Wie helfen SPF und DKIM gegen Spam?

Wie helfen SPF und DKIM gegen Spam?

22. Apr. 2025, noch nicht bewertet, Kategorie: Evalanche Blog - für Marketing & Sales im B2B. , Autor: Raphaela Kergl

Der Anteil an Spam-E-Mails lag laut Statista im Dezember 2024 bei etwa 44,6 %. Alarmierende Zahlen für Newsletter-Versender. Doch es kommt noch härter: Microsoft erhöht mit den neuen E-Mail-Authentifizierungsregeln ab Mai 2025 die Anforderungen an Massenversender. Damit Deine E-Mails und Newsletter nicht dem Spam-Filter zum Opfer fallen, kannst Du dank SPF, DKIM und DMARC dafür sorgen, dass Du als vertrauenswürdiger Versender eingestuft wirst. Was Du dafür tun musst, erfährst Du hier.

Hast Du dich schon einmal gefragt, ob Du überhaupt verhindern kannst, dass Deine Absenderadresse gefälscht wird? Die ernüchternde Antwort lautet nämlich: Nein, kannst Du nicht. Zumindest nicht vollständig – solange der Gesetzgeber keine flächendeckende Pflicht für signierte und verschlüsselte E-Mails einführt. Aber Du kannst etwas tun, um die von Dir versendeten E-Mails als vertrauenswürdig zu kennzeichnen – und genau das ist jetzt wichtiger als je zuvor. Denn ab dem 5. Mai 2025 setzt Microsoft bei Outlook, Hotmail und Live.com neue Anforderungen um: Wer mehr als 5.000 E-Mails pro Tag verschickt – also etwa im Rahmen von Newslettern oder automatisierten Marketingkampagnen – muss SPF, DKIM und DMARC korrekt implementiert haben. Andernfalls landen Deine E-Mails konsequent im Spamordner.

Das Grundprinzip dahinter ist simpel: Beim Eintreffen einer E-Mail prüft der empfangende Server über SPF, DKIM und DMARC, ob der Absender echt ist. Stimmen die Angaben nicht, wird die E-Mail blockiert oder aussortiert – oft, ohne dass der Versender es merkt. Das klingt drastisch – ist aber letztlich ein Schritt in die richtige Richtung: Denn wer seine E-Mails sauber authentifiziert, schützt nicht nur Empfänger vor Phishing, sondern stärkt auch die eigene Zustellbarkeit und Reputation.

Was ist SPF?

SPF (Sender Policy Framework) ist ein Spamschutz-Verfahren, das es erschwert, den Absender einer E-Mail zu fälschen: Der Absender einer E-Mail wird zur Authentifizierung aufgefordert.

SPF (Sender Policy Framework) ist ein Spamschutz-Verfahren

Das SPF-Verfahren verhindert, dass der Versand von E-Mails über nicht legitimierte Mail Transfer Agents (MTAs) erfolgt. Hierfür trägt der Inhaber einer Domain in das Domain Name System (DNS) ein, welche Adressen von MTAs zum Versand von E-Mails für diese Domain berechtigt sind. In der Praxis funktioniert SPF so:

  • Das DNS sorgt dafür, dass die Anfrage nach einer URL, wie etwa www.ihreseite.de, an den richtigen Server weitergeleitet wird, der seinerseits unter einer IP-Adresse wie 190.0.2.42 erreichbar ist.
  • In jedem einzelnen DNS-Eintrag ist ein zusätzlicher Texteintrag hinterlegt, der angibt, welche Server E-Mails an welche Domain verschicken dürfen.
  • So kann jeder Server, der eine E-Mail erhält, einfach überprüfen, ob die entsprechende Nachricht von einem berechtigten MTA verschickt wurde.
  • E-Mails von nicht autorisierten MTAs werden über den SPF-Spamschutz identifiziert und als Spam markiert.

Was ist DKIM?

DKIM (DomainKeys Identified Mail) ist ein weiteres Identifikationsprotokoll zur Sicherstellung der Authentizität von E-Mail-Absendern.

