Fehlende oder falsch konfigurierte Authentifizierung ist heute einer der häufigsten Gründe, warum selbst seriöse Absender in Spamfiltern landen. Gleichzeitig entsteht ein unnötiges Risiko für Deine Marke. Ohne klare Schutzmechanismen können Angreifer Deine Domain leichter für Phishing missbrauchen.
In diesem Leitfaden erfährst Du Schritt für Schritt, wie Du Deine Domain mit SPF, DKIM, DMARC, BIMI & Co. absicherst.
Der ursprüngliche E-Mail-Standard enthielt keine Sicherheitsmechanismen. Das begünstigte Spam und Phishing und machte immer bessere Filter auf Empfängerseite notwendig. Für seriöse Versender·innen ist es daher wichtig, dass E-Mails nicht versehentlich als unerwünscht klassifiziert werden. Mit Authentifizierungsverfahren können Versender·innen nachweisen, dass sie sind, wer sie vorgeben zu sein.
Im ersten Schritt authentifizieren die meisten Postfachanbieter die Absender·innen. Analysiert werden der sendende E-Mail-Server sowie Absender und Antwortadressen. Die Identität der Versender·innen wird durch unterschiedliche Authentifizierungsverfahren geprüft:
(Sender Policy Framework)
legt fest, welche Server E-Mails für eine Domain versenden dürfen.
(DomainKeys Identified Mail)
signiert E-Mails kryptografisch, damit Inhalt und Kopfzeilen unterwegs nicht manipuliert werden.
(Domain-based Message Authentication, Reporting, and Conformance)
Legt Richtlinien fest, wie empfangende Systeme mit nicht authentifizierten E-Mails umgehen sollen und verlangt Domain Alignment.
Kurz gesagt: Postfachanbieter prüfen den sendenden Server sowie Absender- und Antwortadressen und nutzen SPF, DKIM und DMARC, um nachzuweisen, dass die Absender·innen wirklich sind, wer sie vorgeben zu sein.
E-Mail-Authentifizierung ist heute der Schlüssel, damit Newsletter und Kampagnen verlässlich im Posteingang landen. Sie schützt vor Domain-Missbrauch, stärkt die Marke und stabilisiert die Zustellbarkeit. Gleichzeitig steigen die Risiken: Fehlende oder falsch konfigurierte Verfahren führen schneller zu Spam-Einstufungen, Blockierungen und Umsatzverlusten. Seit 2024/2025 gelten bei Gmail und Yahoo strengere Anti-Spam-Standards für große Versender·innen (Bulk-Sender), also z. B. Versender·innen mit mehreren Tausend Nachrichten pro Tag. Diese müssen wichtige Authentifizierungs- und Sicherheitsmechanismen erfüllen, damit ihre E-Mails weiterhin zuverlässig zugestellt werden:
Wichtig: Auch Outlook.com (Outlook/Hotmail/Live) hat 2025 eine Pflicht für Bulk-Sender eingeführt: Wenn du mehr als 5.000 E-Mails pro Tag an Microsoft-Consumer-Postfächer sendest, müssen SPF und DKIM bestehen, ein DMARC-Record vorhanden sein und DMARC muss mit Alignment zur sichtbaren From-Domain passen. Nicht-konforme Nachrichten werden abgelehnt.
Für das Sender Policy Framework (SPF) tragen Domain-Inhaber·innen einen sogenannten SPF-Record im Domain Name System (DNS) ein. Dieser legt fest, welche Server berechtigt sind, E-Mails aus der jeweiligen Domain zu versenden.
Der empfangende E-Mail-Server überprüft bei eingehender E-Mail die eingetragene Absenderdomain in dem Header „MAIL FROM“ (sog. technischer Absender) und ruft den SPF-Record dieser Domain ab. Anschließend vergleicht er, ob die sendende IP-Adresse im SPF-Record autorisiert ist.
Wenn die ursprüngliche IP-Adresse mit einer der IP-Adressen innerhalb des SPF-Datensatzes im DNS-Eintrags übereinstimmt, gilt die E-Mail als authentisch. Damit ist der sendende Mail-Server autorisiert, E-Mails im Namen dieser Domain zu versenden. Findet keine Übereinstimmung statt, regeln die jeweiligen Spam-Einstellungen der Empfänger·innen, ob die E-Mail angenommen oder abgelehnt wird.
