Stand: Juli 2026

Zusammenfassung: Die drei Basisstandards SPF, DKIM und DMARC bilden das Fundament der modernen E-Mail-Authentifizierung. Unser Vergleich aller 25 Anbieter der technischen Matrix zeigt: Während SPF bei Shared-Hostern oft voraktiviert oder per Assistent setzbar ist und DKIM meist per 1-Klick-Schlüsselgenerierung im Panel aktiviert wird, erfordern reine DNS-Dienste die manuelle Eingabe aller Einträge. Unten findest du die umfassende Tabelle mit den genauen Aktivierungswegen und Anleitungen für alle 25 Anbieter.

Bevor deine E-Mails die Transportebene (MTA-STS und DANE) durchlaufen, prüft der empfangende Mailserver, ob die Nachricht authentisch ist. Dafür sorgen die drei Kernmechanismen, die in unserem Leitfaden SPF, DKIM und DMARC erklärt detailliert beschrieben sind:

  1. SPF (Sender Policy Framework): Legt im DNS über einen TXT-Eintrag fest, welche IP-Adressen und Mailserver E-Mails unter deiner Domain versenden dürfen.
  2. DKIM (DomainKeys Identified Mail): Signiert ausgehende Nachrichten kryptografisch (1024 oder 2048 Bit), damit Empfänger feststellen können, dass der Inhalt unterwegs nicht verändert wurde.
  3. DMARC (Domain-based Message Authentication): Verknüpft SPF und DKIM und gibt per Policy im DNS vor, was mit Mails geschehen soll, die die Prüfung nicht bestehen (none, quarantine oder reject).

Wie komfortabel sich diese Standards einrichten lassen – ob durch automatische Voraktivierung, Assistenten oder manuelle DNS-Einträge –, unterscheidet sich je nach Anbieter erheblich.

Gesamttabelle: SPF-, DKIM- und DMARC-Setup bei allen 25 Anbietern

Die folgende Tabelle zeigt, wie die 25 Anbieter aus unserer technischen Matrix die Einrichtung von SPF, DKIM und DMARC handhaben, inklusive direkter Links zu den jeweiligen Schritt-für-Schritt-Anleitungen.

AnbieterSPF-SetupDKIM-AktivierungswegDMARC-SetupAnleitungen
All-InklTXT-Assistent / Manuell im KAS1-Klick im KAS-Panel (Schlüssel generieren)TXT-Eintrag im KAS-DNS-PanelSPF · DKIM · DMARC
checkdomainTXT-Assistent im Domain-CenterSchlüssel im Mail-Panel generierenTXT-Eintrag im DNS-EditorSPF · DKIM · DMARC
domainfactoryVorlage / Manuell im DNS-Editor1-Klick-Aktivierung im E-Mail-MenüTXT-Eintrag im DNS-EditorSPF · DKIM · DMARC
Google WorkspaceManuell (include:_spf.google.com)Schlüssel im Admin-Konsole generieren (TXT)TXT-Eintrag im DNS nach DKIM/SPF-AbgleichSPF · DKIM · DMARC
Hetzner DNSManuell per TXT (voller DNS-Zugriff)Manuell (CNAME/TXT vom Mailanbieter eintragen)Manuell per TXT in der CCP-KonsoleSPF · DKIM · DMARC
IONOSVoraktiviert (oder manueller TXT)1-Klick-Schalter unter E-Mail-EinstellungenTXT-Eintrag in der DomainverwaltungSPF · DKIM · DMARC
MailcowAutomatisch im UI generiertAutomatisch generiert (RSA/Ed25519)Automatisch generierter Vorschlag im UISPF · DKIM · DMARC
Microsoft 365Manuell (include:spf.protection.outlook.com)2 CNAME-Einträge in Microsoft Defender generierenTXT-Eintrag nach CNAME-VeröffentlichungSPF · DKIM · DMARC
NetcupAssistent / Manuell im CCPSchlüssel im CCP unter Mail-Einstellungen generierenTXT-Eintrag im CCP-DNS-EditorSPF · DKIM · DMARC
StratoSchalter im DNS-Menü / VorlageAutomatisch oder 1-Klick-AktivierungTXT-Eintrag unter DomainverwaltungSPF · DKIM · DMARC
united-domainsTXT-Assistent / DNS-EintragSchlüssel im E-Mail-Bereich erstellenTXT-Eintrag im Domain-PortfolioSPF · DKIM · DMARC
CloudflareManuell per TXT (ohne Proxy-Schalter)Manuell per CNAME/TXT vom Mailanbieter eintragenManuell per TXT im DNS-DashboardSPF · DKIM · DMARC
Amazon Route 53Manuell per TXT in der Hosted ZoneManuell per CNAME/TXT eintragenManuell per TXT in Route 53 eintragenSPF · DKIM · DMARC
GandiStandard-SPF-Vorlage / LiveDNSDKIM-Schlüssel im Tab „E-Mail” generierenTXT-Eintrag unter LiveDNS einfügenSPF · DKIM · DMARC
OVHcloudAssistent (MX Plan / Email Pro)Automatisch oder 1-Klick im KundencenterTXT-Eintrag in der DNS-Zone eintragenSPF · DKIM · DMARC
GoDaddyAssistent / Manuell im DNS-ManagerCNAME/TXT (je nach Microsoft-365- oder cPanel-Tarif)TXT-Eintrag in der DNS-VerwaltungSPF · DKIM · DMARC
o2switchVorlage / cPanel Zone Editor1-Klick über cPanel (Email Deliverability)TXT-Eintrag über cPanel einfügenAnbieter-Überblick
LWSVorlage im LWS Panel1-Klick-Aktivierung im LWS-E-Mail-BereichTXT-Eintrag im LWS DNS-ManagerAnbieter-Überblick
InfomaniakVoraktiviert / Infomaniak Manager1-Klick-Aktivierung unter E-Mail-SicherheitTXT-Eintrag in der DNS-ZoneAnbieter-Überblick
DonDominioTXT-Assistent / Panel de ControlGenerierung unter Gestión de CorreoTXT-Eintrag in der Zona DNSAnbieter-Überblick
DinahostingAssistent im Panel de Gestión1-Klick unter Seguridad de CorreoTXT-Eintrag im DNS-EditorAnbieter-Überblick
cdmonAssistent im Panel de GestiónGenerierung im Bereich CorreoTXT-Eintrag im DNS de cdmonAnbieter-Überblick
Raiola NetworkscPanel Zone Editor / Vorlage1-Klick über cPanel Email DeliverabilityTXT-Eintrag über cPanel einfügenAnbieter-Überblick
HostingerVorlage / hPanel DNS-Zone1-Klick unter E-Mail-Konten im hPanelTXT-Eintrag im hPanel einfügenSPF · DKIM · DMARC
webgoTXT-Vorlage / Kundenportal1-Klick unter E-Mail-EinstellungenTXT-Eintrag im DNS-EditorSPF · DKIM · DMARC

