So behebst du Probleme mit gefälschten E-Mails in WordPress (Schritt für Schritt)

WordPress-E-Mail-Spoofing passiert, wenn E-Mails so aussehen, als kämen sie von deiner Domain, aber keine richtige Authentifizierung haben, was zu Zustellungsfehlern und Sicherheitsrisiken führt.

Deine Kontaktformulare könnten die E-Mail-Adressen der Besucher als Absender angeben, dein Server könnte nicht authentifizierte E-Mails verschicken oder deiner Domain fehlen einfach die DNS-Einträge, die die legitime Eigentümerschaft belegen.

Das bringt zwei Hauptprobleme mit sich: Deine echten E-Mails werden blockiert oder als Spam markiert, und böswillige Leute können sich leichter als deine Domain ausgeben, um betrügerische Nachrichten zu verschicken.

In dieser Anleitung klären wir diese Spoofing-Probleme, indem wir WP Mail SMTP mit der richtigen Authentifizierung einrichten, deine DNS-Einträge mit SPF, DKIM und DMARC konfigurieren und sicherstellen, dass deine Kontaktformulare Absenderadressen richtig verarbeiten.

So behebst du Probleme mit gefälschten E-Mails in WordPress

Zuerst schauen wir uns an, wie E-Mail-Spoofing in WordPress aussieht und warum es passiert. Dann richten wir WP Mail SMTP mit der richtigen Authentifizierung ein. Das ist die beste Methode, um Spoofing-Probleme zu vermeiden und sicherzustellen, dass deine E-Mails ankommen.

Schritt 1: WordPress-E-Mail-Spoofing verstehen
Schritt 2: Check mal, wie es gerade mit deiner E-Mail-Authentifizierung aussieht
Schritt 3: E-Mail-Authentifizierungsdatensätze einrichten (DNS-Ebene)
Schritt 4: WP Mail SMTP installieren und einrichten
Schritt 5: BIMI einrichten (Fortgeschrittene)
Schritt 6: Probier mal deine E-Mail-Einstellungen aus

Schritt 1: WordPress-E-Mail-Spoofing verstehen

E-Mail-Spoofing in WordPress passiert, wenn deine Website E-Mails verschickt, die echt aussehen, aber ihre Echtheit gegenüber den empfangenden Mail-Servern nicht nachweisen können.

Das passiert, weil WordPress standardmäßig die einfache Mail-Funktion von PHP nutzt, die Nachrichten ohne richtige Authentifizierungsprotokolle verschickt.

Das häufigste Spoofing-Szenario betrifft Kontaktformulare. Wenn jemand dein Kontaktformular ausfüllt, setzen viele Plugins automatisch seine E-Mail-Adresse als Absender.

Ein weiteres häufiges Problem ist, dass WordPress System-E-Mails (Passwort-Zurücksetzungen, Benutzerregistrierungen, Bestellbestätigungen) mit deinem Domainnamen verschickt, aber ohne die kryptografischen Signaturen, die zeigen, dass die Nachricht wirklich von deinem Server kommt.

E-Mail-Anbieter wie Gmail und Outlook lehnen diese nicht authentifizierten Nachrichten immer öfter ab. Mehr dazu findest du in unserem Leitfaden zum Thema E-Mail-Zustellbarkeit.

Hier sind die wichtigsten Anzeichen dafür, dass deine WordPress-Website Probleme mit Spoofing hat:

Die über das Kontaktformular verschickten Nachrichten kommen nicht bei den Leuten an.
Deine E-Mails landen immer im Spam-Ordner.
Du bekommst Rückläufer wegen fehlgeschlagener Authentifizierung.
E-Mail-Anbieter zeigen Warnungen wegen „nicht verifizierter Absender“ an.
Deine Domain taucht in Phishing-Meldungen auf, die du nicht verschickt hast.

Der Grund ist immer derselbe: Deinen E-Mails fehlen die digitalen Signaturen und DNS-Einträge, die für moderne E-Mail-Sicherheit nötig sind.

