zi-co.de | Web Design & Development | Darmstadt

26.05.2026 | Alex Zierlinger

E-Mail-Zustellbarkeit verbessern: SPF, DKIM & DMARC richtig einrichten

Wer sich mit E-Mail-Sicherheit beschäftigt, denkt oft zuerst ans Filtern: Spam-Schutz, Virenscanner, Blacklists – alles Maßnahmen, die eingehende Mails prüfen. Aber mindestens genauso wichtig ist die andere Seite: Wie gut kommen eigene E-Mails beim Empfänger an? Landen Mails direkt im Posteingang oder wandern sie still in den Spam-Ordner?

Genau hier setzen SPF, DKIM und DMARC an. Diese drei DNS-basierten Mechanismen helfen Empfängermailservern zu erkennen, ob eine E-Mail wirklich von der angegebenen Domain stammt – und verbessern damit die Zustellbarkeit legitimer Mails erheblich.

Kurz erklärt: Wie funktioniert das?

SPF (Sender Policy Framework) legt per DNS-Eintrag fest, welche Mailserver überhaupt berechtigt sind, E-Mails für eine Domain zu versenden. Der empfangende Mailserver prüft, ob die sendende IP-Adresse in dieser Liste steht.

DKIM (DomainKeys Identified Mail) fügt jeder ausgehenden E-Mail eine kryptografische Signatur hinzu. Diese Signatur wird mit einem privaten Schlüssel erzeugt, den nur der Mailserver kennt. Der öffentliche Schlüssel liegt im DNS und ermöglicht dem Empfänger, die Signatur zu verifizieren – ohne dass der Inhalt der Mail durch fremde Hände gegangen sein muss.

DMARC (Domain-based Message Authentication, Reporting and Conformance) baut auf SPF und DKIM auf und legt fest, was mit Mails passieren soll, die beide Prüfungen nicht bestehen: zustellen, in Quarantäne verschieben oder ablehnen. Zusätzlich ermöglicht DMARC regelmäßige Berichte darüber, wer im Namen der eigenen Domain Mails versendet.

Seit wann ist das wirklich relevant?

Technisch existieren SPF, DKIM und DMARC schon seit den frühen 2000er- bzw. 2010er-Jahren. Wirklich verbindlich wurden sie allerdings erst in jüngerer Zeit: Seit Februar 2024 verlangen Google (Gmail) und Yahoo für Massenversender verpflichtend die korrekte Einrichtung all dieser Mechanismen. Wer größere Mengen E-Mails ohne gültige SPF-, DKIM- und DMARC-Konfiguration verschickt, muss damit rechnen, dass Mails abgewiesen oder direkt als Spam markiert werden. Seit 2025 hat auch Microsoft mit ähnlichen Anforderungen nachgezogen.

Die offiziellen Anforderungen von Google sind in den Google-Richtlinien für E-Mail-Absender dokumentiert.

Die Einrichtung in Plesk: Schritt für Schritt

Die folgende Anleitung richtet sich an Server, auf denen Plesk als Verwaltungsoberfläche für Kunden freigeschaltet ist. Alle Schritte werden direkt in den DNS-Einstellungen der jeweiligen Domain vorgenommen.

Hinweis: Änderungen an DNS-Einträgen können bis zu 48 Stunden benötigen, bis sie weltweit aktiv sind (TTL-Propagation). In der Praxis sind Änderungen meist aber schon nach wenigen Minuten bis Stunden wirksam.

1. SPF – Den autorisierten Mailserver eintragen

SPF teilt empfangenden Mailservern mit, welche Server berechtigt sind, E-Mails für diese Domain zu versenden.

