FAQ & Hilfe

Deine Wissensquelle für Web, WordPress, Hosting, SEO & KI – seit über 22 Jahren in Salzburg, Österreich

SPF & DKIM einrichten: Dein Weckruf für 2026 – Schluss mit E-Mail-Betrug!

SPF & DKIM einrichten: Dein Weckruf für 2026 – Schluss mit E-Mail-Betrug!

Wach auf. Dein digitales Ich wird gerade entführt, und Du schläfst am Steuer. Du versendest Angebote, Rechnungen und wichtige Nachrichten, doch die landen direkt im digitalen Nirwana – dem Spam-Ordner. Oder schlimmer: Kriminelle versenden in Deinem Namen Phishing-Mails, ruinieren Deinen Ruf und Du merkst es nicht einmal. Du denkst, Deine E-Mails sind sicher? Falsch. Ohne SPF, DKIM und DMARC ist Dein E-Mail-Konto eine offene Einladung für jeden Betrüger im Netz.

Warum Deine E-Mails im Spam-Ordner sterben (und Du es nicht einmal merkst)

Du wunderst Dich, warum Kunden nicht auf Angebote reagieren? Warum Partner Deine Rechnungen „nie erhalten“ haben? Die brutale Wahrheit ist: Die großen E-Mail-Provider wie Google und Microsoft haben die Regeln geändert. Ohne eine saubere Authentifizierung wirst Du als potenzieller Betrüger eingestuft. Deine E-Mails werden nicht einmal mehr in den Spam-Ordner verschoben – sie werden einfach im digitalen Äther gelöscht.

Das Problem: E-Mail-Spoofing ist einfacher als Du denkst

Stell Dir vor, jemand könnte einfach Deinen Namen und Deine Adresse auf einen Brief schreiben und ihn verschicken. Genau das ist E-Mail-Spoofing. Es ist erschreckend einfach, die Absenderadresse einer E-Mail zu fälschen. Ein Angreifer kann E-Mails versenden, die so aussehen, als kämen sie direkt von Dir. Deine Kunden, Deine Partner, Deine Familie – sie alle können Ziel von Betrugsversuchen werden, die Deinen guten Namen missbrauchen. Die einzige Verteidigung dagegen ist eine lückenlose Authentifizierungskette. [1]

Die Konsequenz: Vertrauensverlust, geplatzte Deals und ein ruiniertes Image

Jede nicht zugestellte E-Mail ist ein potenzieller Verlust. Ein geplatzter Deal, eine unbezahlte Rechnung, ein verlorener Kunde. Noch schlimmer ist der Schaden, der durch Missbrauch Deiner Domain entsteht. Wenn Betrüger im Namen Deiner Firma agieren, ist der Vertrauensverlust irreparabel. Du wirst auf Blacklists landen, Deine Domain wird als Spam-Schleuder gebrandmarkt und der Weg zurück ist lang und steinig. Du hast Jahre damit verbracht, Dir einen Ruf aufzubauen – lass ihn nicht durch digitale Ignoranz zerstören.

SPF: Dein digitaler Türsteher – Wer darf für Dich sprechen?

Der erste Schritt zur Rettung Deiner digitalen Identität ist der Sender Policy Framework (SPF) Record. Stell ihn Dir als einen Türsteher für Deine Domain vor. Du erstellst eine Liste aller Server, die berechtigt sind, in Deinem Namen E-Mails zu versenden. Jeder andere wird abgewiesen.

Was ist ein SPF-Record und wie funktioniert er? (Einfach erklärt)

Ein SPF-Record ist ein einfacher TXT-Eintrag in den DNS-Einstellungen Deiner Domain. Wenn ein Mailserver eine E-Mail von Deiner Domain empfängt, schaut er in diesem Eintrag nach. Er prüft, ob die IP-Adresse des sendenden Servers auf Deiner „Gästeliste“ steht. Wenn ja, ist alles gut. Wenn nicht, wird die E-Mail als verdächtig markiert. So einfach ist das Prinzip, aber die Wirkung ist gewaltig. [2]

Dein SPF-Record in der Praxis: So erstellst Du ihn

Keine Panik, Du musst kein Code-Guru sein. Ein typischer SPF-Record sieht so aus. Du listest einfach die erlaubten Server auf. Das können die Server Deines Hosters sein, Dein E-Mail-Marketing-Tool oder Dein CRM-System.


v=spf1 a mx include:sendgrid.net include:_spf.google.com ~all

Was bedeutet das?

