SPF, DKIM & DMARC — E-Mail-DNS-Authentifizierung
spf dkim dmarc dns · email authentication records · spf record check · dmarc txt record
Wie SPF-, DKIM- und DMARC-TXT-Einträge zusammenwirken, Beispielstrings, Alignment-Grundlagen und Mail-Auth mit DNS Checker prüfen.
Von DN01 Network Team
Moderne Zustellbarkeit hängt von drei TXT-basierten Standards ab: SPF listet, wer Mail für Ihre Domain senden darf, DKIM signiert Nachrichten kryptografisch, DMARC sagt Empfängern, wie Fehler behandelt und wohin Aggregate-Reports gehen.
Alle drei nach Onboarding von Google Workspace, Microsoft 365 oder SMTP-Relay veröffentlichen. Live-Werte mit dem DNS Checker prüfen, dann Reputation mit dem Blacklist Checker überwachen, wenn Bulk-Mail plötzlich deferrals zeigt.
SPF (Sender Policy Framework)
SPF-TXT am Apex sieht oft so aus: `v=spf1 include:_spf.google.com ~all`. Mechanismen: ip4, include, a, mx und all-Qualifier. Hard Fail (-all) ist strenger als Soft Fail (~all).
Nur ein SPF-TXT pro Name. Includes zusammenführen statt zweiten Eintrag hinzuzufügen. RFC 7208 dokumentiert Syntax und Limits (10 DNS-Lookups bei SPF-Auswertung).
DKIM (DomainKeys Identified Mail)
DKIM veröffentlicht einen Public Key in TXT unter `selector._domainkey.example.com`. Selektor kommt vom Mail-Provider. Keys rotieren — DNS aktualisieren, wenn das Panel neuen Selektor erzeugt.
Alignment bedeutet, dass Signatur-Domain zur From-Header-Domain passt (strict) oder zur Organisations-Domain (relaxed). Nicht ausgerichtetes DKIM verifiziert kryptografisch, erfüllt aber DMARC möglicherweise nicht.
DMARC (Domain-based Message Authentication)
DMARC lebt unter `_dmarc.example.com` als `v=DMARC1; p=none|quarantine|reject; rua=mailto:[email protected]`. Mit p=none starten, Reports sammeln, dann Policy verschärfen.
DMARC besteht nur, wenn SPF oder DKIM zur From-Domain passt und mindestens eines besteht. DMARC ohne SPF/DKIM zu fixen ist unmöglich — Auth zuerst konfigurieren.
Verifizierungs-Checkliste
Apex-TXT für SPF, Selektor-TXT für DKIM, `_dmarc` für Policy abfragen. Testmail an Postfach mit Authentication-Results-Header senden. Nach TTL erneut prüfen bei Key-Rotation.
DIG mit Typ TXT für rohe Multi-String-Antworten in Tickets nutzen.
| Standard | Ort | Beispiel-Snippet |
|---|---|---|
| SPF | example.com TXT | v=spf1 include:send.example.net -all |
| DKIM | s1._domainkey.example.com TXT | v=DKIM1; k=rsa; p=MIGfMA0G... |
| DMARC | _dmarc.example.com TXT | v=DMARC1; p=quarantine; pct=100; rua=mailto:[email protected] |
Häufig gestellte Fragen
- Können SPF und DKIM fehlschlagen, Mail aber trotzdem zugestellt werden?
Ja — Empfänger akzeptieren mit Spam-Scoring. DMARC-Policy bestimmt, ob Fehler Quarantäne oder Reject auslösen.
- Wie viele SPF-Includes sind zu viele?
Mehr als zehn DNS-Lookups bei SPF-Auswertung bricht SPF laut Spec. Includes flatten oder SPF-Makros vorsichtig nutzen.
- Brauche ich DMARC ab Tag eins?
Zuerst p=none mit Reporting veröffentlichen. Zu quarantine/reject wechseln, sobald SPF und DKIM zuverlässig alignen.
- Wo passt BIMI hin?
BIMI ist optionales Branding über DMARC mit p=quarantine oder reject und verifiziertem Mark-Zertifikat — außerhalb des Basis-Setups.