Vorgehensweise in Plesk:

  1. Im Plesk-Dashboard zu Websites & Domains navigieren
  2. Die entsprechende Domain auswählen, dann Hosting und DNS öffnen
  3. DNS-Einstellungen aufrufen
  4. Oben auf Eintrag hinzufügen klicken
  5. Folgende Werte eintragen:
Feld Wert
Eintragstyp TXT
TXT-Inhalt v=spf1 +a +mx -all
Alle anderen Felder leer lassen
  1. Den Eintrag speichern
  2. Im daraufhin angezeigten DNS-Einstellungs-Screen auf „Aktualisieren" klicken, damit die Änderung aktiv wird

Was bedeutet v=spf1 +a +mx -all?

  • v=spf1 – kennzeichnet den Eintrag als SPF-Eintrag
  • +a – erlaubt dem A-Record der Domain (also der IP-Adresse, auf die die Domain zeigt) den Mailversand
  • +mx – erlaubt allen im MX-Record eingetragenen Mailservern den Versand
  • -all – alle anderen Absender werden hart abgelehnt (Fail)

Achtung: Falls E-Mails auch über externe Dienste (z. B. Newsletter-Tools, CRM-Systeme oder externe Relays) versendet werden, müssen diese Dienste ebenfalls in den SPF-Eintrag aufgenommen werden. Andernfalls werden diese Mails als SPF-Fail behandelt.

Besonderheit bei Mail-Gateways: Wird ein vorgelagertes Mail-Gateway genutzt – etwa der HostEurope Secureserver oder ein ähnlicher Relay-Dienst – ist dieser Gateway nach außen hin derjenige Server, der die Mail tatsächlich versendet. In diesem Fall muss nicht der eigene Mailserver, sondern der Gateway im SPF-Eintrag autorisiert werden. Für den HostEurope Secureserver wäre der Eintrag dann beispielsweise:

v=spf1 include:secureserver.net -all

Der include:-Mechanismus übernimmt dabei automatisch alle IP-Adressen, die HostEurope für diesen Dienst hinterlegt hat. Welchen Eintrag ein anderer Gateway-Anbieter benötigt, ist in dessen Dokumentation nachzuschlagen.

2. DKIM – Ausgehende Mails kryptografisch signieren

DKIM sorgt dafür, dass jede ausgehende E-Mail mit einer digitalen Signatur versehen wird, anhand derer der Empfänger die Echtheit der Mail verifizieren kann.

Vorgehensweise in Plesk:

  1. Im Plesk-Dashboard zu Websites & Domains navigieren
  2. Die entsprechende Domain auswählen, dann E-Mail öffnen
  3. E-Mail-Einstellungen aufrufen
  4. Den Haken setzen bei „DKIM-Spamschutzsystem zum Signieren ausgehender E-Mail-Nachrichten verwenden"
  5. Die Einstellung speichern – Plesk generiert automatisch ein DKIM-Schlüsselpaar und legt die zugehörigen DNS-Einträge an

Anschließend prüfen, ob die DNS-Einträge korrekt erstellt wurden:

Unter Websites & Domains > Domain > Hosting und DNS > DNS müssen folgende zwei Einträge vorhanden sein:

Typ Name Inhalt
TXT default._domainkey. v=DKIM1;p=… (langer öffentlicher Schlüssel)
TXT _domainkey. o=-

Sind beide Einträge vorhanden, ist DKIM aktiv und funktionsfähig.

3. DMARC – Richtlinie und Reporting konfigurieren

DMARC legt fest, was mit Mails geschehen soll, die SPF- oder DKIM-Prüfungen nicht bestehen, und ermöglicht Berichte über den E-Mail-Versand im Namen der Domain.

Vorgehensweise in Plesk:

  1. Im Plesk-Dashboard zu Websites & Domains navigieren
  2. Die entsprechende Domain auswählen, dann Hosting und DNS öffnen
  3. DNS-Einstellungen aufrufen
  4. Oben auf Eintrag hinzufügen klicken
  5. Folgende Werte eintragen:
Feld Wert
Name _dmarc.meine-domain.de (den Domainnamen entsprechend anpassen)
Eintragstyp TXT
TXT-Inhalt v=DMARC1; p=quarantine; adkim=r; aspf=r;
Alle anderen Felder leer lassen
  1. Den Eintrag speichern
  2. Im daraufhin angezeigten DNS-Einstellungs-Screen auf „Aktualisieren" klicken, damit die Änderung aktiv wird

Was bedeuten die einzelnen Parameter?