SPF dient ausschließlich der Verifikation des Absenderservers. Problematisch hierbei ist, dass nur der technische Absender („MAIL FROM“) verifiziert wird. Ergänzend sollte deshalb DomainKeys Identified Mail (DKIM) eingesetzt werden.
Kurz gesagt: Beim SPF hinterlegen Domain-Inhaber·innen im DNS einen SPF-Record. Der empfangende Server prüft bei eingehenden E-Mails anhand der „MAIL FROM“-Domain, ob die sendende IP darin als autorisiert eingetragen ist.
DomainKeys Identified Mail (DKIM) ist eine erweiterte Methode zur Sender-Authentifizierung und dient wie SPF zur Sicherstellung der Echtheit von E-Mail-Absendern. Die Verwendung von DKIM soll sicherstellen, dass der Inhalt der versendeten E-Mail auf dem Weg zu den Empfänger·innen nicht manipuliert und das Mailing von der angegebenen Domain authentifiziert wurde.
DKIM basiert auf einem asymmetrischen kryptografischen Verfahren, bei dem ausgehende Nachrichten durch das Versandsystem mittels eines privaten Schlüssels mit einer digitalen Signatur versehen werden. Das empfangende System überprüft die erhaltene Nachricht anschließend anhand des im Domain Name System (DNS) frei verfügbaren und zur Absenderadresse passenden öffentlichen Schlüssels. Schlägt die Authentifizierung fehl, kann das Empfängersystem entscheiden, die Nachricht zu verwerfen.
Eine korrekte DKIM-Signatur liegt vor, wenn:
Best Practices für DKIM:
Kurz gesagt: DKIM signiert E-Mails kryptografisch, damit Empfänger Manipulationen erkennen und die sendende Domain verifizieren können.
DMARC (Domain-based Message Authentication, Reporting & Conformance) baut auf SPF und DKIM auf und reduziert den Missbrauch der sichtbaren Absenderadresse („From:“). Die beiden Verfahren liefern die technischen Prüfergebnisse und prüfen für sich genommen nicht, ob die sichtbare „From:“-Domain mit der Domain aus dem SPF-Record oder der DKIM-Signatur übereinstimmt. DMARC schließt diese Lücke durch die Verknüpfung dieser Ergebnisse mit der sichtbaren Absenderadresse und definiert eine Richtlinie (Policy), wie empfangende E-Mailserver mit nicht authentifizierten oder nicht übereinstimmenden E-Mails umgehen sollen.
DMARC verlangt eine Übereinstimmung (Alignment) zwischen:
Kurz gesagt: DMARC verbindet SPF/DKIM mit der sichtbaren „From:“-Domain (Alignment) und legt per Policy fest, ob fehlerhafte Mails akzeptiert, gesperrt oder abgelehnt werden.
Korrektur eines verbreiteten Missverständnisses: Der technische Absender (Envelope/„MAIL FROM“) kann gesetzt werden und ist nicht fälschungssicher. DMARC schließt diese Lücke, indem es die From-Adresse (sichtbar) mit SPF/DKIM auf organisatorischer oder strikter Ebene aligned.
DMARC ist nicht nur ein Schutzmechanismus, sondern auch ein gutes Monitoring-Tool für den ausgehenden E-Mail-Verkehr Deines Unternehmens. Es kann Fragen wie diese beantworten:
Kurz gesagt: DMARC-Reports zeigen Dir in Form von Reports im XML-Format, wer in Deinem Namen sendet, wo Authentifizierung scheitert und ob Deine Marke missbraucht wird. Die Reports können durch geeignete Tools lesbar gemacht und in Echtzeit dargestellt werden.
DMARC Advisor ist unser ausgewählter, langjähriger Technologiepartner für das Implementieren der DMARC-Policy und Auswerten von DMARC-Reports. Mit dem Tool erhältst Du nicht nur aussagekräftige, grafisch aufbereitete und leicht verständliche Daten, sondern bist auf der sicheren Seite. Denn DMARC Advisor arbeitet DSGVO-konform mit Servern innerhalb der EU.
