Stand: Juli 2026
Zusammenfassung: Die drei Basisstandards SPF, DKIM und DMARC bilden das Fundament der modernen E-Mail-Authentifizierung. Unser Vergleich aller 25 Anbieter der technischen Matrix zeigt: Während SPF bei Shared-Hostern oft voraktiviert oder per Assistent setzbar ist und DKIM meist per 1-Klick-Schlüsselgenerierung im Panel aktiviert wird, erfordern reine DNS-Dienste die manuelle Eingabe aller Einträge. Unten findest du die umfassende Tabelle mit den genauen Aktivierungswegen und Anleitungen für alle 25 Anbieter.
Bevor deine E-Mails die Transportebene (MTA-STS und DANE) durchlaufen, prüft der empfangende Mailserver, ob die Nachricht authentisch ist. Dafür sorgen die drei Kernmechanismen, die in unserem Leitfaden SPF, DKIM und DMARC erklärt detailliert beschrieben sind:
- SPF (Sender Policy Framework): Legt im DNS über einen TXT-Eintrag fest, welche IP-Adressen und Mailserver E-Mails unter deiner Domain versenden dürfen.
- DKIM (DomainKeys Identified Mail): Signiert ausgehende Nachrichten kryptografisch (
1024 oder 2048 Bit), damit Empfänger feststellen können, dass der Inhalt unterwegs nicht verändert wurde. - DMARC (Domain-based Message Authentication): Verknüpft SPF und DKIM und gibt per Policy im DNS vor, was mit Mails geschehen soll, die die Prüfung nicht bestehen (
none,quarantineoderreject).
Wie komfortabel sich diese Standards einrichten lassen – ob durch automatische Voraktivierung, Assistenten oder manuelle DNS-Einträge –, unterscheidet sich je nach Anbieter erheblich.
Gesamttabelle: SPF-, DKIM- und DMARC-Setup bei allen 25 Anbietern
Die folgende Tabelle zeigt, wie die 25 Anbieter aus unserer technischen Matrix die Einrichtung von SPF, DKIM und DMARC handhaben, inklusive direkter Links zu den jeweiligen Schritt-für-Schritt-Anleitungen.
| Anbieter | SPF-Setup | DKIM-Aktivierungsweg | DMARC-Setup | Anleitungen |
|---|---|---|---|---|
| All-Inkl | TXT-Assistent / Manuell im KAS | 1-Klick im KAS-Panel (Schlüssel generieren) | TXT-Eintrag im KAS-DNS-Panel | SPF · DKIM · DMARC |
| checkdomain | TXT-Assistent im Domain-Center | Schlüssel im Mail-Panel generieren | TXT-Eintrag im DNS-Editor | SPF · DKIM · DMARC |
| domainfactory | Vorlage / Manuell im DNS-Editor | 1-Klick-Aktivierung im E-Mail-Menü | TXT-Eintrag im DNS-Editor | SPF · DKIM · DMARC |
| Google Workspace | Manuell (include:_spf.google.com) | Schlüssel im Admin-Konsole generieren (TXT) | TXT-Eintrag im DNS nach DKIM/SPF-Abgleich | SPF · DKIM · DMARC |
| Hetzner DNS | Manuell per TXT (voller DNS-Zugriff) | Manuell (CNAME/TXT vom Mailanbieter eintragen) | Manuell per TXT in der CCP-Konsole | SPF · DKIM · DMARC |
| IONOS | Voraktiviert (oder manueller TXT) | 1-Klick-Schalter unter E-Mail-Einstellungen | TXT-Eintrag in der Domainverwaltung | SPF · DKIM · DMARC |
| Mailcow | Automatisch im UI generiert | Automatisch generiert (RSA/Ed25519) | Automatisch generierter Vorschlag im UI | SPF · DKIM · DMARC |
| Microsoft 365 | Manuell (include:spf.protection.outlook.com) | 2 CNAME-Einträge in Microsoft Defender generieren | TXT-Eintrag nach CNAME-Veröffentlichung | SPF · DKIM · DMARC |
| Netcup | Assistent / Manuell im CCP | Schlüssel im CCP unter Mail-Einstellungen generieren | TXT-Eintrag im CCP-DNS-Editor | SPF · DKIM · DMARC |
| Strato | Schalter im DNS-Menü / Vorlage | Automatisch oder 1-Klick-Aktivierung | TXT-Eintrag unter Domainverwaltung | SPF · DKIM · DMARC |
| united-domains | TXT-Assistent / DNS-Eintrag | Schlüssel im E-Mail-Bereich erstellen | TXT-Eintrag im Domain-Portfolio | SPF · DKIM · DMARC |
| Cloudflare | Manuell per TXT (ohne Proxy-Schalter) | Manuell per CNAME/TXT vom Mailanbieter eintragen | Manuell per TXT im DNS-Dashboard | SPF · DKIM · DMARC |
| Amazon Route 53 | Manuell per TXT in der Hosted Zone | Manuell per CNAME/TXT eintragen | Manuell per TXT in Route 53 eintragen | SPF · DKIM · DMARC |
| Gandi | Standard-SPF-Vorlage / LiveDNS | DKIM-Schlüssel im Tab „E-Mail” generieren | TXT-Eintrag unter LiveDNS einfügen | SPF · DKIM · DMARC |
| OVHcloud | Assistent (MX Plan / Email Pro) | Automatisch oder 1-Klick im Kundencenter | TXT-Eintrag in der DNS-Zone eintragen | SPF · DKIM · DMARC |
| GoDaddy | Assistent / Manuell im DNS-Manager | CNAME/TXT (je nach Microsoft-365- oder cPanel-Tarif) | TXT-Eintrag in der DNS-Verwaltung | SPF · DKIM · DMARC |
| o2switch | Vorlage / cPanel Zone Editor | 1-Klick über cPanel (Email Deliverability) | TXT-Eintrag über cPanel einfügen | Anbieter-Überblick |
| LWS | Vorlage im LWS Panel | 1-Klick-Aktivierung im LWS-E-Mail-Bereich | TXT-Eintrag im LWS DNS-Manager | Anbieter-Überblick |
| Infomaniak | Voraktiviert / Infomaniak Manager | 1-Klick-Aktivierung unter E-Mail-Sicherheit | TXT-Eintrag in der DNS-Zone | Anbieter-Überblick |
| DonDominio | TXT-Assistent / Panel de Control | Generierung unter Gestión de Correo | TXT-Eintrag in der Zona DNS | Anbieter-Überblick |
| Dinahosting | Assistent im Panel de Gestión | 1-Klick unter Seguridad de Correo | TXT-Eintrag im DNS-Editor | Anbieter-Überblick |
| cdmon | Assistent im Panel de Gestión | Generierung im Bereich Correo | TXT-Eintrag im DNS de cdmon | Anbieter-Überblick |
| Raiola Networks | cPanel Zone Editor / Vorlage | 1-Klick über cPanel Email Deliverability | TXT-Eintrag über cPanel einfügen | Anbieter-Überblick |
| Hostinger | Vorlage / hPanel DNS-Zone | 1-Klick unter E-Mail-Konten im hPanel | TXT-Eintrag im hPanel einfügen | SPF · DKIM · DMARC |
| webgo | TXT-Vorlage / Kundenportal | 1-Klick unter E-Mail-Einstellungen | TXT-Eintrag im DNS-Editor | SPF · DKIM · DMARC |
Analyse nach Anbieter-Kategorien im Detail
1. Deutsche und europäische Shared-Hoster
Bei Anbietern, die sowohl DNS als auch Postfächer aus einer Hand anbieten (IONOS, Strato, Netcup, All-Inkl, domainfactory, united-domains, checkdomain, Hostinger, webgo, o2switch, LWS, Infomaniak, DonDominio, Dinahosting, cdmon, Raiola Networks), ist die Einrichtung meist auf maximale Nutzerfreundlichkeit ausgelegt:
- SPF-Automatisierung: Bei IONOS ist SPF standardmäßig für alle Domains mit Postfach aktiv. Strato und All-Inkl bieten einfache Vorlagen oder Schalter im Panel, die die passenden IP-Bereiche (
include:...) automatisch hinterlegen. - DKIM-Aktivierungswege: In cPanel-basierten Systemen (wie o2switch oder Raiola Networks) genügt ein Klick auf „Email Deliverability”, um den DKIM-Schlüssel (
2048 Bit) zu generieren und direkt in die DNS-Zone einzutragen. Bei Netcup, All-Inkl oder Infomaniak erstellst du den Schlüssel mit einem Klick in der jeweiligen E-Mail-Verwaltung. - DMARC-Ergänzung: Da DMARC die Ausrichtung von SPF und DKIM (
Alignment) verlangt, wird dieser Eintrag stets als TXT-Record (_dmarc.deinedomain.de) manuell oder per Vorlage nachgerüstet.
