- Schlüssel nicht im DNS veröffentlicht
- Selector stimmt nicht überein
- Schlüssel in DNS abgeschnitten
DMARC (Domain-based Message Authentication)
Was DMARC macht
DMARC definiert, was mit E-Mails passieren soll, die SPF oder DKIM nicht bestehen, und liefert Berichte über Authentifizierungsergebnisse.
DMARC einrichten
v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=100DMARC-Richtlinien
| Richtlinie | Aktion | Empfohlen für |
|---|---|---|
p=none | Nur überwachen | Anfangsphase |
p=quarantine | In Spam verschieben | Übergangsphase |
p=reject | E-Mail ablehnen | Voller Schutz |
Implementierungsreihenfolge
p=nonemit Reporting starten- Berichte analysieren, Probleme beheben
- Zu
p=quarantinewechseln - Nach Stabilisierung zu
p=reject
Authentifizierung testen
Kostenlose Test-Tools
- MXToolbox: SPF, DKIM, DMARC prüfen
- Mail Tester: Gesamtbewertung der E-Mail-Qualität
- Google Admin Toolbox: SPF/DKIM-Überprüfung
- DMARC Analyzer: DMARC-Reports auswerten
E-Mail-Authentifizierung mit Brevo und Tajo
Brevo vereinfacht die Authentifizierung:
- Automatische DKIM-Signierung
- Klare Anleitung für SPF-Konfiguration
- DMARC-Ausrichtungsunterstützung
- Zustellbarkeitsbericht pro Kampagne
Tajo stellt sicher, dass alle E-Mails über Brevos authentifizierte Infrastruktur gesendet werden, für maximale Zustellbarkeit.
Fazit
SPF, DKIM und DMARC sind die drei Säulen der E-Mail-Authentifizierung. Ohne sie landen deine E-Mails im Spam. Mit ihnen bau Vertrauen bei ISPs auf und maximieren die Zustellbarkeit.
Starte mit Tajo und profitiere von Brevos erstklassiger E-Mail-Authentifizierung.