Wenn deine Mails im Spam landen, abgewiesen werden oder mit einem „Absender nicht verifiziert“-Hinweis aufschlagen, ist das Erste, was du prüfen solltest, deine E-Mail-Authentifizierungs-Konfiguration.
Das heißt: diese drei kritischen Records verifizieren:
- SPF (Sender Policy Framework)
- DKIM (DomainKeys Identified Mail)
- DMARC (Domain-based Message Authentication, Reporting, and Conformance)
Diese DNS-Einträge sagen Mailbox-Anbietern wie Gmail, Outlook und Yahoo, ob deine Domain wirklich berechtigt ist, E-Mails zu senden. Fehlt einer, ist er kaputt oder zu schwach, verlieren deine Mails schnell an Vertrauen.
In diesem kostenlosen 2026-Guide lernst du:
- wie du einen SPF-Record prüfst
- wie du einen DKIM-Record prüfst
- wie du einen DMARC-Record prüfst
- warum Mails trotz vorhandener Records im Spam landen
- die häufigsten Fehler bei E-Mail-Authentifizierung
- den schnellsten Weg, eine Domain auf Deliverability-Probleme zu testen
Wenn du eine Business-Domain, einen Newsletter, einen Support-Posteingang, eine Outreach-Kampagne, ein SaaS-Produkt oder ein Cold-Mail-Setup betreibst, ist das einer der wichtigsten technischen Checks überhaupt.
Schnelle Antwort: Wie prüft man SPF, DKIM und DMARC für eine Domain?
So prüfst du SPF, DKIM und DMARC bei jeder Domain:
- DNS-TXT-Einträge der Domain abfragen
- Verifizieren, dass ein SPF-Record vorhanden und gültig ist
- Verifizieren, dass ein DKIM-Selector zu einem gültigen Public Key auflöst
- Eine DMARC-Policy unter
_dmarc.deinedomain.comsuchen - Bestätigen, dass die Records nicht nur existieren, sondern auch richtig konfiguriert sind
- Wenn Mails trotzdem im Spam landen, echte E-Mail-Header analysieren, um zu sehen, was tatsächlich passiert oder gescheitert ist
Der schnellste, einsteigerfreundlichste Weg ist ein vollständiger Domain-Scan über den Email Health Checker, und dann gezielt in die einzelnen Records einzutauchen, wenn etwas auffällt.
Warum SPF, DKIM und DMARC 2026 wichtig sind
Mail-Anbieter sind so streng wie nie zuvor.
Moderne Posteingänge schauen nicht mehr nur auf den Inhalt — sie schauen, ob deine Domain ein vertrauenswürdiges Sende-Setup hat.
Eine starke SPF-, DKIM- und DMARC-Konfiguration hilft dir:
- die Inbox-Platzierung zu verbessern
- das Risiko von E-Mail-Spoofing zu reduzieren
- Phishing-Missbrauch deiner Domain zu verhindern
- die Wahrscheinlichkeit, im Spam zu landen, zu senken
- Vertrauen bei Gmail, Outlook, Yahoo und Business-Mail-Gateways aufzubauen
- über die Zeit eine bessere Sender-Reputation zu entwickeln
Wenn du:
- transaktionale Mails
- Verifizierungscodes
- Newsletter
- Cold Outreach
- Support-Antworten
- Passwort-Reset-Mails
- SaaS-Benachrichtigungen
verschickst, ist E-Mail-Authentifizierung nicht mehr optional.
Was sind SPF, DKIM und DMARC? (einfach erklärt)
Bevor du Records prüfst, hilft es zu verstehen, was jeder einzelne tut.
SPF: wer im Namen deiner Domain senden darf
SPF ist ein DNS-TXT-Record, der angibt, welche Mailserver oder Maildienste im Namen deiner Domain senden dürfen.
Wenn du z. B. Folgendes nutzt:
- Google Workspace
- Microsoft 365
- Mailgun
- SendGrid
- Amazon SES
- Brevo
- Zoho Mail
…müssen diese Dienste in der Regel in deinem SPF stehen.
Wovor SPF schützt: unautorisierte Absender, die so tun, als kämen ihre Mails von deiner Domain.
Was SPF nicht garantiert: dass die sichtbare „From“-Adresse so ausgerichtet ist, dass DMARC sie akzeptiert.
DKIM: belegt, dass die Mail signiert wurde
DKIM fügt deinen ausgehenden Mails eine kryptografische Signatur hinzu.
Wenn der Empfänger-Server die Nachricht erhält, prüft er einen Public Key im DNS und bestätigt:
- die Mail wurde von einem berechtigten Sender signiert
- die Nachricht wurde unterwegs nicht verändert
Wovor DKIM schützt: Manipulation der Nachricht und gefälschte Mails ohne gültige Signatur.
Wichtig: Ein DKIM-Record im DNS bedeutet nicht automatisch, dass DKIM bei den echten Sendungen korrekt funktioniert.
DMARC: sagt Anbietern, was bei SPF- oder DKIM-Fehlern zu tun ist
DMARC baut auf SPF und DKIM auf.
Es teilt empfangenden Servern mit:
- ob fehlgeschlagene Mails überwacht, in Quarantäne verschoben oder abgelehnt werden sollen
- wohin Aggregat-Reports geschickt werden
- ob die authentifizierte Domain mit der sichtbaren „From“-Domain übereinstimmt
DMARC-Policy-Werte:
p=none→ nur überwachenp=quarantine→ verdächtige Mail darf in den Spamp=reject→ fehlgeschlagene Mail soll abgelehnt werden
Wovor DMARC schützt: Domain-Spoofing, Identitätsdiebstahl und schwache Durchsetzung der Authentifizierung.
So prüfst du SPF, DKIM und DMARC für eine Domain
Hier ist der einfachste, praktischste Workflow.
Schritt 1: Erst einen großen Authentifizierungs-Check laufen lassen
Statt jeden Record einzeln per Hand abzufragen, starte mit einem breiten Scan auf Domain-Ebene.
Nutze den Email Health Checker, um schnell einen Überblick zu bekommen über:
- SPF-Status
- DKIM-Vorhandensein
- DMARC-Vorhandensein
- MX-Setup
- Basisgesundheit der Authentifizierung
- typische Risikosignale
Das ist der beste erste Schritt: Du siehst sofort, ob der Domain offensichtliche Bausteine fehlen, bevor du tiefer einsteigst.
Warum das wichtig ist: Viele Domains scheitern an simplen Dingen wie fehlendem DMARC, fehlendem DKIM, fehlendem MX oder kaputtem SPF-Aufbau.
Schritt 2: SPF-Record prüfen
Wenn du wissen willst, wie man einen SPF-Record richtig prüft, frage nicht nur „existiert er?“ — frage, ob er gültig, sauber und in den Limits ist.
So sieht ein gültiger SPF-Record aus
Ein SPF-Record beginnt typischerweise so:
v=spf1 include:_spf.google.com ~all
Worauf zu achten ist
- beginnt mit
v=spf1 - es gibt nur einen SPF-TXT-Record für die Domain
- enthält deine aktuellen Sendeanbieter
- endet mit einer sinnvollen Policy wie:
~all(Soft Fail)-all(Hard Fail)
- überschreitet nicht die 10-DNS-Lookup-Grenze
Häufige SPF-Fehler
- mehrere SPF-Records veröffentlichen
- alte
include:-Einträge früherer Anbieter stehen lassen - zu lockere Regeln wie
+all - die 10-Lookup-Grenze überschreiten
- nach einem ESP-Wechsel SPF nicht aktualisieren
Das große SPF-Problem 2026: das 10-Lookup-Limit
Einer der häufigsten verdeckten Deliverability-Killer.
Wenn dein SPF zu viele verschachtelte Anbieter, Forwarding-Dienste oder SaaS-Tools enthält, kann es das erlaubte DNS-Lookup-Limit sprengen und still scheitern.
Wenn dein SPF komplex ist, kann das SPF Flattening Tool helfen, Include-Ketten in explizite IPs zu flachen, damit der Record im Limit bleibt.
Schritt 3: DKIM-Record prüfen
Wenn du wie man einen DKIM-Record prüft wissen willst, ist das Wichtigste:
DKIM funktioniert über Selectors.
