Du schickst ein Angebot raus, und es kommt nie an, weil es im Spam-Ordner des Kunden gelandet ist. Oder ein Kunde fragt, warum Du ihm eine seltsame Zahlungsaufforderung geschickt hast, die Du nie verschickt hast. Beide Probleme haben dieselbe Wurzel: Niemand kann beweisen, dass eine Mail wirklich von Dir kommt.
Genau das regelt die E-Mail-Authentifizierung. Drei Verfahren mit kryptischen Namen, SPF, DKIM und DMARC, sorgen dafür, dass Mailserver weltweit erkennen, ob eine Nachricht echt von Deiner Domain stammt. Du musst dafür nichts programmieren. Du legst einmal ein paar Einstellungen bei Deinem Hoster fest, und der Rest läuft im Hintergrund. Wenn Du über den Absender hinaus auch den Inhalt Deiner Nachrichten schützen willst, findest Du die Grundlagen der E-Mail-Verschlüsselung in einem eigenen Beitrag erklärt.
Was SPF, DKIM und DMARC eigentlich tun
Stell Dir Deine Domain als Briefkopf vor. Jeder kann auf einen Umschlag „Von Deiner Firma" schreiben, auch jemand, der mit Dir nichts zu tun hat. Im echten Briefverkehr fällt das kaum auf. Bei E-Mail prüft die Gegenseite genauer, ob der Absender stimmt, und die E-Mail-Authentifizierung liefert ihr die Werkzeuge dafür.
Die drei Verfahren beantworten je eine Frage. SPF klärt, welche Server überhaupt in Deinem Namen senden dürfen. DKIM versieht jede Mail mit einer fälschungssicheren Unterschrift. DMARC legt fest, was der empfangende Server tun soll, wenn eine Mail durchfällt, und schickt Dir Berichte darüber.
Zusammen ergeben sie einen Vertrauensnachweis. Ein Mailserver, der eine Nachricht von Dir empfängt, kann in Sekundenbruchteilen prüfen: Kommt sie von einem erlaubten Server, trägt sie die richtige Unterschrift, und was sagt Deine eigene Regel dazu? Fällt das Ergebnis positiv aus, landet die Mail im Posteingang statt im Spam.
Warum Deine Mails im Spam landen oder gefälscht werden
Spam-Filter sind misstrauisch geworden, und das aus gutem Grund. Ein großer Teil aller E-Mails weltweit ist Betrug. Um echte von gefälschten Nachrichten zu trennen, schauen die großen Anbieter wie Google und Microsoft zuerst auf die Authentifizierung. Fehlt sie, stuft der Filter Deine Mail im Zweifel als verdächtig ein.
Ohne diese Einträge ist Deine Domain außerdem ein offenes Ziel. Betrüger können den Absender auf Deine Adresse setzen und in Deinem Namen Rechnungen oder Phishing-Mails verschicken. Deine Kunden sehen Deinen Namen, vertrauen der Nachricht und geraten in die Falle. Wie Du solche Phishing-Mails zuverlässig erkennst, ist ein eigenes Thema. Hier geht es darum, dass niemand Deine Domain für genau diesen Trick missbraucht.
Der Schaden trifft Dich doppelt. Deine Kunden verlieren Vertrauen, und Deine Domain bekommt bei den Spam-Filtern einen schlechten Ruf. Je öfter in Deinem Namen Müll verschickt wird, desto eher landen auch Deine echten Mails im Spam. So hängt das alles zusammen, ähnlich wie Spam Deiner Reputation schadet.
SPF — wer für Deine Domain senden darf
SPF ist eine Gästeliste für Deine Domain. Du hinterlegst, welche Server befugt sind, Mails mit Deiner Adresse zu verschicken. Das sind in der Regel der Mailserver Deines Hosters und jeder externe Dienst, den Du nutzt, etwa ein Newsletter-Tool oder ein Buchungssystem.
Empfängt ein fremder Server eine Mail von Dir, gleicht er den absendenden Server mit Deiner Liste ab. Steht er nicht drauf, weiß die Gegenseite: Diese Nachricht ist verdächtig. So verhinderst Du, dass beliebige Server in Deinem Namen senden.
Wichtig ist, dass die Liste vollständig ist. Vergisst Du einen legitimen Dienst, landen dessen Mails im Spam, obwohl sie echt sind. Bevor Du SPF einrichtest, schreibst Du Dir deshalb auf, über welche Wege Du überhaupt Mails verschickst.
DKIM — die digitale Unterschrift
DKIM setzt unter jede ausgehende Mail eine unsichtbare Unterschrift. Dein Mailserver versieht die Nachricht mit einem digitalen Siegel, das nur er erzeugen kann. Der empfangende Server prüft dieses Siegel gegen einen passenden Schlüssel, den Du in Deiner Domain hinterlegt hast.
