SPF, DKIM & DMARC einrichten: Ihre Schritt-für-Schritt-Anleitung für sichere E-Mails

Back

Damit Ihre geschäftlichen E-Mails nicht im Spam-Ordner landen und Ihre Domain nicht für Phishing missbraucht wird, sind drei Technologien essenziell: SPF, DKIM und DMARC. Diese Anleitung führt Sie durch die Einrichtung – auch ohne technisches Vorwissen.

Was bewirken die drei Technologien?

  • SPF sagt den Empfangsservern, welche Mailserver berechtigt sind, E-Mails von Ihrer Domain zu verschicken.

  • DKIM fügt jeder ausgehenden E-Mail eine digitale Unterschrift hinzu, die ihre Echtheit bestätigt.

  • DMARC definiert, was mit E-Mails geschehen soll, die SPF und/oder DKIM nicht bestehen, und liefert Berichte darüber.

Vorbereitung: Zugang zu Ihrem DNS-Manager

Alle Einstellungen werden als TXT-Records in den DNS-Einstellungen Ihrer Domain vorgenommen. Sie finden diesen Bereich typischerweise:

  • Im Kundenbereich Ihres Domain-Registrars (z.B. IONOS, GoDaddy)

  • Oder im Kundenbereich Ihres Hosting-Anbieters, wenn die DNS-Zone dort verwaltet wird

Schritt 1: SPF-Record einrichten

Der SPF-Record listet autorisierte Mailserver auf.

Was Sie brauchen:

  • Die Server-Adressen Ihres E-Mail-Anbieters (z.B. Ihr Hoster, Google Workspace, Microsoft 365)

Beispiel-Records für gängige Anbieter:

Für reines Hosting bei NexoraHost/üblichem Webhoster:

text

v=spf1 include:spf.your-hoster-domain.com ~all

(Ersetzen Sie spf.your-hoster-domain.com durch die SPF-Info Ihres Hosters - diese finden Sie in der Anleitung oder beim Support.)

Für Google Workspace:

text

v=spf1 include:_spf.google.com ~all

Für Microsoft 365:

text

v=spf1 include:spf.protection.outlook.com -all

So tragen Sie es ein:

  1. Gehen Sie zu den DNS-Einstellungen Ihrer Domain

  2. Erstellen Sie einen neuen TXT-Record

  3. Als Name/Host tragen Sie ein: @ oder Ihre Domain (z.B. ihrefirma.de)

  4. Als Wert/Content fügen Sie den SPF-String ein (siehe oben)

  5. Speichern Sie

Wichtig: Es darf nur EIN SPF-Record pro Domain existieren! Falls bereits einer vorhanden ist, müssen Sie ihn bearbeiten.

Schritt 2: DKIM einrichten

DKIM erstellt eine digitale Signatur mit einem privaten und öffentlichen Schlüssel.

Für Google Workspace oder Microsoft 365:

Diese Anbieter generieren den DKIM-Schlüssel für Sie:

Google Workspace:

  1. Gehen Sie in die Google Admin-Konsole

  2. Navigieren zu "Apps" → "Google Workspace" → "Gmail"

  3. Klicken Sie auf "E-Mail-Authentifizierung"

  4. Wählen Sie Ihre Domain und generieren Sie den DNS-Record

  5. Kopieren Sie den TXT-Record mit dem selector (z.B. google._domainkey)

  6. Tragen Sie diesen in Ihrem DNS-Manager ein

Microsoft 365:

  1. Gehen Sie zum Microsoft 365 Admin Center

  2. Navigieren zu "Einstellungen" → "Domains"

  3. Wählen Sie Ihre Domain und klicken auf "DNS-Einstellungen"

  4. Folgen Sie den Anweisungen zur DKIM-Einrichtung

Für Ihren Webhoster (z.B. NexoraHost):

  1. Suchen Sie im Kundenbereich nach "DKIM" oder "E-Mail-Authentifizierung"

  2. Oft können Sie DKIM mit einem Klick aktivieren

  3. Der Hoster generiert automatisch den benötigten TXT-Record

  4. Kopieren Sie diesen und fügen ihn in Ihren DNS-Manager ein

Typischer DKIM-Record sieht so aus:

text

v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC4...

Der Name enthält meist einen Selector: selector._domainkey.ihredomain.de

Schritt 3: DMARC-Record einrichten

DMARC nutzt SPF und DKIM und gibt Anweisungen, was bei einem Fehler geschehen soll.

Basis-Konfiguration für den Anfang:

Erstellen Sie diesen TXT-Record:

Name/Host: _dmarc
Wert/Content:

text

v=DMARC1; p=none; rua=mailto:dmarc-reports@ihredomain.de

Erklärung der Parameter:

  • p=none: Nur überwachen, keine E-Mails blockieren (empfohlen für den Start!)