2. Reine DNS-Spezialisten
Wenn deine Domain bei einem reinen DNS-Dienst (Hetzner DNS, Cloudflare, Amazon Route 53) verwaltet wird, während die E-Mails über einen separaten Anbieter laufen, hast du die volle Kontrolle, musst aber jeden Schritt manuell ausführen:
- Keine automatischen Vorlagen: Da der DNS-Anbieter nicht weiß, welchen Mail-Service du nutzt, hinterlegst du SPF manuell als TXT-Eintrag nach Vorgabe deines Mailanbieters.
- DKIM-Einträge: Du generierst die DKIM-Schlüssel oder CNAME-Selektoren in der Verwaltung deines E-Mail-Dienstes und kopierst sie passgenau in die DNS-Konsole von Hetzner, Cloudflare (wichtig: Proxy auf „DNS only”) oder Route 53.
3. Cloud-Mail-Suiten: Microsoft 365 und Google Workspace
Die beiden Business-Suiten erfordern spezifische Konfigurationsabläufe in zwei getrennten Portalen:
- Microsoft 365: Du fügst den Standard-SPF-Mechanismus (
include:spf.protection.outlook.com) in deine DNS-Zone ein. Für DKIM erstellst du im Microsoft 365 Defender Admin Center exakt zwei CNAME-Einträge (selector1undselector2), veröffentlichst sie in deinem DNS und aktivierst die Signatur anschließend per Klick im Microsoft-Portal. - Google Workspace: Für SPF nutzt du
include:_spf.google.com. DKIM wird in der Google Admin-Konsole generiert (standardmäßig mit einem TXT-Eintrag unter dem Selektorgoogle._domainkey). Nach der Veröffentlichung im DNS schaltest du die Signatur in der Admin-Konsole scharf.
4. Selbst gehostete Systeme: Mailcow
Wer auf Mailcow setzt, genießt den höchsten Automatisierungsgrad für Administrator-Setup: Mailcow berechnet und zeigt im Administrationsbereich exakt an, wie die SPF-, DKIM-, DMARC- sowie DANE- und MTA-STS-Einträge für deine Domain lauten müssen. Du kopierst die fertigen Werte lediglich in deine externe DNS-Zone.
Konfiguration prüfen mit MXAudit
Nach jeder Änderung im DNS oder im Administrationsbereich deines Hosters solltest du deine Konfiguration mit dem kostenlosen MXAudit-Scanner testen. Der Scanner prüft in Echtzeit, ob SPF gültig ist, ob der öffentliche DKIM-Schlüssel korrekt im DNS hinterlegt ist und ob deine DMARC-Policy sauber greift – ohne Syntaxfehler oder widersprüchliche Einträge.
Weiterführende Links
- RFC 7208 — Sender Policy Framework (SPF) for Authorizing Use of Domains in Email, Version 1 (abgerufen: 17. Juli 2026)
- RFC 6376 — DomainKeys Identified Mail (DKIM) Signatures (abgerufen: 17. Juli 2026)
- RFC 7489 — Domain-based Message Authentication, Reporting, and Conformance (DMARC) (abgerufen: 17. Juli 2026)
- SPF, DKIM und DMARC erklärt — Ausführlicher Leitfaden zum Zusammenspiel der drei Basismechanismen
- E-Mail-Sicherheit nach Anbieter — Alle 25 Anbieter und Schritt-für-Schritt-Anleitungen im Überblick