Die besten Anbieter für DKIM- und SPF-Management

Veröffentlicht am:20. Januar 2026
15 Min. Lesezeit
Inhaltsverzeichnis
  1. Warum SPF- und DKIM-Management im Jahr 2026 wichtig ist
  2. SPF verstehen: Autorisierung, wer in Ihrem Namen senden darf
  3. DKIM verstehen: Nachweis der E-Mail-Integrität
  4. Wie DKIM und SPF mit DMARC zusammenarbeiten
  5. Worauf Sie bei einem SPF- und DKIM-Management-Anbieter achten sollten
  6. Der geschäftliche Nutzen von ordentlichem SPF- und DKIM-Management
  7. Vergleich von SPF- und DKIM-Management-Ansätzen
  8. SPF und DKIM implementieren: Ein praktischer Zeitplan
  9. Typische SPF- und DKIM-Fehlerquellen
  10. Quellen

Zusammenfassung für Führungskräfte: Dieser Leitfaden behandelt die nun verpflichtenden Anforderungen an SPF und DKIM zur E-Mail-Authentifizierung nach Durchsetzungsmaßnahmen von Google, Yahoo und Microsoft in den Jahren 2024-2025. Es wird erklärt, wie diese Protokolle zusammen mit DMARC dazu beitragen, Domains vor Spoofing zu schützen und die Zustellbarkeit von E-Mails zu gewährleisten. Zudem werden typische Fallstricke wie das SPF-Limit von 10 DNS-Lookups und unzureichende DKIM-Schlüsselrotation hervorgehoben.

Der Leitfaden stellt Red Sift OnDMARC als umfassende Lösung vor, die das Management durch Dynamic SPF und integriertes DKIM-Tracking vereinfacht und in der Regel eine vollständige DMARC-Durchsetzung innerhalb von 6 bis 8 Wochen ermöglicht.

Wichtige Erkenntnisse:

  • E-Mail-Authentifizierung ist nicht mehr optional: Google, Yahoo und Microsoft lehnen jetzt E-Mails von Massenversendern ab oder stellen sie in Quarantäne, wenn sie nicht mit SPF, DKIM und DMARC authentifiziert sind. Nichteinhaltung wirkt sich direkt auf die Zustellbarkeit und den Umsatz aus.
  • Das SPF-Limit von 10 Lookups überrascht die meisten Organisationen: Durch den Einsatz von nur 3–5 externen E-Mail-Diensten kann dieses Limit überschritten werden, was zu zufälligen Authentifizierungsfehlern führt. Dynamic SPF-Lösungen beseitigen dieses Problem ohne die Risiken manueller Flattening-Methoden.
  • DKIM-Schlüssel erfordern aktives Management: 2048-Bit-Schlüssel sind jetzt der Mindeststandard und M3AAWG empfiehlt eine Rotation alle sechs Monate. Viele Organisationen verwenden jedoch noch immer veraltete 1024-Bit-Schlüssel, was Sicherheitslücken erzeugt.
  • Alignment ist das fehlende Element: SPF und DKIM können beide bestehen, doch DMARC schlägt fehl, wenn keiner mit Ihrer sichtbaren "From"-Domain übereinstimmt. Daher ist das DKIM-Alignment besonders für Massenversender entscheidend, weil es Weiterleitungen meist besser übersteht als SPF.

SPF und DKIM korrekt einzurichten, ist inzwischen Pflicht. Seit Google, Yahoo und Microsoft strenge Authentifizierungsanforderungen für Massenversender durchsetzen, riskieren Organisationen ohne professionelles Management dieser Protokolle Zustellfehler, Sicherheitslücken und möglichen Markenschaden.

Anbietervergleich und Hauptfunktionen

Funktion

Red Sift OnDMARC

EasyDMARC

Vailmail

dmarcian

Sendmarc

Dynamic SPF (Behebung des 10-Lookup-Limits)

✓ (Flattening)

✓ (Align)

✓ (Flattening)

DKIM-Schlüsselmanagement

Begrenzt

Automatisierte DKIM-Rotation

DMARC-Berichterstattung

DNS-Record-Management

✓ (All-in-One-Dashboard)

BIMI-Unterstützung

✓ (integriertes VMC oder CMC)

Zeit bis zur Durchsetzung

6–8 Wochen

8–12 Wochen

8–12 Wochen

Selbstbedienung

16 Wochen+

Ideal für

Vollständige E-Mail-Authentifizierung für Unternehmen jeder Größe

KMU/Mittelstand

Unternehmen (Enterprise)

Do-it-yourself/Technische Teams

Mittelstand, kleine Teams

Startpreis

Ab $9

Individuelle Preisgestaltung

Enterprise-Preise

Individuelle Preisgestaltung

Individuelle Preisgestaltung

Tabelle aufklappen, um den gesamten Text zu sehen

Warum SPF- und DKIM-Management im Jahr 2026 wichtig ist

Schätzungsweise 3,4 Milliarden Phishing-E-Mails werden jeden Tag versendet [1]. E-Mail bleibt die bevorzugte Angriffsfläche für Cyberkriminelle, wobei 94 % der Malware über E-Mail-Anhänge zugestellt werden [2]. Genau deshalb haben große Posteingangsanbieter die Grenze gezogen.

