How Do I Create a DMARC Record?

You can copy and paste a DMARC record and add it to your domain's DNS zone. There's a DMARC record example in our guide on how to create a DMARC record and add it to your domain.

Is DMARC a TXT Record?

Yes, DMARC is normally added to your DNS as a TXT record.

Does DMARC Require DKIM?

No, DMARC does not require DKIM. DMARC will work without a DKIM record. However, if your provider recommends that you create a DKIM record, you should. It will help DMARC to isolate spam emails and let legitimate ones through.

What does the "550-5.7.26" Gmail error mean?

The 550-5.7.26 error means Gmail rejected your email because the sending domain isn't authenticated. Gmail now requires all senders to authenticate with SPF or DKIM. To fix it, add a valid SPF record and a DKIM signature for your sending domain, then confirm both pass before resending. The first troubleshooting item above walks through the full diagnostic.

What does it mean when Gmail "Show original" shows SPF, DKIM, and DMARC PASS?

It means your email was properly authenticated. SPF PASS confirms the email came from an authorized server. DKIM PASS confirms the message wasn't altered in transit. DMARC PASS confirms the authenticated domain aligns with your visible From: address. All three passing is the result you want. It maximizes inbox placement.

What's the best tool to check DMARC, SPF, and DKIM?

The fastest way is a checker that tests all three at once, like the free one on this page. For ongoing monitoring, Google Postmaster Tools shows how Gmail evaluates your authentication, and WP Mail SMTP's built-in Domain Checker verifies all three records directly inside WordPress.

Was sind DMARC, SPF und DKIM? [2026 Erklärer + Einrichtungsleitfaden]

Q: Was ist der Unterschied zwischen SPF, DKIM und DMARC?

SPF says who can send, DKIM proves emails are genuine and unaltered, and DMARC enforces what happens when either check fails. SPF authorizes sending servers, DKIM adds a tamper-proof cryptographic signature, and DMARC sets the policy receivers follow when SPF or DKIM fails alignment. You need all three because each covers a gap the others leave open. SPF without DKIM breaks on forwarded mail. DKIM without SPF lets unauthorized servers claim your domain. Both without DMARC means receiving servers have no enforcement instruction when something fails.

Q: Benötigen Sie alle drei, SPF, DKIM und DMARC?

Yes. Since February 2024, Gmail and Yahoo require all three for senders of 5,000+ emails per day, and Gmail began rejecting non-compliant mail outright in November 2025. Even below that threshold, missing any of the three reduces inbox placement. SPF and DKIM each fail in different situations (SPF breaks on forwarding, DKIM breaks if a relay modifies the message), so a single-protocol setup breaks unpredictably.

Q: Kann man DMARC ohne SPF oder DKIM verwenden?

Technically DMARC passes if either SPF or DKIM passes and aligns, so you can run DMARC with only one. In practice you should set up both, because each fails in scenarios the other survives. Running DMARC with only SPF means forwarded emails fail. Running it with only DKIM means messages modified in transit fail. Both together give reliable authentication.

Q: Was bedeuten p=none, p=quarantine und p=reject?

These are DMARC enforcement levels, in order of strictness. p=none is monitoring mode. It reports failures but blocks nothing, and it's where every domain should start. p=quarantine sends failing emails to the spam folder. p=reject blocks failing emails entirely. Move from none to quarantine to reject gradually, only after your reports confirm no legitimate mail is failing.

Q: In welcher Reihenfolge sollten Sie SPF, DKIM und DMARC einrichten?

Set up SPF first, then DKIM, then DMARC. DMARC reads the results of SPF and DKIM, so adding it first causes every email to fail authentication immediately. Add SPF, wait for it to propagate, add DKIM, verify both pass in a Gmail Show original check, then add DMARC starting at p=none.

Q: Wie überprüfe ich, ob SPF, DKIM und DMARC korrekt eingerichtet sind?

Use a checker tool (like the free one at the top of this page) that looks up all three records for your domain and reports their status. You can also verify manually. Send an email to a Gmail address, open it, click the three-dot menu, choose Show original, and confirm SPF, DKIM, and DMARC each show PASS.

Q: Was ist DMARC-Ausrichtung?

Alignment is the check that makes DMARC meaningful. It confirms the domain that passed SPF or DKIM matches the domain in the email's visible From: address. SPF alignment requires the return-path domain to match the From: domain. DKIM alignment requires the signature's d= tag to match it. The most common cause of DMARC failure is misalignment, not an outright SPF or DKIM failure.

Facebook LinkedIn Twittern

Zusammenfassen:ChatGPT Perplexity

Markdown anzeigen

E-Mail hat ein Vertrauensproblem. Es gibt keine eingebaute Methode, um zu beweisen, dass eine Nachricht tatsächlich von der Domain stammt, die sie vorgibt zu sein. Deshalb kann jemand mit nur wenigen Minuten Einrichtungszeit eine E-Mail senden, die aussieht, als käme sie von Ihrem Chef, Ihrer Bank oder Ihrem Unternehmen.

SPF, DKIM und DMARC sind die drei DNS-Einträge, die dieses Problem beheben. Zusammen teilen sie empfangenden Mailservern mit, welche Server für Ihre Domain E-Mails senden dürfen, ob jede Nachricht während der Übertragung manipuliert wurde und was zu tun ist, wenn eine dieser Prüfungen fehlschlägt.

Diese Anleitung erklärt, was jede einzelne Funktion tut, wie sie zusammenarbeiten, in welcher Reihenfolge sie eingerichtet werden und wie man sie testet. Ab 2026 sind alle drei für jedes Unternehmen erforderlich, das E-Mails versendet. Gmail, Yahoo und Microsoft setzen dies direkt durch, und wenn Sie eine davon überspringen, wird Ihre E-Mail im Posteingang nicht richtig platziert.

Schnelle Antworten

Was sind SPF, DKIM und DMARC? Drei DNS-Einträge, die zusammenarbeiten, um zu überprüfen, ob Ihre E-Mails wirklich von Ihnen stammen. SPF autorisiert, welche Server für Ihre Domain senden dürfen, DKIM fügt eine kryptografische Signatur hinzu, die beweist, dass die Nachricht nicht verändert wurde, und DMARC teilt den Empfängern mit, was zu tun ist, wenn SPF oder DKIM fehlschlägt.
Benötigen Sie alle drei? Ja. Jede einzelne behebt, was die anderen übersehen, und seit Februar 2024 benötigen Gmail und Yahoo sie für Absender von 5.000+ E-Mails pro Tag.
In welcher Reihenfolge richten Sie sie ein? Zuerst SPF, dann DKIM, dann DMARC, mit Verifizierung zwischen jedem Schritt.
Überprüfen Sie Ihre jetzt: Verwenden Sie den kostenlosen Checker auf dieser Seite, um alle drei Einträge für Ihre Domain zu testen.

