E-Mail-Zustellbarkeit-Checkliste: MX, SPF, DKIM und DMARC

Warum E-Mail-Zustellbarkeit wichtig ist

E-Mail-Zustellbarkeit bezeichnet, wie zuverlässig Nachrichten von deiner Domain den Posteingang der Empfänger erreichen — und nicht im Spam-Ordner landen oder gar nicht ankommen. Das ist keine rein technische Frage. Jede Transaktionsbenachrichtigung, jede Verkaufsansprache, jede Rechnung und jede Support-Antwort hängt davon ab. Wenn die Zustellbarkeit zusammenbricht, verlangsamen sich Geschäftsprozesse, Umsatz geht verloren und Kundenbeziehungen leiden.

Die gute Nachricht: Der Großteil der Zustellbarkeitsprobleme lässt sich durch korrekte Konfiguration von vier DNS-basierten Systemen verhindern — MX Records, SPF, DKIM und DMARC. Diese Checkliste geht jeden Schritt durch, damit du deine Konfiguration auf Solidität überprüfen, Lücken erkennen und genau wissen kannst, was zu tun ist.

Schritt 1 – MX Records

MX Records teilen dem Internet mit, welche Server eingehende E-Mails für deine Domain entgegennehmen. Ohne sie kann niemand an deine Domain senden. Selbst wenn du von einer Domain nur versendest und nie empfängst, solltest du MX Records konfiguriert haben — oder einen expliziten Null-MX-Record (0 .), der signalisiert, dass die Domain keine E-Mails entgegennimmt. Das verhindert Verwirrung bei der Bounce-Verarbeitung.

Prüfe für jede deiner Domains Folgendes:

• Mindestens ein MX Record existiert und zeigt auf einen gültigen, auflösbaren Hostnamen.
• Das Ziel des MX Records ist ein A-Record, kein CNAME (ein CNAME als MX-Ziel verstößt gegen RFC 2181 und verursacht unvorhersehbare Fehler).
• Wenn mehrere MX Records existieren, haben sie unterschiedliche Prioritätswerte, um die Failover-Reihenfolge zu steuern.
• Die TTL des MX Records ist auf einen vernünftigen Wert gesetzt — 3600 Sekunden (1 Stunde) ist ein verbreiteter Standard, der eine zeitnahe Propagierung bei Änderungen ermöglicht, ohne übermäßigen DNS-Traffic zu erzeugen.

Nutze den DMARCFlow MX Checker, um deine MX Records mit einem Live-DNS-Lookup zu prüfen und die oben genannten Probleme automatisch zu erkennen.

Schritt 2 – SPF Record

SPF (Sender Policy Framework) ist ein TXT-Record in deinem DNS, der alle IP-Adressen und Dienste auflistet, die berechtigt sind, E-Mails im Namen deiner Domain zu versenden. Wenn ein empfangender Server eine Nachricht erhält, die vorgibt, von deiner Domain zu kommen, prüft er deinen SPF-Record, ob die sendende IP auf der genehmigten Liste steht. Ist sie es nicht, schlägt SPF fehl.

SPF-Checkliste:

• Genau ein SPF-Record existiert als TXT-Record an deiner Domain-Root (zwei oder mehr SPF-Records verursachen einen permanenten Fehler — permerror).
• Alle E-Mail-sendenden Dienste für diese Domain sind enthalten — dein Mailserver, deine Marketing-Plattform, dein CRM, dein transaktionaler E-Mail-Anbieter und jeder andere Dienst, der mit deiner From-Adresse versendet.
• Der Record bleibt innerhalb des Limits von 10 DNS-Lookups. Jeder include:-, a-, mx- und ptr-Mechanismus zählt zu diesem Limit. Mehr als 10 Lookups verursachen einen permerror, der SPF bei allen Empfängern fehlschlagen lässt.
• Der Record endet mit entweder ~all (Softfail — nicht gelistete Absender als verdächtig behandeln, aber zustellen) oder -all (Fail — nicht gelistete Absender ablehnen). Verwende -all, sobald du sicher bist, dass dein Record vollständig ist; es bietet stärkeren Schutz gegen Spoofing.

Ein minimales Beispiel für eine Domain, die ausschließlich über Google Workspace versendet:

v=spf1 include:_spf.google.com -all

Schritt 3 – DKIM-Signierung

DKIM (DomainKeys Identified Mail) fügt jeder ausgehenden Nachricht eine kryptografische Signatur hinzu. Der empfangende Server ruft deinen öffentlichen Schlüssel aus dem DNS ab und verwendet ihn zur Überprüfung der Signatur. Eine gültige Signatur beweist, dass die Nachricht von einer autorisierten Partei gesendet wurde und der Inhalt während der Übertragung nicht verändert wurde.

DKIM-Checkliste:

• DKIM-Signierung ist in deiner Mail-Plattform aktiviert (Google Workspace, Microsoft 365, dein transaktionaler E-Mail-Dienst usw.). Die meisten Anbieter bieten eine Ein-Klick-Aktivierung in ihrer Admin-Konsole.
• Du verwendest einen 2048-Bit-Schlüssel. 1024-Bit-Schlüssel gelten als schwach, und einige große empfangende Systeme vertrauen Signaturen mit solchen Schlüsseln mittlerweile nicht mehr.
• Der DNS-TXT-Record für deinen DKIM-Selektor existiert und enthält den korrekten öffentlichen Schlüssel. Der Selektor ist im s=-Tag des DKIM-Signature-Headers deiner ausgehenden Mails angegeben, und der Record liegt unter [selektor]._domainkey.deinedomaim.de.
• Für jeden sendenden Dienst, der DKIM unterstützt, ist ein separater DKIM-Schlüssel und -Selektor konfiguriert und verifiziert. Teile keinen einzelnen DKIM-Schlüssel über mehrere, nicht miteinander verbundene Sendesysteme hinweg.