Um das zu beheben, musst du auf authentifiziertes SMTP umsteigen und die richtigen E-Mail-Authentifizierungsdatensätze einrichten. Wie das geht, zeigen wir dir in den nächsten Schritten.

WP Mail SMTP E-Mail Zustellbarkeit Illustration

Repariere deine WordPress-E-Mails jetzt

Schritt 2: Check mal, wie es gerade mit deiner E-Mail-Authentifizierung aussieht

Bevor du deine Spoofing-Probleme beheben kannst, musst du genau wissen, was bei deiner aktuellen E-Mail-Konfiguration schief läuft. Schau zuerst nach, ob für deine Domain schon E-Mail-Authentifizierungsdatensätze eingerichtet sind.

Probier mal ein SPF-Record-Lookup-Tool aus, um zu checken, ob du einen SPF-Eintrag hast. Gib einfach deinen Domainnamen ein und klick auf „SPF Record Lookup“. Wenn kein Eintrag gefunden wird, wie im Screenshot unten, ist das ein Problem.

Als Nächstes checkst du mit MXToolbox's DKIM Lookup nach DKIM-Einträgen . Du musst deinen DKIM-Selektor kennen, der je nach E-Mail-Anbieter unterschiedlich ist. Gängige Selektoren sind „default“, „google“, „selector1“ oder der spezifische Selektor deines Anbieters.

Überprüfe danach deine DMARC-Richtlinie mit dem DMARC-Lookup von MXToolbox. Ein fehlender DMARC-Eintrag ist einer der häufigsten Gründe für die Anfälligkeit für E-Mail-Spoofing.

E-Mail-Authentifizierung mit einer echten Nachricht testen

Eine andere Möglichkeit, den Status deiner E-Mail-Authentifizierung schnell zu checken, ist, eine Test-E-Mail an Gmail zu schicken und die Kopfzeilen der Nachricht anzuschauen (klick auf die drei Punkte und dann auf „Original anzeigen“).

Achte auf diese Authentifizierungsergebnisse:

SPF: BESTANDEN (gut) vs. SPF: DURCHGEFALLEN (Problem)
DKIM: PASS (ok) vs DKIM: FAIL (Problem)
DMARC: PASS (okay) vs. DMARC: FAIL (Problem)

Schritt 3: E-Mail-Authentifizierungsdatensätze einrichten (DNS-Ebene)

Die E-Mail-Authentifizierung läuft auf DNS-Ebene ab. Da speicherst du Einträge, die den empfangenden Mailservern sagen, wie sie E-Mails von deiner Domain überprüfen sollen.

Diese drei Protokolle arbeiten zusammen, um Spoofing zu verhindern: SPF autorisiert sendende Server, DKIM fügt digitale Signaturen hinzu und DMARC legt Richtlinien für den Umgang mit Authentifizierungsfehlern fest.

SPF-Einträge einrichten

SPF-Einträge (Sender Policy Framework) sagen dir, welche Mailserver E-Mails für deine Domain verschicken dürfen. Ohne einen SPF-Eintrag kann jeder Server behaupten, E-Mails von deiner Domain zu verschicken.

Die meisten WordPress-Seiten müssen mehrere Absenderquellen autorisieren: deinen Webhost für System-E-Mails, deinen SMTP-Anbieter für authentifizierte Sendungen und manchmal auch Dienste von Drittanbietern wie Marketingplattformen.

Das führt oft zu mehreren SPF-Einträgen, was die Authentifizierung kaputt macht. Der Trick ist, einen einzigen SPF-Eintrag zu erstellen, der alle deine legitimen Absender enthält.

Du fügst das als TXT-Eintrag in die DNS deiner Domain ein, normalerweise beginnend mitv=spf1 undendend mit~all, um nicht autorisierte Absender abzulehnen.

Mehrere SPF-Eintragsregeln in Cloudflare

DKIM-Authentifizierung einrichten

DKIM (DomainKeys Identified Mail) fügt deinen E-Mails eine kryptografische Signatur hinzu, die die Empfangsserver anhand eines in deinem DNS gespeicherten öffentlichen Schlüssels überprüfen können.