SPF, DKIM und DMARC: E-Mail-Authentifizierung erklärt

Die drei Einträge sind unabhängige Prüfungen, die zu einer einzigen Richtlinie kombiniert werden. Sobald sie vorhanden sind, müssen Sie nicht mehr raten, warum eine Passwortzurücksetzung nie angekommen ist oder warum eine Transaktions-E-Mail im Spam gelandet ist.

Was sind SPF, DKIM und DMARC?
Was ist SPF?
Was ist DKIM?
Was ist DMARC?
Warum Sie alle drei benötigen
Sind SPF, DKIM und DMARC im Jahr 2026 erforderlich?
Die Reihenfolge der Einrichtung, die wichtig ist
Wo SPF-, DKIM- und DMARC-Einträge hinzugefügt werden
Wie man SPF, DKIM und DMARC testet
Fehlerbehebung bei häufigen Fehlern
WordPress-spezifische Hinweise
FAQs zu SPF, DKIM und DMARC

Was sind SPF, DKIM und DMARC?

SPF, DKIM und DMARC sind drei DNS-Einträge, die die von Ihrer Domain kommenden E-Mails authentifizieren.

SPF (Sender Policy Framework) listet jeden Server auf, der berechtigt ist, E-Mails für Ihre Domain zu senden.
DKIM (DomainKeys Identified Mail) fügt jeder Nachricht eine kryptografische Signatur hinzu, damit Empfänger bestätigen können, dass der Inhalt während der Übertragung nicht verändert wurde.
DMARC (Domain-based Message Authentication, Reporting, and Conformance) teilt den Empfängern mit, was zu tun ist, wenn SPF oder DKIM fehlschlägt, und verknüpft beide Prüfungen mit der sichtbaren From:-Adresse.

Jeder behebt eine andere Lücke. SPF verhindert, dass nicht autorisierte Server Ihre Domain beanspruchen, DKIM verhindert, dass jemand Ihre Nachrichten während des Fluges modifiziert, und DMARC verhindert, dass Angreifer SPF oder DKIM mit einer anderen Domain bestehen, während sie Ihre in der sichtbaren From:-Zeile fälschen.

Schneller Vergleich

	SPF	DKIM	DMARC
Was er tut	Listet Server auf, die E-Mails für Ihre Domain senden dürfen	Signiert jede E-Mail, damit Empfänger bestätigen können, dass sie nicht verändert wurde	Teilt Empfängern mit, was zu tun ist, wenn SPF oder DKIM fehlschlägt
Funktionsweise	Empfänger vergleicht die sendende IP mit einer Liste in Ihrem DNS	Empfänger überprüft eine kryptografische Signatur anhand Ihres öffentlichen Schlüssels	Empfänger wendet Ihre Richtlinie (Zustellen, Spam oder Ablehnen) auf fehlerhafte E-Mails an
Was es nicht tut	Überprüft die sichtbare `From:`-Adresse nicht, bricht bei Weiterleitung	Gibt nicht an, welche Server senden dürfen, kann fehlschlagen, wenn Relays E-Mails ändern	Authentifiziert nichts allein, verlässt sich auf SPF und DKIM
Wo es im DNS lebt	TXT-Eintrag an Ihrer Apex-Domain	TXT-Eintrag unter `[selector]._domainkey.yourdomain.com`	TXT-Eintrag unter `_dmarc.yourdomain.com`
Erforderlich im Jahr 2026?	Ja	Ja	Ja

Wie SPF, DKIM und DMARC zusammenarbeiten

Wenn eine E-Mail bei Gmail, Outlook oder einem anderen Posteingang ankommt, finden nacheinander drei Prüfungen statt. Der Empfänger ruft Ihren SPF-Eintrag ab und vergleicht die sendende IP mit der Liste. Der Empfänger prüft die DKIM-Signatur anhand des öffentlichen Schlüssels in Ihrem DNS. Dann liest der Empfänger Ihre DMARC-Richtlinie und entscheidet, was mit dem Ergebnis zu tun ist.

Was ist SPF?

SPF ist ein TXT-Eintrag in Ihrem DNS, der jeden Server und Dienst auflistet, der autorisiert ist, E-Mails im Namen Ihrer Domain zu senden. Es ist die erste Verteidigungslinie gegen Domain-Spoofing.

Ein einfacher SPF-Eintrag sieht so aus:

v=spf1 include:sendlayer.net ~all

Die Teile:

v=spf1 erklärt, dass dies ein SPF-Eintrag ist.
include:sendlayer.net autorisiert einen sendenden Dienst, hier SendLayer. Jedes Sendewerkzeug erhält seine eigene include:-Direktive.
~all ist die Catch-all-Regel für alles, was nicht übereinstimmt. Die Tilde bedeutet „Soft Fail“, was die E-Mail zulässt, aber markiert. Verwenden Sie -all für „Hard Fail“ (ablehnen), sobald Sie sicher sind, dass Ihr Eintrag jeden legitimen Absender abdeckt.

Wenn eine E-Mail ankommt, nimmt der empfangende Server die IP, von der sie kam, und prüft, ob diese IP von Ihrem SPF-Eintrag zugelassen wird. Wenn ja, besteht SPF. Wenn nicht, schlägt SPF fehl.

Was SPF nicht kann

SPF hat zwei bekannte Einschränkungen. Es funktioniert nicht bei E-Mail-Weiterleitungen. Wenn jemand Ihre E-Mail weiterleitet, verwendet der weiterleitende Server seine eigene IP, die nicht in Ihrem SPF-Eintrag enthalten ist, sodass SPF fehlschlägt, obwohl das Original legitim war. Es prüft auch nur den Rückgabepfad, nicht die sichtbare Von:-Adresse. Ein Angreifer kann SPF mit einer Domain bestehen, die er kontrolliert, während die Von:-Zeile wie Ihre aussieht. Deshalb ist DMARC-Alignment wichtig (mehr dazu unten).

Das 10-DNS-Lookup-Limit

SPF-Einträge sind auf insgesamt 10 DNS-Lookups begrenzt (RFC 7208). Jede include:-, a-, mx-, ptr- und exists:-Direktive zählt für das Limit. Fügen Sie zu viele sendende Dienste hinzu und Sie stoßen auf einen PERMERROR, bei dem jede Authentifizierung stillschweigend fehlschlägt.

