Stand: Juli 2026

Zusammenfassung: SPF, DKIM und DMARC sind keine drei Optionen, unter denen du wählst — sie sind ein System. SPF und DKIM sind zwei unabhängige Prüfungen, die ein Empfänger durchführt; DMARC ist die Policy, die entscheidet, was passiert, wenn beide scheitern. Du brauchst alle drei — und DMARC rollst du schrittweise aus.

Oft wird gefragt „SPF oder DKIM?”, als müsste man sich für eins entscheiden. Das ist der falsche Blickwinkel. Jedes beantwortet eine andere Frage, und DMARC funktioniert erst, wenn beide da sind. Hier die Arbeitsteilung.

Was jedes tatsächlich prüft

StandardFrage, die es beantwortetWo es lebtÜbersteht Weiterleitung?
SPFDarf der sendende Server für diese Domain senden?TXT-Record (v=spf1 …)Nein
DKIMWurde die Nachricht von der Domain signiert und nicht verändert?Öffentlicher Schlüssel im DNS + Signatur im HeaderJa
DMARCWas tue ich, wenn beide Prüfungen scheitern — und stimmen die Domains überein?TXT-Record (v=DMARC1 …)entfällt — es ist die Policy

SPF prüft den Weg

SPF schaut auf den Server, der die Nachricht eingeliefert hat, und fragt, ob er in der veröffentlichten Liste der Domain steht. Es hängt an der Verbindung und bricht in dem Moment, in dem eine Nachricht weitergeleitet wird — der weiterleitende Server steht ja nicht in deinem Record. Das ist kein Fehler, den du beheben kannst; es liegt in der Natur von SPF und ist ein Hauptgrund, warum es DKIM gibt.

DKIM prüft die Nachricht

DKIM ignoriert den Weg vollständig. Die Nachricht trägt eine kryptografische Signatur; der Empfänger holt deinen öffentlichen Schlüssel aus dem DNS und prüft sie. Passt sie, kam die Nachricht wirklich über deine Infrastruktur und wurde nicht manipuliert. Weil die Signatur mit der Nachricht mitreist, besteht DKIM auch nach einer Weiterleitung weiter.

DMARC prüft die Ausrichtung und entscheidet

Hier wird es subtil. SPF und DKIM validieren jeweils eine Domain — aber nicht zwingend die Domain, die ein Mensch im „Von”-Feld sieht. DMARC ergänzt die Ausrichtung (Alignment): Es verlangt, dass die von SPF oder DKIM validierte Domain zur sichtbaren Von-Domain passt. Eine Nachricht besteht DMARC, wenn mindestens eine von SPF oder DKIM passt und ausgerichtet ist. Dann entscheidet deine DMARC-Policy — p=none, p=quarantine oder p=reject — über das Schicksal von allem, was scheitert.

Deshalb ist DMARC ohne SPF und DKIM sinnlos: Es hat nichts zu bewerten.

Warum du SPF und DKIM brauchst, nicht nur eins

Weil sie in unterschiedlichen Situationen scheitern, decken sie sich gegenseitig ab:

  • Eine Mail, die du direkt an einen Empfänger schickst: SPF und DKIM passen beide.
  • Eine Mail, die weitergeleitet wird: SPF bricht, aber DKIM übersteht es — DMARC besteht über die DKIM-Seite trotzdem.
  • Eine Mailingliste, die die Nachricht umschreibt: DKIM kann brechen, aber wenn der Envelope-Absender umgeschrieben wird, kann SPF den Pass tragen.

Wer nur eins fährt, lässt DMARC in genau diesen Randfällen legitime Mail abweisen. Zwei unabhängige Prüfungen heißt: Eine darf scheitern, ohne dass dich das Zustellung kostet.

Der Weg zur Durchsetzung

Der größte Fehler ist, direkt auf p=reject zu springen. Machst du das blind, weist du legitime Mail von einem Newsletter-Tool oder CRM ab, das du vergessen hast. Der sichere Weg hat drei Stufen:

  1. p=none — beobachten. DMARC im Monitoring-Modus veröffentlichen. Du blockierst nichts, aber Empfänger schicken dir Sammelberichte. Lies sie ein paar Wochen und erstelle eine vollständige Liste von allem, was legitim in deinem Namen sendet.
  2. p=quarantine — weiche Durchsetzung. Scheiternde Mail landet im Spam statt im Posteingang. Beobachte die Berichte weiter. Repariere jede legitime Quelle, die noch scheitert — meist ein fehlender SPF-include oder eine nie eingeschaltete DKIM-Signierung.
  3. p=reject — volle Durchsetzung. Scheiternde Mail wird direkt abgewiesen. Das ist das Ziel: Niemand kann deine Domain in einen Posteingang fälschen. Komm erst hierher, wenn die Berichte sauber sind.

Du kannst quarantine und reject auch mit einem Prozent-Tag schrittweise ausrollen. Das Prinzip bleibt: Lass die Berichte dir sagen, wann es sicher ist, anzuziehen.

Wo du es einrichtest

Die drei Records leben in deinem DNS, also hängen die genauen Schritte davon ab, wo DNS und Postfächer liegen. Wähl deinen Hoster in den Anleitungen nach Anbieter — jede führt dich durch SPF, DKIM und DMARC für genau dieses Panel. Oder starte mit dem Gesamtüberblick, wenn du auch die Transportebene (TLS, MTA-STS, DANE) willst.

Ergebnis prüfen

Der kostenlose MXAudit-Scanner prüft alle drei auf einmal: ob dein SPF-Record syntaktisch gültig und innerhalb des 10-Lookup-Limits ist, ob deine DKIM-Schlüssel auflösen und worauf deine DMARC-Policy steht. Der schnellste Weg zu bestätigen, dass die drei wirklich zusammenarbeiten — nicht nur vorhanden sind.