Dein SMTP-Anbieter macht DKIM-Schlüssel für dich, aber manchmal ist der DNS-Eintrag zu lang für einen einzigen TXT-Eintrag.

In diesem Fall musst du den DKIM-Eintrag auf mehrere DNS-Einträge aufteilen und dabei das richtige Format beibehalten, das die Mailserver erwarten.

Der DKIM-Eintrag enthält den öffentlichen Schlüssel deines Providers und wird als TXT-Eintrag unter einer bestimmten Subdomain veröffentlicht, normalerweise unter etwas wie selector1._domainkey.yourdomain.com.

DMARC-Richtlinie umsetzen

DMARC (Domain-based Message Authentication, Reporting, and Conformance) verbindet SPF und DKIM und sagt den Empfangsservern, was sie machen sollen, wenn E-Mails die Authentifizierung nicht schaffen.

Das ist deine wichtigste Verteidigung gegen Domain-Spoofing. Um einen DMARC-Eintrag zu erstellen, musst du eine Richtlinie festlegen, die verdächtige E-Mails in Quarantäne schickt, komplett ablehnt oder einfach nur beobachtet, ohne was zu machen.

Fang mit einer Überwachungsrichtlinie (p=none) an, um Daten zu sammeln, ohne die Zustellung zu beeinträchtigen. Geh dann nach und nach zu p=quarantine und schließlich zu p=reject über, wenn du sicher bist, dass legitime E-Mails die Authentifizierung bestehen.

DNS-Implementierungsauftrag

Richte deine Authentifizierungsdatensätze in dieser Reihenfolge ein:

SPF first – Legt fest, welche Server von dir E-Mails verschicken dürfen
DKIM second – Fügt digitale Signaturen hinzu
DMARC last – Legt Richtlinien basierend auf SPF/DKIM-Ergebnissen fest

Diese Reihenfolge stellt sicher, dass jedes Protokoll auf dem vorherigen aufbaut.

DMARC braucht sowohl SPF als auch DKIM, damit es richtig funktioniert, also überspring diesen Schritt nicht.

Schritt 4: WP Mail SMTP installieren und einrichten

Wenn du WP Mail SMTP installierst, wird die unzuverlässige Standard-Mailfunktion von WordPress durch authentifiziertes SMTP-Versenden ersetzt, was super wichtig ist, um E-Mail-Spoofing zu verhindern.

Wenn du WP Mail SMTP Pro hast, logg dich einfach in dein Konto ein und geh zum Tab „Downloads“, um die neueste Plugin-Datei zu holen. Die Pro-Version hat erweiterte Funktionen und E-Mail-Protokollierung, die dabei helfen, Probleme bei der Zustellung zu erkennen und zu lösen.

Geh in deinem WordPress-Dashboard zu Plugins » Neu hinzufügen » Plugin hochladen, lade die ZIP-Datei hoch und klick auf Jetzt installieren. Sobald das Plugin installiert ist, schalt es sofort frei.

Der Einrichtungsassistent wird nach der Aktivierung automatisch angezeigt und ist wichtig, um Probleme mit gefälschten E-Mails zu beheben. Überspring diesen Schritt nicht.

Brauchst du Hilfe?

Du kannst den White-Glove-Setup-Service kaufen, damit ein Experte WP Mail SMTP für dich installiert und konfiguriert!

Klick auf „Los geht's“, um mit der Konfiguration zu starten, die deine Schwachstellen für Spoofing beseitigt.

klicke auf die Schaltfläche Let's Get Started

In der Regel wähle ich einen Transaktionsanbieter wie SendLayer, SMTP.com oder Brevo, da sie Warteschlangen und Ratenbegrenzungen besser handhaben als einfache Webmails.