Der Vorteil gegenüber SPF: DKIM schützt neben dem Absender auch den Inhalt. Wird die Mail unterwegs verändert, passt das Siegel nicht mehr, und die Prüfung schlägt fehl. Der Empfänger erkennt damit sowohl Fälschungen des Absenders als auch nachträgliche Manipulation.
Für Dich bleibt das komplett unsichtbar. Du erzeugst den Schlüssel einmal im Hoster-Menü, hinterlegst den passenden Eintrag, und ab dann unterschreibt Dein Server automatisch jede Mail. Niemand muss bei jeder Nachricht etwas anklicken.
DMARC — die Regel und der Report
SPF und DKIM prüfen, ob eine Mail echt ist. DMARC sagt der Gegenseite, was sie mit einer durchgefallenen Mail tun soll. Du legst die Regel selbst fest: nur beobachten, in den Spam verschieben oder ganz ablehnen.
Der zweite Teil von DMARC sind die Berichte. Empfangende Server schicken Dir regelmäßig eine Rückmeldung, wie viele Mails in Deinem Namen verschickt wurden und ob sie die Prüfung bestanden haben. So siehst Du schwarz auf weiß, ob jemand Deine Domain missbraucht.
Diese Berichte kommen in einem technischen Format, das Du nicht von Hand lesen willst. Dafür gibt es kostenlose Dienste, die sie für Dich auswerten und in eine verständliche Übersicht verwandeln. Du trägst einfach deren Adresse als Empfänger der Berichte ein.
So richtest Du es ein, ohne Technik-Kauderwelsch
Die drei Verfahren wohnen alle in den DNS-Einstellungen Deiner Domain. Das klingt sperrig, ist aber bei den meisten Hostern ein klar beschrifteter Menüpunkt, oft unter „Domain", „DNS" oder „E-Mail-Einstellungen". Dort trägst Du die Werte ein, die Dein Mailprovider Dir vorgibt.
Viele Hoster und Mailprovider machen Dir die Arbeit leicht. In modernen Oberflächen genügt oft ein Schalter „SPF aktivieren" oder „DKIM einrichten", und das System setzt die nötigen Werte selbst. Schau zuerst, ob Dein Anbieter einen solchen Assistenten hat, bevor Du etwas von Hand einträgst.
Sinnvoll ist diese Reihenfolge:
- SPF zuerst: Liste aller Dienste hinterlegen, die in Deinem Namen senden.
- DKIM danach: Schlüssel erzeugen und den passenden Eintrag setzen.
- DMARC zuletzt: erst nur beobachten, Berichte sammeln, dann die Regel verschärfen.
Wenn Dir das zu unsicher ist, übernimmt Dein Hoster das auf Anfrage meist gegen einen kleinen Aufpreis oder sogar kostenlos. Schon bei der Wahl Deines Hosters lohnt sich die Frage, wie gut er Dich bei genau diesen Einstellungen unterstützt.
Häufige Fehler
Der häufigste Stolperstein: ein vergessener Dienst in der SPF-Liste. Wenn Dein Newsletter-Tool oder Dein Shop plötzlich nicht mehr durchkommt, fehlt es fast immer auf der Gästeliste. Trag jeden Dienst nach, der in Deinem Namen sendet.
Der zweite Klassiker betrifft DMARC. Wer die strenge Regel sofort auf „ablehnen" stellt, riskiert, dass auch eigene Mails blockiert werden, solange SPF und DKIM noch nicht sauber laufen. Beginne im Beobachten-Modus, prüfe ein paar Wochen die Berichte und verschärfe die Regel erst, wenn alles sauber durchläuft.
Ein dritter Punkt wird leicht übersehen: Änderst Du Deinen Mailprovider oder fügst einen Dienst hinzu, musst Du die Einträge anpassen. Setz Dir eine Erinnerung, die Authentifizierung nach jedem Wechsel kurz zu kontrollieren. Sonst kippt die Zustellbarkeit unbemerkt.
Fazit
SPF, DKIM und DMARC wirken auf den ersten Blick wie Entwickler-Themen, sind aber ein einmaliger Handgriff im Hoster-Menü. Sie sorgen dafür, dass Deine Mails ankommen und schützen Deinen guten Namen vor Missbrauch.
Geh es in Ruhe an: erst SPF, dann DKIM, zum Schluss DMARC im Beobachten-Modus. Wenn Du unsicher bist, frag Deinen Hoster. Eine halbe Stunde Einrichtung erspart Dir verlorene Angebote und peinliche Rückfragen von Kunden, die nie eine Mail von Dir bekommen wollten.