Gmail lehnt Mails ab: SPF, DKIM und DMARC einrichten
Sie befinden sich: Home > News Archiv > Webmaster > Gmail lehnt Mails ab...
Seit Ende 2025 prallen Mails ohne saubere Authentifizierung an Gmail und Outlook ab. SPF, DKIM und DMARC entscheiden, ob Ihre Nachrichten ankommen. Dazu wurde DMARC im Mai 2026 zum offiziellen Standard. So bringen Sie Ihren Versand in Ordnung.Ihre Rechnung, Ihre Terminbestätigung, Ihre Newsletter: Wenn diese Mails an einem Gmail- oder Outlook-Postfach abprallen, liegt das immer öfter an drei Buchstaben-Kombinationen, die viele Seitenbetreiber bis heute ignoriert haben. SPF, DKIM und DMARC waren lange eine Empfehlung. Seit Ende 2025 sind sie die Eintrittskarte ins Postfach, und wer sie nicht hat, wird abgewiesen.
2026 hat das Thema gleich zwei Schübe bekommen. Die großen Provider lehnen unauthentifizierte Massenmails inzwischen endgültig ab, statt sie nur in den Spam-Ordner zu schieben. Und im Mai wurde DMARC nach über zehn Jahren zum echten Internet-Standard erhoben. Höchste Zeit, den eigenen Versand in Ordnung zu bringen.
Warum das Thema gerade jetzt brennt
Der Auslöser sitzt nicht bei Ihnen, sondern bei den Mailprovidern. Google und Yahoo haben im Februar 2024 angefangen, Absender zur Authentifizierung zu zwingen. Microsoft zog 2025 nach. Was als sanfte Verwarnung begann, ist heute eine harte Tür.
Seit November 2025 weisen sowohl Gmail als auch Outlook nicht-authentifizierte Massenmails komplett ab. Keine Zustellung, kein Spam-Ordner, nur eine Fehlermeldung an den Absender. Bei Outlook lautet sie 550 5.7.515, sinngemäß: Zugriff verweigert, die sendende Domain erfüllt die geforderte Authentifizierung nicht. Wie ernst die Lage ist, zeigt eine Zahl von Google: Gmail-Nutzer bekamen 2024 rund 265 Milliarden unauthentifizierte Nachrichten weniger als im Jahr davor, ein Rückgang um 65 Prozent.
SPF, DKIM und DMARC in einfachen Worten
Bevor es ans Einrichten geht, lohnt sich ein klarer Blick auf die drei Bausteine. Sie lösen unterschiedliche Probleme und ergeben erst zusammen ein dichtes Netz.
| Baustein | Was er macht | Vergleich |
|---|---|---|
| SPF | Legt im DNS fest, welche Server für Ihre Domain senden dürfen | Gästeliste am Eingang |
| DKIM | Versieht jede Mail mit einer kryptografischen Signatur | Siegel auf dem Umschlag |
| DMARC | Verbindet beides, prüft die Absenderdomain und legt fest, was bei einem Fehlschlag passiert | Türsteher mit Regelbuch |
Der entscheidende Punkt bei DMARC heißt Alignment. Geprüft wird, ob die im Postfach sichtbare Absenderdomain zur SPF- oder DKIM-Domain passt. DMARC besteht, wenn mindestens eine der beiden Prüfungen besteht und die Domains zusammenpassen. Die Policy sagt dem Empfänger dann, was er mit Mails tun soll, die durchfallen.
Was DMARCbis im Mai 2026 geändert hat
Über elf Jahre war DMARC technisch gesehen nur eine dokumentierte Empfehlung, festgehalten im Dokument RFC 7489 von 2015. Im Mai 2026 hat die zuständige Standardisierungsorganisation IETF die Spezifikation überarbeitet, neu aufgeteilt und zum offiziellen Standard erhoben. Diese Neufassung trägt den Namen DMARCbis.