Die meisten Domains erreichen dieses Limit, wenn sie mehrere Marketing-Tools, CRMs, Transaktionsdienste und Helpdesks kombinieren. Wenn Sie sich dem Limit nähern, folgen Sie unserer Anleitung, wie Sie mehrere SPF-Einträge zusammenführen zu einem einzigen, abgeflachten Eintrag.

Und beachten Sie, Sie können nur einen SPF-Eintrag pro Domain haben. Wenn Sie versuchen, einen zweiten hinzuzufügen, besagt RFC 7208, dass Empfänger das gesamte Setup als ungültig behandeln müssen, mit der gleichen Auswirkung wie gar kein SPF.

Was ist DKIM?

DKIM fügt jeder von Ihnen gesendeten E-Mail eine kryptografische Signatur hinzu. Die Signatur wird mit einem privaten Schlüssel generiert, der von Ihrem sendenden Dienst gehalten wird, und Ihr DNS enthält den passenden öffentlichen Schlüssel. Empfangende Server vergleichen die beiden, um zu bestätigen, dass die E-Mail tatsächlich von Ihrer Domain stammt und dass nichts darin während der Übertragung geändert wurde.

Ein DKIM-Eintrag in DNS sieht so aus:

selector1._domainkey.example.com.    IN    TXT    "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQ..."

Der Selektor („selector1“ in diesem Beispiel) teilt empfangenden Servern mit, welchen DKIM-Schlüssel sie nachschlagen sollen. Die meisten Anbieter rotieren Schlüssel periodisch und verwenden unterschiedliche Selektoren für verschiedene Sendeströme, sodass der Selektorname Teil des Speicherorts des Eintrags ist.

Jede von Ihnen gesendete E-Mail enthält einen DKIM-Signature-Header, der ungefähr so aussieht:

DKIM-Signature: v=1; a=rsa-sha256; d=example.com; s=selector1; h=from:to:subject:date; bh=...; b=...

Das d=-Tag ist die Domain, die die Signatur beansprucht. Das s=-Tag ist der Selektor. Das ist der DNS-Eintrag, den Empfänger nachschlagen werden.

Was DKIM nicht kann

DKIM ist leistungsstark, hat aber Grenzen. Es sagt nicht, welche Server für Ihre Domain senden dürfen. Das ist die Aufgabe von SPF. Ein Angreifer kann Ihre Domain ohne DKIM-Signierung spoofen, und DKIM allein hat keine Meinung dazu. Es kann auch fehlschlagen, wenn ein Relay-Server den Nachrichteninhalt ändert, zum Beispiel eine Mailingliste, die einen Footer zu ausgehenden E-Mails hinzufügt. Und DKIM hat keine eingebaute Durchsetzung. Ein empfangender Server kann eine fehlgeschlagene Signatur ignorieren, es sei denn, DMARC weist ihn an, dies nicht zu tun.

DKIM-Schlüssellänge

Moderne DKIM-Schlüssel sind 2048 Bit lang, was eine öffentliche Schlüsselzeichenkette ergibt, die länger als 255 Zeichen ist, die maximale Länge eines einzelnen TXT-Eintrags. Die meisten DNS-Anbieter handhaben dies automatisch, indem sie den Wert auf mehrere Anführungszeichen aufteilen, aber einige tun dies nicht. Wenn Ihr DKIM-Eintrag nicht gespeichert werden kann oder nicht validiert wird, lesen Sie unsere Anleitung, wie Sie einen DKIM-Eintrag aufteilen.

Was ist DMARC?

DMARC verknüpft SPF und DKIM und teilt empfangenden Servern mit, was zu tun ist, wenn die Authentifizierung fehlschlägt. Es ist das einzige der drei, das Berichte an Sie zurückgibt.

Ein typischer DMARC-Eintrag sieht so aus:

_dmarc.example.com.    IN    TXT    "v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=100; aspf=r; adkim=r"

Beispiel für einen gültigen DMARC-Eintrag

Jedes Tag hat eine Aufgabe:

v=DMARC1 deklariert, dass dies ein DMARC-Eintrag ist.
p= ist die Richtlinie, eine von none, quarantine oder reject.
rua= ist der Ort, an den aggregierte Berichte gesendet werden.
pct= ist der Prozentsatz der E-Mails, auf die die Richtlinie angewendet wird (nützlich für schrittweise Rollouts).
aspf= und adkim= steuern den Ausrichtungsmodus, entspannt (r) oder streng (s).

Richtlinienfortschritt, von none zu quarantine zu reject

DMARC-Durchsetzung ist eine Reise, kein Schalter. Die drei Richtlinien sind Etappen, und Sie schreiten durch sie, während Ihr Vertrauen wächst.

p=none ist der Überwachungsmodus. Fehlgeschlagene E-Mails werden normal zugestellt, aber Sie erhalten Berichte darüber. Beginnen Sie immer hier.
p=quarantine sendet fehlgeschlagene E-Mails in den Spam-Ordner des Empfängers. Wechseln Sie hierher nach 2 bis 4 Wochen bei p=none, ohne dass legitime E-Mails fehlschlagen.
p=reject lehnt fehlschlagende E-Mails sofort ab (ein 550 SMTP-Fehler). Gehen Sie nach weiteren 2 bis 4 Wochen zu p=quarantine.

Direkt zu p=reject zu springen, ist die häufigste Ursache für DMARC-bedingte Ausfälle. Sie werden legitime Versandquellen entdecken, die Sie vergessen hatten (Ihr CRM, Ihr Marketing-Tool, Ihr Helpdesk), erst nachdem sie abgelehnt wurden. Beginnen Sie immer mit p=none, lesen Sie die Berichte und eskalieren Sie dann.

DMARC-Aggregatberichte

Wenn Sie rua= in Ihrem DMARC-Eintrag festlegen, erhalten Sie täglich XML-Berichte von jedem Mailprovider, der die E-Mails Ihrer Domain verarbeitet, einschließlich Google, Microsoft, Yahoo und anderen. Diese Berichte zeigen jede IP-Adresse, die E-Mails unter Ihrer Domain gesendet hat, und ob SPF und DKIM für jede einzelne bestanden und übereinstimmten.

Das rohe XML ist unübersichtlich und maschinenlesbar, daher leiten die meisten Teams ihre rua=-Adresse an einen DMARC-Reporting-Service (Postmark, dmarcian, EasyDMARC und ähnliche) weiter, der die Berichte in ein lesbares Dashboard parst. Dies ist der einzig praktikable Weg, um legitime Sending Sources zu entdecken, die Sie möglicherweise übersehen haben, bevor Sie Ihre Richtlinie verschärft haben.