Analyse nach Anbieter-Kategorien im Detail

1. Deutsche und europäische Shared-Hoster

Bei Anbietern, die sowohl DNS als auch Postfächer aus einer Hand anbieten (IONOS, Strato, Netcup, All-Inkl, domainfactory, united-domains, checkdomain, Hostinger, webgo, o2switch, LWS, Infomaniak, DonDominio, Dinahosting, cdmon, Raiola Networks), ist die Einrichtung meist auf maximale Nutzerfreundlichkeit ausgelegt:

  • SPF-Automatisierung: Bei IONOS ist SPF standardmäßig für alle Domains mit Postfach aktiv. Strato und All-Inkl bieten einfache Vorlagen oder Schalter im Panel, die die passenden IP-Bereiche (include:...) automatisch hinterlegen.
  • DKIM-Aktivierungswege: In cPanel-basierten Systemen (wie o2switch oder Raiola Networks) genügt ein Klick auf „Email Deliverability”, um den DKIM-Schlüssel (2048 Bit) zu generieren und direkt in die DNS-Zone einzutragen. Bei Netcup, All-Inkl oder Infomaniak erstellst du den Schlüssel mit einem Klick in der jeweiligen E-Mail-Verwaltung.
  • DMARC-Ergänzung: Da DMARC die Ausrichtung von SPF und DKIM (Alignment) verlangt, wird dieser Eintrag stets als TXT-Record (_dmarc.deinedomain.de) manuell oder per Vorlage nachgerüstet.

2. Reine DNS-Spezialisten

Wenn deine Domain bei einem reinen DNS-Dienst (Hetzner DNS, Cloudflare, Amazon Route 53) verwaltet wird, während die E-Mails über einen separaten Anbieter laufen, hast du die volle Kontrolle, musst aber jeden Schritt manuell ausführen:

  • Keine automatischen Vorlagen: Da der DNS-Anbieter nicht weiß, welchen Mail-Service du nutzt, hinterlegst du SPF manuell als TXT-Eintrag nach Vorgabe deines Mailanbieters.
  • DKIM-Einträge: Du generierst die DKIM-Schlüssel oder CNAME-Selektoren in der Verwaltung deines E-Mail-Dienstes und kopierst sie passgenau in die DNS-Konsole von Hetzner, Cloudflare (wichtig: Proxy auf „DNS only”) oder Route 53.

3. Cloud-Mail-Suiten: Microsoft 365 und Google Workspace

Die beiden Business-Suiten erfordern spezifische Konfigurationsabläufe in zwei getrennten Portalen:

  • Microsoft 365: Du fügst den Standard-SPF-Mechanismus (include:spf.protection.outlook.com) in deine DNS-Zone ein. Für DKIM erstellst du im Microsoft 365 Defender Admin Center exakt zwei CNAME-Einträge (selector1 und selector2), veröffentlichst sie in deinem DNS und aktivierst die Signatur anschließend per Klick im Microsoft-Portal.
  • Google Workspace: Für SPF nutzt du include:_spf.google.com. DKIM wird in der Google Admin-Konsole generiert (standardmäßig mit einem TXT-Eintrag unter dem Selektor google._domainkey). Nach der Veröffentlichung im DNS schaltest du die Signatur in der Admin-Konsole scharf.

4. Selbst gehostete Systeme: Mailcow

Wer auf Mailcow setzt, genießt den höchsten Automatisierungsgrad für Administrator-Setup: Mailcow berechnet und zeigt im Administrationsbereich exakt an, wie die SPF-, DKIM-, DMARC- sowie DANE- und MTA-STS-Einträge für deine Domain lauten müssen. Du kopierst die fertigen Werte lediglich in deine externe DNS-Zone.

Konfiguration prüfen mit MXAudit

Nach jeder Änderung im DNS oder im Administrationsbereich deines Hosters solltest du deine Konfiguration mit dem kostenlosen MXAudit-Scanner testen. Der Scanner prüft in Echtzeit, ob SPF gültig ist, ob der öffentliche DKIM-Schlüssel korrekt im DNS hinterlegt ist und ob deine DMARC-Policy sauber greift – ohne Syntaxfehler oder widersprüchliche Einträge.