Brauche ich wirklich alle drei: SPF, DKIM und DMARC?

Ja. Jeder der drei macht einen anderen Job. SPF sagt, welche Server senden dürfen. DKIM beweist, dass die Mail unterwegs nicht verändert wurde. DMARC sagt, was passieren soll, wenn SPF oder DKIM scheitern. Nur alle drei zusammen ergeben einen brauchbaren Schutz.

Was kostet die Einrichtung von SPF, DKIM und DMARC?

Wenn Sie es selbst machen, gar nichts, ausser ein paar Stunden Zeit und etwas Geduld. Wenn Sie es jemanden einrichten lassen, liegen die Kosten bei einem typischen KMU-Setup zwischen CHF 230 und CHF 340.

Wie schnell wirken DMARC-Änderungen?

Die DNS-Änderung selbst ist nach 1 bis 24 Stunden überall sichtbar. Die Wirkung im Posteingang Ihrer Empfänger zeigt sich nach 2 bis 7 Tagen, weil Provider Reputation langsam aufbauen oder abbauen.

E-Mail Sicherheit

SPF, DKIM und DMARC. Was die Abkürzungen wirklich bedeuten

Drei DNS-Einträge, über die niemand spricht, bis die Mails nicht mehr ankommen.

Von AmuraDesign•8. März 2026•7 Min. Lesezeit

Vor zwei Wochen schrieb ich darüber, warum Mails nicht ankommen. Dort tauchten ständig drei Abkürzungen auf: SPF, DKIM, DMARC. Ich habe gemerkt, dass viele Leute das überlesen, als wären es exotische IT-Themen. Sind sie aber nicht. Wenn Sie Mails von einer Geschäftsadresse verschicken, betrifft Sie das direkt.

Ich versuche, die drei so zu erklären, wie ich es bei Kunden tue. Mit Bildern aus dem Alltag. Ohne Code, ohne RFC-Nummern.

SPF: Die Türsteher-Liste

Stellen Sie sich Ihre Domain als Klub vor. SPF (Sender Policy Framework) ist eine Liste am Eingang, auf der steht, welche Mail-Server in Ihrem Namen Mails verschicken dürfen.

Wenn jemand behauptet, eine Mail komme von Ihrer Domain, prüft der empfangende Server: Steht der absendende Server auf der Liste? Ja: durchgewunken. Nein: verdächtig.

Ein typischer SPF-Eintrag sieht etwa so aus:

v=spf1 include:_spf.protonmail.ch -all

Übersetzt heisst das: «Erlaubt sind die Server von ProtonMail, alle anderen sind abgelehnt.» Das kleine -all am Ende ist wichtig. Es ist die harte Tür. Mit ~all wäre es nur ein freundlicher Hinweis, mit ?all wäre es gar nichts.

Der häufigste Fehler: Ein KMU hat den Mail-Provider gewechselt, aber der SPF-Record listet noch den alten Provider. Ergebnis: Die neuen Mails kommen von einem Server, der nicht auf der Liste steht, und landen im Spam.

DKIM: Das Wachs-Siegel

DKIM (DomainKeys Identified Mail) löst ein anderes Problem. SPF prüft nur, ob der Absender-Server berechtigt ist. Aber wer garantiert, dass jemand unterwegs den Inhalt nicht verändert hat?

Dafür gibt es DKIM. Stellen Sie sich vor, jede ausgehende Mail wird vor dem Absenden mit einem digitalen Wachs-Siegel versehen. Der Empfänger kann dieses Siegel prüfen. Ist es intakt: Niemand hat unterwegs etwas verändert. Ist es gebrochen: Mail wurde manipuliert.

Technisch passiert das so: Ihr Mail-Server signiert jede ausgehende Mail mit einem privaten Schlüssel. Der dazu passende öffentliche Schlüssel liegt in Ihrem DNS. Der empfangende Server holt sich den öffentlichen Schlüssel und prüft die Signatur.

Gmail markiert seit Februar 2024 jede Mail ohne gültige DKIM-Signatur als verdächtig. Bei Bulk-Mails (Newsletter, Bestellbestätigungen) ist das praktisch ein Spam-Stempel.

DMARC: Die Hausordnung

DMARC (Domain-based Message Authentication, Reporting and Conformance, schauen Sie nicht so) ist die Regel, was passieren soll, wenn SPF oder DKIM scheitern.

Konkret legt Ihre DMARC-Policy fest:

• p=none: Tu so, als wäre nichts. Sammle nur Daten. (Schlecht, weil keine Wirkung.)
• p=quarantine: Solche Mails in den Spam-Ordner. (Empfehlung für die meisten KMU.)
• p=reject: Solche Mails komplett ablehnen. (Aggressiv, gut wenn Sie sicher sind, dass Ihr Setup sauber ist.)

Mein Standard-Vorgehen: Erst zwei Wochen mit p=none laufen lassen, um zu sehen, was alles aus Ihrer Domain so abgeht (Sie werden überrascht sein), dann auf p=quarantine wechseln. Nach einem Monat ohne Probleme weiter auf p=reject.

Wichtig: DMARC schützt nicht nur Ihre Mail-Zustellung. Es schützt auch davor, dass Phisher in Ihrem Namen Mails verschicken können. Wenn Ihre Domain weltberühmt ist (oder einfach nur in der Branche bekannt), gibt es Leute, die täglich versuchen, in Ihrem Namen zu phishen. DMARC reject macht das praktisch unmöglich.

So bauen sie zusammen

Stellen Sie sich vor, jemand schickt eine Mail von info@ihrefirma.ch. Beim empfangenden Server passiert Folgendes, alles in unter einer Sekunde:

1. Server schaut SPF nach: «Darf der absendende Server überhaupt für ihrefirma.ch senden?»
2. Server prüft DKIM-Signatur: «Ist die Mail unterwegs unverändert geblieben?»
3. Falls Schritt 1 oder 2 scheitert, schaut der Server in DMARC nach: «Was sagt der Mail-Eigentümer, was wir tun sollen?»
4. Mail kommt in Inbox, Spam-Ordner oder wird abgelehnt.

Das passiert millionenfach pro Sekunde weltweit. Wenn Ihre Mail nicht ankommt, ist sie irgendwo in diesem Ablauf hängengeblieben. Und mit guter Konfiguration aller drei Records passiert das fast nie.

Was Sie heute machen sollten

Wenn Sie nach diesem Artikel noch wissen wollen, ob bei Ihnen alles stimmt, prüfen Sie:

• Gehen Sie auf mail-tester.com, schicken Sie eine Test-Mail dorthin. Score unter 8 ist ein Hinweis, dass etwas nicht stimmt.
• Bei MXToolbox Ihre Domain prüfen, gezielt SPF und DMARC anschauen.
• In Ihrem Mail-Provider-Backend nachsehen, ob DKIM aktiviert ist. Bei vielen ist es das nicht standardmässig.

Wenn etwas davon rot leuchtet, haben Sie jetzt die Diagnose. Beheben können Sie es meist selbst, falls Sie mit Ihrem DNS-Anbieter vertraut sind. Wenn nicht, ich helfe gerne.

Mail-Authentifizierung sauber aufsetzen

Wenn Sie SPF, DKIM und DMARC einmal richtig aufsetzen lassen wollen, mache ich das innerhalb weniger Stunden, mit vollständiger Diagnose und Doku.

DNS-Service ansehen Diagnose-Service

Weiterlesen

Mails kommen nicht an?

Eine ehrliche Anleitung mit Selbst-Diagnose.

Eigene E-Mail einrichten ohne Stress

Vom ersten Setup bis zur funktionierenden Geschäftsmail.