Unsere Expert·innen unterstützen Dich gerne bei der Einrichtung und Interpretation der Ergebnisse. Zudem erhältst Du konkrete Tipps und Handlungsanweisungen, um die Sicherheit und Reputation Ihrer Domains sicherzustellen und zu optimieren.
DMARC veröffentlicht einen DNS-Record, in dem Domain-Inhaber·innen festlegen:
DMARC setzt voraus, dass:
Versucht nun ein Dritter, Deine Absenderadresse zu fälschen, prüft das empfangende System den DMARC-Record im DNS. Schlägt die SPF/DKIM-Authentifizierung oder das Alignment fehl, kann das System, basierend auf der DMARC-Policy, entscheiden, ob die E-Mail zugestellt, in den Spam verschoben oder komplett abgelehnt werden soll.
Die Konfiguration von DMARC setzt voraus, dass SPF und DKIM bereits eingerichtet sind. DMARC erlaubt den Domain-Inhaber·innen durch einen DMARC-Record im DNS (Domain Name System) anzuzeigen, dass ihre E-Mails auf DMARC-Konformität geprüft werden sollen. Zudem wird den Postfachanbieter·innen mitgeteilt, was diese machen sollen, wenn die Authentifizierung mit DMARC fehlschlägt. Dabei gibt es drei verschiedene Richtlinien zur Auswahl:
In der Praxis empfiehlt sich eine schrittweise DMARC-Einführung:
Zusätzlich kann angegeben werden, für wie viel Prozent der Nachrichten die entsprechenden Richtlinien gelten sollen. Dies spielt gerade bei der erstmaligen Implementierung von DMARC eine Rolle, da somit effektiv vermieden werden kann, dass durch fehlerhafte Konfigurationen auf einmal sämtliche Nachrichten durch die Postfachanbieter·innen abgewiesen werden.
Gerne unterstützen wir Dich bei der Einrichtung. Jetzt anfragen!
DMARC ist der effektivste Schutz Deiner Marke im E-Mail-Verkehr – vorausgesetzt, Du hast es korrekt eingerichtet. Denn DMARC kann helfen, das Vertrauen von Mailbox-Providern und weiteren Empfangssystemen zu erhöhen und die Reputation der verwendeten Domain zu verbessern. Das kann ein Erfolgsfaktor für die Zustellbarkeit sein.
Sind die konfigurierten SPF- oder DKIM-Records der zu prüfenden Domain fehlerhaft oder nicht vorhanden, wenn der DMARC-Check durchgeführt wird, werden die E-Mails der Absenderadresse wahrscheinlich abgelehnt. Daher sind DMARC-Analyse-Tools essenziell, um Probleme frühzeitig zu erkennen und das unerwünschte Ablehnen von Mails zu unterbinden. Gleichzeitig kann dieser Effekt gewollt sein, beispielsweise wenn es sich um den Missbrauch Deiner Domain und somit auch Deiner Marke handelt.
(Hinweis: DMARC gibt eine Empfehlung, wie das empfangende System mit den Mails umgehen sollte, wenn der DMARC-Check fehlschlägt. Die meisten Mailbox-Provider folgen dieser Empfehlung, es gibt aber auch Ausnahmen).
Erst das Zusammenspiel von SPF, DKIM und DMARC sorgt für einen erfolgreichen Schutz vor Fälschung und Missbrauch Deiner Absenderdomain und somit auch Deiner Marke und Deines Images. Hierbei spielt der Begriff Domain Alignment eine wesentliche Rolle, auf den wir im folgenden Abschnitt näher eingehen.
Kurz gesagt: Ohne DMARC bleibt „From:“ leicht fälschbar, Spoofing wird wahrscheinlicher und Deine Zustellbarkeit sowie Reputation kann spürbar leiden.
Das Thema Zustellbarkeit ist ein wichtiger Erfolgsfaktor im E-Mail-Marketing. Das Whitepaper gibt Dir einen Einstieg in das vielschichtige Thema und vermittelt technische Grundlagen. Du erfährst anhand konkreter Tipps, was Du selbst für eine hohe Zustellbarkeit und Reputation der Domain tun kannst. Das Whitepaper zeigt, worauf es ankommt, wenn Du Deine Marke bei der E-Mail-Kommunikation vor Missbrauch schützen möchtest. Aber auch die technische Infrastruktur des Versanddienstleisters hat Einfluss auf die Zustellbarkeit. In verschiedenen Checklisten siehst Du die wichtigsten Kriterien und Maßnahmen auf einen Blick.
