Poetschke IT
Leistungen
Preise
Ratgeber
Über mich
Erstgespräch anfragen
Poetschke IT
Poetschke IT

Webentwicklung, Wartung und IT-Unterstützung aus einer Hand – damit Sie sich auf Ihr Kerngeschäft konzentrieren können.

IONOS – Offizieller Partner
eRecht24 Agentur-Partner für rechtssichere Webseiten

Leistungen

  • Leistungen
  • Preise
  • Wartung
  • Fernwartung
  • Tools

Unternehmen

  • Über mich
  • Ratgeber
  • Kontakt

Kunden

  • Kundenportal
  • Onboarding

Rechtliches

  • Impressum
  • Datenschutz
  • AGB

© 2026 POETSCHKE IT. Alle Rechte vorbehalten.

Mitentwickelt von Marcel Pötschke

← Ratgeber/Tipps & Tricks

Ihre E-Mails landen im Spam? Diese drei Einträge entscheiden

SPF, DKIM und DMARC entscheiden, ob Ihre geschäftlichen E-Mails im Posteingang oder im Spam-Ordner landen. Was die drei Einträge tun und wie Sie sie richtig setzen.

Marcel Pötschke – Inhaber POETSCHKE IT

Marcel Pötschke

Freiberuflicher Webentwickler

16. April 2026·8 Min

In diesem Artikel

    Sie verschicken eine wichtige E-Mail an einen Kunden — und bekommen Tage später die Nachfrage, warum Sie sich nicht gemeldet haben. Die Mail ist im Spam-Ordner gelandet. Oder noch schlimmer: Sie wurde vom Empfänger-Server direkt abgelehnt und Sie haben es nicht einmal gemerkt.

    Dahinter steckt fast immer dasselbe Problem: Ihre E-Mail-Domain hat nicht die drei DNS-Einträge, die moderne Mail-Server erwarten, bevor sie eine Nachricht als vertrauenswürdig einstufen. Diese drei Einträge heißen SPF, DKIM und DMARC — und sie sind seit 2024 nicht mehr optional, sondern Pflicht. Google und Microsoft verlangen sie inzwischen explizit für Absender, die mehr als 5.000 E-Mails pro Tag verschicken, und behandeln Mails ohne sie zunehmend skeptisch — egal wie viele Nachrichten Sie senden.

    Dieser Artikel erklärt, was jeder der drei Einträge tatsächlich tut, warum sie aufeinander aufbauen und wie Sie prüfen, ob Ihre Domain richtig eingerichtet ist.

    Was E-Mails überhaupt vertrauenswürdig macht

    Das klassische E-Mail-Protokoll SMTP kennt keinen Absender-Schutz. Technisch kann jeder Server behaupten, er verschicke eine Mail „im Namen von ihre-firma.de“. Spammer haben genau das jahrelang ausgenutzt, um Phishing-Mails zu verbreiten. SPF, DKIM und DMARC sind die Antwort darauf: drei unabhängige Mechanismen, die zusammen beweisen, dass eine E-Mail tatsächlich von der Domain stammt, die sie behauptet.

    Entscheidend ist: Die drei Einträge werden nicht in Ihrem E-Mail-Programm gesetzt, sondern im DNS Ihrer Domain — also bei dem Anbieter, bei dem Sie Ihre Domain gekauft haben (Strato, IONOS, Hetzner, GoDaddy, Namecheap, Cloudflare und so weiter). Wer dort keine Routine hat, kann die Einrichtung auch im Rahmen einer IT-Unterstützung übernehmen lassen.

    SPF: Wer darf in Ihrem Namen E-Mails verschicken?

    SPF (Sender Policy Framework) ist eine öffentliche Liste der Server, die berechtigt sind, E-Mails von Ihrer Domain zu versenden. Der Empfänger-Server liest diese Liste und prüft, ob der sendende Server drauf steht. Steht er nicht drauf, ist das ein starkes Spam-Signal.

    Ein typischer SPF-Eintrag sieht so aus:

    v=spf1 include:_spf.google.com include:amazonses.com ~all

    Zerlegt bedeutet das:

    • v=spf1 — es handelt sich um einen SPF-Eintrag der Version 1
    • include:_spf.google.com — Google Workspace darf Mails für diese Domain verschicken
    • include:amazonses.com — Amazon SES (zum Beispiel für Transaktions-Mails) darf das auch
    • ~all — alle anderen Server sollen als verdächtig eingestuft, aber nicht hart abgelehnt werden. wäre strikter, ist aber riskant, solange nicht restlos jede legitime Versandquelle bekannt ist.

    Soll ich das für Sie übernehmen?

    Wenn Sie nicht selbst ins DNS greifen möchten: Ich richte SPF, DKIM und DMARC für Ihre Domain korrekt ein — inklusive Report-Monitoring. Typischer Aufwand: 1–2 Stunden.