DKIM DomainKeys Identified Mail

Als Ergänzung des SPF-Protokolls stellt DKIM sicher, dass es am Inhalt einer verschickten E-Mail keine Veränderungen gab, bis sie den Empfänger erreicht hat. Die Grundlage bildet, wie bei den meisten kryptografischen Verfahren, ein Schlüsselpaar, bestehend aus:

  • einem privaten Schlüssel und
  • einem öffentlichen Schlüssel

Mit dem privaten Schlüssel codiert der Absender seine Nachricht, indem der verschickende Server der E-Mail eine kryptografische Signatur anhängt. Daraufhin kann der Empfänger mit dem öffentlichen Schlüssel, der im DNS der Domäne verfügbar ist, überprüfen, ob die E-Mail tatsächlich vom genannten Empfänger stammt – nur dann passt der öffentliche Schlüssel. Zudem ist dieser nur dann in der Lage, eine E-Mail zu entschlüsseln, wenn sie auf ihrem Weg nicht verändert wurde. Die Signatur ist sozusagen eine digitale Unterschrift. Sie bestätigt, dass eine E-Mail tatsächlich vom angegebenen Server verschickt wurde und sich im Originalzustand befindet. Sollten beide Schlüssel nicht zusammenpassen, kann der empfangende MTA die Zustellung der jeweiligen E-Mail verweigern oder sie direkt aussortieren.

Noch sicherer wäre es, E-Mails komplett zu verschlüsseln. Da sich eine solche Vorgehensweise in der breiten Masse jedoch noch nicht durchgesetzt hat, wird sie nicht praktiziert.

Wie aber lässt sich sicherstellen, dass ein Betrüger die (verschlüsselte) digitale Unterschrift nicht einfach an eine beliebige andere E-Mail anhängt? Oder dass ein Phisher nicht zum Beispiel eine E-Mail, die er selbst von einer Bank bekommen hat, manipuliert, indem er seine eigene URL einträgt, um seine Opfer dorthin zu locken? Das Zauberwort lautet „Hash“.

Was ist ein Hash?

Der Hash bildet die Quersumme des Inhalts einer E-Mail. Wörtlich bedeutet „hash“ so viel wie „das Gehackte“. Ein Hash sieht aus wie eine durch den Fleischwolf gedrehte Nachricht. Was bleibt, ist ein wilder Zeichensalat. Ändert man nur ein einziges Zeichen in der E-Mail, ändert sich der komplette Hash. Damit ist es für Betrüger praktisch unmöglich, den Text so zu manipulieren, dass er denselben Hash wie die Original-Nachricht hat. In der Praxis funktioniert das folgendermaßen:

  • Vor dem Versand errechnet der E-Mail-Server einen sogenannten Hashcode des E-Mail Inhalts und hängt diese digitale Signatur der Nachricht an.
  • Daraufhin decodiert der empfangende MTA zunächst die Signatur.
  • Dann entschlüsselt er die Absender-Domäne mit dem öffentlichen Schlüssel und berechnet einen neuen Hashcode.
  • Anschließend überprüft der MTA, ob der gelieferte entschlüsselte und der selbst berechnete Hashcode übereinstimmen.
  • Im Fall einer Übereinstimmung kann der Empfänger sicher sein, dass die entsprechende E-Mail tatsächlich von der angegebenen Domäne stammt.

Was ist DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) ist ein E-Mail-Authentifizierungs-, Richtlinien- und Berichtsprotokoll.

DMARC - Domain-based Message Authentication, Reporting & Conformance

DMARC gewährleistet eine noch größere Sicherheit, da SPF und DKIM miteinander kombiniert. So bieten einige Marketing-Automation-Plattformen, darunter auch E-Mail-Marketing-Software Evalanche, die Möglichkeit, SPF- und DKIM-Einträge zu nutzen. Der Vorteil: Die Zustellrate steigt deutlich an, weil weniger E-Mails als Spam markiert werden. Um die weitere Verbreitung des DKIM- und des SPF-Protokolls voranzutreiben, haben sich einige Unternehmen zur DMARC-Initiative zusammengeschlossen.

Als E-Mail-Authentifizierungs-, Richtlinien- und Berichtsprotokoll steht DMARC für Domain-based Message Authentication, Reporting & Conformance. Es basiert auf den bestehenden SPF- und DKIM-Protokollen und funktioniert folgendermaßen:

  • Das DMARC-Protokoll verknüpft den Domänennamen des Autors („From:“) mit veröffentlichten Richtlinien für die Behandlung von Authentifizierungsfehlern beim Empfänger und mit Berichten von Empfängern an die Absender.
  • Das erlaubt, eine Domäne vor betrügerischen E-Mails besser zu schützen und sie entsprechend zu überwachen.

Vorteile von SPF, DKIM und DMARC mit Evalanche

Warum sind SPF-, DKIM- und DMARC-Einträge also so wichtig für Dich? Durch die Implementierung von SPF, DKIM und DMARC in Evalanche erhöhst du die Zustellrate deiner E-Mails signifikant. Diese Authentifizierungsmechanismen sorgen dafür, dass deine Nachrichten seltener im Spam-Ordner landen und deine Domain-Reputation gestärkt wird. Evalanche unterstützt dich dabei, diese Protokolle korrekt einzurichten, was besonders wichtig ist, da Anbieter wie Google und Yahoo seit Februar 2024 verstärkt auf diese Standards achten.

​Evalanche unterstützt die Einrichtung und Verwaltung von SPF, DKIM und DMARC für eine verbesserte E-Mail-Zustellbarkeit. Im Helpcenter von Evalanche findest du detaillierte Anleitungen zur Konfiguration dieser Authentifizierungsmechanismen. So kannst du beispielsweise DKIM-Schlüsselpaare direkt im System generieren und die entsprechenden DNS-Einträge vornehmen. Für DMARC ist keine zusätzliche Einstellung im Evalanche-System erforderlich, da alle notwendigen Informationen bereits in den SPF- und DKIM-Einträgen enthalten sind. Die Einrichtung von DMARC erfolgt über deinen DNS-Eintrag.

Unsere konkreten Maßnahmen für eine verbesserte Zustellbarkeit bei Evalanche

  • Evalanche setzt verschiedene technische und organisatorische Maßnahmen ein, um die Zustellbarkeit von E-Mails zu optimieren:
  • Authentifizierungsverfahren: Evalanche unterstützt DKIM, SPF und DMARC, was hilft, die Echtheit der Absenderadresse zu bestätigen und die Wahrscheinlichkeit zu erhöhen, dass E-Mails im Posteingang und nicht im Spam-Ordner landen.
  • Whitelisting: Die Möglichkeit, Whitelisting zu nutzen, verbessert zusätzlich die Zustellbarkeit, da E-Mails von bekannten Absendern bevorzugt zugestellt werden. Evalanche ist auch von der CSA (Certified Senders Alliance https://certified-senders.org/ ) zertifiziert.
  • Automatisierte SPAM-Prüfungen: Evalanche verwendet automatisierte Prüfmechanismen, um E-Mails vor dem Versand auf typische Spam-Merkmale zu überprüfen.
  • Technische und inhaltliche Qualitätssicherung: Integrierte Tools sorgen dafür, dass Mailings sowohl technisch als auch inhaltlich den aktuellen Best Practices entsprechen, was die Zustellrate positiv beeinflusst
  • Best Practices und Datenschutz: Evalanche arbeitet nach aktuellen Zustellbarkeits-Standards und ist DSGVO-konform, was Vertrauen bei Mail-Providern schafft
Diese Maßnahmen sorgen dafür, dass Deine Kampagnen zuverlässig und sicher im Posteingang der Empfänger ankommen.

SPF, DKIM & DMARC: Was ist bis zum 5. Mai zu tun?

Microsofts neue Anforderungen treten bald in Kraft – bereite Dich jetzt vor, damit Deine E-Mails auch nach dem Stichtag zuverlässig zugestellt werden können.

  • SPF-Eintrag prüfen
    Der SPF-Eintrag in Deinem DNS legt fest, über welche Server Du E-Mails versenden darfst. Stelle sicher, dass alle genutzten Tools (z.  Newsletter-Software, CRM-Systeme) korrekt hinterlegt sind. Der Eintrag sollte mit v=spf1 beginnen und auf -all enden.
  • DKIM-Signatur einrichten
    Aktiviere DKIM in Deinem Versandtool oder bei Deinem Mailserver-Anbieter. Du erhältst einen sogenannten öffentlichen Schlüssel, den Du in den DNS-Einstellungen Deiner Domain hinterlegen musst. So lässt sich jede gesendete Mail eindeutig Dir zuordnen.
  • DMARC-Richtlinie definieren
    Lege über einen weiteren DNS-Eintrag fest, wie empfangende Server mit nicht authentifizierten E-Mails umgehen sollen. Starte mit einer „none“-Policy, um zunächst nur Berichte zu erhalten – und schärfe dann Schritt für Schritt nach.
  • Einträge regelmäßig testen
    Nutze kostenfreie Tools wie mail-tester.com oder dmarcian.com, um zu prüfen, ob Deine Konfiguration korrekt funktioniert. So erkennst Du schnell, ob Deine E-Mails als sicher eingestuft werden.
  • Systeme und Zuständigkeiten klären
    Besprich mit Deiner IT oder Deinem Dienstleister, über welche Systeme Du E-Mails versendest – und wer für die Pflege der DNS-Einträge zuständig ist. Nur so stellst Du sicher, dass technische Änderungen nicht unbemerkt die Zustellbarkeit verschlechtern.

Grenzen von SPF, DKIM und DMARC

DKIM und SPF haben natürlich auch Grenzen. Sollte der Rechner des tatsächlichen Absenders gehackt worden sein, sind beide Verfahren wirkungslos. Dann kann es passieren, dass Betrüger über die entsprechenden Hardware E-Mails verschicken, ohne dass es der Nutzer bemerkt. Das Fatale daran: Die Nachrichten sind mit seiner digitalen Unterschrift ganz korrekt signiert. Darum ist jeder User gefordert, für die Sicherheit seines Rechners zu sorgen.

Hinzu kommt: SPF prüft nur, ob der sendende Mailserver autorisiert ist – nicht jedoch, ob die Absenderadresse im sichtbaren „From“-Header legitim ist. Dieses sogenannte „Header Spoofing“ kann also trotz SPF weiterhin stattfinden. Auch DKIM schützt zwar den Inhalt, aber nicht zwangsläufig davor, dass E-Mails mit gefälschter Absenderadresse versendet werden. DMARC soll diese Lücke schließen – funktioniert aber nur, wenn SPF und DKIM korrekt eingerichtet sind und ihre Ergebnisse auf die Absenderdomain im „From“-Header zurückgeführt werden können (Domain Alignment). Außerdem setzen diese Protokolle eine korrekte DNS-Konfiguration voraus. Tippfehler oder veraltete Einträge führen dazu, dass deine Authentifizierung ins Leere läuft – und damit deine Mails im Spam landen. Regelmäßige Kontrolle und Pflege sind daher essenziell, zum Beispiel über Tools wie Evalanche, die dich bei der technischen Umsetzung unterstützen.

Fazit: Jetzt handeln, bevor Deine Mails im Spam landen

Microsofts neue Anforderungen ab dem 5. Mai 2025 zeigen deutlich: E-Mail-Authentifizierung ist kein Nice-to-have mehr, sondern Pflicht – vor allem für professionelle Versender. Wenn Du Evalanche nutzt, hast Du die passenden Werkzeuge bereits an der Hand, um SPF, DKIM und DMARC korrekt umzusetzen und Deine Zustellraten zu sichern. Denn wer sich jetzt mit den technischen Hintergründen beschäftigt und die richtigen Einstellungen vornimmt, braucht sich um Spamfilter deutlich weniger Sorgen zu machen. Die besten Tipps gegen Spam beginnen genau hier – mit einer sauberen Authentifizierung und klaren Richtlinien für den Mailversand.

JETZT KOSTENLOSES E-BOOK HERUNTERLADEN

Sie wollen mehr dazu erfahren, wie Sie vertrauenswürdige Emails und Newsletter verschicken können? Holen Sie sich jetzt das E-Book "E-Mail-Marketing und Lead Management rechtskonform gestalten" und erfahren Sie mehr zum Thema "Datenschutz beim Newsletterversand".

 

Jetzt herunterladen