  • rua: E-Mail-Adresse, an die Berichte gesendet werden (kann auch eine externe sein)

Fortgeschrittene Konfiguration (nach 2-4 Wochen):

Nachdem Sie Berichte analysiert haben, können Sie schärfen:

text

v=DMARC1; p=quarantine; pct=100; rua=mailto:dmarc-reports@ihredomain.de; ruf=mailto:dmarc-forensic@ihredomain.de

  • p=quarantine: Fehlgeschlagene E-Mails in Quarantäne/Spam verschieben

  • p=reject: Fehlgeschlagene E-Mails komplett ablehnen

  • pct=100: Regel gilt für 100% der E-Mails

  • ruf: Adresse für detaillierte Forensik-Berichte

Schritt 4: Prüfen Sie Ihre Konfiguration

Nachdem alle DNS-Einträge gesetzt sind (DNS-Änderungen können 24-48 Stunden benötigen), testen Sie:

Kostenlose Online-Tools:

  1. MXToolbox (mxtoolbox.com)

    • Gehen Sie zu "DMARC Lookup", "SPF Lookup" oder "DKIM Lookup"

    • Geben Sie Ihre Domain ein

  2. Google's Checktool (toolbox.googleapps.com/apps/checkmx/)

    • Prüft alle drei Technologien auf einmal

  3. DMARCian oder dmarcian.com

    • Ausführliche DMARC-Analyse

Praktischer Test:

Senden Sie Test-E-Mails an:

  • Ihr eigenes Gmail-Konto (Gmail zeigt Authentifizierungsdetails an)

  • mail-tester.com (detaillierte Analyse mit Punktzahl)

Häufige Fehler und Lösungen

❌ "Multiple SPF records found"

Lösung: Vereinigen Sie alle autorisierten Server in EINEM Record:

text

v=spf1 include:spf.protection.outlook.com include:spf.your-hoster.com ~all

❌ DKIM-Signatur fehlschlägt

Lösung:

  • Prüfen Sie, ob der öffentliche Schlüssel korrekt kopiert wurde

  • Warten Sie auf DNS-Propagation (bis zu 48 Stunden)

  • Stellen Sie sicher, dass Ihr Mailserver DKIM tatsächlich nutzt

❌ Keine DMARC-Berichte erhalten

Lösung:

  • Die Adresse in rua= muss existieren und E-Mails empfangen können

  • Berichte kommen oft nur täglich oder wöchentlich

  • Große Anbieter wie Google/Yahoo senden regelmäßig

Best Practices für den Betrieb

  1. Starten Sie mit p=none und analysieren Sie 2-4 Wochen lang die Berichte

  2. Prüfen Sie regelmäßig die DMARC-Berichte (automatisieren Sie dies mit Tools wie dmarcian.com)

  3. Aktualisieren Sie SPF, wenn Sie neue Dienste hinzufügen (z.B. Newsletter-Tool, CRM-System)

  4. Behalten Sie DKIM-Keys im Auge – einige Anbieter rotieren sie regelmäßig

  5. Steigern Sie langsam: none → quarantine → reject

Fazit

Die Einrichtung von SPF, DKIM und DMARC ist eine der wertvollsten Investitionen in Ihre digitale Reputation. Sie:

  • ✅ Reduzieren Spam- und Phishing-Vorfälle mit Ihrer Domain

  • ✅ Verbessern die Zustellbarkeit Ihrer E-Mails

  • ✅ Geben Ihnen Transparenz über den Missbrauch Ihrer Domain

Zeitaufwand: Die Erstkonfiguration dauert etwa 30-60 Minuten. Die langfristige Wartung nur wenige Minuten pro Monat.

Benötigen Sie persönliche Hilfe? Kontaktieren Sie unser Support-Team für individuelle Unterstützung bei der Einrichtung.

NexoraHost – Ihre E-Mails in sicheren Händen.

Published on 11.01.2026 - 361 views

More blog articles

5 Hosting-Kostenfallen, die du vermeiden solltest – und wie du wirklich sparst

  Du suchst nach einem neuen Server oder Webhosting und wirst von günstigen Lockangeboten überschüttet? Vorsicht – was auf den ersten Blick wie ein Schnäppchen aussieht, kann langfristig zu einer teuren Überraschung werden. Wir zeigen d...

08.01.2026 Read more

Was ist eigentlich... Webspace? Einfach erklärt (nicht nur für Oma!)

Was ist eigentlich... Webspace? Einfach erklärt (nicht nur für Oma!) Hast du schon mal von Webspace gehört und gedacht: "Was soll das sein?" Keine Sorge, du bist nicht allein. Viele Leute wissen nicht, was das ist - dabei nutzen sie es jeden Tag....

08.01.2026 Read more

Minecraft Server einrichten 2026: Der komplette Guide für Paper, Forge & Vanilla

Du hast bereits erste Erfahrungen mit Minecraft Servern gesammelt und möchtest jetzt deinen eigenen, professionellen Server aufsetzen? Egal ob du mit Mods, Plugins oder im klassischen Vanilla-Stil spielen willst – dieser Guide führt dich durch die wichtigsten...

08.01.2026 Read more