    IT-Unterstützung anfragenJetzt eigene Domain prüfen
    -all

    Wichtig: Pro Domain darf es nur einenSPF-Eintrag geben. Wer Google Workspace und einen Newsletter-Versender parallel nutzt, muss beide in denselben Eintrag aufnehmen — sonst bricht das Ganze zusammen.

    DKIM: Die digitale Unterschrift jeder E-Mail

    SPF sagt, wer senden darf. DKIM (DomainKeys Identified Mail) geht einen Schritt weiter: Jede einzelne Mail bekommt eine digitale Signatur, die bestätigt, dass sie unterwegs nicht verändert wurde und tatsächlich von Ihrer Domain stammt. Die Signatur steckt im Mail-Header; der passende öffentliche Schlüssel liegt im DNS.

    Ein DKIM-Eintrag sieht typischerweise so aus:

    google._domainkey.ihre-firma.de   TXT   "v=DKIM1; k=rsa; p=MIIBIj..."

    Den Schlüssel müssen Sie in aller Regel nicht selbst erzeugen — Ihr E-Mail-Anbieter generiert ihn und gibt Ihnen den DNS-Eintrag, den Sie einfügen. Bei Google Workspace heißt der Selektor google, bei Microsoft 365 selector1 und selector2, bei Mailgun, Sendgrid und anderen sind es jeweils eigene.

    DKIM ist deshalb so wichtig, weil eine gültige Signatur auch bei einer Weiterleitung erhalten bleibt — im Gegensatz zu SPF, das bei Weiterleitungen oft bricht. Große Anbieter wie Gmail gewichten eine intakte DKIM-Signatur daher stärker als SPF.

    DMARC: Die Strategie, was bei Fehlern passieren soll

    SPF und DKIM können scheitern — zum Beispiel, weil jemand tatsächlich versucht, mit Ihrer Domain zu fälschen. DMARC (Domain-based Message Authentication, Reporting & Conformance) ist die Regel, was dann passieren soll. Ohne DMARC entscheidet jeder Empfänger-Server für sich, was er mit verdächtigen Mails tut. Mit DMARC geben Sie die Richtung vor.

    Ein minimaler DMARC-Eintrag sieht so aus:

    _dmarc.ihre-firma.de   TXT   "v=DMARC1; p=none; rua=mailto:dmarc@ihre-firma.de"

    Die drei wichtigen Richtlinien-Stufen sind:

    • p=none — „beobachten, aber nichts unternehmen“. Empfohlen für den Start: Sie bekommen Reports, ohne dass echte Mails abgewiesen werden.
    • p=quarantine — verdächtige Mails werden in den Spam-Ordner verschoben.
    • p=reject — verdächtige Mails werden hart abgelehnt. Das ist das Ziel, aber erst, wenn SPF und DKIM wirklich sauber laufen.

    Der rua-Eintrag verrät, an welche Adresse aggregierte Reports geschickt werden sollen. Anfangs sind diese Reports etwas unhandlich (XML pro Tag pro Empfänger-Provider), aber sie sind Gold wert: Sie zeigen Ihnen, wer in Ihrem Namen mailt — inklusive blinden Flecken wie vergessenen Newsletter-Tools.

    Starten Sie mit p=none, beobachten Sie die Reports 4–6 Wochen lang, räumen Sie die Funde auf und ziehen Sie die Richtlinie dann auf p=quarantine oder p=reject hoch.

    So prüfen Sie Ihren eigenen Status

    Bevor Sie etwas ändern, sollten Sie wissen, wo Sie stehen. Es gibt einen schnellen Weg und einen gründlichen Weg.

    Schnell: Schicken Sie eine E-Mail an eine Gmail-Adresse, öffnen Sie die Mail dort, klicken Sie oben rechts auf die drei Punkte und wählen Sie „Original anzeigen“. Gmail zeigt dort klar und deutlich, ob SPF, DKIM und DMARC bestanden haben.

    Gründlich: Der kostenlose Website-Check dieser Seite prüft neben SSL und Security-Headern auch Ihre DNS-Einträge — SPF, DKIM und DMARC inklusive. Sie sehen in 30 Sekunden, welche Einträge vorhanden, welche fehlen und welche formal ungültig sind.

    Zusammenfassung

    Die Reihenfolge für ein sauberes E-Mail-Setup ist immer dieselbe:

    1. SPF setzen: Liste der Server, die für Ihre Domain senden dürfen. Nur ein Eintrag pro Domain, alle Versandquellen einsammeln.
    2. DKIM aktivieren: Beim E-Mail-Anbieter den Schlüssel generieren lassen und den angegebenen TXT-Eintrag ins DNS setzen.
    3. DMARC mit p=none einführen: 4–6 Wochen Reports sammeln, Funde aufräumen, dann schrittweise verschärfen.

    Danach ist Ihre Domain gegen die gängigsten Spoofing-Angriffe abgesichert und Ihre E-Mails landen dort, wo sie hingehören: im Posteingang.