Domain Alignment bezeichnet die Übereinstimmung der verwendeten Domains in den relevanten E-Mail-Headern, insbesondere:
Übertragen auf die Postzustellung heißt das, dass der Absender auf dem Umschlag („MAIL FROM“), der Absender auf dem Briefkopf („FROM“) und die Unterschrift im Brief (die DKIM-Domain) übereinstimmen müssen. So erkennen Mailbox-Provider, dass sie Absender·innen als vertrauenswürdiger einstufen können.
Viele Unternehmen nutzen professionelle Versanddienstleister. Wenn diese z. B. mit einer anderen „MAIL FROM“-Domain arbeiten oder mit ihrer eigenen Domain signieren, während im From-Feld Deine Unternehmensdomain steht, kann das bei Empfängersystemen Misstrauen auslösen. Um beim Beispiel mit der Postzustellung zu bleiben: Hier wäre der Umschlag mit der Adresse Deines Versanddienstleisters versehen, während der Briefkopf zu Deinem Unternehmen gehört und der Brief potenziell von einer dritten Partei unterschrieben wurde.
Spamfilter reagieren auf unterschiedliche Angaben von Domains innerhalb einer E-Mail, wie beispielsweise bei der Absenderadresse („FROM“) und der „MAIL FROM“-Adresse. Für eine hohe Zustellbarkeit ist es wichtig, dass Dein E-Mail-Marketing-Anbieter für die unterschiedlichen Parameter die gleiche Domain einrichten kann. Durch Domain Alignment beziehungsweise Full Domain Alignment (alle Header und Inhalte einer E-Mail zeigen auf die gleiche Domain) verbesserst Du die Vertrauenswürdigkeit Deiner Mails enorm. Empfangende Systeme werden Deine E-Mails so deutlich wahrscheinlicher zustellen.
Kurz gesagt: Bei der Postzustellung müssen Umschlag, Briefkopf und Unterschrift zueinander passen. Beim Domain Alignment sind es der technische Absender, die sichtbare Absenderadresse und die Domain in der DKIM-Signatur, die zur gleichen Domain gehören müssen, damit Provider dem Absender vertrauen.
ARC (Authenticated Received Chain) wurde entwickelt, um Probleme bei Weiterleitungen und Mailinglisten zu lösen.
Schon kleine Änderungen am Header oder am Body können SPF und/oder DKIM brechen. Zum Beispiel bei:
ARC ergänzt die E-Mail um eine signierte Kette früherer Authentifizierungsergebnisse. So können empfangende Systeme erkennen, dass eine Nachricht ursprünglich korrekt authentifiziert war, auch wenn SPF/DKIM nach der Weiterleitung nicht mehr bestehen.
Empfehlung: Setze ARC auf Gateways, Mailinglisten-Servern und Weiterleitern ein. Für Mailinglisten sollte zusätzlich eine List-ID verwendet werden.
BIMI steht für Brand Indicators for Message Identification. Der Standard sorgt dafür, dass Dein Markenlogo im Posteingang der Empfänger·innen sichtbar angezeigt wird – direkt neben dem Absendernamen. Dadurch wird Deine Marke nicht nur prominenter wahrgenommen, sondern Empfänger·innen können auf einen Blick erkennen, ob die Nachricht wirklich von Dir stammt.
BIMI baut auf etablierten E-Mail-Authentifizierungsverfahren wie SPF, DKIM und DMARC auf. Das Zusammenspiel dieser Mechanismen stellt sicher, dass nur authentifizierte Absender·innen Dein Logo ausspielen dürfen. So wird die Markenidentität geschützt und Phishing-Angriffen vorgebeugt.
Vorteile auf einen Blick:
Kurz gesagt: BIMI ist ein Standard, der Dein Logo neben dem Absender anzeigen kann, wenn Deine Domain technisch nachweislich geschützt ist.
In überfüllten Postfächern entscheidet der erste Eindruck über Öffnung oder Ignorieren einer E-Mail. Ein sichtbares Markenlogo schafft sofort Vertrauen und sorgt für mehr Aufmerksamkeit.
