Voraussetzungen
Sie brauchen zwei Dinge: Zugriff auf die DNS-Verwaltung Ihrer Domain (beim Registrar oder DNS-Anbieter, z. B. Cloudflare) und die Angaben Ihres Versanddienstes (welche Server senden, DKIM-Schlüssel). Das „Warum" hinter diesen Einträgen erklärt der Leitfaden zur Zustellbarkeit — hier geht es ums „Wie".
Reihenfolge zählt: erst SPF und DKIM einrichten, dann DMARC auf p=none zum Beobachten — und erst nach Auswertung der Berichte verschärfen.
1 SPF einrichten
SPF legt fest, welche Server in Ihrem Namen senden dürfen. Es ist ein einzelner TXT-Eintrag auf Ihrer Domain (Root, also @).
| Typ | Name/Host | Wert |
|---|---|---|
| TXT | @ | v=spf1 include:_spf.ihr-anbieter.de ~all |
Den include-Wert gibt Ihr Versanddienst vor. Versenden mehrere Dienste, kommen ihre includes in einen Eintrag:
v=spf1 include:_spf.dienst-a.de include:_spf.dienst-b.com ~all
~all oder -all?
~all(SoftFail) — nicht gelistete Server werden markiert, aber meist angenommen. Gut zum Start.-all(HardFail) — strikt: alles Nicht-Gelistete wird abgewiesen. Umstellen, sobald Sie sicher sind, dass alle Versender erfasst sind.
Zwei Regeln, an denen viele scheitern: nur ein SPF-Eintrag pro Domain (mehrere brechen SPF), und maximal 10 DNS-Lookups — jedes include zählt. Wird das überschritten, fällt SPF auf PermError.
2 DKIM einrichten
DKIM signiert jede E-Mail kryptografisch. Ihr Versanddienst erzeugt ein Schlüsselpaar; den öffentlichen Schlüssel veröffentlichen Sie im DNS, den privaten behält der Dienst.
Schlüssel veröffentlichen
Der Dienst nennt Ihnen einen Selector (z. B. s1 oder postal). Der Eintrag liegt unter selector._domainkey.ihre-domain.de — oft als TXT, bei manchen Anbietern als CNAME, das in deren Infrastruktur zeigt.
| Typ | Name/Host | Wert |
|---|---|---|
| TXT | s1._domainkey | v=DKIM1; k=rsa; p=MIGfMA0GCSq… |
Den vollständigen p=-Wert (den eigentlichen Schlüssel) liefert Ihr Dienst. 2048-Bit-Schlüssel sind Standard; sehr lange Werte muss man bei manchen DNS-Anbietern in Teilstrings aufteilen.
Signierung aktivieren
Nach dem DNS-Eintrag schalten Sie die DKIM-Signierung im Versanddienst ein. Ab dann trägt jede ausgehende Mail eine gültige Signatur.
3 DMARC einrichten
DMARC verbindet SPF und DKIM zu einer Richtlinie und liefert Berichte. Es ist ein TXT-Eintrag unter _dmarc.ihre-domain.de.
| Typ | Name/Host | Wert |
|---|---|---|
| TXT | _dmarc | v=DMARC1; p=none; rua=mailto:dmarc@ihre-domain.de; fo=1 |
Die Richtlinie schrittweise verschärfen
p=none— nur beobachten, nichts wird abgewiesen. Immer hier starten.p=quarantine— nicht authentifizierte Mails landen im Spam. Nach 2–4 Wochen sauberer Berichte.p=reject— endgültige Stufe: Abweisung. Erst, wenn die Berichte zeigen, dass alle legitimen Quellen bestehen.
Wichtig ist das Alignment: DMARC besteht nur, wenn SPF oder DKIM nicht nur passt, sondern auch zur sichtbaren Absenderdomain gehört. Deshalb Schritt 1 und 2 zuerst. Die rua-Adresse sammelt die täglichen Aggregat-Berichte — richten Sie dafür ein Postfach ein.
Testen
Nach dem Setzen brauchen DNS-Änderungen etwas Zeit (Minuten bis Stunden). Dann prüfen:
- Eine Test-Mail an ein Gmail-Konto senden, dort „Original anzeigen" öffnen — SPF, DKIM und DMARC müssen auf
PASSstehen. - Online-Prüfdienste für die einzelnen Einträge nutzen (z. B. MXToolbox, Google Admin Toolbox).
- Eine Woche später die ersten DMARC-Berichte an Ihrer
rua-Adresse auswerten.
Häufige Fehler
- Mehrere SPF-Einträge auf einer Domain — es darf nur einer sein
- Mehr als 10 DNS-Lookups in SPF (PermError)
- Falscher oder vertippter DKIM-Selector
- DMARC sofort auf
p=reject— legitime Mails gehen verloren - SPF/DKIM bestehen, aber ohne Alignment zur Absenderdomain
- Keine
rua-Adresse — dann sehen Sie nie, was passiert
Häufige Fragen
- Brauche ich alle drei?
- Ja. Seit 2024 verlangen Gmail und Yahoo von Massenversendern SPF, DKIM und DMARC gemeinsam. Einzeln genügt nicht.
- Wie lange bis DMARC auf reject?
- Meist vier bis acht Wochen — abhängig davon, wie schnell die Berichte zeigen, dass alle legitimen Quellen sauber bestehen.
- Was, wenn ich mehrere Versanddienste nutze?
- Alle in einen SPF-Eintrag aufnehmen und für jeden einen eigenen DKIM-Selector veröffentlichen. DMARC bleibt ein Eintrag.
Diese Einträge sind nur ein Teil. Den vollen Überblick — Reputation, Listenhygiene, Monitoring — gibt der Hauptleitfaden.