DMARC-Ausrichtung

DMARC führt ein Konzept ein, das die anderen Protokolle nicht haben, genannt Alignment. SPF und DKIM bestehen jeweils, wenn ihre jeweilige Prüfung gültig ist, aber DMARC zählt diesen Bestehensfall nur, wenn die authentifizierte Domain mit der sichtbaren From:-Adresse übereinstimmt.

Es gibt zwei Arten von Alignment.

SPF Alignment bedeutet, dass die smtp.mailfrom (Return-Path)-Domain mit der From:-Domain übereinstimmt.
DKIM Alignment bedeutet, dass das d=-Tag in der DKIM-Signatur mit der From:-Domain übereinstimmt.

DMARC besteht, wenn mindestens eine dieser Übereinstimmungen vorliegt UND die zugrunde liegende Prüfung bestanden wurde.

Entspanntes Alignment (Standard) erlaubt Subdomain-Übereinstimmungen, sodass E-Mails von mail.example.com mit einer From:-Adresse von example.com übereinstimmen. Strenges Alignment erfordert eine exakte Übereinstimmung. Die meisten Absender verwenden entspanntes Alignment, es sei denn, sie haben einen spezifischen Sicherheitsgrund für strenges Alignment.

Die Ausrichtung ist der häufigste Grund für DMARC-Fehler, selbst wenn SPF und DKIM einzeln bestanden werden. Viele Versanddienste authentifizieren sich mit ihrer eigenen Domain (z. B. sendgrid.net) und nicht mit Ihrer, was bedeutet, dass SPF und DKIM bestehen, aber DMARC fehlschlägt, da nichts mit example.com übereinstimmt. Die Behebung der Ausrichtung bedeutet normalerweise, auf einen benutzerdefinierten Return-Path oder eine gebrandete DKIM-Signatur umzusteigen, die von Ihrem Anbieter angeboten wird.

So fügen Sie einen DMARC-Eintrag hinzu

Wenn Ihr E-Mail-Anbieter Ihnen einen spezifischen DMARC-Eintrag gibt, fügen Sie diesen hinzu. Wenn nicht, ist dies ein sicherer generischer Startdatensatz unter _dmarc.yourdomain.com:

v=DMARC1; p=none; rua=mailto:[email protected];

Dies versetzt Sie in den Überwachungsmodus, wobei Berichte an ein Postfach gesendet werden, das Sie kontrollieren. Für die vollständige Einrichtung, einschließlich der Berichtsverarbeitung und der Richtlinienentwicklung, lesen Sie unsere spezielle Anleitung zum Erstellen eines DMARC-Eintrags.

Warum Sie alle drei benötigen

Jedes Protokoll behebt, was die anderen nicht können. Hier ist die Aufschlüsselung.

	SPF	DKIM	DMARC
Was es verhindert	Unautorisierte Server, die als Ihre Domain senden	E-Mail-Inhalt wird während der Übertragung geändert	Angreifer fälschen Ihre `From:`-Adresse, auch wenn andere Prüfungen erfolgreich sind
Was es prüft	Sendende IP-Adresse gegen Ihre autorisierte Liste	Kryptografische Signatur gegen Ihren öffentlichen Schlüssel	Ausrichtung zwischen Authentifizierungsergebnissen und der `From:`-Domain
Häufiges Versagen	Legitime E-Mails brechen bei der Weiterleitung	Mailinglisten-Relays ändern den Inhalt und brechen die Signatur	SPF und DKIM schlagen bei der Ausrichtung mit der sichtbaren Domain fehl
Wenn Sie es überspringen	Jeder Server kann behaupten, als Ihre Domain zu senden	Jeder kann Ihre E-Mail während der Übertragung unbemerkt ändern	Fehlgeschlagene Authentifizierungen werden nicht durchgesetzt

Nur mit SPF ausgeführt, sind Sie anfällig für Alignment-basiertes Spoofing, bei dem ein Angreifer sich mit seiner eigenen Domain authentifiziert, während er Ihre anzeigt. Nur mit DKIM ausgeführt, kann immer noch jeder Server behaupten, Sie zu sein. Nur mit DMARC ausgeführt, haben Sie keine zugrunde liegende Authentifizierung, die es durchsetzen kann. Alle drei zusammen ist die einzige Konfiguration, die tatsächlich funktioniert.

Sind SPF, DKIM und DMARC im Jahr 2026 erforderlich?

Die E-Mail-Authentifizierung hat sich zwischen 2024 und 2026 von einer Best Practice zu einer nicht verhandelbaren Anforderung entwickelt. Hier ist der aktuelle Stand.

Massenversender (5.000+ E-Mails pro Tag an Gmail oder Yahoo)

Februar 2024. Gmail und Yahoo haben Anforderungen für Massenversender eingeführt. SPF, DKIM und DMARC sind alle erforderlich. Ein-Klick-Abmelde-Header sind erforderlich. Die Spam-Beschwerderate muss unter 0,3 % bleiben.
Mai 2025. Microsoft hat entsprechende Anforderungen für Outlook.com, Hotmail und Live.com eingeführt.
November 2025. Gmail hat von Soft Deferrals (temporäre 421-Fehler) auf permanente Ablehnung (550-Fehler) für nicht konforme Nachrichten umgestellt. Es gibt keine Kulanzfrist mehr. Nicht konforme E-Mails werden sofort abgelehnt.

Absender mit geringerem Volumen (weniger als 5.000 pro Tag)

Sie unterliegen technisch nicht den Regeln für Massenversender, aber die zugrunde liegenden Authentifizierungsprüfungen gelten für jede Verbindung. Fehlendes SPF, DKIM oder DMARC reduziert die Zustellung im Posteingang um bis zu 76 %, selbst bei geringem Volumen. Die Regeln zielen nominell auf Massenversender ab, aber die Spamfilter verwenden für jeden die gleichen Signale.

Compliance-Kontexte

PCI DSS v4.0 enthält Anforderungen zur E-Mail-Authentifizierung für Organisationen, die Zahlungskartendaten verarbeiten.
CISA Binding Operational Directive 18-01 schreibt allen US-Bundesbehörden vor, SPF, DKIM und DMARC mit p=reject bereitzustellen.
Ähnliche Anforderungen gibt es im Vereinigten Königreich (NCSC), in Australien (ACSC) und in Kanada (CCCS) für Regierungs- und kritische Infrastrukturen.

Selbst wenn Sie 50 E-Mails pro Monat über Ihr Kontaktformular senden, benötigen Sie trotzdem alle drei Einträge.

Die Reihenfolge der Einrichtung, die wichtig ist

Fügen Sie zuerst SPF hinzu. Dann DKIM. Dann DMARC. Mit Wartezeiten dazwischen. Diese Reihenfolge ist nicht verhandelbar, und wenn Sie sie falsch machen, ist dies der häufigste Grund, warum die Zustellung bei neuen Bereitstellungen fehlschlägt.

Reihenfolge der Einrichtung von SPF, DKIM und DMARC

Warum diese Reihenfolge wichtig ist

DMARC prüft die Ergebnisse von SPF und DKIM. Wenn Sie DMARC hinzufügen, bevor diese beiden eingerichtet und validiert sind, schlägt jede E-Mail die Authentifizierung. Mit einer Richtlinie von p=quarantine oder p=reject beginnen Ihre E-Mails, im Spam zu landen oder abgewiesen zu werden, sobald DMARC propagiert wird. Viele Anbieter lassen Sie nicht einmal einen DMARC-Eintrag hinzufügen, bis SPF die Validierung bestanden hat.

Zeit, bis jeder Eintrag aktiv ist

SPF: 5 bis 30 Minuten
DKIM: 1 bis 4 Stunden
DMARC: 1 bis 24 Stunden

Senden Sie nach der Propagation jedes Eintrags eine Test-E-Mail an eine Gmail-Adresse, die Sie kontrollieren, und überprüfen Sie die Header über Original anzeigen. Sowohl SPF als auch DKIM sollten PASS anzeigen, bevor Sie DMARC hinzufügen.

Wo SPF-, DKIM- und DMARC-Einträge hinzugefügt werden

Alle drei Einträge werden als TXT-Einträge in den DNS-Einstellungen Ihrer Domain hinzugefügt, am selben Ort, an dem Sie A-Einträge, MX-Einträge und Nameserver verwalten. Wo genau sich das befindet, hängt davon ab, wer Ihre DNS verwaltet.

Shared Hosts (Bluehost, SiteGround, HostGator)

Die meisten Shared-Hosting-Anbieter enthalten einen DNS-Zonen-Editor in ihrem Control Panel unter Domain oder DNS Management. Suchen Sie nach einer Option zum Hinzufügen eines TXT-Eintrags.

Domain-Registrare (GoDaddy, Namecheap, Google Domains)

Wenn Ihr Hosting und Ihre Domain getrennt sind, befindet sich Ihr DNS normalerweise bei Ihrem Registrar. Suchen Sie in Ihrem Domain-Dashboard nach DNS-Einstellungen oder DNS verwalten.

Cloudflare

Öffnen Sie das Cloudflare-Dashboard, wählen Sie Ihre Domain aus, klicken Sie im linken Menü auf DNS und fügen Sie einen neuen TXT-Eintrag hinzu. Hier ist die Editoransicht.

Vercel

Wenn Vercel das DNS für Ihre Domain hostet, öffnen Sie das Projekt, klicken Sie auf Einstellungen » Domains » DNS-Einträge und fügen Sie einen neuen TXT-Eintrag hinzu. Das Feld Host akzeptiert @ für die Apex (verwendet für SPF) und _dmarc für DMARC.

Netlify

Netlify DNS befindet sich unter Domains in Ihrem Team-Dashboard. Klicken Sie auf die Domain, dann auf Netlify DNS einrichten, falls Sie dies noch nicht getan haben, und fügen Sie dann Einträge unter DNS-Einträge hinzu.

Squarespace

Squarespace verwaltet DNS über Domains » [Domainname] » DNS-Einstellungen » Benutzerdefinierte Einträge. Fügen Sie TXT-Einträge mit Host = @ für die Apex-Domain oder _dmarc für DMARC hinzu.

WP Engine

WP Engine hostet Ihr DNS standardmäßig nicht, daher fügen Sie SPF-, DKIM- und DMARC-Einträge bei dem Registrar hinzu, den Sie für die Domain verwenden (GoDaddy, Namecheap, Cloudflare usw.). Was Sie von WP Engine benötigen, ist der richtige Wert für Ihr SPF include:, damit deren Mailserver in Ihrem Namen senden können. Finden Sie dies im WP Engine User Portal unter den DNS- oder Mail-Einstellungen Ihrer Umgebung. Ihr typischer SPF-Include ist mail1.wpengine.com. Fügen Sie ihn zu Ihrem vorhandenen SPF-Eintrag hinzu, zusammen mit allen anderen Absendern, niemals als zweiten v=spf1-Eintrag.

Wie man SPF, DKIM und DMARC testet

Drei zuverlässige Methoden, um zu überprüfen, ob alle drei Einträge wie erwartet funktionieren.

Gmail „Original anzeigen“

Senden Sie eine Test-E-Mail von Ihrer Domain an eine Gmail-Adresse, die Sie kontrollieren. Sobald sie ankommt, öffnen Sie die E-Mail, klicken Sie auf das Drei-Punkte-Menü oben rechts und wählen Sie Original anzeigen. Suchen Sie nach diesen drei Zeilen oben.

SPF: PASS (mit Ihrer Domain)
DKIM: PASS (mit header.d=, das Ihre Domain anzeigt)
DMARC: BESTANDEN

Gmail "Original anzeigen"-Ansicht, die zeigt, dass SPF, DKIM und DMARC alle erfolgreich sind

Wenn bei einem dieser Einträge FAIL oder NEUTRAL angezeigt wird, springen Sie zum Abschnitt zur Fehlerbehebung unten.

WP Mail SMTP Domain Checker

Das E-Mail-Testtool von WP Mail SMTP validiert automatisch alle drei Einträge bei jeder Test-E-Mail, ohne dass ein separates Tool erforderlich ist. Es kennzeichnet fehlende Einträge, mehrere SPF-Einträge, DKIM-Signaturprobleme, DMARC-Ausrichtungsfehler und PTR-Eintragsprobleme, alles aus Ihrem WordPress-Adminbereich. Der Domain Checker ist in WP Mail SMTP Lite kostenlos.

Online-Checker

MxToolbox, dmarcian und HostedScan bieten kostenlose SPF-, DKIM- und DMARC-Abfragen an. Geben Sie Ihre Domain ein und Sie erhalten einen schnellen Pass/Fail-Status für jeden Eintrag sowie Diagnosen für häufige Fehler wie zu viele DNS-Abfragen oder Syntaxprobleme.

Fehlerbehebung bei häufigen Fehlern

Wenn Ihre Einträge eingerichtet sind, die Authentifizierung aber immer noch fehlschlägt, ist eines dieser Szenarien fast immer die Ursache. Jedes folgt dem gleichen Muster: Symptom, wahrscheinliche Ursache, Diagnose, Behebung.

1. Gmail hat Ihre E-Mail mit „550-5.7.26“ abgelehnt

Symptom. Gmail wird mit einer 550-5.7.26 SMTP-Ablehnung zurückgewiesen. Der vollständige Text lautet normalerweise etwa: „Gmail verlangt, dass alle Absender entweder mit SPF oder DKIM authentifiziert werden.“

Wahrscheinliche Ursache. Kein gültiges SPF oder DKIM auf der sendenden Domain, oder beide sind falsch konfiguriert.

Diagnose. Überprüfen Sie Ihre Domain mit dem Checker oben auf dieser Seite oder verwenden Sie den WP Mail SMTP Domain Checker. Das Ergebnis zeigt an, welcher der drei Einträge fehlt oder fehlerhaft ist.

Behebung. Fügen Sie einen gültigen SPF-Eintrag hinzu und bestätigen Sie, dass DKIM für Ihre sendende Domain signiert. Senden Sie erneut, nachdem beide Einträge propagiert wurden. Für die vollständige Diagnose siehe unsere Anleitung zur Behebung von Gmail-Blockierungen von E-Mails.

2. „Aktion erforderlich: SPF-Eintrag, der von Ihrem SMTP-Server benötigt wird, wurde nicht hinzugefügt“

Symptom. Das Dashboard Ihres SMTP-Anbieters zeigt eine Warnung an, dass Ihr SPF-Eintrag fehlt oder ihn nicht enthält.

Wahrscheinliche Ursache. Die include:-Direktive Ihres Anbieters fehlt in Ihrem SPF-Eintrag.

Diagnose. Führen Sie dig TXT yourdomain.com aus oder verwenden Sie den obigen Checker. Suchen Sie nach dem SPF-Eintrag und prüfen Sie, ob die Domain des Anbieters (z. B. sendlayer.net, _spf.google.com) in der Liste enthalten ist.

Behebung. Fügen Sie das include: des Anbieters zu Ihrem bestehenden SPF-Eintrag hinzu. Ein SPF-Eintrag, der z. B. SendLayer und Google Workspace verwendet, würde lauten: v=spf1 include:sendlayer.net include:_spf.google.com ~all. Erstellen Sie niemals einen zweiten SPF-Eintrag für dieselbe Domain.

3. DMARC schlägt fehl, obwohl SPF erfolgreich ist

Symptom. Gmails Original anzeigen zeigt SPF: PASS, aber DMARC: FAIL.

Wahrscheinliche Ursache. SPF-Ausrichtungsfehler. Ihre Return-Path-Domain stimmt nicht mit der sichtbaren From:-Domain überein.

Diagnose. Sehen Sie sich den Wert smtp.mailfrom in den Headern an. Stimmt er mit der Domain in From: überein?

Behebung. Ändern Sie den Rückgabepfad Ihres sendenden Dienstes auf Ihre Domain (die meisten Anbieter bieten eine Einstellung für „benutzerdefinierten Rückgabepfad“ oder „Bounce-Domain“) oder verlassen Sie sich stattdessen auf die DKIM-Ausrichtung, die oft einfacher zu konfigurieren ist.

4. DKIM-Signatur in empfangenen E-Mails fehlt

Symptom. Header zeigen überhaupt keine DKIM-Signature: Zeile.

Wahrscheinliche Ursache. DKIM ist auf der sendenden Seite nicht tatsächlich konfiguriert oder es wird der falsche Selektor verwendet.

Diagnose. Senden Sie einen Test von einem anderen Tool (direkt Gmail oder ein anderer SMTP-Dienst), um ihn zu vergleichen. Überprüfen Sie das Dashboard Ihres SMTP-Anbieters auf den DKIM-Status, da die meisten anzeigen, ob der Selektor verifiziert ist.

Behebung. Überprüfen Sie erneut, ob die DKIM CNAME- oder TXT-Einträge genau wie von Ihrem Anbieter angegeben vorhanden sind. Der Selektorname in Ihrem DNS-Eintrag muss mit dem übereinstimmen, womit der Anbieter signiert. Tippfehler sind hier extrem häufig.

5. SPF „permerror: zu viele DNS-Lookups“

Symptom. Mailserver lehnen Ihre Nachrichten mit einem SPF PERMERROR ab.

Wahrscheinliche Ursache. Ihr SPF-Eintrag enthält mehr als 10 DNS-Lookups (die RFC 7208-Harte Grenze). Häufig beim Stapeln von include: Direktiven für mehrere Dienste.

Diagnose. Verwenden Sie ein SPF-Flattening-Tool, um Ihre Lookups zu zählen. Jede include:, a, mx, ptr und exists: zählt.

Behebung. Entfernen Sie unnötige Includes oder verwenden Sie einen SPF-Flattening-Dienst, der die Includes in direkte IP-Einträge auflöst. Vollständige Anleitung in unserem SPF-Merge-Leitfaden.

6. Mehrere SPF-Einträge für dieselbe Domain

Symptom. SPF PERMERROR oder NEUTRAL, obwohl ein gültig aussehender Eintrag vorhanden ist.

Wahrscheinliche Ursache. Sie haben zwei oder mehr SPF TXT-Einträge. RFC 7208 besagt, dass dies ungültig ist, und Empfänger behandeln es so, als ob kein SPF-Eintrag vorhanden wäre.

Diagnose. Führen Sie dig TXT yourdomain.com aus oder verwenden Sie den SPF-Lookup von MxToolbox. Wenn Sie zwei Einträge sehen, die mit v=spf1 beginnen, ist das das Problem.

Behebung. Kombinieren Sie die include: Direktiven beider Einträge zu einem einzigen Eintrag. Siehe die obige Merge-Anleitung.

7. DKIM-Eintrag zu lang für DNS

Symptom. Ihr Anbieter hat Ihnen einen DKIM-Schlüssel gegeben, aber DNS akzeptiert ihn nicht.

Wahrscheinliche Ursache. Einzelne TXT-Einträge haben eine Zeichenbegrenzung von 255 Zeichen pro Zeichenkette. DKIM 2048-Bit-Schlüssel überschreiten dies und müssen in mehrere Anführungszeichen innerhalb desselben Eintrags aufgeteilt werden.

Diagnose. Zählen Sie die Zeichen in Ihrem Schlüssel. Über 255 bedeutet, dass dies das Problem ist.

Behebung. Teilen Sie den Wert in 255-Zeichen-Blöcke auf, die jeweils in Anführungszeichen gesetzt sind, z. B. "v=DKIM1; k=rsa; p=ABC..." "DEF..." "GHI...". Die meisten modernen DNS-Anbieter tun dies automatisch. Einige nicht. Siehe den Abschnitt zur DKIM-Schlüssellänge oben für die vollständige Anleitung.

8. DMARC-Ausrichtungsfehler (der stille Killer)

Symptom. SPF: PASS und DKIM: PASS, aber DMARC: FAIL.

Wahrscheinliche Ursache. Keines der Protokolle ist mit der From:-Domain abgeglichen, obwohl beide einzeln bestanden werden.

Diagnose. Vergleichen Sie drei Werte in den Headern: die From:-Domain, die smtp.mailfrom-Domain und das DKIM d=-Tag. Mindestens einer der letzten beiden muss mit dem ersten übereinstimmen.

Korrektur. Konfigurieren Sie Ihren sendenden Dienst so, dass er Ihre Domain entweder im Return-Path (für SPF-Abgleich) oder in der DKIM-Signatur (für DKIM-Abgleich) verwendet. Die meisten Anbieter verwenden standardmäßig ihre eigene Domain. Sie müssen sich für den Abgleich entscheiden.

9. DMARC p=reject blockiert Ihre eigenen legitimen E-Mails

Symptom. Kunden erhalten Ihre Transaktions-E-Mails (Passwort-Resets, Belege) nicht mehr, aber Ihre Testsendungen funktionieren einwandfrei.

Wahrscheinliche Ursache. Sie sind zu schnell zu p=reject gewechselt, bevor Sie alle legitimen Sendequellen in Ihrem SPF erfasst haben.

Diagnose. Überprüfen Sie Ihre DMARC-Aggregatberichte. Sie zeigen jeden Absender an, der unter Ihrer Domain fehlgeschlagen ist. Legitime Absender sind offensichtlich (Ihr CRM, Marketing-Tool, Helpdesk).

Korrektur. Wechseln Sie zurück zu p=quarantine oder p=none. Verwenden Sie die DMARC-Berichte, um die fehlenden legitimen Absender zu SPF hinzuzufügen. Warten Sie 2 bis 4 Wochen, bis die Berichte 0 % Fehler bei legitimen E-Mails anzeigen, und erzwingen Sie dann erneut.

10. Einträge hinzugefügt, aber nicht propagiert

Symptom. Sie haben die Einträge hinzugefügt, aber Tools sagen immer noch, dass sie fehlen.

Wahrscheinliche Ursache. DNS-Caching bei Ihrem Registrar, Ihrem lokalen Resolver oder dem empfangenden Server. Häufig bei Änderungen mit niedrigem TTL nach zuvor gecachten Einträgen mit hohem TTL.

Diagnose. Führen Sie dig +trace TXT yourdomain.com von einem anderen Netzwerk aus oder fragen Sie direkt Google DNS mit dig @8.8.8.8 TXT yourdomain.com ab. Wenn diese den Eintrag anzeigen, Ihr Tester aber nicht, liegt es am Caching.

Korrektur. Warten. Die meisten Propagierungen dauern bei SPF bis zu einer Stunde und bei DMARC bis zu 24 Stunden. Wenn Sie nach 48 Stunden immer noch nichts sehen, überprüfen Sie erneut, ob der Eintrag korrekt bei Ihrem Registrar gespeichert wurde. Eine häufige Tücke sind Oberflächen, die einen von Ihnen übersehenen Bestätigungsschritt erfordern.

WordPress-spezifische Hinweise

WordPress hat ein spezifisches E-Mail-Problem. Standardmäßig verwendet es die mail()-Funktion von PHP, die Nachrichten ohne Authentifizierung sendet. Ihre SPF-, DKIM- und DMARC-Einträge können perfekt konfiguriert sein, aber wenn WordPress E-Mails über PHP mail() von der gemeinsam genutzten IP Ihres Webhosters sendet und diese IP nicht in Ihrem SPF-Eintrag enthalten ist, schlägt jede Authentifizierungsprüfung fehl.

Die Lösung besteht darin, alle WordPress-E-Mails über einen authentifizierten SMTP-Dienst zu leiten. WP Mail SMTP erledigt dies mit Ein-Klick-Integrationen für SendLayer, SMTP.com, Brevo, Gmail/Google Workspace, Microsoft 365, Amazon SES, Mailgun, SendGrid, Postmark, SparkPost und andere. Jede Integration ist vorkonfiguriert, um sich ordnungsgemäß zu authentifizieren und mit Ihrer Domain abzugleichen. Die verbesserten Funktionen zur E-Mail-Zustellbarkeit von WP Mail SMTP umfassen den kostenlosen Domain Checker, der fehlende oder falsch konfigurierte SPF-, DKIM- und DMARC-Einträge direkt in WordPress kennzeichnet.

Wenn Ihre WordPress-E-Mails im Spam landen, ist meist eine fehlende oder falsch ausgerichtete Authentifizierung die Ursache. Die vollständige Diagnose finden Sie in unserem Leitfaden zu warum WordPress-E-Mails im Spam landen. Für die Einrichtung führt Sie unser Leitfaden zur E-Mail-Validierung für WordPress durch die Überprüfung der Einträge.

Beheben Sie jetzt Ihre WordPress-E-Mails

FAQs zu SPF, DKIM und DMARC

Dies sind die am häufigsten gesuchten Fragen zur E-Mail-Authentifizierung, geordnet von der häufigsten zur technischsten. Jede Antwort ist in sich abgeschlossen.

Was ist der Unterschied zwischen SPF, DKIM und DMARC?

SPF gibt an, wer senden darf, DKIM beweist, dass E-Mails echt und unverändert sind, und DMARC erzwingt, was passiert, wenn eine der Prüfungen fehlschlägt.

SPF autorisiert sendende Server, DKIM fügt eine manipulationssichere kryptografische Signatur hinzu und DMARC legt die Richtlinie fest, der Empfänger folgen, wenn SPF oder DKIM die Ausrichtung verfehlen. Sie benötigen alle drei, da jeder eine Lücke abdeckt, die die anderen offen lassen. SPF ohne DKIM schlägt bei weitergeleiteten E-Mails fehl. DKIM ohne SPF lässt nicht autorisierte Server Ihre Domain beanspruchen. Beide ohne DMARC bedeuten, dass empfangende Server keine Anweisungen zur Durchsetzung haben, wenn etwas fehlschlägt.

Benötigen Sie alle drei, SPF, DKIM und DMARC?

Ja. Seit Februar 2024 verlangen Gmail und Yahoo alle drei für Absender von 5.000+ E-Mails pro Tag, und Gmail begann im November 2025, nicht konforme E-Mails direkt zurückzuweisen. Selbst unterhalb dieser Schwelle reduziert das Fehlen eines der drei die Zustellung im Posteingang.

SPF und DKIM schlagen in unterschiedlichen Situationen fehl (SPF schlägt bei Weiterleitung fehl, DKIM schlägt fehl, wenn ein Relais die Nachricht ändert), daher bricht eine Einzelprotokoll-Einrichtung unvorhersehbar.