Zudem erwarten immer mehr große Mailbox-Provider (z. B. Google, Apple, Yahoo, Fastmail, La Poste), dass Absender Authentifizierungs- und Schutzmechanismen wie DMARC und BIMI nutzen. Der Standard setzt sich daher zunehmend als Qualitätsmerkmal für seriöse Versender·innen durch.
BIMI nutzt die bereits vorhandenen Authentifizierungsverfahren:
Erst wenn alle drei Verfahren korrekt eingerichtet sind und DMARC im „reject"- oder „quarantine"-Modus läuft, kann BIMI aktiv werden.
Im BIMI-Record Deiner Domain hinterlegst Du dann:
Kurz gesagt: BIMI nutzt SPF, DKIM und DMARC als Voraussetzung und referenziert im DNS ein Logo (SVG-Tiny).
Damit das Logo bei den meisten Mailbox-Providern tatsächlich ausgespielt wird, ist ein sogenanntes Verified Mark Certificate (VMC) erforderlich. Dieses Zertifikat bestätigt, dass:
Das VMC wird von anerkannten Zertifizierungsstellen (z. B. DigiCert) ausgestellt und dient als zusätzlicher Schutz vor Missbrauch durch Dritte.
Kurz gesagt: Ein VMC bestätigt die Markeninhaberschaft sowie die Logo-Zuordnung und ist bei vielen Providern nötig, damit das BIMI-Logo zuverlässig angezeigt wird.
Hinweis: Gmail akzeptiert seit 2024 neben VMC auch CMC. Für das blaue Verifikations-Häkchen ist weiterhin ein VMC erforderlich. Voraussetzung für die Logo-Anzeige bleibt DMARC mit Policy „quarantine“ oder „reject“.
Nicht jedes Unternehmen besitzt eine eingetragene Marke. Für diesen Fall gibt es das Common Mark Certificate (CMC). Es basiert auf dem Prinzip der nachgewiesenen Nutzung: Wenn Du Dein Logo seit mindestens einem Jahr aktiv einsetzt, etwa auf Deiner Website oder in Deinen E-Mails, kannst Du ein CMC beantragen.
Die technische Einrichtung von BIMI kann herausfordernd sein – vor allem, wenn es um DNS-Einträge, Markenregistrierung und Zertifikatsbeschaffung geht. Wir unterstützen Dich gerne!
Mit Inxmail zur erfolgreichen BIMI-Zertifizierung – für maximale Sichtbarkeit Deiner Marke.
Für Marketing- und abonnierte Nachrichten verlangen große Provider wie Gmail und Yahoo:
Hinweise:
E-Mail-Authentifizierung mit SPF, DKIM und DMARC ist heute unverzichtbar, um Deine Marke vor Missbrauch zu schützen und die Zustellbarkeit Deiner Nachrichten langfristig zu sichern. Ergänzende Standards wie ARC, BIMI sowie der One-Click-Unsubscribe-Mechanismus stärken zusätzlich Vertrauen, Transparenz und Nutzerfreundlichkeit im Posteingang. Gerade mit den verschärften Anforderungen großer Provider wie Gmail und Yahoo wird eine saubere technische Umsetzung zur Pflicht für professionelle Versender·innen. Wer frühzeitig auf korrekt konfiguriertes Domain Alignment, DMARC-Policies und BIMI-Zertifizierung setzt, profitiert von besserer Reputation, Sichtbarkeit und weniger Spam-Beschwerden. Unsere Expert·innen unterstützen Dich dabei, all diese Bausteine optimal aufeinander abzustimmen und Deine E-Mail-Kommunikation zukunftssicher aufzustellen.
Du hast ein Problem bei Deiner Zustellbarkeit aufgedeckt oder benötigst schnelle Hilfe? Wir helfen Dir und beantworten Deine Fragen.
Du möchtest spannende Insights und wertvolle Tipps rund um E-Mail-Marketing? Dann melde Dich für unseren Newsletter an!
Abonniere unseren Feed und lass Dich in Deinem RSS-Reader über neue Blogbeiträge informieren..
Du interessierst Dich für unsere leistungsstarken Produkte oder unsere Services? Hier erfährst Du mehr:
Hier haben wir noch mehr E-Mail-Marketing-Wissen für Dich: