SPF, DKIM und DMARC einfach erklärt
SPF, DKIM und DMARC sind drei DNS-Einträge, die zusammen belegen, dass eine E-Mail wirklich von Ihrer Domain stammt. Richtig gesetzt verhindern sie, dass Fremde in Ihrem Namen mailen — falsch oder übereilt gesetzt blockieren sie Ihre eigenen, legitimen Mails. Darum erklären wir hier nicht nur, was die drei tun, sondern in welcher Reihenfolge und mit welchen Werten Sie sie sauber einrichten.
Was die drei Mechanismen tun
| Mechanismus | Was es tut |
|---|---|
| SPF (Sender Policy Framework) | Legt in einem TXT-Eintrag fest, welche Server im Namen Ihrer Domain senden dürfen. Empfänger werten Mails von nicht gelisteten Servern ab. |
| DKIM (DomainKeys Identified Mail) | Signiert jede ausgehende Mail kryptografisch. Der Empfänger prüft die Signatur gegen einen öffentlichen Schlüssel in Ihrem DNS — so ist belegt, dass die Mail unterwegs nicht verändert wurde. |
| DMARC (Domain-based Message Authentication, Reporting & Conformance) | Verbindet SPF und DKIM zu einer überprüfbaren Richtlinie, sagt dem Empfänger, was mit durchgefallenen Mails passieren soll, und schickt Ihnen Reports. |
Voraussetzungen
| Voraussetzung | Beschreibung |
|---|---|
| eigene Domain | z. B. ihre-domain.ch |
| DNS-Zugang | zum Anlegen von TXT- und CNAME-Einträgen |
| Mailplattform | z. B. Microsoft 365 (Exchange Online) |
| Überblick über sendende Systeme | Website, Newsletter, ERP, Scanner, CRM |
Anleitung — in dieser Reihenfolge
Sendende Systeme inventarisieren
Notieren Sie ALLE Dienste, die in Ihrem Namen mailen: Microsoft 365, das Kontaktformular der Website, Newsletter-Tools (z. B. Mailchimp), ERP/Fakturierung, Multifunktionsdrucker mit Scan-to-Mail, CRM. Jeder davon muss später in SPF berücksichtigt sein, sonst landen dessen Mails im Spam.
Bestehende Einträge prüfen
Prüfen Sie pro Domain, ob schon SPF-, DKIM- oder DMARC-Einträge existieren — mit einem öffentlichen Check (z. B. MXToolbox) oder nslookup -type=txt ihre-domain.ch. Ändern Sie nie blind: ein vorhandener SPF-Eintrag kann legitime Sender enthalten.
Genau einen SPF-Eintrag setzen
SPF ist ein einzelner TXT-Eintrag auf der Domain-Wurzel. Zwei SPF-Einträge machen SPF ungültig. Nehmen Sie alle Sender in einen Eintrag auf — pro Dienst ein include:.
DKIM in Microsoft 365 aktivieren
Schalten Sie die DKIM-Signierung im Defender-Portal ein. Microsoft zeigt dann zwei CNAME-Ziele (selector1 und selector2), die Sie im DNS anlegen. Erst nach dem Anlegen der CNAMEs die Aktivierung („Enable") abschliessen.
DMARC im Beobachtungsmodus starten
Legen Sie den _dmarc-TXT-Eintrag zuerst mit p=none an — reiner Beobachtungsmodus. So sammeln Sie Reports, ohne legitime Mails zu gefährden.
Reports auswerten
Lesen Sie zwei bis vier Wochen die DMARC-Reports und klären Sie jeden legitimen Sender, der noch durchfällt — meist ein vergessenes Newsletter- oder ERP-System.
Policy schrittweise verschärfen
Erst wenn alle legitimen Sender sauber bestehen: auf p=quarantine, später auf p=reject umstellen.
Jede Änderung dokumentieren
Halten Sie Eintrag, Datum, Grund und alten Wert fest — das verkürzt jede spätere Fehleranalyse erheblich.
So sehen die Einträge konkret aus
Beispiel für eine Microsoft-365-Domain (ihre-domain.ch)# SPF — genau EIN TXT-Eintrag auf der Wurzel (@) ihre-domain.ch. TXT "v=spf1 include:spf.protection.outlook.com -all" # ...mit zusätzlichem Newsletter-Dienst (Beispiel Mailchimp): ihre-domain.ch. TXT "v=spf1 include:spf.protection.outlook.com include:servers.mcsv.net -all" # DKIM — zwei CNAMEs (die genauen Zielwerte zeigt M365 beim Aktivieren an) selector1._domainkey CNAME selector1-ihre-domain-ch._domainkey.<tenant>.onmicrosoft.com selector2._domainkey CNAME selector2-ihre-domain-ch._domainkey.<tenant>.onmicrosoft.com # DMARC — TXT auf _dmarc, Start im Beobachtungsmodus _dmarc.ihre-domain.ch. TXT "v=DMARC1; p=none; rua=mailto:[email protected]; fo=1"
Das -all am Ende von SPF bedeutet „alles andere ist nicht legitim" (Hard Fail) — das ist das Ziel, sobald alle Sender erfasst sind. rua= ist die Adresse, an die DMARC-Reports gehen.
Häufige Fehler
| Fehler | Folge |
|---|---|
| mehrere SPF-Einträge auf einer Domain | SPF wird ungültig, Authentifizierung schlägt fehl |
| Newsletter- oder ERP-System in SPF vergessen | dessen legitime Mails landen im Spam |
| DKIM aktiviert, aber CNAMEs nicht im DNS angelegt | Signierung bleibt inaktiv |
DMARC sofort auf p=reject gesetzt | legitime Mails werden hart abgewiesen |
| Eintrag ohne Dokumentation geändert | spätere Fehleranalyse wird zum Ratespiel |
Häufige Fragen
Brauche ich alle drei (SPF, DKIM, DMARC) oder reicht eins?
Was bedeutet p=none, p=quarantine oder p=reject bei DMARC?
p=none = nur reporten (Monitoring). p=quarantine = verdächtige Mails in den Spam. p=reject = harte Ablehnung. Wir starten immer mit p=none, lesen die Reports und verschärfen schrittweise.Wie lange dauert es, bis Änderungen wirken?
Wer bekommt die DMARC-Reports und was steht drin?
rua=-Adresse im DMARC-Eintrag und enthalten tägliche Zusammenfassungen aller Mails, die im Namen Ihrer Domain verschickt wurden — inklusive Absende-IP und Prüf-Ergebnis. Wir richten die Auswertung auf Wunsch ein.