Schritt 4 – DMARC-Richtlinie

DMARC (Domain-based Message Authentication, Reporting & Conformance) verbindet SPF und DKIM miteinander und teilt empfangenden Servern mit, was zu tun ist, wenn eine Nachricht die Authentifizierung nicht besteht. DMARC generiert außerdem Berichte, damit du sehen kannst, wer E-Mails im Namen deiner Domain versendet.

DMARC-Checkliste:

• Ein DMARC-Record existiert als TXT-Record unter _dmarc.deinedomaim.de.
• Das rua=-Tag zeigt auf eine E-Mail-Adresse (oder einen Dienst wie DMARCFlow), der aggregierte XML-Berichte empfängt. Diese Berichte sind unerlässlich, um deine Sendelandschaft zu verstehen und sicher durch die Richtlinienstufen zu navigieren.
• Du hast die Richtlinienstufen der Reihe nach durchlaufen: Beginne mit p=none (nur Monitoring, keine Durchsetzung), wechsle zu p=quarantine (fehlgeschlagene Nachrichten in Spam senden) und erhöhe schließlich auf p=reject (fehlgeschlagene Nachrichten blockieren), sobald die Reports bestätigen, dass alle legitimen Mails die Authentifizierung bestehen.
• Eine p=reject-Richtlinie bietet den stärksten Schutz gegen E-Mail-Spoofing und ist bei einigen Postfach-Anbietern für die BIMI-Logo-Anzeige erforderlich.

Ein einfacher DMARC-Record zum Einstieg ins Monitoring:

v=DMARC1; p=none; rua=mailto:dmarc-reports@deinedomaim.de

Schritt 5 – Blacklist-Check

Selbst eine perfekt konfigurierte Domain kann durch ein kompromittiertes Konto, eine Sicherheitslücke oder einen schlechten Nachbarn auf einer geteilten IP auf einer Blacklist landen. Ein Eintrag auf einer wichtigen DNSBL kann deine E-Mails direkt in Spam-Ordnern landen lassen oder zu einer vollständigen Ablehnung führen — und damit all deine Authentifizierungsarbeit still untergraben.

Prüfe deine sendende Domain und deine ausgehenden IP-Adressen regelmäßig mit dem DMARCFlow Blacklist Checker. Findest du einen Eintrag, untersuche die Ursache, behebe sie und beantrage dann die Entfernung bei jeder Liste, auf der du erscheinst.

Alle Prüfungen auf einmal

MX, SPF, DKIM, DMARC und Blacklist-Checks einzeln mit verschiedenen Tools durchzugehen ist zeitaufwändig. Der DMARCFlow Zustellbarkeits-Checker fasst all diese Prüfungen in einem einzigen Lookup zusammen. Gib deine Domain und deine sendende IP ein und erhalte einen umfassenden Bestanden/Nicht-Bestanden-Bericht für jede Schicht deines Zustellbarkeits-Stacks — mit konkreten, umsetzbaren Hinweisen für alle gefundenen Probleme.

Das ist besonders nützlich beim Onboarding einer neuen Domain, bei der Migration zu einem neuen Mail-Anbieter oder bei einer regelmäßigen Gesundheitsprüfung, um Konfigurationsdrift zu erkennen, bevor sie Nutzer betrifft.

Zustellbarkeit langfristig sichern

Eine gesunde Zustellbarkeitskonfiguration ist keine einmalige Aufgabe — sie erfordert laufende Aufmerksamkeit, da sich deine Infrastruktur und Sendemuster weiterentwickeln:

• DKIM-Schlüssel jährlich rotieren. Generiere ein neues 2048-Bit-Schlüsselpaar, veröffentliche den neuen öffentlichen Schlüssel unter einem neuen Selektor im DNS, stelle deine Mail-Plattform auf Signierung mit dem neuen Schlüssel um, und entferne den alten Selektor nach einigen Tagen aus dem DNS, um noch im Transit befindliche, mit dem alten Schlüssel signierte Nachrichten noch zuzustellen.
• SPF beim Hinzufügen neuer Sendedienste aktualisieren. Immer wenn du ein neues Marketing-Tool, ein CRM oder eine Automatisierungsplattform anbindest, prüfe, ob es E-Mails mit deiner Domain im From-Header versendet. Wenn ja, füge den SPF-Include-Mechanismus in deinen Record ein, bevor du es aktivierst. Auch nur einen Dienst zu vergessen erzeugt SPF-Fehler für diese Nachrichten.
• DMARC-Reports überwachen. Aggregierte Berichte zeigen neue Sendequellen, Weiterleitungskonfigurationen, die das Alignment brechen, und Spoofing-Versuche. DMARCFlow analysiert und visualisiert diese XML-Berichte automatisch und macht es praktikabel, sie wöchentlich zu prüfen statt rohe XML-Dateien manuell zu interpretieren.
• Blacklist-Status nach Vorfällen prüfen. Nach einem Sicherheitsvorfall, einem plötzlichen Anstieg der Bounce-Rate oder gemeldeten Spam-Beschwerden sofort einen Blacklist-Check durchführen, um festzustellen, ob es infolgedessen zu Eintragungen gekommen ist.