SPF, DMARC & DKIM Check für Domains

Ein fehlender Eintrag bedeutet, dass die entsprechende Prüfung für Ihre Domain nicht konfiguriert ist. Ohne SPF kann jeder Server E-Mails im Namen Ihrer Domain versenden. Ohne DMARC gibt es keine Vorgabe, wie Empfänger mit nicht-authentifizierten E-Mails umgehen sollen. Ohne DKIM fehlt die kryptografische Signatur zur Verifizierung der Echtheit.

Fehlende Einträge erhöhen das Risiko, dass E-Mails im Spam landen oder Ihre Domain für Spoofing missbraucht wird. Richten Sie alle drei Verfahren ein, um die Zustellbarkeit und den Schutz Ihrer Domain zu verbessern.

DMARC erfordert nicht nur, dass SPF oder DKIM bestehen, sondern auch ein sogenanntes Alignment: Die Domain im From-Header der E-Mail muss zur Domain im SPF- oder DKIM-Eintrag passen. Stimmen diese Domains nicht überein, schlägt DMARC fehl – auch wenn SPF und DKIM für sich genommen korrekt sind.

Das passiert häufig, wenn E-Mails über externe Dienste (Newsletter-Tools, CRM-Systeme) versendet werden, die eine andere Absenderdomain verwenden. Prüfen Sie in diesem Fall, ob der Versanddienst DKIM mit Ihrer Domain signiert.

Die DMARC-Policy legt fest, wie empfangende Mailserver mit E-Mails umgehen sollen, die die Authentifizierung nicht bestehen. p=none protokolliert nur, ohne Maßnahmen zu ergreifen – gut zum Beobachten. p=quarantine weist Empfänger an, verdächtige E-Mails in den Spam-Ordner zu verschieben. p=reject lehnt nicht-authentifizierte E-Mails komplett ab.

Empfehlenswert ist ein schrittweiser Ansatz: Zunächst mit p=none starten, die DMARC-Reports auswerten und dann auf quarantine oder reject verschärfen, sobald alle legitimen Absender korrekt konfiguriert sind.

SPF, DMARC und DKIM bestätigen nur die technische Authentizität des Absenders – sie bewerten nicht den Inhalt. Spam-Filter berücksichtigen zusätzlich Faktoren wie Absender-Reputation, E-Mail-Inhalt, Versandfrequenz, Empfänger-Verhalten und den PTR-Record der sendenden IP.

Auch ein fehlender oder nicht passender PTR-Record kann die Zustellung beeinträchtigen. Prüfen Sie neben SPF, DMARC und DKIM auch die Reputation Ihrer IP-Adresse und den E-Mail-Inhalt auf typische Spam-Muster.

Typische Probleme: Mehrere SPF-Records für dieselbe Domain (nur einer ist erlaubt), zu viele DNS-Lookups im SPF-Record (maximal 10 sind zulässig) oder veraltete include-Verweise auf Dienste, die nicht mehr genutzt werden.

Unser Tool zeigt den vollständigen SPF-Record an und wertet ihn aus. Achten Sie darauf, dass nur ein einziger SPF-Record existiert, alle aufgeführten Server tatsächlich für Sie senden und die Lookup-Grenze nicht überschritten wird.

DKIM-Einträge werden nicht direkt unter der Domain hinterlegt, sondern unter einem sogenannten Selector – z. B. selector1._domainkey.example.com. Der Selector identifiziert den verwendeten Schlüssel und wird vom Mailserver in der DKIM-Signatur angegeben.

Je nach Mailsystem können verschiedene Selectoren im Einsatz sein (z. B. „google" bei Google Workspace, „selector1"/„selector2" bei Microsoft 365). Unser Tool prüft gängige Selectoren automatisch – für eine vollständige Prüfung ist es hilfreich, den verwendeten Selector zu kennen.

Ja. Geben Sie die Subdomain direkt in das Eingabefeld ein (z. B. mail.example.com). Das Tool prüft dann SPF, DMARC und DKIM für genau diese Subdomain.

Das ist relevant, weil Subdomains eigene SPF- und DKIM-Einträge haben können und DMARC mit einer separaten Subdomain-Policy (sp=) gesteuert wird. Wenn E-Mails über eine Subdomain versendet werden, sollten Sie diese gezielt prüfen.

Bei Microsoft 365 wird SPF über include:spf.protection.outlook.com eingebunden, DKIM über die Selectoren selector1 und selector2. Bei Google Workspace lautet der SPF-Include include:_spf.google.com, DKIM nutzt in der Regel den Selector „google".

Externe Versanddienste wie Mailchimp, Sendinblue oder HubSpot erfordern jeweils eigene SPF-Includes und DKIM-Einträge. Achten Sie darauf, dass alle genutzten Versanddienste im SPF-Record aufgeführt sind und DKIM für jeden Dienst korrekt eingerichtet ist.