SPF, DKIM und DMARC einrichten
Schritt-für-Schritt-Anleitung für Ihre eigene Domain. Mit konkreten Beispielen für Schweizer Mail-Provider (Infomaniak, ProtonMail, Microsoft 365). In ungefähr 2 Stunden setzen Sie alles auf, was Ihre E-Mails davor bewahrt, im Spam zu landen.
Bevor Sie anfangen
- Zugang zum DNS-Verwaltungstool Ihres Domain-Anbieters (Hostpoint, cyon, Infomaniak, Cloudflare, etc.)
- Zugang zum Backend Ihres Mail-Providers für DKIM-Aktivierung
- Eine Test-E-Mail-Adresse bei Gmail oder Outlook (für Zustellungs-Tests)
- Geduld für DNS-Propagation (5 Min. bis 24 Std.)
- Optional: ein DMARC-Report-Aggregator-Account (dmarc.postmarkapp.com ist kostenlos)
Aktuellen Zustand prüfen
Gehen Sie auf mail-tester.com. Schicken Sie eine ganz normale E-Mail an die dort angezeigte Test-Adresse, von Ihrer Geschäftsmail aus.
Klicken Sie auf Then check your score. Sie kriegen einen Score von 0 bis 10 plus einen detaillierten Bericht. Notieren Sie sich SPF/DKIM/DMARC-Status. Score unter 8 = Problem.
Optional: bei mxtoolbox.com Ihre Domain prüfen. Klick auf MX Lookup, dann SPF Record Lookup, dann DMARC Lookup. Notieren Sie was da steht.
$ nslookup -type=TXT yourcompany.ch $ nslookup -type=TXT _dmarc.yourcompany.ch
SPF-Record einrichten
Loggen Sie sich beim DNS-Provider ein (Hostpoint, cyon, Infomaniak, Cloudflare etc.). Suchen Sie den DNS-Editor für Ihre Domain.
Wenn schon ein SPF-Record (TXT-Record mit v=spf1) existiert, prüfen Sie ihn. Mehrere SPF-Records sind verboten nach Spezifikation, also einen zusammenfassen.
Neuer Record: Type TXT, Host @ (oder leer für Root), Value v=spf1 include:_spf.protonmail.ch -all (für ProtonMail). Für Infomaniak: v=spf1 include:_spf.infomaniak.ch -all. Microsoft 365: v=spf1 include:spf.protection.outlook.com -all.
Wichtig: -all am Ende (hard fail). Mit ~all (soft fail) ignorieren manche Server die Regel.
TXT @ v=spf1 include:_spf.protonmail.ch -all
DKIM-Schlüssel aktivieren
Im Backend Ihres Mail-Providers DKIM-Einstellungen suchen. Bei ProtonMail: Settings → Domains → Ihre Domain → DKIM. Bei Infomaniak: Mail-Hosting → Domain → DKIM-Schlüssel.
DKIM einschalten. Der Provider zeigt Ihnen einen öffentlichen Schlüssel und einen Selector (z.B. protonmail._domainkey oder default._domainkey).
Diesen Schlüssel als TXT-Record im DNS eintragen. Host = der Selector mit ._domainkey Suffix, Value = der lange p=...-String den Sie kopieren.
Im Mail-Provider-Backend nach 5 bis 30 Minuten verifizieren. Provider zeigt grünen Status, sobald DNS propagiert ist.
TXT protonmail._domainkey v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUA...
DMARC-Policy mit Monitoring starten
DMARC-Record im DNS anlegen. Type TXT, Host _dmarc, Value v=DMARC1; p=none; rua=mailto:dmarc@ihrefirma.ch.
p=none bedeutet: empfangende Server liefern Reports, machen aber keine Mails kaputt. Das ist die sichere Start-Konfiguration.
Optional: einen DMARC-Report-Aggregator wie dmarc.postmarkapp.com (kostenlos) statt der eigenen E-Mail-Adresse als rua. Die Provider-Reports sind sonst kaum lesbares XML.
Mindestens 2 Wochen mit p=none laufen lassen. Berichte zeigen, ob alle legitimen Sender (Newsletter-Tools, CRM, Buchhaltung) authentifiziert werden.
TXT _dmarc v=DMARC1; p=none; rua=mailto:dmarc@yourcompany.ch; pct=100
DMARC schrittweise verschärfen
Nach 2 Wochen p=none: Wenn alle Berichte zeigen dass legitime Mails durchgehen, von p=none auf p=quarantine; pct=10 wechseln. Das stuft 10 % der scheiternden Mails als Spam ein.
Eine Woche beobachten. Wenn alles ok, pct schrittweise hochfahren auf 25, 50, 100.
