Du schaust in deine DMARC-Berichte und siehst etwas, das auf den ersten Blick keinen Sinn ergibt:

  • dkim=pass
  • spf=fail im DMARC-Ergebnis
  • gleichzeitig besteht SPF aber für eine andere Domain

Typischer Ausschnitt (Werte absichtlich unlesbar gemacht):

<header_from>firma-domain.example</header_from>
<spf>
  <domain>region-mail-out.amznsmtp.example</domain>
  <result>pass</result>
</spf>
<policy_evaluated>
  <spf>fail</spf>
</policy_evaluated>

Wenn du Amazon WorkMail einsetzt, kommt dir das wahrscheinlich bekannt vor. WorkMail sendet im Hintergrund über Amazon SES – und genau das sorgt für diese „komischen“ DMARC-Ergebnisse.

SPF besteht – DMARC-Alignment fällt durch

Der wichtigste Punkt zuerst: dein SPF-Record ist in solchen Fällen meist nicht kaputt. Was scheitert, ist die DMARC-Alignment-Prüfung.

DMARC betrachtet drei Domains (alle hier anonymisiert):

  • sichtbare From-Adresse: user@firma-domain.example (header_from)
  • MAIL FROM / Return-Path: b1234@region-mail-out.amznsmtp.example
  • DKIM d= Domain: d=firma-domain.example

SPF wird für die MAIL-FROM-Domain ausgewertet, also z. B.:

SPF-Domain: region-mail-out.amznsmtp.example
SPF-Ergebnis: pass

DMARC stellt danach die Frage: „Passt diese SPF-Domain zur sichtbaren From-Domain?“

  • Bei aspf=s (strict) muss die Domain exakt gleich sein.
  • Bei aspf=r (relaxed) reicht eine Subdomain derselben Root-Domain.

Mit dem WorkMail-Standardverhalten ist MAIL FROM allerdings eine Amazon-Domain wie region-mail-out.amznsmtp.example. Die wird niemals gleich zu firma-domain.example sein – also fällt SPF im DMARC-Alignment durch, obwohl der eigentliche SPF-Check erfolgreich war.

Warum WorkMail eine Amazon-MAIL-FROM-Domain nutzt

Amazon WorkMail basiert technisch auf Amazon SES. Immer wenn du eine E-Mail über WorkMail verschickst, übernimmt SES die eigentliche Zustellung.

Standardmäßig verwendet SES eine interne Absender-Identität, ungefähr so (immer noch anonymisiert):

MAIL FROM: b1234@region-mail-out.amznsmtp.example
Return-Path: <b1234@region-mail-out.amznsmtp.example>

Aus Sicht von SPF ist das völlig in Ordnung – die Amazon-Infrastruktur ist autorisiert, also besteht der SPF-Check. Für DMARC entsteht aber ein Bruch:

  • From: user@firma-domain.example
  • SPF-Domain: region-mail-out.amznsmtp.example

Ergebnis: SPF-Alignment = fail. Gleichzeitig besteht DKIM (Signatur mit d=firma-domain.example) und ist aligned – damit besteht DMARC als Gesamtergebnis trotzdem.

Deine zwei Strategien bei SPF=fail in DMARC-Berichten

Wenn du das verstanden hast, bleiben im Wesentlichen zwei Optionen:

Option 1: DKIM-Only-Alignment akzeptieren

In vielen Setups ist es absolut in Ordnung, wenn:

  • SPF-Alignment fehlschlägt (wegen der Amazon MAIL-FROM-Domain)
  • DKIM-Alignment besteht (weil DKIM deine eigene Domain nutzt)
  • DMARC auf Basis von DKIM trotzdem „pass“ liefert

Deine DMARC-Berichte werden weiterhin Zeilen zeigen, in denen in <policy_evaluated><spf>fail</spf> steht – die Nachrichten werden aber trotzdem zugestellt, weil DKIM aligned ist.

