Wenn du E-Mails versendest, willst du natürlich, dass diese am richtigen Ort ankommen und nicht im Spam-Ordner landen. Umgekehrt bist du aber auch dankbar, dass es Kontrollmechanismen gibt, die Spam-Emails von dir fern halten.
Was du wissen musst über die «Mechanismen» SPF, DKIM und DMARC – und welche Schritte du tun musst, um deine E-Mails vertrauenswürdiger zu machen und entsprechend besser zustellbar.
2024: Wichtige Neuerungen bei Gmail & Co.
Seit Februar 2024 sind strengere Richtlinien in Kraft bei Gmail, Yahoo Mail etc. Das ist eine gute Sache, erfordert aber von dir Anpassungen, damit deine E-Mails nicht direkt in den Spam-Ordner gehen.
Können SPF, DKIM und DMARC meine E-Mail-Zustellbarkeit beeinflussen?
Die korrekte Einrichtung von SPF, DKIM und DMARC kann die Zustellbarkeit deiner E-Mails erheblich verbessern, da sie dazu beitragen, dass deine E-Mails als legitim eingestuft und nicht als Spam markiert werden. Allerdings kann eine falsche Konfiguration das Gegenteil bewirken und deine E-Mails könnten häufiger in Spam-Ordnern landen. Also unbedingt testen – mehr dazu weiter unten.
Was geschieht, wenn meine E-Mails die Tests nicht bestehen?
Wenn E-Mails die SPF-, DKIM- oder DMARC-Überprüfungen nicht bestehen, werden sie häufig von E-Mail-Servern abgelehnt oder direkt in den Spam-Ordner verschoben. Dies kann die Sichtbarkeit und Glaubwürdigkeit deiner Kommunikation beeinträchtigen.
Konkret sehen Kunden deine Rechnungen nicht oder deine Newsletter landen immer direkt im Spam-Ordner. Deine Sichtbarkeit sinkt also.
Was ist SPF, DKIM und DMARC?
Ich erkläre es in wenigen Minuten im Video.
Was ist SPF?
Dein SPF-Eintrag validiert E-Mails aufgrund des sendenden Servers. In deinem DNS-Eintrag gibst du an, welche Server E-Mails in deinem Namen versenden dürfen. Beispielsweise Google-Mail, Helpscout, dein Rechnungstool oder dein E-Mail-Marketing-Tool.
Was ist DKIM?
DKIM validiert deine E-Mails aufgrund eines öffentlichen Schlüssels. Die E-Mail wird mit einer Digitalen Signatur versehen. In DNS-Einträgen gibst du die öffentlichen Schlüssel an. Für jedes Tool, über das du E-Mails versendest (Newsletter-Tool, Rechnungstool etc) brauchst du DKIM-Einträge.
Was ist DMARC?
DMARC bestimmt, wie mit einer E-Mail umgegangen werden soll, die die Anforderungen nicht erfüllt. Zum Beispiel sollen solche E-Mails direkt im Spam landen oder abgelehnt werden. In einem DNS-Eintrag legst du fest, was mit E-Mails geschehen soll, die die Anforderungen nicht erfüllen. Du kannst dir zu Testzwecken auch Berichte zusenden lassen, um zu sehen, ob alles richtig konfiguriert ist.
Sind SPF, DKIM und DMARC für kleine Unternehmen relevant?
Ja, SPF, DKIM und DMARC sind auch für kleine Unternehmen und persönliche E-Mail-Domains wichtig. Sie helfen, die Identität des Absenders zu schützen und die Glaubwürdigkeit der gesendeten E-Mails zu erhöhen, was besonders wichtig ist, um das Vertrauen der Empfänger zu gewinnen und die eigene Marke zu schützen.
Wie funktionieren SPF, DKIM und DMARC zusammen, um E-Mail-Sicherheit zu gewährleisten?
SPF, DKIM und DMARC ergänzen sich gegenseitig, um ein umfassendes Sicherheitsnetz für E-Mail-Authentifizierung zu bieten. SPF überprüft die IP-Adresse des Senders, DKIM bietet eine digitale Signatur zur Überprüfung der Nachrichtenintegrität und DMARC nutzt die Ergebnisse beider, um festzulegen, wie mit E-Mails umgegangen werden soll, die die Überprüfungen nicht bestehen.
Zusammen erhöhen sie die Sicherheit und Integrität der E-Mail-Kommunikation erheblich. Was uns letztendlich allen dient. Gerade da Gmail und andere grosse E-Mail-Anbieter stärker auf solche Validationen bestehen, wir E-Mail als Ganzes “sauberer” und Spam schwieriger.
Wie richtet man SPF ein?
Überlege dir erstmal, welche Arten von E-Mails du oder dein Unternehmen versendest. Mach eine Liste.
Da sind zum Beispiel Tools darauf wie:
- E-Mail-Marketing-Tool (Drip, GetResponse, HubSpot, Quentn, KlickTipp, MailChimp etc)
- Kundendienst-Tools (HelpScout, ZenDesk etc)
- Rechnungstools (bexio, Billomat etc.)
- Deine Website
- Deine normalen E-Mails (dein Mailserver, Gmail etc)
Erstelle einen DNS-Eintrag von Typ TXT, in dem du alle diese Tools auflistest. Dazu musst du genau wissen, über welche Server sie E-Mails versenden. Das heisst: oft musst du «SPF und Toolname» googeln oder Kontakt mit dem Support des Tools aufnehmen.
Beispiel: unser SPF-Eintrag
Das Beispiel ist bei CloudFlare, wo wir unsere DNS-Einträge haben. Bei anderen Anbietern wird das leicht anders aussehen. Grundformat des Eintrags ist immer gleich.
Wir haben also einen TXT-Record mit folgendem Inhalt:
v=spf1 include:_spf.google.com include:sendgrid.net include:helpscoutemail.com ~allMehr über SPF bei Wikipedia.
Wie richtet man DKIM ein?
DKIM ist auch recht einfach.
Dazu braucht es pro Tool 1-2 DNS-Einträge. Auch hier: du musst googeln nach «Toolname und DKIM» um in den Bereich zu kommen, wo du diese Keys (Schlüssel) erstellen kannst für DKIM. Jedes professionelle Tool, das in deinem Namen E-Mails versendet muss heute diese Möglichkeit anbieten.
Beispiel: unser DKIM-Eintrag für Google (Gmail, G Suite)
Von Helpscout und Sendgrid haben wir je 2 DNS-Einträge gekriegt, die wir erstellen mussten.
Beispiel: unsere DKIM-Einträge für Helpscout
Diese Infos kriegst du meist recht einfach bei deinem Tool-Anbieter im Support-Bereich, wenn du googelst. In der Regel liefern sie gleich eine Anleitung mit, damit du das sehr einfach einrichten kannst.
Mehr über DKIM bei Wikipedia.
Wie richtet man DMARC ein?
Zum Schluss – wenn SPF und DKIM eingerichtet sind, können wir DMARC einrichten. Auch das ist schlussendlich ein DNS-Eintrag.
In deinem DKIM-Eintrag gibst du an, was mit E-Mails passieren soll, die den Anforderungen von SPF und DKIM nicht genügen.
Im obigen Beispiel haben wir p=none drin (siehe Bild). Hat man das so eingestellt, werden noch keine E-Mails in den Spam-Ordner gesandt oder abgelehnt. Wir sind noch am Testen.
Wenn die Tests fertig sind, können wir p=quarantine (als Spam markieren) oder p=reject (ablehnen) setzen. Wir reden von «bösen E-Mails».
Tipp: lasse es eine Weile lang mit p=none laufen und deiner E-Mailadresse hinter mailto:. So kriegst du laufend Reports über die Tests und kannst darin sehen, ob nicht fälschlicherweise (weil du ein Tool vergessen hast) E-Mails den Anforderungen nicht genügen.
Wenn du sicher bist, dass alles richtig läuft, setze p=quarantine oder p=reject. Weitere Infos zu DMARC findest du bei Wikipedia.
SPF, DKIM und DMARC bei gängigen Tools
| G-Mail, G Suite | SPF | DKIM | DMARC | |
| Drip | SPF | DKIM | DMARC | Versand via Sendgrid |
| Helpscout | SPF | DKIM | DMARC | |
| Quentn | SPF | DKIM | ||
| Klick-Tipp | SPF | DKIM? |
Wie überprüfe ich, ob meine SPF-, DKIM- und DMARC-Einstellungen korrekt sind?
Um sicherzustellen, dass SPF, DKIM und DMARC korrekt eingerichtet sind, kannst du Online-Tools wie Mail-Tester (siehe unten), MXToolbox oder Google Postmaster Tools verwenden. Diese Tools analysieren deine E-Mail-Header und DNS-Einträge und melden eventuelle Konfigurationsfehler oder Probleme, die die E-Mail-Zustellbarkeit beeinträchtigen könnten…
E-Mail-Vertrauenswürdigkeit mit Mail-Tester testen
Wie vertrauenswürdig ist dein E-Mail-Server? Mit folgendem Tool kannst du die «Spammyness» deiner E-Mails testen: https://www.mail-tester.com/ Mit der Gratisversion von Mail-Tester testest du 3 E-Mails pro Tag kostenlos.