Seit Februar 2024 verlangen Google und Yahoo von Massenversendern (5.000+ E-Mails pro Tag), dass sie ihre E-Mails mit SPF und DKIM authentifizieren, wobei mindestens eines für DMARC-Compliance ausgerichtet sein muss [3]. Microsoft folgte im Mai 2025 und lehnt nicht konforme E-Mails nun generell ab [4]. Das sind keine Empfehlungen, sondern verbindliche Anforderungen.

Dieser Leitfaden behandelt:

  • Wie SPF und DKIM zusammenarbeiten, um Ihre E-Mail zu authentifizieren
  • Typische Fallstricke, die SPF und DKIM brechen (und wie man sie behebt)
  • Worauf Sie bei einem Anbieter für E-Mail-Authentifizierung achten sollten
  • Warum DMARC alles miteinander verbindet
  • Wie Red Sift OnDMARC den gesamten Prozess vereinfacht

SPF verstehen: Autorisierung, wer in Ihrem Namen senden darf

Sender Policy Framework (SPF) ist die Gästeliste Ihrer Domain für das Versenden von E-Mails. Es handelt sich um einen DNS-Eintrag, der empfangenden Servern mitteilt, welche IP-Adressen autorisiert sind, E-Mails im Namen Ihrer Domain zu versenden [5].

Wenn eine E-Mail eintrifft, prüft der empfangende Server den SPF-Eintrag der Domain aus der Return-Path-Adresse. Passt die sendende IP zu einer auf der Liste, besteht der SPF-Test. Andernfalls schlägt er fehl.

Das SPF-Limit von 10 DNS-Lookups

SPF hat eine entscheidende Einschränkung, die die meisten Organisationen ins Stolpern bringt: das Limit von 10 DNS-Lookups [6]. Jeder include-, a-, mx-, ptr- und redirect-Mechanismus in Ihrem SPF-Record zählt zu diesem Limit. Überschreiten Sie dieses, antworten empfangende Server mit "permerror" und Ihre E-Mails scheitern sporadisch an der Authentifizierung.

So summieren sich die Lookups schnell:

  • Google Workspace: 4 DNS-Lookups
  • Microsoft 365: 2–3 DNS-Lookups
  • Marketing-Automation-Plattformen: 3–7 DNS-Lookups jeweils
  • CRM-E-Mailing: 2–4 DNS-Lookups

Die meisten mittelgroßen Organisationen nutzen mindestens 3–5 Tools, die in ihrem Namen E-Mails versenden. Sie überschreiten also schnell die Grenze von 10 Lookups.

Typische Ansätze zur Behebung des SPF-Lookup-Limits

  • SPF-Flattening wandelt Hostnamen in IP-Adressen um, die nicht gegen das Lookup-Limit zählen. Das Problem: E-Mail-Dienstleister aktualisieren ihre IPs oft. Dadurch veraltet Ihr geflatteter Eintrag und die Authentifizierung schlägt fehl [7].
  • SPF-Makros bieten eine ausgefeiltere Lösung, indem sie Lookups zur Abfragezeit dynamisch auflösen. Allerdings unterstützen manche alten Infrastrukturen Makros nicht vollständig, was zu inkonsistenten Ergebnissen führt [8].
  • Subdomain-Delegation erstellt separate SPF-Records für einzelne Versanddienste auf Subdomains. Das funktioniert, führt jedoch dazu, dass Ihre "From"-Adresse die Subdomain anzeigt und nicht Ihre Hauptdomain.
  • Dynamic SPF-Lösungen wie Red Sift's Dynamic SPF bündeln alle autorisierten Absender in einem einzigen Include, der zur Abfragezeit aufgelöst wird. Keine manuellen DNS-Updates, keine Kompatibilitätsprobleme mit Makros und keine Subdomain-Komplexität.