Sie besteht aus drei Dokumenten, die das alte RFC 7489 ablösen:
| Dokument | Inhalt |
|---|---|
| RFC 9989 | Das Kernprotokoll: Policy-Prüfung, Alignment, Verarbeitung beim Empfänger |
| RFC 9990 | Die täglichen Sammelberichte (Aggregate Reports) |
| RFC 9991 | Die einzelnen Fehlerberichte |
Für die meisten Seitenbetreiber ist die gute Nachricht: Ihr bestehender Eintrag bleibt gültig. Die Kennung lautet weiterhin v=DMARC1, ein DMARC2 gibt es nicht. Trotzdem sollten Sie beim nächsten Bearbeiten aufräumen, denn ein paar Einstellungen sind weggefallen und ein paar neu hinzugekommen.
Diese Tags sind weg, diese sind neu
Wer seinen Record modernisiert, sollte die folgenden Änderungen kennen. Vor allem das gestrichene Prozent-Tag betrifft viele bestehende Einträge.
- Gestrichen:
pct. Damit ließ sich eine Policy bisher nur auf einen Teil der Mails anwenden, etwa auf 50 Prozent. Empfänger setzten das uneinheitlich um, deshalb fliegt es raus. Auchrfundrifür Reportformat und Intervall sind entfallen. - Neu:
np. Eine eigene Regel für Subdomains, die gar nicht existieren. Das stopft ein Einfallstor für Betrüger, die sich erfundene Adressen wiebuchhaltung.ihre-firma.deausdenken. - Neu:
t. Der Testmodus ersetzt das alte Prozent-Tag. Mitt=ywird eine strenge Policy eine Stufe milder angewandt, ideal für einen vorsichtigen Start.
Statt einer extern gepflegten Domainliste laufen Empfänger jetzt die DNS-Hierarchie Schritt für Schritt nach oben, um die zuständige Hauptdomain zu finden. Das ist genauer, kann aber in Einzelfällen anders ausfallen als früher. Die sichere Antwort darauf: Veröffentlichen Sie für jede sendende Domain und Subdomain einen eigenen DMARC-Eintrag.
Wer jetzt was durchsetzt
Die Anforderungen unterscheiden sich je nach Provider im Detail. Wichtig für deutsche Versender: Es sind längst nicht nur die US-Konzerne, die mitziehen.
| Provider | Scharf seit | Besonderheit |
|---|---|---|
| Gmail | Februar 2024, Ablehnung seit November 2025 | Regeln ab 5.000 Mails pro Tag, Spam-Rate dauerhaft unter 0,3 Prozent |
| Microsoft Outlook | Mai 2025, Ablehnung seit November 2025 | Gewichtet die IP-Reputation stärker als Google |
| Yahoo | Februar 2024 | Lehnt DKIM-Schlüssel mit nur 512 Bit ab |
| GMX, WEB.DE, mail.com | Rollout ab Mai 2026 | Setzen p=reject durch, DKIM ist Pflicht, SPF allein reicht nicht |
| La Poste (Frankreich) | September 2025 | Null-Toleranz für alle Absender, nicht nur für Massenversand |
| Apple iCloud | noch keine feste Frist | Durchsetzung wird für 2026 oder 2027 erwartet |
Besonders die deutschen Postfächer von GMX, WEB.DE und mail.com wiegen schwer. Hinter ihnen steht 1&1 Mail & Media mit nach eigenen Angaben rund 42 Millionen aktiven Nutzern. Mails von Domains mit einer reject-Policy, die durchfallen, werden dort schlicht abgewiesen.
Die häufigsten Fehler, die Mails ausbremsen
Viele Versandprobleme liegen nicht an fehlender Authentifizierung, sondern an kaputter. Drei Klassiker tauchen immer wieder auf.
- Das SPF-Limit von zehn DNS-Abfragen. Pro SPF-Prüfung sind nur zehn Nachschlagevorgänge erlaubt. Wer Google Workspace, Microsoft 365, Mailchimp und ein Ticketsystem kombiniert, sprengt das Limit schnell. Die Folge ist ein PermError, und dann scheitert SPF für sämtliche Mails, oft unbemerkt. Lösung: ungenutzte Einträge entfernen oder die enthaltenen Listen zu festen IP-Adressen zusammenfassen.
- Drittanbieter ohne DKIM. Tools wie HubSpot oder Salesforce müssen ausdrücklich für Ihre Domain signieren. Fehlt das, bricht das Alignment, und DMARC fällt durch, obwohl alles eingerichtet scheint.