Wenn du deinen E-Mail-Anbieter ausgewählt hast, klick einfach auf den Link unten, um die Dokumentation dafür zu öffnen. Wir haben eine komplette Anleitung für jeden Mailer, damit du deine WordPress-Seite ganz einfach verbinden kannst:

Mailer in allen Versionen verfügbar	Mailer in WP Mail SMTP Pro
SendLayer	Amazon SES
SMTP.de	Microsoft 365 / Outlook.com
Brevo	Zoho Mail
Google Workspace / Gmail
Mailjet
Mailgun
Poststempel
SendGrid
SMTP2GO
SparkPost
Elastische E-Mail
Andere SMTP

Folge den Schritten auf dem Bildschirm, um dein Konto zu verbinden, und fülle dann die Felder aus, nach denen der Mailer fragt. Je nachdem, wie du dich entscheidest, fügst du einen API-Schlüssel ein, meldest dich mit OAuth an oder genehmigst den Versand von deiner Domain.

Bei der Einrichtung von WP Mail SMTP findest du die Einstellung „Force From Email“ (E-Mail-Absender erzwingen) unter dem Hauptfeld „From Email“ (E-Mail- Absender ).

WordPress nutzt normalerweise die Admin-E-Mail-Adresse deiner Website für ausgehende Nachrichten, aber das führt zu Authentifizierungsproblemen, wenn verschiedene Plugins versuchen, unterschiedliche Absenderadressen zu verwenden.

Kontaktformulare, E-Mails zur Benutzerregistrierung und E-Commerce-Benachrichtigungen könnten versuchen, unterschiedliche Absenderadressen zu verwenden, was zu inkonsistenter Authentifizierung und potenziellen Spoofing-Flags führen kann.

Wenn du die Option „Force From Email“ aktivierst, werden alle ausgehenden Nachrichten standardmäßig mit deiner authentifizierten Domain-Adresse gesendet, die du im Feld „From Email“ angegeben hast.

Schritt 5: BIMI einrichten (Fortgeschrittene)

BIMI (Brand Indicators for Message Identification) ist ein fortschrittliches Anti-Spoofing-Protokoll, das dein Markenlogo direkt in den E-Mail-Clients der Empfänger anzeigt, wenn deine Nachrichten die Authentifizierungsprüfungen bestehen.

Durch diese visuelle Überprüfung ist für die Empfänger sofort klar, dass die E-Mails wirklich von deiner Organisation kommen, was einen zusätzlichen Schutz vor Spoofing-Versuchen bietet.

Für detaillierte Infos zur Umsetzung, Anforderungen an Logos, Formatierung von DNS-Einträgen und Einrichtung von Verified Mark Certificates check unsere umfassende Anleitung zu BIMI und wie man es einrichtet.

Schritt 6: Probier mal deine E-Mail-Einstellungen aus

Sobald alles eingerichtet ist, kannst du die integrierte Testfunktion von WP Mail SMTP nutzen, um zu checken, ob deine E-Mails richtig zugestellt werden. Geh zu „Tools“ und klick auf den Tab „E-Mail-Test“, um loszulegen.

Versenden einer Test-E-Mail mit WP Mail SMTP

Auf diesem Bildschirm passt du die Empfängeradresse für deine Test-E-Mail an und klickst auf E-Mail senden.

Wenn alles richtig eingestellt ist, siehst du eine grüne Meldung.

Cloudflare E-Mail in WordPress testen - Erfolgsmeldung

Wenn WP Mail SMTP ein Problem feststellt, wird eine Warnung angezeigt.

Zustellbarkeit sollte verbessert werden Warnmeldung

Unter der Warnung findest du Informationen zu den Schritten, die du unternehmen musst, um sie zu verbessern.

Der allgemeine Leitfaden zur Fehlerbehebung für WP Mail SMTP zeigt Lösungen für typische Probleme bei der Einrichtung.

Häufig gestellte Fragen zur Behebung von E-Mail-Spoofing in WordPress

Das Beheben von WordPress-E-Mail-Spoofing ist ein Thema, das bei unseren Lesern echt beliebt ist. Hier sind ein paar Antworten auf häufig gestellte Fragen dazu:

Was ist E-Mail-Spoofing in WordPress?

E-Mail-Spoofing in WordPress passiert, wenn E-Mails so aussehen, als kämen sie von deiner Domain, aber keine richtige Authentifizierung haben. Das führt zu Zustellungsfehlern und Sicherheitsrisiken.

Das passiert, weil WordPress standardmäßig die einfache Mail-Funktion von PHP nutzt, die Nachrichten ohne SPF-, DKIM- oder DMARC-Authentifizierungsprotokolle verschickt, die die Echtheit der E-Mail bestätigen.

Wie kann ich herausfinden, ob meine WordPress-E-Mails gefälscht sind?

Achte auf diese Anzeichen:

Die Absendungen über das Kontaktformular kommen nicht bei den Leuten an.
E-Mails landen immer im Spam-Ordner.
Du bekommst Rückläufer wegen fehlgeschlagener Authentifizierung.
E-Mail-Anbieter zeigen Warnungen wegen „nicht verifizierter Absender“ an.
Deine Domain taucht in Phishing-Meldungen auf, die du nicht verschickt hast.

Probier's aus, indem du eine E-Mail an Gmail schickst und unter „Original anzeigen“ die SPF-, DKIM- und DMARC-Ergebnisse (PASS/FAIL) checkst.

Wie kann ich Probleme mit gefälschten E-Mails in WordPress beheben?

Installier das WP Mail SMTP-Plugin, richte es mit einem professionellen SMTP-Anbieter wie SendLayer ein, konfiguriere SPF-, DKIM- und DMARC-Einträge in deinem DNS, aktiviere die Einstellung „Force From Email“, um deine authentifizierte Domain-Adresse zu verwenden, und test die E-Mail-Authentifizierung mit der Testfunktion von WP Mail SMTP.

Können WordPress-Kontaktformulare zu E-Mail-Spoofing führen?

Ja, Kontaktformulare führen oft zu Spoofing, wenn sie die E-Mail-Adresse des Besuchers als Absender verwenden. Dadurch sieht es so aus, als hätte der Besucher die E-Mail direkt verschickt, anstatt dass deine Website die Nachricht weitergeleitet hat.

Behebe das Problem, indem du WP Mail SMTP mit aktivierter Option „Force From Email” verwendest und stattdessen die E-Mail-Adressen der Besucher im Feld „Reply-To” angibst.

Welche SMTP-Anbieter verhindern E-Mail-Spoofing bei WordPress?

Professionelle SMTP-Anbieter wie SendGrid, Mailgun, Amazon SES, Postmark und SMTP.com verhindern Spoofing, indem sie ordnungsgemäße Authentifizierung, DKIM-Signierung und eine Infrastruktur für die Zustellbarkeit bereitstellen.

Vermeide es, einfache Webmail-Anbieter wie persönliche Gmail-Konten zu nutzen, weil ihnen die für den Versand mit WordPress erforderlichen Authentifizierungsfunktionen fehlen.

Kann Shared Hosting zu Problemen mit gefälschten E-Mails in WordPress führen?

Ja, Shared Hosting führt oft zu Spoofing, weil mehrere Websites dieselbe Server-IP-Adresse nutzen, was die SPF-Authentifizierung schwierig macht. Außerdem richten die meisten Shared-Hosts DKIM nicht ein und bieten keine ordentliche E-Mail-Authentifizierung an.

Löse das Problem, indem du WP Mail SMTP mit einem eigenen E-Mail-Dienstleister nutzt, statt dich auf die Mailserver deines Hosting-Anbieters zu verlassen.

Als Nächstes lernst du, wie du E-Mail-Verzögerungen in WordPress beheben kannst.

Kommen deine WordPress-E-Mails mit 20 Minuten Verspätung an? Oder noch schlimmer: erst Stunden, nachdem jemand ein Formular abgeschickt oder den Kauf abgeschlossen hat? Schau dir diesen Leitfaden an, um zu erfahren, was die Verzögerungen auf deiner Website wirklich verursacht und wie du sie beheben kannst, damit deine E-Mails sofort verschickt werden.