  • v=spf1: Definiert den Eintrag als SPF-Record der Version 1.
  • a: Erlaubt den Server, auf den Deine A-Record (Deine Webseite) zeigt.
  • mx: Erlaubt die Mailserver, die in Deinen MX-Records definiert sind.
  • include:: Fügt die erlaubten Server eines Drittanbieters hinzu (z.B. SendGrid für Newsletter oder Google Workspace).
  • ~all: Markiert E-Mails von allen anderen Quellen als „Soft Fail“ (verdächtig, aber nicht sofort blockieren). Für den Anfang eine sichere Wahl. Später solltest Du zu -all (Hard Fail) wechseln.

Du musst diesen Eintrag als TXT-Record für Deine Domain (z.B. mikas.at) in Deinem DNS-Panel hinterlegen.

DKIM: Das digitale Siegel – Ist diese E-Mail wirklich von Dir?

SPF ist gut, aber nicht genug. Ein Angreifer könnte immer noch den „sichtbaren“ Absender fälschen. Hier kommt DomainKeys Identified Mail (DKIM) ins Spiel. DKIM ist wie ein digitales, fälschungssicheres Wachssiegel auf Deinen E-Mails.

Was ist eine DKIM-Signatur? (Kein technisches Bla-Bla)

Mit DKIM wird jede ausgehende E-Mail mit einer einzigartigen, verschlüsselten Signatur versehen. Diese Signatur wird im E-Mail-Header versteckt. Der empfangende Server nutzt einen öffentlichen Schlüssel, den er in Deinen DNS-Einträgen findet, um die Signatur zu überprüfen. Stimmt sie überein, weiß der Server zwei Dinge: Erstens, die E-Mail kommt wirklich von einem autorisierten Server Deiner Domain. Zweitens, der Inhalt der E-Mail wurde auf dem Weg nicht manipuliert. [3]

So generierst und implementierst Du Deinen DKIM-Schlüssel

Die meisten Hoster und E-Mail-Provider (wie Google Workspace oder Microsoft 365) generieren den DKIM-Schlüssel für Dich. Du musst ihn nur noch in Deinem DNS aktivieren. Das Ergebnis ist ein weiterer TXT-Record, der aber komplexer aussieht. Er hat einen speziellen Namen, den sogenannten „Selektor“.


google._domainkey.deinedomain.at. IN TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9...dein...langer...schluessel...AQAB"

Du musst diesen Wert nicht verstehen. Kopiere ihn einfach aus Deinem E-Mail-Provider-Dashboard und füge ihn als TXT-Record mit dem korrekten Selektor-Namen (hier: google._domainkey) in Dein DNS ein.

Bist Du bereit, die Kontrolle über Deine E-Mail-Sicherheit zu übernehmen? Schluss mit der Unsicherheit. Auf unserer Seite zur E-Mail-Sicherheit zeigen wir Dir, wie Du Deine digitale Festung baust.

DMARC: Der General, der Deine E-Mail-Armee befehligt

Du hast jetzt einen Türsteher (SPF) und ein fälschungssicheres Siegel (DKIM). Jetzt brauchst Du einen General, der klare Anweisungen gibt, was mit ungebetenen Gästen passieren soll. Das ist Domain-based Message Authentication, Reporting and Conformance (DMARC).

Warum SPF und DKIM allein nicht ausreichen

SPF und DKIM authentifizieren, aber sie sagen dem empfangenden Server nicht, was er tun soll, wenn eine Prüfung fehlschlägt. Soll er die E-Mail trotzdem zustellen? In den Spam-Ordner verschieben? Oder komplett blockieren? DMARC beantwortet genau diese Frage. Außerdem gibt Dir DMARC wertvolle Berichte darüber, wer versucht, in Deinem Namen E-Mails zu versenden.