Kann man DMARC ohne SPF oder DKIM verwenden?

Technisch gesehen besteht DMARC, wenn entweder SPF oder DKIM besteht und übereinstimmt. Sie können DMARC also mit nur einem ausführen. In der Praxis sollten Sie beide einrichten, da jeder in Szenarien fehlschlägt, die der andere überlebt.

DMARC nur mit SPF auszuführen bedeutet, dass weitergeleitete E-Mails fehlschlagen. Die Ausführung nur mit DKIM bedeutet, dass während der Übertragung geänderte Nachrichten fehlschlagen. Beide zusammen sorgen für eine zuverlässige Authentifizierung.

Was bedeuten p=none, p=quarantine und p=reject?

Dies sind die DMARC-Erzwingungsstufen, geordnet nach Strenge.

p=none ist der Überwachungsmodus. Er meldet Fehler, blockiert aber nichts, und hier sollte jede Domain beginnen. p=quarantine leitet fehlerhafte E-Mails in den Spam-Ordner weiter. p=reject blockiert fehlerhafte E-Mails vollständig.

Gehen Sie schrittweise von none zu quarantine zu reject über, erst nachdem Ihre Berichte bestätigen, dass keine legitimen E-Mails fehlschlagen.

In welcher Reihenfolge sollten Sie SPF, DKIM und DMARC einrichten?

Richten Sie zuerst SPF ein, dann DKIM, dann DMARC. DMARC liest die Ergebnisse von SPF und DKIM, daher führt die erstmalige Hinzufügung dazu, dass jede E-Mail sofort die Authentifizierung fehlschlägt.

Fügen Sie SPF hinzu, warten Sie auf die Verbreitung, fügen Sie DKIM hinzu, überprüfen Sie, ob beide in einer Gmail Original anzeigen-Prüfung erfolgreich sind, und fügen Sie dann DMARC mit p=none hinzu.

Wie überprüfe ich, ob SPF, DKIM und DMARC korrekt eingerichtet sind?

Verwenden Sie ein Prüfwerkzeug (wie das kostenlose oben auf dieser Seite), das alle drei Einträge für Ihre Domain abruft und deren Status meldet.

Sie können auch manuell überprüfen. Senden Sie eine E-Mail an eine Gmail-Adresse, öffnen Sie sie, klicken Sie auf das Drei-Punkte-Menü, wählen Sie Original anzeigen und bestätigen Sie, dass SPF, DKIM und DMARC jeweils PASS anzeigen.

Was ist DMARC-Ausrichtung?

Alignment ist die Prüfung, die DMARC aussagekräftig macht. Sie bestätigt, dass die Domain, die SPF oder DKIM bestanden hat, mit der Domain in der sichtbaren From:-Adresse der E-Mail übereinstimmt.

SPF-Alignment erfordert, dass die Return-Path-Domain mit der From:-Domain übereinstimmt. DKIM-Alignment erfordert, dass das d=-Tag der Signatur damit übereinstimmt. Die häufigste Ursache für DMARC-Fehler ist Fehlausrichtung, nicht ein direkter SPF- oder DKIM-Fehler.

Was bedeutet der Gmail-Fehler „550-5.7.26“?

Der Fehler 550-5.7.26 bedeutet, dass Gmail Ihre E-Mail abgelehnt hat, da die sendende Domain nicht authentifiziert ist. Gmail verlangt jetzt von allen Absendern, dass sie sich mit SPF oder DKIM authentifizieren.

Um dies zu beheben, fügen Sie einen gültigen SPF-Eintrag und eine DKIM-Signatur für Ihre sendende Domain hinzu und bestätigen Sie dann, dass beide erfolgreich sind, bevor Sie erneut senden. Der erste Fehlerbehebungspunkt oben beschreibt die vollständige Diagnose.

Was bedeutet es, wenn Gmail „Original anzeigen“ SPF, DKIM und DMARC PASS anzeigt?

Es bedeutet, dass Ihre E-Mail ordnungsgemäß authentifiziert wurde. SPF PASS bestätigt, dass die E-Mail von einem autorisierten Server kam. DKIM PASS bestätigt, dass die Nachricht während der Übertragung nicht verändert wurde. DMARC PASS bestätigt, dass die authentifizierte Domain mit Ihrer sichtbaren From:-Adresse übereinstimmt.

Alle drei erfolgreich zu bestehen, ist das gewünschte Ergebnis. Es maximiert die Zustellung im Posteingang.

Verhindern SPF, DKIM und DMARC, dass E-Mails im Spam landen?

Sie sind notwendig, aber nicht ausreichend. Die Authentifizierung teilt Postfach-Providern mit, dass Ihre E-Mails wirklich von Ihnen stammen, was eine Voraussetzung für die Zustellung im Posteingang ist, aber andere Faktoren spielen immer noch eine Rolle. Dazu gehören Absenderreputation, Inhaltsqualität, Engagement-Raten, Listenhygiene und ein gültiger PTR-Eintrag.

Richten Sie zuerst alle drei ein und befassen Sie sich dann mit den anderen E-Mail-Zustellbarkeitsfaktoren.

Was ist das beste Werkzeug zur Überprüfung von DMARC, SPF und DKIM?

Der schnellste Weg ist ein Prüfwerkzeug, das alle drei gleichzeitig testet, wie das kostenlose auf dieser Seite. Für die laufende Überwachung zeigt Google Postmaster Tools, wie Gmail Ihre Authentifizierung bewertet, und das integrierte Domain Checker von WP Mail SMTP überprüft alle drei Einträge direkt in WordPress.

Wofür stehen SPF, DKIM und DMARC?

SPF steht für Sender Policy Framework. DKIM steht für DomainKeys Identified Mail. DMARC steht für Domain-based Message Authentication, Reporting, and Conformance.

Zusammen bilden sie den Standardstapel zur Authentifizierung von E-Mails und zum Schutz einer Domain vor Spoofing.

Überprüfen Sie als Nächstes Ihren PTR-Eintrag

SPF, DKIM und DMARC sind drei der vier DNS-Einträge, die für die E-Mail-Zustellbarkeit wichtig sind. Der vierte ist Ihr PTR-Eintrag, der Reverse-DNS-Eintrag, der Ihre sendende IP-Adresse Ihrer Domain zuordnet. Mailbox-Anbieter überprüfen ihn bei jeder Verbindung, und ein fehlender oder generischer PTR beeinträchtigt Ihre Zustellbarkeit, selbst wenn SPF, DKIM und DMARC alle erfolgreich sind.

Für die vollständige Aufschlüsselung siehe unseren Leitfaden zu PTR-Einträgen und Reverse-DNS.