SPF und DMARC: die 2 E-Mail-Tests, die jedes Audit enthalten sollte
Die Website Ihres Kunden ist tadellos. Aber seine E-Mails landen im Spam. SPF und DMARC lassen sich in 30 Sekunden prüfen und können Zustellbarkeitskatastrophen — oder Phishing-Angriffe — verhindern.
- SPF und DMARC sind DNS-Einträge, die E-Mail-Absender authentifizieren — ohne sie kann jeder E-Mails versenden und dabei die Domain Ihres Kunden vortäuschen
- Seit Februar 2024 verlangen Gmail und Outlook SPF und DMARC von Massenversendern — fehlende Einträge beeinflussen die Zustellbarkeit direkt
- Diese Prüfungen dauern 30 Sekunden und können Katastrophen verhindern: verlorene Rechnungen, verpasste Kontakte, Phishing-Angriffe auf Ihre Kunden
Stellen Sie sich vor: Ihr Kunde ruft an. Er hat gerade eine E-Mail-Kampagne zur Ankündigung neuer Dienstleistungen gestartet. Ergebnis? Null Antworten. Die Nachrichten landen im Spam, oder schlimmer: Betrüger versenden betrügerische E-Mails von seiner Domain an seine eigenen Kunden.
Die meisten Website-Audits prüfen SSL, Performance, SEO, Barrierefreiheit. Aber sie ignorieren zwei DNS-Einträge, die 30 Sekunden zur Prüfung benötigen und buchstäblich ein Unternehmen retten können: SPF und DMARC.
Das sind keine obskuren technischen Details. Es sind unsichtbare Schutzschilde, die die E-Mail-Glaubwürdigkeit einer Domain schützen. Und seit Februar 2024 fordern Gmail und Outlook diese explizit. Wenn Ihr Audit sie nicht prüft, fehlt etwas Wesentliches.
Was ist SPF? (Sender Policy Framework)
SPF ist ein DNS-TXT-Eintrag, der die Server auflistet, die berechtigt sind, E-Mails im Namen einer Domain zu versenden. Wenn ein Server eine E-Mail empfängt, die angeblich von ihr-kunde.com kommt, prüft er den SPF-Eintrag dieser Domain, um zu verifizieren, ob der sendende Server auf der Liste der autorisierten Absender steht.
Wenn der Server nicht auf der Liste steht, kann die E-Mail als Spam markiert oder abgelehnt werden. So einfach ist das.
So funktioniert es, Schritt für Schritt:
- Eine E-Mail wird von server.hosting.com gesendet und behauptet, von ihr-kunde.com zu kommen
- Der empfangende Server fragt das DNS: Was ist der SPF-Eintrag für ihr-kunde.com?
- Er vergleicht die IP des sendenden Servers mit der SPF-Liste
- Wenn die IP autorisiert ist: E-Mail wird zugestellt. Sonst: Spam oder Ablehnung je nach Richtlinie
Beispiel-SPF-Eintrag (Google Workspace):
v=spf1 include:_spf.google.com ~all
Der Mechanismus `~all` bedeutet "Softfail" für nicht gelistete E-Mails. Der Mechanismus `-all` ist strenger und lehnt sie vollständig ab. Vermeiden Sie `+all`, das jeden zum Senden berechtigt — das ist dasselbe wie kein SPF.
Was ist DMARC? (Domain-based Message Authentication, Reporting & Conformance)
DMARC geht über SPF allein hinaus. Es baut auf SPF und DKIM auf (eine weitere Authentifizierungsmethode, die E-Mails kryptografisch signiert), um eine klare Richtlinie festzulegen: Was tun, wenn eine E-Mail die Authentifizierung nicht besteht?
Ohne DMARC entscheidet jeder Mailserver selbst, was er tut — auch wenn SPF sagt "diese E-Mail ist verdächtig". Mit DMARC geben Sie klare Anweisungen.
Die 3 DMARC-Richtlinien:
- p=none — Überwachungsmodus: Die E-Mail wird zugestellt, aber Sie erhalten Berichte. Dies ist der empfohlene Ausgangspunkt.
- p=quarantine — Verdächtige E-Mails landen im Spam. Das ist der mittlere Schritt.
- p=reject — Nicht authentifizierte E-Mails werden vollständig abgelehnt. Das ist das maximale Schutzniveau.
Beispiel-DMARC-Eintrag:
v=DMARC1; p=quarantine; rua=mailto:dmarc@votredomaine.com; pct=100
Das Attribut `rua` ermöglicht den Empfang aggregierter Berichte per E-Mail — sie zeigen Ihnen, wer versucht, E-Mails unter Ihrer Domain zu versenden. Ein wertvolles Werkzeug, um Spoofing-Versuche zu erkennen, bevor sie Schaden anrichten.
Warum es für Ihre Kunden kritisch ist
Die Frage ist nicht "Ist das nützlich?" — sondern "Was kostet es, es nicht zu haben?"
Im Februar 2024 kündigten Google und Microsoft neue Anforderungen für Massen-E-Mail-Versender an. SPF und DMARC sind für das Erreichen von Gmail- und Outlook-Postfächern nicht mehr optional. Eine Domain ohne diese Einträge sieht ihre Öffnungsraten sinken und ihre E-Mails systematisch im Spam landen.
Ohne SPF oder DMARC kann jeder E-Mails versenden und dabei ihr-kunde.com vortäuschen. Betrüger können die Kunden Ihres Kunden, seine Lieferanten, seine Bank kontaktieren — unter seinem Domainnamen. Der Reputationsschaden kann irreversibel sein.
E-Mail-Anbieter pflegen Reputationswerte für jede Domain. Eine Domain ohne SPF/DMARC sammelt weniger "Vertrauen" an. Langfristig landen sogar legitime E-Mails im Spam. Das ist ein Problem, das sich mit der Zeit verschlimmert.
Die 3 häufigsten Fehler
Fehler Nr. 1: Kein SPF-Eintrag vorhanden
Der häufigste Fall, besonders bei älteren oder wenig gepflegten Domains. Die Domain sendet E-Mails (über Gmail, Mailchimp oder das CMS) ohne jeden SPF-Eintrag. Jede nicht authentifizierte E-Mail ist ein Zustellbarkeits- und Phishing-Risiko.
Fehler Nr. 2: SPF zu permissiv mit +all
Ein SPF-Eintrag, der mit `+all` endet, erlaubt buchstäblich jedem Server, E-Mails für diese Domain zu versenden. Das ist schlimmer als kein SPF: Es vermittelt ein falsches Sicherheitsgefühl. Suchen Sie `+all` in den SPF-Einträgen Ihrer Kunden — das ist ein rotes Warnsignal.
Fehler Nr. 3: DMARC dauerhaft bei p=none
Mit `p=none` zu beginnen ist der richtige Ansatz (Überwachungsmodus). Aber viele Domains bleiben dauerhaft dabei. Ohne den Wechsel zu `p=quarantine` und dann `p=reject` bietet DMARC keinen echten Schutz — es beobachtet, ohne je zu handeln.
So prüfen Sie SPF und DMARC in 30 Sekunden
Keine ausgefeilten Tools nötig. Zwei Befehlszeilenbefehle (oder Web-Tools) reichen aus:
SPF mit dig prüfen:
DMARC mit dig prüfen:
Kostenlose Online-Tools:
- MXToolbox (mxtoolbox.com) — analysiert SPF, DMARC und DKIM mit Erklärungen
- Google Admin Toolbox (toolbox.googleapps.com) — offizielles Google-Tool
- DMARC Analyzer (dmarcanalyzer.com) — Analyse und Eintrags-Generator
Worauf Sie achten sollten:
- SPF vorhanden: der TXT-Eintrag beginnt mit v=spf1
- SPF ohne +all: der abschließende Mechanismus muss ~all oder -all sein
- DMARC vorhanden: der TXT-Eintrag für _dmarc. beginnt mit v=DMARC1
- DMARC nicht dauerhaft bei none: idealerweise p=quarantine oder p=reject
Wie Orilyt SPF und DMARC testen wird
SPF- und DMARC-Prüfungen sind Teil des Batch 1 der neuen Multi-CMS-Tests von Orilyt, die derzeit entwickelt werden.
Diese Tests werden vollständig extern sein: eine einfache DNS-Abfrage, kein Admin-Zugang erforderlich, kein Plugin, kompatibel mit allen CMS (WordPress, Wix, Squarespace, Shopify, individuelle Sites...). Wenn die Domain existiert, funktioniert der Test.
- Externe DNS-Prüfung: kein Site-Zugang erforderlich
- Kompatibel mit allen CMS: WordPress, Webflow, Shopify, individuelle Sites
- Automatisch in jedem Orilyt-Audit enthalten
- FIA-Empfehlung generiert: Fakt, Auswirkung, Aktion — bereit zur Präsentation beim Kunden
Das Ziel: Jeder Orilyt-Bericht enthält automatisch einen Abschnitt "E-Mail & Sicherheit" mit SPF- und DMARC-Status sowie eine klare Empfehlung, wenn einer der beiden fehlt oder falsch konfiguriert ist.
E-Mail-Audit: der Quick Win, den niemand prüft
SPF und DMARC sind wahrscheinlich die am meisten vernachlässigten Prüfungen in einem traditionellen Web-Audit. Sie sind im Browser nicht sichtbar, sie beeinflussen den PageSpeed-Score nicht, und dennoch haben sie direkte geschäftliche Auswirkungen: verlorene E-Mails, Identitätsspoofing, beschädigte Reputation.
Für einen Freelancer oder eine Agentur ist die Aufnahme dieser Prüfungen in jedes Audit sowohl ein Wettbewerbsvorteil als auch ein echter Service für Kunden. Wie viele KMUs haben nicht vorhandene oder falsch konfigurierte SPF-Einträge? Die Antwort würde Sie überraschen.
Die gute Nachricht: deren Korrektur dauert 10 Minuten im Hosting-Control-Panel. Aber erst muss man sie erkennen. Genau das wird Orilyt automatisch in jedem Audit tun.