Wenn quarantine 100 % stabil läuft (etwa nach einem Monat), auf p=reject wechseln. Damit werden gefälschte Mails von Ihrer Domain hart abgelehnt.
Wichtig: Schritte nicht überspringen. Direkt p=reject ohne Beobachtung kann legitime Newsletter blockieren.
TXT _dmarc v=DMARC1; p=reject; rua=mailto:dmarc@yourcompany.ch; sp=reject; adkim=s; aspf=s
Verifikation und langfristiges Monitoring
Auf mail-tester.com erneut testen. Score sollte jetzt 9 oder 10 sein.
Google Postmaster Tools für Ihre Domain einrichten (postmaster.google.com). Verifiziert via TXT-Record. Zeigt Spam-Rate und Authentifizierung über Wochen.
Optional: Microsoft SNDS für Outlook-Zustellung (sendersupport.olc.protection.outlook.com).
DMARC-Reports einmal pro Monat anschauen (oder im Aggregator-Dashboard). Neue Sender, die plötzlich scheitern, sind oft kompromittierte Konten oder Phishing-Versuche.
Häufige Fehler vermeiden
Mehrere SPF-Records
Pro Domain darf es nur einen SPF-Record geben. Mehrere führen dazu, dass alle ignoriert werden. Alle Provider-Includes in einen einzigen SPF-Record packen.
Sofort p=reject
Direkt DMARC reject ohne Monitoring kann legitime Newsletter, Buchhaltungs-Mails oder CRM-Versand blockieren. Immer mit p=none anfangen, dann schrittweise verschärfen.
Falsche DKIM-Selector
Der Selector muss exakt dem entsprechen, den der Mail-Provider vorgibt. Tippfehler kommen oft vor. Im DNS auch ._domainkey nicht vergessen.
Alte SPF/DKIM nach Provider-Wechsel
Beim Wechsel von Bluewin auf ProtonMail bleiben alte SPF-Records oft stehen und listen alte Server. Lösung: alte komplett ersetzen, nicht ergänzen.
Was wenn etwas nicht klappt?
mail-tester.com Score bleibt unter 8
Detaillierten Bericht durchgehen. Oft fehlt der DKIM-Schlüssel (im Mail-Provider-Backend prüfen) oder SPF endet mit ~all statt -all.
DKIM verifiziert nicht im Backend
DNS-Propagation kann bis 24 Stunden dauern. Mit dig oder MXToolbox prüfen, ob der TXT-Record wirklich da ist. Bei Cloudflare als DNS-Anbieter darauf achten, dass der TXT-Record nicht durch den Proxy läuft (Wolke aus).
DMARC-Reports kommen nicht an
rua-Adresse muss erreichbar sein und Mails von beliebigen Sendern empfangen. Bei sehr strengen Spam-Filtern eigenen Postfach-Alias dafür anlegen. Erste Reports kommen meist 24-48 Std. nach Aktivierung.
Newsletter werden nach p=reject blockiert
Newsletter-Tool prüfen, ob es DKIM-Signing für Ihre Domain unterstützt. Mailchimp, Brevo, ConvertKit alle ja. Wenn nicht: zurück auf p=quarantine bis das Tool ersetzt oder konfiguriert ist.
Lieber von uns einrichten lassen?
Spart Zeit und vermeidet die typischen Anfänger-Fehler. Wir machen Diagnose, Setup und 2-Wochen-Monitoring in einem Rutsch.
Verwandte Anleitungen und Services
Vertiefen oder direkt machen lassen.
Häufige Fragen
Wie lange dauert die Einrichtung wirklich?
Aktive Arbeit etwa 2 Stunden. Dazu kommen DNS-Propagation (5 Min. bis 24 Std.) und das Monitoring von 2 Wochen bei p=none plus 4 Wochen schrittweise Verschärfung.
Was passiert wenn SPF falsch ist?
Mails landen verstärkt im Spam oder werden komplett abgelehnt. Gmail markiert seit 2024 jede Mail mit fehlendem oder falschem SPF als verdächtig.
Brauche ich für jede Subdomain eigene Records?
DMARC vererbt sich auf Subdomains, ausser Sie überschreiben. SPF und DKIM gelten pro genauer Domain. Subdomains die selbst Mails versenden brauchen eigene Records.
Was kostet die professionelle Einrichtung?
Bei AmuraDesign zwischen CHF 230 (Basic) und CHF 340 (mit Vor-Diagnose und 2 Wochen Monitoring). Spart Zeit und die typischen Anfängerfehler.
Welcher Selector für DKIM?
Das gibt Ihr Mail-Provider vor. ProtonMail = protonmail, Infomaniak = default oder zufälliger String, Microsoft 365 = selector1 und selector2.