SPF, DKIM und DMARC einfach erklärt

Wenn du E-Mails über deine eigene Domain verschickst, ist es wichtig sicherzustellen, dass deine Nachrichten nicht im Spam landen oder von anderen missbraucht werden. Genau dafür gibt es SPF,
DKIM und DMARC – drei wichtige Sicherheitsmechanismen im E-Mail-Versand. Hier erkläre ich dir einfach, was sie tun und wie du sie einrichtest.

Was ist SPF?

SPF sagt dem empfangenden Mailserver: „Diese IP-Adressen dürfen im Namen meiner Domain E-Mails versenden.“ So wird verhindert, dass andere Server fälschlicherweise E-Mails unter deinem Domainnamen verschicken.

Beispiel:
Du nutzt z. B. Microsoft 365 (Exchange Online) für deine E-Mails. Dann sieht dein SPF-Eintrag in der DNS-Zone so aus:

v=spf1 include:spf.protection.outlook.com -all

Die wichtigsten SPF-Attribute:
– v=spf1 → Gibt an, dass es ein SPF-Eintrag ist.
– ip4: → Erlaubt eine bestimmte IPv4-Adresse (z. B. ip4:203.0.113.5).
– include: → Erlaubt alle IPs eines externen Dienstes (z. B. Outlook oder Mailchimp).
– -all → Alles andere ist nicht erlaubt (hartes Fail).

So richtest du SPF ein:
1. Gehe in die DNS-Verwaltung deiner Domain (z. B. bei deinem Hoster).
2. Lege einen neuen TXT-Eintrag an.
3. Trage den SPF-Wert ein, z. B.:

Name: @  
Typ: TXT  
Wert: v=spf1 include:spf.protection.outlook.com -all

Was ist DKIM?

DKIM sorgt dafür, dass der Empfänger erkennen kann, ob die E-Mail unterwegs verändert wurde.
Die Nachricht wird mit einer digitalen Signatur versehen, die der empfangende Mailserver überprüfen kann. Beim Versenden signiert dein Mailserver die E-Mail mit einem privaten Schlüssel. Der empfangende Server prüft mithilfe eines öffentlichen Schlüssels in deinem DNS, ob die Signatur gültig ist.

Beispiel mit Microsoft 365 (Exchange Online):
Microsoft 365 generiert automatisch zwei CNAME-Einträge, z. B.:

selector1._domainkey.deinedomain.de → selector1-yourdomain-com._domainkey.microsoft.com  
selector2._domainkey.deinedomain.de → selector2-yourdomain-com._domainkey.microsoft.com

So richtest du DKIM ein:
In der Regel stellt dir dein Mail-Anbieter oder dein eigener Mailserver die notwendigen DKIM-Einträge zur Verfügung. Am besten wirfst du einen Blick in die Dokumentation deines Anbieters, um herauszufinden, wie und wo du DKIM aktivierst. Die Einträge fügst du dann – ähnlich wie beim SPF-Eintrag – in die DNS-Zone deiner Domain ein. Achte dabei besonders darauf, dass DKIM-Einträge häufig auf Subdomains wie selector1._domainkey basieren. Diese müssen exakt so eingetragen werden, wie vom Anbieter vorgegeben.

Was ist DMARC?

DMARC baut auf SPF und DKIM auf. Es sagt dem empfangenden Server „Was soll passieren, wenn eine E-Mail SPF oder DKIM nicht besteht?“ Außerdem ermöglicht es dir, Berichte über fehlgeschlagene Authentifizierungen zu erhalten.

Beispiel:

v=DMARC1; p=quarantine; rua=mailto:dmarc@deinedomain.de; sp=none; aspf=r;

Die wichtigsten DMARC-Attribute:
– v=DMARC1 → Gibt an, dass es ein DMARC-Eintrag ist.
– p= → Was soll passieren? (none, quarantine, reject)
– rua= → E-Mail-Adresse für Berichte.
– aspf=r → Relaxed SPF-Abgleich (empfohlen).
– sp= → Verhalten für Subdomains.

So richtest du DMARC ein:
1. Gehe wieder in deine DNS-Verwaltung.
2. Erstelle einen neuen TXT-Eintrag mit folgendem Inhalt:

Name: _dmarc  
Typ: TXT  
Wert: v=DMARC1; p=quarantine; rua=mailto:dmarc@deinedomain.de; aspf=r;

Tipp: Ersetze p=quarantine durch p=none, wenn du erstmal nur Berichte sammeln willst.

Fazit

Mit SPFDKIM und DMARC kannst du deine Domain gegen Missbrauch schützen und sicherstellen, dass deine E-Mails auch wirklich ankommen. Die Einrichtung ist einmal etwas technischer – aber gut machbar, vor allem mit den Beispielen oben. Und der Effekt: Weniger Spam, mehr Vertrauen und professionelle Kommunikation.

Ach ja, fast vergessen:
Verwende einen SPF-Eintrag mit Wildcard für alle Subdomains, um unautorisierte Absender zu verhindern.

Beispiel:
Für die Subdomain *.example.com kannst du folgenden TXT-Eintrag setzen:

Name: *.example.com  
Typ: TXT  
Wert: v=spf1 -all

Damit stellst du sicher, dass alle Subdomains standardmäßig keine Mails versenden dürfen. So kann z. B. niemand E-Mails von ...@billing.yourdomain.com verschicken – selbst wenn du diese Subdomain gar nicht aktiv nutzt. Für die Subdomains, die du tatsächlich verwendest, kannst du entsprechende SPF-Einträge ohne Wildcard gezielt anlegen und anpassen.

Wissen ist besser, wenn man es teilt – teile diesen Beitrag mit deinem Netzwerk
Jonathan Schmidt
Jonathan Schmidt

Hi, ich bin Jonathan – Gründer von NewIT Solutions. Ich helfe Unternehmen dabei, ihre IT auf stabile Beine zu stellen – sei es mit Exchange Online, Microsoft365, sicheren Backup-Lösungen oder modernen Webdienstleistungen. Technik soll nicht kompliziert sein, sondern einfach funktionieren – genau das ist mein Ziel bei jedem Projekt.

Artikel: 3

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert