SPF, DKIM & DMARC einrichten: Anleitung 2026

Q: Welchen DMARC-Wert soll ich als Anfänger einstellen?

Starten Sie mit p=none (Beobachtungsmodus). Nach 2 bis 4 Wochen wechseln Sie auf p=quarantine (Spam-Ordner). Den strengsten Wert p=reject setzen Sie erst, wenn alle legitimen Absender korrekt authentifiziert sind.

Website-Reparatur

SPF, DKIM und DMARC einrichten: Damit Ihre E-Mails nicht im Spam landen

Ihre WordPress E-Mails kommen nicht an? SMTP läuft, aber Nachrichten landen trotzdem im Spam? Dann fehlt die E-Mail-Authentifizierung. SPF, DKIM und DMARC sind DNS-Einträge, die dem Empfänger beweisen, dass Ihre E-Mails von Ihrer Domain stammen. In dieser Anleitung richten Sie alle drei Protokolle ein.

Veröffentlicht am 13. Februar 2026 Website-Reparatur

Warum SPF, DKIM und DMARC für Ihre Website wichtig sind

Kontaktformular-Nachrichten kommen nicht an? Gmail, Outlook und Yahoo prüfen bei jeder Nachricht, ob der Absender berechtigt ist. Ohne Authentifizierung landen Ihre E-Mails im Spam. In meinem Artikel WordPress E-Mail kommt nicht an ging es um SMTP. Dieser Artikel baut darauf auf: SPF, DKIM und DMARC sorgen dafür, dass Ihre E-Mails ankommen.

💡 Gut zu wissen: Google, Yahoo und Microsoft

Seit Februar 2024 verlangen Google und Yahoo von allen E-Mail-Absendern eine SPF- oder DKIM-Authentifizierung. Seit Mai 2025 verlangt auch Microsoft Outlook (outlook.com, hotmail.com, live.com) SPF, DKIM und DMARC von Massenversendern (über 5.000 E-Mails täglich). Nicht konforme Nachrichten werden zunächst in den Junk-Ordner verschoben. Aber auch kleine Website-Betreiber profitieren: Ohne Authentifizierung landen Ihre E-Mails zunehmend im Spam oder werden komplett abgelehnt.

Was sind SPF, DKIM und DMARC? Einfach erklärt

Alle drei Protokolle sind TXT-Einträge in Ihren DNS-Einstellungen. Sie tragen bestimmte Werte in die DNS-Verwaltung Ihres Hosting-Anbieters ein. Keine Software, kein Code.

SPF (Sender Policy Framework) funktioniert wie eine Gästeliste: Sie legen fest, welche Mailserver E-Mails im Namen Ihrer Domain versenden dürfen. Steht der Absender nicht auf der Liste, wird die E-Mail als verdächtig eingestuft.

DKIM (DomainKeys Identified Mail) ist eine digitale Unterschrift. Ihr Mailserver signiert jede E-Mail kryptografisch. Der Empfänger prüft die Signatur gegen einen öffentlichen Schlüssel in Ihren DNS-Einträgen — so wird sichergestellt, dass die E-Mail echt und unverändert ist.

DMARC ist das Regelwerk, das SPF und DKIM zusammenführt. Es legt fest, was mit E-Mails passieren soll, die die Prüfung nicht bestehen: durchlassen, in den Spam verschieben oder ablehnen.

SPF DKIM DMARC einrichten - Drei Sicherheitsebenen der E-Mail-Authentifizierung einfach erklärt — SPF, DKIM und DMARC bilden zusammen drei Schutzebenen für vertrauenswürdige E-Mail-Zustellung

SPF-Record einrichten: Schritt für Schritt

Öffnen Sie die DNS-Verwaltung Ihrer Domain bei Ihrem Hosting-Anbieter und erstellen Sie einen neuen TXT-Eintrag. Im Feld "Name" tragen Sie @ ein oder lassen es leer. Hier die SPF-Werte für die größten deutschen Hoster:

All-Inkl: v=spf1 mx a ~all (KAS → Tools → DNS-Einstellungen). Ich empfehle ~all (Softfail) statt ?all (Neutral) für besseren Schutz.
IONOS (1&1): v=spf1 include:_spf.perfora.net include:_spf.kundenserver.de ~all (Domains & SSL → DNS)
Strato: v=spf1 include:_spf.strato.com ~all (Domains → DNS-Verwaltung)
Host Europe: v=spf1 include:spf.server-he.de ~all (Domain-Administration → DNS)

Wichtig: Pro Domain darf nur ein SPF-Eintrag existieren. Bearbeiten Sie einen vorhandenen Eintrag, statt einen zweiten anzulegen. Nutzen Sie zusätzliche Dienste wie Google Workspace, fügen Sie deren include-Werte hinzu: v=spf1 include:_spf.perfora.net include:_spf.kundenserver.de include:_spf.google.com ~all

Der Wert am Ende des SPF-Records bestimmt, wie mit E-Mails von nicht gelisteten Servern umgegangen wird: ~all (Softfail) markiert sie als verdächtig, -all (Hardfail) lehnt sie ab, ?all (Neutral) trifft keine Aussage. Für die meisten Website-Betreiber ist ~all (Softfail) die beste Wahl.

DNS-Einstellungen beim Hosting-Anbieter - SPF und DKIM Record im Kundenbereich einrichten — Die DNS-Einstellungen finden Sie im Kundenbereich Ihres Hosting-Anbieters unter der Domain-Verwaltung

DKIM aktivieren: So geht es bei Ihrem Hoster

Bei vielen deutschen Hostern ist DKIM bereits aktiv. Sie müssen keinen Schlüssel selbst erzeugen.

All-Inkl: KAS → Domain → "Bearbeiten" → DKIM Signierung auf "aktiviert" setzen. Der DNS-Eintrag wird automatisch erstellt.
IONOS (1&1): Automatisch aktiv bei IONOS-Nameservern (Standard). Keine Aktion nötig.
Strato: Standardmäßig aktiviert. Strato signiert alle E-Mails automatisch. Voraussetzung: Strato-Nameserver.
Host Europe: In der Domain-Administration prüfen, ob DKIM-Einträge vorhanden sind. Falls nicht: Host Europe Support kontaktieren.

Falls Sie unsicher sind, fragen Sie Ihren Hoster: "Ist DKIM für meine Domain aktiv?"

DMARC-Eintrag hinzufügen

DMARC baut auf SPF und DKIM auf — richten Sie es erst danach ein. Erstellen Sie in der DNS-Verwaltung einen TXT-Eintrag mit dem Namen _dmarc und folgendem Wert:

v=DMARC1; p=none; rua=mailto:dmarc@ihre-domain.de

Ersetzen Sie ihre-domain.de durch Ihre tatsächliche Domain. Die Bestandteile:

v=DMARC1 — Kennzeichnet den Eintrag als DMARC-Record
p=none — Beobachtungsmodus: E-Mails werden zugestellt, aber Sie erhalten Berichte
rua=mailto:... — Empfängeradresse für aggregierte DMARC-Berichte

Ich empfehle p=none als Einstieg. Nach einigen Wochen wechseln Sie auf p=quarantine oder p=reject.

                    ✓
                    Checkliste: Alle drei Protokolle eingerichtet?
                
                    SPF-Record als TXT-Eintrag im DNS vorhanden?
DKIM beim Hoster aktiviert und DNS-Eintrag gesetzt?
DMARC-Eintrag unter _dmarc.ihre-domain.de erstellt?
Mindestens 4 Stunden gewartet (DNS-Propagierung)?
Test mit MXToolbox oder mail-tester.com durchgeführt?

                

⚠️ Wichtig: Reihenfolge beachten

Richten Sie die Protokolle in dieser Reihenfolge ein: Erst SPF, dann DKIM, zuletzt DMARC. DMARC baut auf den beiden anderen auf. Warten Sie nach SPF und DKIM mindestens 48 Stunden, bevor Sie DMARC aktivieren. Ändern Sie DNS-Einträge nur, wenn Sie wissen, was Sie tun. Im Zweifel wenden Sie sich an Ihren Hosting-Support.

E-Mail-Authentifizierung prüfen und testen

Nachdem Sie SPF, DKIM und DMARC eingerichtet haben, prüfen Sie die Konfiguration. Warten Sie nach DNS-Änderungen mindestens 1 bis 4 Stunden (vollständige Propagierung: bis zu 48 Stunden). Diese kostenlosen Tools helfen bei der Prüfung:

MXToolbox — Domain eingeben und SPF, DKIM oder DMARC einzeln prüfen.
mail-tester.com — E-Mail an die Testadresse senden, Gesamtbewertung erhalten (Ziel: mindestens 8/10).
Google Admin Toolbox — MX-, SPF- und DKIM-Check. Hilfreich bei Gmail-Problemen.

Praxis-Tipp: Senden Sie eine Test-E-Mail an Ihre Gmail-Adresse, klicken Sie auf die drei Punkte und "Original anzeigen". Dort sehen Sie, ob SPF, DKIM und DMARC PASS anzeigen.

E-Mail-Authentifizierung testen - SPF DKIM DMARC Ergebnis prüfen mit Online-Tools — Mit kostenlosen Online-Tools wie MXToolbox prüfen Sie in Sekunden, ob Ihre E-Mail-Authentifizierung korrekt eingerichtet ist

Häufig gestellte Fragen

Ja. Seit Februar 2024 verlangen Google und Yahoo eine SPF- oder DKIM-Authentifizierung von allen Absendern. Seit Mai 2025 verlangt auch Microsoft Outlook diese Authentifizierung. Ohne korrekte Einrichtung landen Ihre E-Mails zunehmend im Spam — gerade bei Kontaktformularen und Rechnungen ist das geschäftskritisch.

In der Regel 1 bis 4 Stunden, in Einzelfällen bis zu 48 Stunden. Testen Sie frühestens nach 4 Stunden mit MXToolbox oder mail-tester.com.

Wenn Sie einen TXT-Record in der DNS-Verwaltung Ihres Hosters anlegen können, schaffen Sie die Einrichtung selbst. Die gesamte Konfiguration dauert 20 bis 30 Minuten. Falls Sie sich unsicher fühlen, hilft Ihnen der Hosting-Support oder ein Webentwickler.

SPF allein verbessert Ihre Zustellrate bereits. Ohne DKIM fehlt jedoch die Bestätigung, dass Ihre E-Mails unterwegs nicht verändert wurden. Gmail und Co. bewerten E-Mails mit beiden Protokollen deutlich besser. Für das bestmögliche Ergebnis richten Sie alle drei ein.

Starten Sie mit p=none (Beobachtungsmodus). Nach 2 bis 4 Wochen wechseln Sie auf p=quarantine (Spam-Ordner). Den strengsten Wert p=reject setzen Sie erst, wenn alle legitimen Absender korrekt authentifiziert sind.

Öffnen Sie mxtoolbox.com/spf.aspx und geben Sie Ihre Domain ein. Das Tool zeigt sofort, ob ein gültiger SPF-Record existiert, ob Syntaxfehler vorliegen und ob die maximale Anzahl von 10 DNS-Lookups überschritten wird.

SPF und DKIM sind nicht die einzigen Faktoren. Weitere Ursachen: Ihre Domain steht auf einer Blacklist, der E-Mail-Inhalt löst Spam-Filter aus oder Ihre IP-Adresse hat eine schlechte Reputation. Prüfen Sie alle Faktoren auf einmal mit mail-tester.com.

Ja. DMARC-Reports enthalten IP-Adressen und technische Informationen über E-Mail-Absender. Die Verarbeitung ist jedoch für IT-Sicherheitszwecke (Art. 6 Abs. 1 lit. f DSGVO) rechtmäßig. Speichern Sie die Reports nur so lange wie nötig und geben Sie sie nicht an Dritte weiter.

Dieser Artikel dient der allgemeinen Information und ersetzt keine individuelle technische Beratung. DNS-Änderungen erfolgen auf eigenes Risiko. Im Zweifel wenden Sie sich an den Support Ihres Hosting-Anbieters.

⚡ Weiterführende Artikel

📧

DNS-Einstellungen sind nicht Ihr Ding?

Ich richte SPF, DKIM und DMARC für Sie ein — damit Ihre E-Mails zuverlässig ankommen. Sie schildern mir Ihre Situation, ich kümmere mich um die DNS-Konfiguration. Schnell, sicher und zum Festpreis.

Jetzt anfragen → Mehr zum Service →