DMARC-Richtlinien: `none`, `quarantine` oder `reject` – Was Du wählen musst

Eine DMARC-Richtlinie (definiert durch das `p=` Tag) ist Dein Befehl an die Welt:

  • p=none: Die „Monitoring-Richtlinie“. Es passiert nichts, aber Du erhältst Berichte. Perfekt für den Anfang, um zu sehen, was los ist.
  • p=quarantine: Die „Spam-Ordner-Richtlinie“. E-Mails, die die Prüfung nicht bestehen, werden in den Spam-Ordner verschoben. Der zweite Schritt.
  • p=reject: Die „Blockieren-Richtlinie“. E-Mails, die fehlschlagen, werden komplett abgewiesen. Das ist das Endziel – die totale Kontrolle.

Dein DMARC-Eintrag: Das Kommandozentrum Deiner Domain

Auch DMARC ist nur ein TXT-Record. Er wird für die Adresse _dmarc.deinedomain.at erstellt.


v=DMARC1; p=none; rua=mailto:dmarc-reports@deinedomain.at; pct=100;

Was bedeutet das?

  • v=DMARC1: Definiert den Eintrag als DMARC-Record.
  • p=none: Setzt die Richtlinie auf „Monitoring“.
  • rua=mailto:dmarc-reports@deinedomain.at: Sendet die aggregierten Berichte an diese E-Mail-Adresse.
  • pct=100: Wendet die Richtlinie auf 100% der E-Mails an.

Schluss mit Ausreden: Deine Schritt-für-Schritt-Anleitung zur E-Mail-Festung

Hör auf zu zögern. Das ist keine Raketenwissenschaft. Du kannst das in unter 30 Minuten erledigen.

  1. Schritt 1: Deinen SPF-Record erstellen und veröffentlichen. Identifiziere alle Dienste, die für Dich E-Mails senden, und erstelle Deinen SPF-TXT-Record.
  2. Schritt 2: Deinen DKIM-Schlüssel generieren und im DNS hinterlegen. Aktiviere DKIM bei Deinem E-Mail-Provider und kopiere den TXT-Record in Dein DNS.
  3. Schritt 3: Deinen DMARC-Record mit `p=none` starten. Erstelle den DMARC-TXT-Record, um Berichte zu erhalten und Deine Konfiguration zu überwachen.

Nach ein paar Wochen Analyse kannst Du Deine DMARC-Richtlinie auf quarantine und schließlich auf reject verschärfen. Erst dann ist Deine Domain wirklich sicher.

Fazit: Handle jetzt, bevor es zu spät ist

Die Einrichtung von SPF, DKIM und DMARC ist keine Option mehr – es ist eine absolute Notwendigkeit für jeden, der seine digitale Kommunikation ernst nimmt. Du schützt nicht nur Deinen Ruf und Dein Geschäft, sondern auch Deine Kunden und Partner vor Betrug. Die Zeit der Ausreden ist vorbei. Übernimm die Kontrolle, baue Deine E-Mail-Festung und sorge dafür, dass Deine Nachrichten dort ankommen, wo sie hingehören: im Posteingang.

Hast Du genug vom digitalen Blindflug? Wenn Du professionelle Unterstützung bei der Einrichtung Deiner E-Mail-Sicherheit oder einer neuen professionellen E-Mail-Adresse benötigst, sind wir für Dich da. Kontaktiere uns jetzt und wir machen Deine E-Mail-Kommunikation kugelsicher.

Referenzen

[1] Cloudflare: So schützen Sie Domains, die keine E-Mails versenden

[2] Google Workspace Admin-Hilfe: SPF einrichten

[3] DMARC.org: Offizielle DMARC-Spezifikationen

0 Kommentare

Kommentar Schreiben

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

MIKAS ISP Werbe GmbH updates direkt ins Postfach

1–2 Mal pro Monat erhältst du relevante Infos zu Webhosting, WordPress, Servertechnik, Domains und KI-Lösungen.
Kurz, technisch sauber und auf den Punkt gebracht. Kein Spam, keine Weitergabe deiner Daten, Abmeldung jederzeit möglich.

Anmelden Abmelden