E-Mail-Authentifizierung einrichten: SPF, DKIM und DMARC Step-by-Step
Diese Anleitung führt dich durch die vollständige Einrichtung von SPF, DKIM und DMARC – für Google Workspace, Microsoft 365, IONOS und Strato. Am Ende ist deine Domain gegen E-Mail-Spoofing geschützt und deine Mails landen zuverlässig im Posteingang.
Du benötigst Zugang zu den DNS-Einstellungen deiner Domain (beim Registrar oder Hoster) sowie Admin-Zugang zu deinem E-Mail-Dienst.
Überblick: Die richtige Reihenfolge
Die Einrichtung sollte immer in dieser Reihenfolge erfolgen:
- SPF einrichten – Welche Server dürfen senden?
- DKIM einrichten – Kryptografische Signatur aktivieren
- DMARC mit p=none einrichten – Monitoring starten, Reports sammeln
- Reports auswerten – 2–4 Wochen beobachten
- DMARC verschärfen – Auf p=quarantine, dann p=reject
Large Rectangle (336x280)
Google Workspace: SPF, DKIM und DMARC einrichten
Schritt 1: SPF für Google Workspace
Lege diesen TXT-Record in den DNS-Einstellungen deiner Domain an:
Wenn du weitere Mailversand-Dienste nutzt (z.B. Mailchimp), füge diese ebenfalls hinzu: v=spf1 include:_spf.google.com include:servers.mcsv.net ~all
Schritt 2: DKIM für Google Workspace
- Öffne admin.google.com
- Gehe zu Apps → Google Workspace → Gmail → E-Mail-Authentifizierung
- Wähle deine Domain, klicke "DKIM-Schlüssel generieren" (2048 Bit empfohlen)
- Kopiere den angezeigten TXT-Record und trage ihn ins DNS ein:
Warte 10–30 Minuten auf DNS-Propagation, dann in der Admin-Konsole auf "Authentifizierung starten" klicken.
Schritt 3: DMARC für Google Workspace
Medium Rectangle (300x250)
Microsoft 365: SPF, DKIM und DMARC einrichten
Schritt 1: SPF für Microsoft 365
Schritt 2: DKIM für Microsoft 365
- Öffne das Microsoft 365 Defender Portal
- Gehe zu Email & collaboration → Policies & rules → Threat policies → Email authentication settings
- Wähle den DKIM-Tab, wähle deine Domain, klicke "Enable"
- Microsoft zeigt dir zwei CNAME-Records. Trage beide ins DNS ein:
Schritt 3: DMARC für Microsoft 365
IONOS: SPF, DKIM und DMARC einrichten
Bei IONOS-Hosting-Paketen sind SPF und DKIM oft voreingestellt. Prüfe dies zunächst mit unserem Checker, bevor du Änderungen vornimmst.
SPF für IONOS
DKIM für IONOS
Bei IONOS wird DKIM für Postfächer automatisch aktiviert und verwaltet. Im IONOS-Control-Panel unter E-Mail → E-Mail-Postfächer findest du den Status. Falls DKIM fehlt, wende dich an den IONOS-Support.
DMARC für IONOS
Lege diesen TXT-Record in den DNS-Einstellungen (IONOS Control Panel → Domains → DNS) an:
Strato: SPF, DKIM und DMARC einrichten
SPF für Strato
DKIM für Strato
Strato aktiviert DKIM automatisch für alle Postfächer. Im Strato Kundenbereich unter E-Mail → E-Mail-Einstellungen kannst du den Status einsehen.
DMARC für Strato
DNS-Einstellungen bei Strato: Kundenbereich → Domains → DNS-Verwaltung:
DMARC schrittweise verschärfen
Nach 2–4 Wochen mit p=none und regelmäßiger Auswertung der rua-Reports:
- Alle legitimen Absender in SPF und DKIM konfiguriert? → Wechsel zu
p=quarantine; pct=10 - Keine ungewollten Blockierungen? →
pct=50, dannpct=100 - Alles stabil? →
p=reject– maximaler Schutz aktiviert
Häufige Fehler bei der Einrichtung
Fehler 1: Zu früh auf p=reject
Der häufigste Fehler: Direkt mit p=reject einzusteigen, ohne vorher Reports gesammelt zu haben. Das kann dazu führen, dass legitime E-Mails – zum Beispiel von einem CRM-System oder einem externen Newsletter-Dienst – blockiert werden, weil SPF oder DKIM für diesen Dienst noch nicht konfiguriert wurden.
Immer erst mit p=none starten, Reports auswerten, alle Absender identifizieren und dann schrittweise vorgehen.
Fehler 2: DNS-Änderung nicht verifiziert
Nach dem Anlegen eines DNS-Records ist eine Verifikation unerlässlich. Öffentliche DNS-Resolver zeigen wegen Caching manchmal veraltete Daten – prüfe daher immer direkt am autoritativen Nameserver. Unser Checker tut genau das.
Fehler 3: Mehrere SPF-Records
Pro Domain darf es nur einen TXT-Record geben, der mit v=spf1 beginnt. Zwei separate SPF-Records führen zu einem PermError und damit zu fehlenden SPF-Checks. Alle Dienste müssen in einem einzigen Record per include: zusammengefasst werden.
Fehler 4: DKIM generiert, aber nicht aktiviert
Bei Google Workspace und Microsoft 365 ist es ein zweistufiger Prozess: Erst den DNS-Record anlegen, dann DKIM in der Admin-Konsole aktivieren. Nur wenn beides getan wurde, werden E-Mails tatsächlich signiert.
Optional: MTA-STS und BIMI
Nach der Basisabsicherung mit SPF, DKIM und DMARC gibt es zwei weitere optionale Standards:
- MTA-STS erzwingt TLS-Verschlüsselung beim E-Mail-Transport zu deinem Server und verhindert Downgrade-Angriffe.
- BIMI zeigt dein Firmenlogo im Posteingang des Empfängers an – setzt DMARC mit p=quarantine oder p=reject voraus.
Warum jede Domain E-Mail-Authentifizierung braucht
E-Mail-Authentifizierung ist keine optionale Absicherung für große Konzerne. Jede Domain – egal ob Freiberufler, kleines Unternehmen oder gemeinnützige Organisation – kann für Spoofing-Angriffe missbraucht werden. Die Angreifer suchen gezielt nach Domains ohne DMARC, weil diese leichte Ziele sind.
Die gute Nachricht: Die Einrichtung ist kostenlos und dauert – wenn man weiß, was zu tun ist – oft weniger als eine Stunde. Mit diesem Artikel und unserem DMARC-Checker als Verifikations-Tool hast du alles, was du brauchst.
Denk daran: Google und Yahoo verlangen seit Februar 2024 von allen Massenversendern (mehr als 5.000 E-Mails täglich) SPF, DKIM und DMARC. Auch für kleinere Sender ist die Konfiguration ein entscheidender Faktor für die Zustellbarkeit – E-Mails von Domains mit DMARC landen signifikant seltener im Spam.
Nach jeder Änderung: Nutze unseren Checker, um sofort zu sehen, ob die DNS-Records korrekt hinterlegt sind – direkt vom autoritativen Nameserver.
Jetzt Domain prüfen →