Du brauchst in der Regel:
- die Domain
- den Selector, den die Sendeplattform nutzt
Ein DKIM-Record liegt oft an einem Ort wie:
selector1._domainkey.example.com
Worauf zu achten ist
- der Selector löst korrekt auf
- ein TXT-Record existiert
- der Public Key (
p=) ist vorhanden - der Record ist sauber formatiert
- der Schlüssel ist ausreichend stark
- die Plattform signiert die echten ausgehenden Mails wirklich
Häufige DKIM-Fehler
- falscher Selector
- Record veröffentlicht, aber DKIM beim Mail-Anbieter nie aktiviert
- kaputte TXT-Formatierung im DNS
- schwache oder veraltete Schlüssellängen
- falsches Schlüsselrotieren
- annehmen, dass „Record existiert“ bedeutet „DKIM passt“
Für eine tiefere technische Inspektion des Records nutze den DKIM Analyzer, um Schlüsselstärke, Recordstruktur und mögliche DKIM-Probleme zu prüfen.
Schritt 4: DMARC-Record prüfen
Wenn du wie man einen DMARC-Record prüft wissen willst, suche nach einem TXT-Record unter:
_dmarc.example.com
Ein einfacher DMARC-Record sieht so aus:
v=DMARC1; p=none; rua=mailto:dmarc@example.com
Worauf zu achten ist
- beginnt mit
v=DMARC1 - hat eine Policy:
p=nonep=quarantinep=reject
- idealerweise eine Reporting-Adresse:
rua=mailto:...
- optional Forensic Reporting:
ruf=mailto:...
- Alignment-Einstellungen können vorhanden sein:
adkim=aspf=
- optionaler Stufen-Rollout:
pct=
Häufige DMARC-Fehler
- gar kein DMARC-Record
- für immer auf
p=nonebleiben - kein Reporting-Postfach
- kaputte Syntax
- Alignment-Fehler ignorieren
- generischen Record kopieren ohne ihn zu verstehen
Um den Record schnell zu validieren und zu sehen, ob er nur überwacht oder wirklich durchsetzt, nutze den DMARC Checker.
Warum Mails trotz vorhandenem SPF, DKIM und DMARC im Spam landen
Einer der am meisten missverstandenen Punkte der Deliverability.
Eine Domain kann SPF, DKIM und DMARC vorhanden haben — und Mails landen trotzdem im Spam.
Warum?
Weil Vorhandensein nicht gleich richtige Konfiguration ist.
Häufige Gründe:
- SPF existiert, aber überschreitet das 10-Lookup-Limit
- SPF besteht, aber das Alignment fehlt
- DKIM-Record existiert, aber die echte Signatur scheitert
- DKIM bricht nach Forwarding oder Rewriting
- DMARC existiert, bleibt aber bei
p=none - die Domain hat eine schlechte Reputation
- die sendende IP hat eine schlechte Reputation
- der Inhalt löst Spamfilter aus
- Links wirken verdächtig
- die Bounce-Rate ist hoch
- die Beschwerde-Rate ist hoch
- Reverse-DNS fehlt oder ist schwach
- das Sendevolumen ändert sich plötzlich
Wichtige Wahrheit
SPF + DKIM + DMARC sind das Fundament, nicht das gesamte Deliverability-System.
Sie helfen Anbietern, dir zu vertrauen, aber sie heben schlechte Reputation oder spammiges Verhalten nicht auf.
So findest du heraus, warum eine Mail im Spam gelandet ist
Wenn deine DNS-Records sauber aussehen, eine echte Mail aber trotzdem im Spam landet, hör auf, nur DNS anzustarren.
Du musst die rohen E-Mail-Header untersuchen.
Dort siehst du, was der empfangende Server tatsächlich beobachtet hat.
Nutze den Email Header Analyser, um zu prüfen:
- SPF pass/fail
- DKIM pass/fail
- DMARC pass/fail
- Authentication-Results
- Mail-Hops / Relay-Pfad
- Alignment-Hinweise
- Hinweise auf Spam-Routing
Das ist entscheidend, weil viele Leute nur DNS-Records checken und nie die tatsächlich zugestellte Nachricht testen — und genau dort tauchen versteckte Probleme auf.
Bester Workflow zur Prüfung der E-Mail-Authentifizierung (schnellste Methode)
Wenn du den einfachsten praktischen Workflow für 2026 willst, mach es in dieser Reihenfolge:
- Breiten Scan mit Email Health Checker
- DMARC-Policy und Durchsetzung mit DMARC Checker
- DKIM-Qualität und Selector-Validität mit DKIM Analyzer
- SPF-Struktur und Lookup-Anzahl mit SPF Flattening Tool
- Echte Mail-Header analysieren mit Email Header Analyser, wenn die Inbox-Platzierung weiterhin scheitert
Das gibt dir:
- eine DNS-Sicht
- eine Policy-Sicht
- eine Echtnachrichten-Sicht
Diese Kombination ist deutlich nützlicher als nur ein simpler TXT-Lookup.
Häufige SPF-, DKIM- und DMARC-Fehler, die zu vermeiden sind
Diese Fehler kommen bei Business-Domains, SaaS-Apps und Cold-Mail-Setups immer wieder vor.
SPF-Fehler
- mehrere SPF-TXT-Records
- zu viele
include:-Lookups - alte Anbieter noch gelistet
+alloder zu lockere Policy- SPF nach Anbieterwechsel nicht aktualisiert
DKIM-Fehler
- falscher Selector
- Record veröffentlicht, Signatur deaktiviert
- kaputte TXT-Formatierung
- schwache Schlüssel
- nicht mit echten gesendeten Mails getestet
DMARC-Fehler
- kein DMARC-Record
- für immer
p=none - keine
rua=-Reporting-Adresse - Alignment ignoriert
- kaputte Syntax
- keine Bewegung Richtung Durchsetzung
SPF-, DKIM- und DMARC-Best-Practices für 2026
Wenn du dieses Jahr eine bessere Inbox-Platzierung willst, ziel auf diesen Baseline:
- nur einen sauberen SPF-Record veröffentlichen
- SPF unter dem 10-Lookup-Limit halten
- alte oder ungenutzte Anbieter aus SPF entfernen
- starke DKIM-Schlüssel verwenden
- bestätigen, dass DKIM echte ausgehende Mails signiert
- DMARC auf jeder aktiv sendenden Domain veröffentlichen
- mit Monitoring beginnen, dann Richtung Durchsetzung gehen
- DMARC-Reports einsammeln
- Alignment prüfen, nicht nur pass/fail
- nach DNS- oder ESP-Änderungen erneut testen
- Header anschauen, wenn etwas merkwürdig wirkt
- Reputation und Bounce-Trends überwachen
Für wen ist diese Checkliste?
Dieser Guide ist sinnvoll, wenn du betreibst:
- eine Business-Website
- ein SaaS-Produkt
- ein Support-Postfach
- ein Newsletter-System
- transaktionale Mails
- Cold-Outreach-Kampagnen
- agenturgemanagte Kunden-Domains
- Mail-Forwarding mit eigener Domain
- E-Commerce-Benachrichtigungen
- Passwort-Reset-/Verifizierungssysteme
Wenn E-Mail für dein Business wichtig ist, ist Authentifizierung es auch. Und wenn du Wegwerf-E-Mail zum Testen nutzt, hilft dir das Verständnis von Authentifizierung dabei, Anbieter zu wählen, die wirklich zustellen.
Schlussgedanken
Wenn du Mails von deiner Domain sendest, ist das Lernen, SPF, DKIM und DMARC zu prüfen, eine der technischen Skills mit dem höchsten ROI.
Es hilft dir:
- die Inbox-Platzierung zu verbessern
- das Spoofing-Risiko zu reduzieren
- zu diagnostizieren, warum Mails im Spam landen
- versteckte DNS-Fehler zu entdecken
- Vertrauen bei Mail-Anbietern aufzubauen
Die wichtigste Erkenntnis:
SPF-, DKIM- und DMARC-Records zu haben reicht nicht — sie müssen gültig, ausgerichtet und mit echtem Mail-Verhalten getestet sein.
Eine Domain kann oberflächlich „konfiguriert“ aussehen und in Produktion trotzdem versagen.
Deshalb ist der schlauste Ansatz:
- Domain prüfen
- Records inspizieren
- Policy validieren
- echte Nachricht testen
Wenn du das konsequent machst, fängst du die meisten Authentifizierungsprobleme ab, bevor sie deine Deliverability ruinieren.
FAQ
Wie prüfe ich SPF für eine Domain?
Suche im DNS einen TXT-Record, der mit v=spf1 beginnt. Stelle sicher, dass es nur einen SPF-Record gibt, dass er deine aktiven Sendeanbieter enthält und dass er das 10-Lookup-Limit nicht überschreitet.
Wie prüfe ich DKIM für eine Domain?
Du brauchst die Domain und in der Regel den Selector der Sendeplattform. Der DKIM-TXT-Record sollte einen gültigen Public Key und korrekte Formatierung enthalten — und du solltest zusätzlich bestätigen, dass echte ausgehende Mails wirklich signiert werden.
Wie prüfe ich DMARC für eine Domain?
Suche unter _dmarc.deinedomain.com nach einem TXT-Record. Er sollte mit v=DMARC1 beginnen und eine Policy wie p=none, p=quarantine oder p=reject enthalten. Eine rua=-Adresse für Reports ist sehr empfehlenswert.
Was ist der beste SPF-/DKIM-/DMARC-Checker?
Der beste Workflow ist nicht ein einziger Check — es ist die Kombination aus:
- domainweitem Authentifizierungs-Scan
- direkter DMARC-Validierung
- DKIM-Inspektion
- SPF-Strukturprüfung
- Analyse echter Mail-Header
Das gibt dir DNS- und Echtnachrichten-Sicht.
Warum landen Mails trotz SPF, DKIM und DMARC im Spam?
Weil das Vorhandensein der Records keine Inbox-Platzierung garantiert. Mails können trotzdem im Spam landen wegen:
- Alignment-Fehlern
- kaputten DKIM-Signaturen
- schwacher SPF-Struktur
- schlechter Domain- oder IP-Reputation
- spamtriggerndem Inhalt
- hoher Beschwerde- oder Bounce-Rate
- DMARC ohne Durchsetzung
Braucht DMARC SPF und DKIM?
DMARC funktioniert am besten, wenn beide korrekt konfiguriert sind. Technisch kann DMARC bestehen, wenn entweder SPF oder DKIM mit korrektem Alignment besteht, aber sich auf beide zu stützen ist deutlich robuster und empfohlen.
Was ist das SPF-10-Lookup-Limit?
Die SPF-Auswertung darf maximal 10 DNS-Lookups durchführen. Überschreitet dein SPF das Limit durch zu viele include:-Mechanismen, kann es scheitern und der Deliverability schaden.
p=none oder p=reject bei DMARC?
Beim Einstieg ist p=none zur Beobachtung sinnvoll. Auf Dauer schwächt es jedoch den Schutz. Sobald die Authentifizierung stabil läuft, sollten die meisten Domains Richtung p=quarantine oder p=reject arbeiten.
Reichen SPF, DKIM und DMARC für gute Deliverability aus?
Nein. Diese Records sind essenziell, aber Deliverability hängt auch ab von:
- Domain-Reputation
- IP-Reputation
- Inhaltsqualität
- Beschwerderaten
- Bounce-Raten
- Sendeverhalten
- Listen-Hygiene
- Infrastrukturqualität
Authentifizierung ist das Fundament, nicht das ganze System.
Weiterlesen
- Temp Mail bekommt keinen OTP? So löst du das schnell — schwache E-Mail-Authentifizierung ist Grund Nummer 1 für ausbleibende OTPs
- Was ist eine Wegwerf-E-Mail? Der vollständige Leitfaden
- Wie temporäre E-Mail deine Privatsphäre online schützt
- Spam vermeiden: 7 erprobte Strategien
- Wie anonyme E-Mail dich vor Phishing schützt
- Wegwerf-E-Mail vs. Burner-Mail vs. Temp Mail
- Der vollständige Leitfaden zur E-Mail-Privatsphäre
Your temp mail is ready right now
No signup, no password. A disposable inbox waiting the moment you open the page.
Get My Free Temp Mail →