Option 2: SPF-Alignment mit Custom MAIL FROM reparieren

Wenn du „alles grün“ in den Berichten sehen möchtest, kannst du eine Custom MAIL FROM Domain konfigurieren. Statt einer Amazon-Domain nutzt SES (und damit WorkMail) dann eine MAIL-FROM-Domain unter deiner eigenen Zone, zum Beispiel:

MAIL FROM: bounce@bounce.firma-domain.example
SPF-Domain: bounce.firma-domain.example

Die Idee dahinter:

  • Du wählst eine Subdomain wie bounce.firma-domain.example
  • Du trägst die MX- und SPF-TXT-Records ein, die dir SES anzeigt
  • Du stellst DMARC auf relaxed SPF-Alignment (aspf=r), falls noch nicht geschehen

DMARC erkennt dann: bounce.firma-domain.example ist eine Subdomain von firma-domain.example. Mit relaxed Alignment besteht SPF nun inklusive Alignment.

Konzeptionelle Schritte: Custom MAIL FROM für WorkMail

Die Labels in der AWS-Konsole ändern sich gelegentlich, der Ablauf bleibt aber ähnlich:

  1. SES-Konsole öffnen – in der Region, in der auch WorkMail läuft.
  2. Sendedomain auswählen (z. B. firma-domain.example).
  3. Custom MAIL FROM Domain aktivieren, z. B. bounce.firma-domain.example.
  4. Die DNS-Records eintragen, die SES dir anzeigt:
    • ein MX-Record für bounce.firma-domain.example
    • ein TXT-Record, typischerweise ein SPF wie v=spf1 include:amazonses.example -all
  5. Auf Verifizierung warten, bis die Custom MAIL FROM Domain aktiv ist.
  6. DMARC-Eintrag anpassen, z. B.: 
    v=DMARC1; p=reject; adkim=s; aspf=r; rua=mailto:dmarc-reports@redacted-domain.example; fo=1

Alle Domains oben sind absichtlich unlesbar gemacht – das Muster entspricht aber genau echten Konfigurationen.

Was du lieber nicht tun solltest

Naheliegend, aber fast immer eine schlechte Idee: die sichtbare From-Adresse auf eine Amazon-Domain umstellen, nur damit SPF-Alignment „grün“ wird.

Dann würden deine Empfänger plötzlich E-Mails von etwas wie notifications@region-mail-out.amznsmtp.example bekommen – nicht mehr von deiner Marke. Du verlierst Vertrauen, erschwerst Antworten und hast keinen DMARC-Schutz mehr auf deiner eigenen Domain.

Die saubere Lösung lautet fast immer:

  • weiterhin als @firma-domain.example senden
  • DKIM mit d=firma-domain.example signieren
  • optional SPF-Alignment über eine Custom MAIL FROM Subdomain herstellen

Wie DMARCFlow dir bei WorkMail & SPF den Kopf freimacht

Rohes DMARC-XML ist nicht gerade gemütliche Lektüre. Vor allem, wenn dort mehrfach „SPF fail“ steht und du nicht weißt, ob das nun ein echtes Problem oder nur ein Alignment-Effekt ist.

DMARCFlow unterstützt dich konkret:

  • Getrennte Darstellung von SPF-Check und SPF-Alignment – du siehst sofort, ob ein Fehler aus DNS stammt oder „nur“ aus DMARC-Logik.
  • Provider-spezifische Hinweise für Amazon WorkMail, SES und andere Plattformen mit Shared-Infrastruktur.
  • Handlungsanleitungen für DMARC, SPF und DKIM – inklusive Custom MAIL FROM, wenn das in deinem Setup sinnvoll ist.

Fazit

Wenn du Amazon WorkMail nutzt und SPF=fail in deinen DMARC-Berichten siehst, bist du nicht allein. In den meisten Fällen ist dein SPF-Eintrag völlig in Ordnung – nur das Alignment zur From-Domain schlägt fehl.

Du kannst entweder mit DKIM-only-Alignment leben oder die Extra-Meile gehen und eine Custom MAIL FROM Domain konfigurieren, damit auch SPF aligned ist. Wichtig ist, zu verstehen, was der Bericht dir eigentlich sagen will – statt blind im SPF herumzueditieren.

Wenn du dir die Zeit sparen willst, lass DMARCFlow deine Domain analysieren und die Berichte für dich übersetzen.

Unsicher, ob dein SPF wirklich „failt“?
Starte einen kostenlosen DMARC/SPF/DKIM-Check und sieh dir Checks und Alignment getrennt an.
Kostenlos prüfen