SPF-Best Practices

Empfehlungen nach M3AAWG [9]:

  • SPF-Records für alle sendenden Domains veröffentlichen, auch für geparkte Domains
  • Statt -all besser ~all (softfail) nutzen, damit DMARC die Prüfung übernimmt
  • SPF-Records vierteljährlich prüfen und ungenutzte Includes entfernen
  • Den Überblick über alle Drittanbieter-Dienste behalten, die in Ihrem Namen senden
  • Änderungen zuerst im Überwachungsmodus testen, bevor Enforcement aktiviert wird

DKIM verstehen: Nachweis der E-Mail-Integrität

DomainKeys Identified Mail (DKIM) fügt ausgehenden E-Mails eine kryptografische Signatur hinzu [10]. Diese Signatur beweist: Erstens stammt die E-Mail tatsächlich von Ihrer Domain und zweitens wurde sie unterwegs nicht manipuliert.

Beim Versand erstellt Ihr Mailserver mit dem privaten Schlüssel eine individuelle Signatur. Diese wird im E-Mail-Header hinterlegt. Der empfangende Server holt sich den öffentlichen Schlüssel aus dem DNS und prüft damit die Signatur.

Herausforderungen beim DKIM-Schlüsselmanagement

Schlüsselstärke ist ausschlaggebend. 1024-Bit-Schlüssel galten jahrelang als Standard, sind mittlerweile aber nicht mehr sicher. 2048-Bit-RSA-Schlüssel sind jetzt das empfohlene Minimum [11]. Manche Organisationen setzen bereits auf 4096-Bit-Schlüssel für zusätzliche Sicherheit.

Schlüsselrotation ist Pflicht. DKIM-Schlüssel sollten laut M3AAWG mindestens alle sechs Monate gewechselt werden [12]. Risikoreiche Versender wie Banken sollten monatlich rotieren. Dennoch belassen viele Unternehmen DKIM nach einmaligem Setup jahrelang unverändert. Sicherheitsforscher fanden noch 2024 genutzte 1024-Bit-Schlüssel aus 2015 [13].

Selector-Benennungskonventionen helfen, nachzuvollziehen, welcher Schlüssel aktiv ist. Prägnante Selector wie "jan2026" erleichtern die Auditierung und erkennen, welche Dienste mit welchen Schlüsseln signieren [14].

DKIM-Best Practices

  • Mindestens 2048-Bit-Schlüssel verwenden (sofort von 1024 Bit migrieren)
  • Schlüssel mindestens alle sechs Monate rotieren
  • Während der Rotation zwei aktive Schlüssel vorhalten, um Authentifizierungslücken zu vermeiden
  • Alle ausgehenden E-Mails signieren, auch transaktionale Nachrichten
  • DKIM-Signatur-Domain für DMARC mit Ihrer "From"-Domain ausrichten
  • Getrennte Selector für unterschiedliche Versanddienste nutzen
  • Rotation und Selector-Benennung dokumentieren

Wie DKIM und SPF mit DMARC zusammenarbeiten

SPF und DKIM sind essenziell, aber nicht für das Zusammenspiel konzipiert – hier kommt DMARC (Domain-based Message Authentication, Reporting, and Conformance) ins Spiel.

DMARC verlangt, dass mindestens SPF oder DKIM bestehen UND mit der Domain im "From"-Header übereinstimmen [15]. Genau hier liegt der Unterschied: SPF und DKIM können für sich genommen bestehen. Passen sie aber nicht zur sichtbaren "From"-Domain, scheitert DMARC.

Warum Alignment entscheidend ist

SPF-Alignment bedeutet, dass die Domain im Return-Path (Envelope Sender) mit der Domain im "From"-Header übereinstimmt. Viele Drittanbieterdienste nutzen eigene Return-Path-Domains fürs Bounce-Handling und brechen dadurch das Alignment.

DKIM-Alignment bedeutet, dass die Domain im DKIM-Signature-Eintrag (d=) mit der "From"-Domain übereinstimmt. DKIM-Alignment ist meist verlässlicher, da es E-Mail-Weiterleitungen besser übersteht als SPF.

Deshalb verlangen Google, Yahoo und Microsoft explizit DKIM von Massenversendern. SPF allein genügt den neuen Standards nicht mehr.

Der Weg von Monitoring bis Enforcement

DMARC-Policies durchlaufen drei Stufen:

  • p=none: Nur Überwachung. Berichte erhalten, Zustellung wird nicht beeinflusst.
  • p=quarantine: Fehlgeschlagene E-Mails landen im Spam/Junk-Ordner.
  • p=reject: Fehlgeschlagene E-Mails werden komplett blockiert.

Der Schritt von Monitoring zu Enforcement dauert meistens 4–8 Wochen [16]. In dieser Zeit sollten Unternehmen alle legitimen Versender identifizieren, SPF/DKIM korrekt konfigurieren und Alignment-Probleme lösen, bevor sie Enforcement aktivieren.

Sehen Sie Ihre aktuelle SPF-, DKIM- und DMARC-Konfiguration kostenlos mit Red Sift Investigate.

Ergebnis jetzt abrufen

Worauf Sie bei einem SPF- und DKIM-Management-Anbieter achten sollten

Dynamisches SPF-Management

Ihr Anbieter sollte das 10-DNS-Lookup-Limit lösen, ohne neue Probleme zu schaffen. Lösungen, die auf manuelles Flattening setzen, brechen, wenn sich IP-Adressen ändern. Makro-basierte Lösungen funktionieren nicht mit jeder Empfängerinfrastruktur.

Red Sift OnDMARC's Dynamic SPF verwendet ein dynamisches Include, das alle zugelassenen Absender zur Abfragezeit authentifiziert. Keine manuellen DNS-Updates, keine Makro-Sorgen und keine zufälligen Authentifizierungsfehler.

DKIM-Schlüssellebenszyklus-Management

Achten Sie auf Anbieter, die:

  • 2048-Bit-Schlüssel (idealerweise auch 4096-Bit) unterstützen
  • Die Schlüsselrotation nach definiertem Zeitplan automatisieren
  • Mehrere aktive Schlüssel während Übergängen verwalten
  • Selector-Nutzung über alle Dienste hinweg überwachen
  • Bei schwachen oder bald ablaufenden Schlüsseln warnen

Integrierte DMARC-Berichte

SPF und DKIM dienen dazu, DMARC durchzusetzen. Ihr Anbieter sollte bieten:

  • Aggregierte Berichte zu Authentifizierungsquoten
  • Forensische Berichte mit Details zu Fehlerfällen
  • Transparenz, welche Dienste korrekt authentifizieren (und welche nicht)
  • Handlungsanweisungen zur Fehlerbehebung

Vereinheitlichtes DNS-Management

Das Management von SPF-, DKIM- und DMARC-Records erfordert regelmäßige DNS-Änderungen. Anbieter, bei denen Sie alles zentral verwalten, eliminieren den Bedarf für zusätzlichen DNS-Zugriff und minimieren Konfigurationsfehler.

Mit OnDMARC können Unternehmen SPF, DKIM, DMARC, BIMI und MTA-STS über eine einzige Oberfläche konfigurieren. Einmal DNS ändern, alles weitere passiert in der Plattform.

Der geschäftliche Nutzen von ordentlichem SPF- und DKIM-Management

E-Mail-Authentifizierung ist kein technischer Haken mehr – sie hat direkten Einfluss auf Umsatz und IT-Sicherheit Ihres Unternehmens.

Zustellbarkeit und Umsatz

Fehlt SPF oder DKIM, erreichen Ihre E-Mails die Empfänger nicht. Marketingkampagnen greifen ins Leere, Vertrieb wird ignoriert, Kundenkommunikation landet im Spam. Die finanziellen Auswirkungen potenzieren sich rasch.

Die Rechnung: Schickt Ihr Unternehmen 50.000 E-Mails im Monat und eine 10%ige Zustellverlustquote durch schlechte Authentifizierung, sind das 5.000 nicht zugestellte Nachrichten. Im Vertrieb und Marketing bedeutet dies direkt weniger Chancen und Umsatz.

Wise, das internationale Geldtransferunternehmen, steigerte seine Zustellrate auf 99 %, nachdem OnDMARC eingesetzt wurde [20]. Dies gelang durch korrekte SPF- und DKIM-Konfiguration aller Versanddienste.

Sicherheit und Markenschutz

Phishing-Angriffe, die Ihre Domain vortäuschen, schädigen mehr als nur Ihren Ruf: Sie zerstören Vertrauen, führen zu Haftungsrisiken und ermöglichen BEC-Angriffe mit millionenschweren Schäden.

Das FBI registrierte 2024 rund 21.442 BEC-Vorfälle mit einem Schaden von 2,77 Milliarden US-Dollar [21]. Viele dieser Angriffe beginnen mit Domain-Spoofing, das durch E-Mail-Authentifizierung verhindert werden kann.

Ist Ihre Domain mit SPF, DKIM und DMARC geschützt, können Angreifer keine angeblich von Ihnen stammenden E-Mails versenden. Gefälschte Nachrichten werden vor Ihren Kunden, Partnern und Mitarbeitern blockiert.

Compliance und regulatorische Vorgaben

Behörden und Regulatoren fordern zunehmend E-Mail-Authentifizierung. NIST empfiehlt DMARC im US-Bundesstandard. Das UK National Cyber Security Centre (NCSC) rät ebenfalls dazu. Die Europäische Kommission hat eigene Empfehlungen für authentifizierte E-Mail-Kommunikation herausgegeben.

In regulierten Branchen wie Gesundheit und Finanzen ist korrekte E-Mail-Authentifizierung Pflicht und Teil der Sorgfaltspflicht zum Schutz vertraulicher Kommunikation.

Vergleich von SPF- und DKIM-Management-Ansätzen

Red Sift OnDMARC

OnDMARC verfolgt einen ganzheitlichen Ansatz für E-Mail-Authentifizierung und behandelt SPF, DKIM, DMARC integriert und nicht als Einzellösungen.

  • SPF-Management: Dynamic SPF beseitigt das 10-Lookup-Limit über ein einziges dynamisches Include. Alle autorisierten Absender werden über einen Mechanismus authentifiziert, der sich automatisch aktualisiert. Keine Makros für beste Kompatibilität mit älteren Infrastrukturen [17].
  • DKIM-Management: OnDMARC überwacht DKIM-Schlüssel aller Versanddienste, warnt bei schwachen oder fehlenden Signaturen und gibt Hinweise zur korrekten Konfiguration. Die Plattform integriert sich mit führenden E-Mail-Providern für unkomplizierten DKIM-Setup.
  • DMARC-Enforcement: OnDMARC-Nutzer erreichen im Durchschnitt nach 6–8 Wochen vollständige DMARC-Durchsetzung (p=reject oder p=quarantine) [18]. Laufende Analyse und Handlungsempfehlungen inklusive.
  • Über die E-Mail-Authentifizierung hinaus: OnDMARC enthält DNS Guardian zum Monitoring von Subdomain-Übernahmen und SubdoMailing-Angriffen, sowie integrierte BIMI-Features für Markenlogos mit VMC-Unterstützung in Mail-Postfächern.

Punktlösungen und Alternativen

E-Mail-Provider wie SendGrid und Amazon SES übernehmen DKIM-Signierung für ihre eigenen Mails, nicht aber Ihr SPF-Management oder DMARC-Reports. Das übergreifende Management bleibt Ihre Aufgabe.

SPF-Flattening-Dienste wie AutoSPF und SafeSPF lösen das Lookup-Limit, Sie geben aber Ihre SPF-Infrastruktur aus der Hand. Serviceunterbrechungen betreffen Ihre E-Mail-Zustellung direkt.

Reine DMARC-Plattformen liefern nur Reporting und helfen nicht bei der eigentlichen SPF-/DKIM-Konfiguration. Sie sehen zwar Fehler, haben aber keine Werkzeuge zur dauerhaften Behebung.

Kostenlose Tools von MxToolbox, URIports u. a. prüfen Konfigurationen, bieten aber kein fortlaufendes Management, keine Automatisierung oder Unterstützung bei der Durchsetzung.

SPF und DKIM implementieren: Ein praktischer Zeitplan

Woche 1–2: Bestandsaufnahme

Identifizieren Sie zuerst alle Dienste, die im Namen Ihrer Domain E-Mails versenden. Dazu zählen:

  • Unternehmensmail (Microsoft 365, Google Workspace)
  • Marketing-Automation-Plattformen
  • CRM-Systeme mit E-Mail-Modul
  • Transaktionsmail-Dienste
  • HR- und Recruiting-Plattformen
  • Kunden-Support-Systeme
  • Finanz- und Buchhaltungssoftware

Prüfen Sie Ihren aktuellen SPF-Record auf überflüssige Includes und die Anzahl der DNS-Lookups. Kontrollieren Sie für jeden Dienst, ob DKIM eingerichtet ist.

Erstellen Sie ein Inventar aller Versanddienste, das folgende Informationen umfasst:

  • Dienstname und Anbieter
  • E-Mail-Volumen und Typ (Marketing, Transaktional, Intern)
  • Aktueller SPF-Include-Mechanismus
  • DKIM-Selector und Schlüssellänge
  • Alignment-Status (mit Ihrer From-Adresse ausgerichtet oder nicht)

Dieses Inventar dient als Grundlage für Ihre Authentifizierungs-Konfiguration.

Woche 3–4: Konfiguration

Fügen Sie für jeden Versanddienst DKIM-Schlüssel hinzu bzw. aktualisieren Sie sie. Priorisieren Sie 2048-Bit-Schlüssel und halten Sie Ihre Selector-Benennungssystematik schriftlich fest.

Für DKIM-Konfiguration bei Hauptplattformen:

  • Microsoft 365: Verwenden Sie CNAME-Records zu Microsofts DKIM-Infrastruktur. Microsoft unterstützt automatische Rotation zwischen zwei Selectors.
  • Google Workspace: Generieren Sie Schlüssel über die Admin-Konsole und veröffentlichen Sie TXT-Records im DNS. Nutzen Sie ggf. eigene Selectors für leichtere Verwaltung.
  • Marketing-Plattformen: Meist werden CNAME- oder TXT-Records verlangt. Prüfen Sie, ob DKIM-Alignment mit Ihrer From-Domain unterstützt wird.

Optimieren Sie Ihren SPF-Record oder setzen Sie Dynamic SPF ein, um das Lookup-Limit einzuhalten und alle legitimen Absender zu autorisieren.

Veröffentlichen Sie einen DMARC-Eintrag mit p=none, um Berichte zu erhalten, ohne die Zustellung zu beeinflussen. Hinterlegen Sie als rua-Tag eine Mailadresse, die Sie kontrollieren (bzw. die Reporting-Adresse Ihres DMARC-Anbieters).

Woche 5–6: Überwachung und Nachbesserung

Überprüfen Sie DMARC-Berichte auf folgende Punkte:

  • Legitime Absender, die nicht korrekt authentifizieren
  • Alignment-Fehlschläge (SPF/DKIM bestehen, aber nicht ausgerichtet)
  • Unbekannte oder unerlaubte Sendetätigkeiten
  • Volumenmuster, die auf Spoofing schließen lassen

Beheben Sie Authentifizierungsprobleme für jeden Dienst. Manchmal ist Abstimmung mit Drittanbietern nötig, etwa für individuelles DKIM-Signing oder Anpassungen der Return-Path-Domain.

Häufig auftretende Probleme:

  • Drittanbieter signieren mit ihrer eigenen Domain statt Ihrer
  • Marketing-Plattformen nutzen Return-Paths, die SPF-Alignment brechen
  • Altsysteme ohne DKIM-Unterstützung
  • Shadow-IT-Dienste senden ohne Wissen des IT-Teams

Woche 7–8: Stufenweise Durchsetzung

Von p=none auf p=quarantine wechseln und beobachten, wie E-Mails im Spam landen. Die Durchsetzung zunächst mit pct-Tag (z. B. pct=10) schrittweise erhöhen.

Erhöhen Sie den Prozentsatz nach und nach, sobald Sicherheit besteht. Stimmen alle legitimen E-Mails, gehen Sie auf p=reject über.

Auch nach Durchsetzung sollten Sie kontinuierlich überwachen: Neue Dienste, Konfigurationsänderungen und Drittanbieter-Updates können Authentifizierung schnell aus dem Gleichgewicht bringen.

Typische SPF- und DKIM-Fehlerquellen

Szenario 1: Zufällige SPF-Fehler

  • Symptome: SPF besteht bei manchen Empfängern, schlägt bei anderen fehl. DMARC-Reports zeigen unterschiedliche SPF-Ergebnisse.
  • Wahrscheinliche Ursache: Das 10-Lookup-Limit wurde überschritten. Manche Empfangsserver machen den Check noch durch, bevor das Limit erreicht wird – andere brechen mit permerror ab.
  • Lösung: Prüfen Sie den SPF-Record auf unnötige Includes. Entfernen Sie Einträge nicht mehr verwendeter Dienste und setzen Sie Dynamic SPF oder Subdomain-Delegation ein.

Szenario 2: DKIM-Fehler nach Plattformwechsel

  • Symptome: Nach Umstellung des Mailing-Systems (z. B. neuer Marketingdienst) funktioniert DKIM nicht mehr.
  • Wahrscheinliche Ursache: Die alten DKIM-Schlüssel sind noch im DNS, das neue System nutzt aber andere Selectors oder es signiert nicht mit Ihrer Domain.
  • Lösung: Erstellen Sie die neuen DKIM-Schlüssel mithilfe der neuen Plattform und veröffentlichen Sie sie unter deren Selector im DNS. Überprüfen Sie, dass mit Ihrer Domain (d=) signiert wird und entfernen Sie die alten Schlüssel nach erfolgreicher Umstellung.

Szenario 3: Alignment-Fehler trotz bestandener SPF/DKIM-Prüfung

  • Symptome: DMARC-Reports zeigen, dass SPF und DKIM bestehen, DMARC aber nicht.
  • Wahrscheinliche Ursache: Weder SPF noch DKIM sind mit Ihrer From-Domain aligned – der Service authentifiziert sich nicht auf eine DMARC-konforme Weise.
  • Lösung: Prüfen Sie die Return-Path-Domain (für SPF-Alignment) sowie das d=-Feld in der DKIM-Signatur (für DKIM-Alignment). Passen Sie beide an Ihre From-Adresse an oder bitten Sie den Dienstleister darum.

Szenario 4: Ungültige DKIM-Signaturen

  • Symptome: DKIM-Prüfung schlägt fehl mit "invalid signature"-Fehlern. Der Schlüssel ist korrekt im DNS veröffentlicht.
  • Wahrscheinliche Ursache: Der Inhalt der E-Mail wurde während der Übertragung verändert. Mailinglisten, die Fußzeilen hinzufügen, E-Mail-Sicherheitsgateways, die URLs umschreiben, oder Weiterleitungsdienste können DKIM-Signaturen ungültig machen.
  • Lösung: Dies liegt oft außerhalb Ihrer Kontrolle. Stellen Sie sicher, dass Sie eine SPF-Ausrichtung als Fallback haben. Erwägen Sie die Implementierung von ARC (Authenticated Received Chain), wenn Sie die Organisation sind, die E-Mails während der Übertragung verändert.

Das Management von SPF und DKIM ist von einer Option zu einer Pflicht geworden. Google, Yahoo und Microsoft setzen inzwischen strenge Authentifizierungsstandards durch, und nicht-konforme E-Mails werden abgelehnt, anstatt nur schlechter zugestellt zu werden.

Die Herausforderungen sind real: Das 10-Lookup-Limit von SPF sorgt für ständigen Wartungsaufwand, DKIM-Schlüsselrotation erfordert sorgfältige Koordination, und die Ausrichtung aller Komponenten für DMARC bringt eine weitere Ebene an Komplexität.

Doch die Lösung muss nicht kompliziert sein. Plattformen wie Red Sift OnDMARC vereinen SPF-, DKIM- und DMARC-Management in einer einzigen Oberfläche, automatisieren die mühsamen Aufgaben und geben klare Anleitungen, wie man eine vollständige Durchsetzung erreicht.

Organisationen, die dies richtig umsetzen, schützen ihre Domains vor Spoofing, verbessern ihre E-Mail-Zustellbarkeit und sind den immer strengeren Anforderungen der Posteingangsanbieter einen Schritt voraus. Wer das nicht tut, wird feststellen, dass seine E-Mails im Spam landen – oder gar nicht mehr ankommen.

Erfahren Sie, warum Red Sift OnDMARC führend im Management von DKIM & SPF ist

Kurze Demo buchen

Quellen

[1] SalesHive. „DKIM, DMARC, SPF: Best Practices for Email Security and Deliverability in 2025.“ https://saleshive.com/blog/dkim-dmarc-spf-best-practices-email-security-deliverability/ 

[2] Verizon. „2024 Data Breach Investigations Report.“ https://www.verizon.com/business/resources/reports/dbir/ 

[3] Yahoo. „Sender Best Practices.“ https://senders.yahooinc.com/best-practices/ 

[4] Microsoft. „Strengthening Email Ecosystem: Outlook's New Requirements for High-Volume Senders.“ https://techcommunity.microsoft.com/blog/microsoftdefenderforoffice365blog/strengthening-email-ecosystem-outlook's-new-requirements-for-high‐volume-senders/4399730 

[5] IETF. „RFC 7208: Sender Policy Framework.“ https://datatracker.ietf.org/doc/html/rfc7208 

[6] Mailhardener. „The SPF Lookup Limit Explained.“ https://www.mailhardener.com/blog/spf-lookup-limit-explained 

[7] URIports. „SPF Macros: Overcoming the 10 DNS Lookup Limit.“ https://www.uriports.com/blog/spf-macros-max-10-dns-lookups/ 

[8] Mailhardener. „Do Not Flatten Your SPF Record.“ https://www.mailhardener.com/blog/do-not-flatten-spf 

[9] M3AAWG. „Email Authentication Recommended Best Practices.“ https://www.m3aawg.org/sites/default/files/m3aawg-email-authentication-recommended-best-practices-09-2020.pdf 

[10] IETF. „RFC 6376: DomainKeys Identified Mail Signatures.“ https://datatracker.ietf.org/doc/html/rfc6376 

[11] Twilio SendGrid. „2048 Bit DKIM Keys: Length and Best Practices.“ https://www.twilio.com/en-us/blog/insights/2048-bit-dkim-keys 

[12] M3AAWG. „DKIM Key Rotation Best Common Practices.“ https://www.m3aawg.org/DKIMKeyRotation 

[13] Suped. „How Often Should You Rotate Your DKIM Keys and What Key Length is Best.“ https://www.suped.com/knowledge/email-authentication/dmarc/how-often-should-you-rotate-your-dkim-keys-and-what-key-length-is-best 

[14] Mailgun. „How Can I Rotate My DKIM Key?“ https://help.mailgun.com/hc/en-us/articles/16956951504539-How-can-I-rotate-my-DKIM-key 

[15] IETF. „RFC 7489: Domain-based Message Authentication, Reporting, and Conformance.“ https://datatracker.ietf.org/doc/html/rfc7489 

[16] Red Sift. „OnDMARC.“ https://redsift.com/pulse-platform/ondmarc 

[17] Red Sift. „SPF, DKIM & DMARC: Essential Email Protocols Explained.“ https://redsift.com/guides/email-protocol-configuration-guide/all-you-need-to-know-about-spf-dkim-and-dmarc 

[18] Cisco. „Cisco Secure Email + Red Sift Domain Protection.“ https://docs.ces.cisco.com/docs/red-sift-cisco-secure-email 

[19] URIports. „SPF, DKIM, and DMARC Best Practices.“ https://www.uriports.com/blog/spf-dkim-dmarc-best-practices/ 

[20] Red Sift. „OnDMARC Customer Success.“ https://redsift.com/customers/customer-success 

[21] Bright Defense. „200+ Phishing Statistics for 2026.“ https://www.brightdefense.com/resources/phishing-statistics/ 

Häufig gestellte Fragen

Was passiert, wenn ich das SPF-Limit von 10 DNS-Lookups überschreite?

Empfangsserver geben ein „permerror“ zurück und beurteilen Ihr SPF als ungültig. Je nach Empfänger können Ihre E-Mails zugestellt, abgelehnt oder so behandelt werden, als gäbe es kein SPF. Dies führt zu einer inkonsistenten Zustellbarkeit, die schwer zu beheben ist.

Wie oft sollte ich DKIM-Schlüssel rotieren?

M3AAWG empfiehlt, DKIM-Schlüssel mindestens alle sechs Monate zu rotieren. Organisationen mit hohem Risiko (Finanzwesen, Behörden, Gesundheitswesen) sollten ggf. öfter, etwa monatlich, rotieren. Während der Rotation sollten immer zwei aktive Schlüssel vorhanden sein, um Authentifizierungsprobleme zu vermeiden.

Kann ich SPF oder DKIM auch ohne DMARC allein nutzen?

Sie können das tun, aber es erfüllt nicht die Anforderungen für Massensendungen an Gmail, Yahoo oder Microsoft. Diese Anbieter verlangen nun DMARC mit mindestens p=none. Ohne DMARC fehlt Ihnen außerdem die Transparenz darüber, wie Ihre Authentifizierung funktioniert oder ob Ihre Domain gefälscht wird.

Was ist der Unterschied zwischen SPF Hardfail (-all) und Softfail (~all)?

Hardfail (-all) fordert die Empfänger auf, E-Mails abzulehnen, die SPF nicht bestehen. Softfail (~all) signalisiert, dass die E-Mail als verdächtig behandelt, aber nicht automatisch abgewiesen werden soll. M3AAWG empfiehlt Softfail, da so DMARC zuerst DKIM prüfen kann, bevor endgültig entschieden wird. Hardfail kann dazu führen, dass legitime E-Mails noch vor der DKIM-Prüfung abgelehnt werden [19].

Woran erkenne ich, ob meine DKIM-Schlüssel stark genug sind?

Nutzen Sie ein DKIM Lookup Tool, um die Schlüssellänge zu prüfen. Schlüssel unter 1024 Bit sollten sofort ersetzt werden. Schlüssel mit 1024 Bit sollten auf 2048 Bit aktualisiert werden. Mit Red Sift Investigate können Sie Ihre DKIM-Konfiguration kostenlos prüfen.

Warum bestehen manche E-Mails SPF und DKIM, aber scheitern bei DMARC?

Dies ist ein Ausrichtungsproblem. DMARC verlangt, dass die Domain, die bei SPF oder DKIM besteht, mit der Domain in Ihrem sichtbaren "From"-Header übereinstimmt. Viele Drittanbieter authentifizieren mit ihrer eigenen Domain und nicht Ihrer, wodurch die Protokollprüfung zwar bestanden wird, die DMARC-Ausrichtung aber fehlschlägt.

Brauchen geparkte Domains SPF und DKIM?

Geparkte Domains, die keine E-Mails senden, sollten restriktive DNS-Einträge haben, um Spoofing zu verhindern. Veröffentlichen Sie einen SPF-Record mit v=spf1 -all und einen DMARC-Record mit p=reject. Da von diesen Domains keine legitimen E-Mails gesendet werden, können Sie den Schutz sofort aktivieren.

Wie lange dauert die vollständige DMARC-Durchsetzung?

Mit den richtigen Tools und Anleitungen erreichen Organisationen in der Regel in 6-8 Wochen die Durchsetzung. Komplexe Umgebungen mit vielen Versanddiensten benötigen oft länger. Entscheidend ist, dass Sie alle Absender im Blick haben und Authentifizierungsprobleme schnell beheben können.