- Weiterleitungen. Eine weitergeleitete Mail bricht oft SPF, eine Mailingliste oft DKIM. Hier hilft das Verfahren ARC, das die ursprüngliche Prüfung über die Weiterleitung hinweg erhält.
So prüfen Sie Ihren eigenen Status
Bevor Sie etwas ändern, sollten Sie wissen, was bereits eingerichtet ist. Drei kurze Befehle auf der Kommandozeile reichen für den ersten Überblick.
- DMARC:
dig TXT _dmarc.ihre-domain.de, unter Windowsnslookup -type=txt _dmarc.ihre-domain.de. - SPF:
dig ihre-domain.de TXTund nach dem Eintrag mitv=spf1suchen. - DKIM:
dig TXT selektor._domainkey.ihre-domain.de, sofern Sie den Selektor Ihres Versanddienstes kennen.
Schneller geht es mit einem kostenlosen Web-Tool wie dem DMARC-Check von MxToolbox. Es zeigt fehlende Einträge und Fehler auf einen Blick.
Ihr Fahrplan zum sicheren Versand
Den Sprung direkt auf die schärfste Stufe sollten Sie nicht wagen, sonst blockieren Sie womöglich Ihre eigenen legitimen Mails. Gehen Sie stattdessen in drei Schritten vor und werten Sie zwischendurch die Berichte aus.
| Stufe | Eintrag | Wirkung |
|---|---|---|
| 1. Beobachten | v=DMARC1; p=none; rua=mailto:dmarc@ihre-domain.de | Nichts wird blockiert, Sie sammeln Berichte über alle Absender |
| 2. Aussortieren | v=DMARC1; p=quarantine; rua=mailto:dmarc@ihre-domain.de; adkim=s; aspf=s | Verdächtige Mails landen im Spam |
| 3. Abweisen | v=DMARC1; p=reject; sp=reject; np=reject; rua=mailto:dmarc@ihre-domain.de | Gefälschte Mails werden komplett abgelehnt, voller Schutz |
Wichtig dabei: Richten Sie SPF und DKIM mindestens zwei Tage vor DMARC ein. Und setzen Sie unbedingt das rua-Tag, sonst bekommen Sie keine Berichte und die Beobachtungsstufe ist wertlos. Zum Testen genügt eine Mail an ein Gmail-Konto, dort über "Original anzeigen" die Zeilen spf=pass, dkim=pass und dmarc=pass kontrollieren.
Was in Deutschland zusätzlich gilt
Für deutsche Unternehmen kommt zur Provider-Pflicht noch ein behördlicher Rahmen hinzu. Das Bundesamt für Sicherheit in der Informationstechnik hat im Februar 2024 die technische Richtlinie TR-03182 zur E-Mail-Authentifizierung veröffentlicht.
Die Richtlinie ist freiwillig und zertifizierungsbasiert, setzt aber klare Maßstäbe. SPF muss mindestens auf SoftFail stehen, eine reine Beobachtungs-Policy bei DMARC genügt nicht, und ungenutzte Domains sollen aktiv auf reject gesetzt werden, damit niemand sie für Fälschungen missbraucht. Wer mit Kreditkartendaten arbeitet, ist seit dem 31. März 2025 ohnehin gebunden: Der Sicherheitsstandard PCI DSS in Version 4.0 verlangt Schutz gegen Phishing, und SPF, DKIM und DMARC sind genau dafür da. Auch die EU-Richtlinie NIS2 drängt rund 30.000 deutsche Unternehmen zu mehr Sicherheit bei der Kommunikation. Wie schnell aus einer Empfehlung eine handfeste Pflicht wird, zeigt sich gerade auch beim Cyber Resilience Act.
Bonus: das Markenlogo im Postfach
Wer den Weg bis zur reject-Stufe geht, schaltet eine Funktion frei, die sonst verschlossen bleibt. Mit BIMI lässt sich das eigene Logo direkt neben dem Absender im Postfach anzeigen.
Voraussetzung ist eine durchsetzende DMARC-Policy, eine Beobachtungs-Policy reicht nicht. Für den blauen Haken in Gmail braucht es zusätzlich ein kostenpflichtiges Markenzertifikat. Google bietet mit dem Common Mark Certificate inzwischen aber eine günstigere Variante ohne eingetragene Marke an, die für viele kleine Firmen der praktischere Einstieg ist. Das Logo erscheint meist erst rund 30 Tage nach Aktivierung der Durchsetzung.
Häufige Fragen
Zum Abschluss die Fragen, die beim Thema E-Mail-Authentifizierung immer wieder aufkommen.
Muss ich meinen DMARC-Eintrag wegen DMARCbis jetzt ändern?
Nein, nicht zwingend. Bestehende Einträge bleiben gültig. Beim nächsten Bearbeiten sollten Sie aber das veraltete pct-Tag entfernen und können die neuen Tags np und t ergänzen.
Was ist der Unterschied zwischen p=none und p=reject?
Mit p=none beobachten Sie nur, blockiert wird nichts, der Schutz ist also gleich null. Mit p=reject werden gefälschte Mails aktiv abgewiesen. Das ist das Ziel, an das Sie sich schrittweise herantasten sollten.
Warum landen meine Mails bei Gmail im Spam?
Meist fehlt eine saubere Authentifizierung, das Alignment passt nicht, oder Ihre Spam-Rate ist zu hoch. Prüfen Sie zuerst, ob SPF, DKIM und DMARC bestehen.
Gilt das auch für mich, wenn ich nur wenige Mails verschicke?
Die harte 5.000er-Grenze betrifft Massenversender. Provider wie GMX, WEB.DE oder La Poste verlangen saubere Authentifizierung aber von allen Absendern. Wer Mails verschickt, fährt mit vollständigem SPF, DKIM und DMARC immer besser.
Wie ist Ihr Versand aufgestellt?
Haben Sie für Ihre Domain schon einen DMARC-Eintrag, und steht er auf none, quarantine oder reject? Sind Ihnen schon Mails an GMX oder Outlook abgeprallt, seit die Regeln schärfer geworden sind? Schreiben Sie es in die Kommentare. Welcher Stolperstein Sie am meisten Zeit gekostet hat, hilft anderen Seitenbetreibern hier direkt weiter.
dmarc dkim authentifizierung saubere offiziellen ordnung
Webung: Hier bekommen Sie PHP fähigen Webspace der mit Ökostrom betrieben wird ab bereits 2 Euro/ Monat für ihre Homepage. Zusätzlich ist eine eigene Internetadresse mit enthalten.
Neusten News in der Kategorie "Webmaster"
| • HTTP/2 Bomb: Webserver-Lücke trifft Apache und nginx Ein einzelner Heim-PC mit normaler Leitung genügt, um einen Webserver ... |
| • PHP 8.5 Upgrade: jetzt oder doch bei 8.4 bleiben? PHP 8.1 ist tot, PHP 8.2 läuft Ende 2026 aus, ein Upgrade steht also a... |
| • KI-Crawler blocken, zur Kasse bitten oder zulassen? GPTBot, ClaudeBot und PerplexityBot überziehen Webseiten mit Anfragen.... |
| • UpdraftPlus-Lücke löst Supply-Chain-Angriff aus Erst war es nur eine Lücke im Backup-Plugin UpdraftPlus. Dann gelangte... |
| • SSL-Zertifikate 2026: Nur noch 47 Tage statt 398 Einmal im Jahr das SSL-Zertifikat erneuern? Damit ist bald Schluss. Bi... |
| • WordPress 7.0 ist da, doch Plugins bleiben das Risiko WordPress 7.0 ist da, mit KI im Core und einer gestrichenen Vorzeigefu... |
| • Cyber Resilience Act: Was ab 11. September 2026 gilt Ab dem 11. September 2026 müssen Hersteller digitaler Produkte aktiv a... |
| • GEO: So wird Ihre Website in KI-Antworten zitiert Wer bei Google ganz oben steht, taucht in ChatGPT oder Perplexity oft ... |
| • Google Spam Update Juni 2026: Das sollten Sie tun Am 24. Juni hat Google das June 2026 Spam Update ausgerollt. Ohne Blog... |
| • Token-Explosion: So ruinieren MCP-Server Ihren Coding-Workfl... MCP-Server wirken wie clevere Helfer, doch sie können Ihren KI-Co... |
Kommentar schreiben
Teilen Sie uns Ihre Meinung mit. Ihr Kommentar wird nach Pruefung veroeffentlicht.