  • v=DMARC1 – kennzeichnet den Eintrag als DMARC-Eintrag
  • p=quarantine – Mails, die SPF und DKIM nicht bestehen, werden in den Spam-Ordner verschoben (Alternativen: none für reine Überwachung oder reject für hartes Ablehnen)
  • adkim=r – DKIM-Abgleich im „relaxed" Modus (Subdomains werden akzeptiert)
  • aspf=r – SPF-Abgleich im „relaxed" Modus

Tipp: Wer DMARC zunächst nur beobachten möchte, ohne dass Mails abgelehnt oder verschoben werden, kann p=none setzen und später auf p=quarantine oder p=reject wechseln. Über den Parameter rua=mailto:dmarc-reports@meine-domain.de lassen sich außerdem automatische Berichte anfordern.

Bonus: BIMI – Das Logo im Posteingang

BIMI (Brand Indicators for Message Identification) ist eine Erweiterung, die es Absendern ermöglicht, ihr Markenlogo direkt neben der E-Mail im Posteingang anzuzeigen – vorausgesetzt, der Empfänger-Provider unterstützt den Standard (Gmail, Yahoo und einige andere tun dies).

Klingt attraktiv, hat aber einen entscheidenden Haken: Für die vollständige BIMI-Implementierung mit offiziellem Logo-Badge ist ein sogenanntes VMC-Zertifikat (Verified Mark Certificate) erforderlich. Dieses Zertifikat ist kostenpflichtig und wird nur ausgestellt, wenn das eigene Logo als eingetragene Marke (Trademark) registriert ist. Die jährlichen Kosten für ein VMC-Zertifikat liegen derzeit im vierstelligen Bereich.

Für die meisten kleineren und mittleren Unternehmen ist BIMI daher aktuell wenig praktikabel. Wer jedoch über ein eingetragenes Markenzeichen verfügt und im E-Mail-Marketing aktiv ist, kann die erhöhte Sichtbarkeit und das vertrauensbildende Logo-Display als sinnvolle Ergänzung in Betracht ziehen.

Die eigene Konfiguration testen

Nachdem die Einstellungen vorgenommen wurden, lohnt sich ein Test mit einem dedizierten Tool. mailgenius.com stellt dazu eine individuelle Test-E-Mail-Adresse bereit. Der Ablauf ist einfach: Die angezeigte Adresse kopieren, aus dem eigenen Mailsystem eine E-Mail dorthin schicken – und das Tool wertet diese eingehende Mail automatisch aus. Da die Mail tatsächlich über den eigenen Server verschickt wird, prüft mailgenius die realen SPF-, DKIM- und DMARC-Header und gibt eine detaillierte Auswertung zurück – inklusive konkreter Hinweise, falls etwas nicht korrekt konfiguriert ist.

Fazit

SPF, DKIM und DMARC sind heute keine optionalen Feinheiten mehr, sondern praktische Voraussetzung für zuverlässige E-Mail-Zustellung. Die Einrichtung ist in Plesk unkompliziert und mit wenigen Klicks erledigt – und der Aufwand lohnt sich: Wer diese drei Mechanismen korrekt konfiguriert, senkt das Risiko, im Spam zu landen, schützt die eigene Domain vor Missbrauch und erfüllt die Anforderungen großer Provider wie Google, Yahoo und Microsoft.

Über den Autor

Alex Zierlinger | Webdesigner aus Darmstadt

Alex Zierlinger
Webdesigner & PHP-Entwickler
zi-co.de

Diesen Beitrag weiterempfehlen: