E-Mail richtig einrichten: SPF, DKIM und DMARC für Einsteiger (Teil 3 von 3)
Serie „Eigener Server – von 0 auf sicher" · 3 Teile:
- Debian-vServer einrichten & absichern
- Froxlor installieren & konfigurieren
- E-Mail richtig einrichten: SPF, DKIM & DMARC ← Sie sind hier
Diese Anleitung ist Teil 3 und schließt die Serie ab. Sie setzt einen Server mit Mailserver voraus, wie ihn Teil 1 und Teil 2 aufgebaut haben.

Inhalt
- Voraussetzungen
- Was sind SPF, DKIM und DMARC?
- Schritt 1: SPF einrichten
- Schritt 2: DKIM einrichten (auf dem eigenen Server signieren)
- Schritt 3: DMARC einrichten
- Schritt 4: Alles prüfen und testen
- Häufige Fehler und Lösungen
- Checkliste
- Häufige Fragen (FAQ)
- Fazit
- Quellen
Auf einen Blick: SPF, DKIM und DMARC sind drei Einträge im DNS Ihrer Domain. Sie beweisen, dass eine E-Mail wirklich von Ihnen stammt. Ohne sie landen Ihre Nachrichten heute oft im Spam – oder werden ganz abgelehnt. Seit 2024 verlangen Google und Yahoo diese Authentifizierung, Microsoft seit 2025. Die Einrichtung dauert 20–30 Minuten.
Wenn Sie über Ihren eigenen Server E-Mails versenden (z. B. Rechnungen oder Kontaktformular-Nachrichten), reicht es nicht, „nur" einen Mailserver zu betreiben. Sie müssen den empfangenden Servern auch beweisen, dass die Mail echt ist. Dafür gibt es drei Bausteine. Wir richten alle drei ein – einsteigerfreundlich und zum Kopieren.
Voraussetzungen
- Ein Server mit Mailserver (Postfix/Dovecot), z. B. über Froxlor aus Teil 2 eingerichtet.
- Zugriff auf die DNS-Verwaltung Ihrer Domain – also den Bereich beim Domain-Anbieter (oder in Froxlor, falls Sie dort DNS verwalten), in dem Sie „TXT-Einträge" anlegen können.
- Die IP-Adresse Ihres Servers.
Wichtig – richtige Reihenfolge: Richten Sie erst SPF und DKIM ein und warten Sie, bis beide aktiv sind (mind. einige Stunden), bevor Sie DMARC scharf schalten. Und starten Sie DMARC immer mit der sanften Einstellung
p=none.
Was sind SPF, DKIM und DMARC?
Drei einfache Bilder:
- SPF ist die Gästeliste. Sie legt fest, welche Server in Ihrem Namen E-Mails verschicken dürfen. Steht der absendende Server nicht auf der Liste, ist die Mail verdächtig.
- DKIM ist die digitale Unterschrift. Jede ausgehende Mail wird kryptografisch signiert. Der Empfänger prüft, ob sie echt und unterwegs nicht verändert wurde.
- DMARC ist das Regelwerk. Es sagt dem Empfänger, was passieren soll, wenn SPF oder DKIM fehlschlagen: durchlassen, in den Spam verschieben oder ablehnen. Und es schickt Ihnen Berichte.
Alle drei sind technisch nur TXT-Einträge im DNS – außer dem DKIM-Schlüssel, den wir auf dem Server erzeugen. Eine sehr gute, ausführliche Erklärung bietet der Leitfaden von Mailvergleich.de.
Schritt 1: SPF einrichten
SPF ist ein einziger TXT-Eintrag, den Sie im DNS Ihrer Domain anlegen. Gehen Sie in die DNS-Verwaltung und erstellen Sie einen neuen Eintrag:
Typ: TXT
Name: @ (steht für die Hauptdomain)
Wert: v=spf1 a mx ip4:SERVER-IP -all
Ersetzen Sie SERVER-IP durch die IP Ihres Servers. Was die Teile bedeuten:
v=spf1– Versionskennung (immer am Anfang).a mx– Server, auf die die A- und MX-Einträge der Domain zeigen, dürfen senden.ip4:SERVER-IP– diese konkrete IP darf senden.-all– alle anderen dürfen nicht senden (strenge Variante). Wenn Sie unsicher sind oder zusätzliche Dienste (Newsletter, CRM) nutzen, starten Sie mit der weicheren Variante~allund stellen später auf-allum.
Nur ein SPF-Eintrag! Eine Domain darf genau einen SPF-TXT-Eintrag haben. Nutzen Sie weitere Dienste, fügen Sie deren
include:-Angaben in diesen einen Eintrag ein, z. B.v=spf1 a mx include:_spf.example.com -all.
Schritt 2: DKIM einrichten (auf dem eigenen Server signieren)
Anders als bei einem gemieteten Postfach müssen Sie DKIM auf dem eigenen Server selbst erzeugen. Wir nutzen dafür OpenDKIM, das sich in Postfix einklinkt und jede ausgehende Mail signiert.
2.1 OpenDKIM installieren:
sudo apt install -y opendkim opendkim-tools
2.2 Schlüssel erzeugen (ersetzen Sie ihre-domain.de):
sudo mkdir -p /etc/opendkim/keys/ihre-domain.de
sudo opendkim-genkey -b 2048 -d ihre-domain.de -D /etc/opendkim/keys/ihre-domain.de -s mail -v
sudo chown -R opendkim:opendkim /etc/opendkim
2.3 OpenDKIM konfigurieren. Öffnen Sie die Hauptkonfiguration:
sudo nano /etc/opendkim.conf
Ergänzen Sie am Ende:
Canonicalization relaxed/simple
Mode sv
Socket inet:8891@localhost
KeyTable /etc/opendkim/KeyTable
SigningTable /etc/opendkim/SigningTable
ExternalIgnoreList /etc/opendkim/TrustedHosts
InternalHosts /etc/opendkim/TrustedHosts
Legen Sie die drei Tabellen an:
echo "mail._domainkey.ihre-domain.de ihre-domain.de:mail:/etc/opendkim/keys/ihre-domain.de/mail.private" | sudo tee /etc/opendkim/KeyTable
echo "*@ihre-domain.de mail._domainkey.ihre-domain.de" | sudo tee /etc/opendkim/SigningTable
printf "127.0.0.1\nlocalhost\nihre-domain.de\n" | sudo tee /etc/opendkim/TrustedHosts
2.4 OpenDKIM mit Postfix verbinden. Öffnen Sie die Postfix-Konfiguration:
sudo nano /etc/postfix/main.cf
Fügen Sie am Ende hinzu:
milter_default_action = accept
milter_protocol = 6
smtpd_milters = inet:localhost:8891
non_smtpd_milters = inet:localhost:8891
Dienste neu starten:
sudo systemctl restart opendkim postfix
2.5 Den DKIM-DNS-Eintrag veröffentlichen. OpenDKIM hat Ihren öffentlichen Schlüssel in eine Datei geschrieben. Lassen Sie sie sich anzeigen:
sudo cat /etc/opendkim/keys/ihre-domain.de/mail.txt
Sie sehen einen langen Wert in der Form v=DKIM1; k=rsa; p=.... Legen Sie damit im DNS einen TXT-Eintrag an:
Typ: TXT
Name: mail._domainkey
Wert: v=DKIM1; k=rsa; p=MIIBI... (der komplette p=-Wert aus der Datei)
Eine bebilderte Schritt-für-Schritt-Hilfe zu DKIM finden Sie auch bei saschafix.de.
Schritt 3: DMARC einrichten
DMARC verbindet SPF und DKIM und legt die Regel fest. Legen Sie im DNS einen weiteren TXT-Eintrag an:
Typ: TXT
Name: _dmarc
Wert: v=DMARC1; p=none; rua=mailto:dmarc@ihre-domain.de; fo=1
Bedeutung:
p=none– beobachten, aber nichts blockieren. So starten Sie immer, um zu sehen, ob alles sauber läuft, ohne legitime Mails zu gefährden.rua=mailto:dmarc@ihre-domain.de– an diese Adresse schicken Empfänger tägliche Berichte. Legen Sie dieses Postfach an.fo=1– ausführlichere Fehlerberichte.
Schritt für Schritt schärfer stellen: Wenn nach ein bis zwei Wochen die Berichte zeigen, dass Ihre echten Mails SPF/DKIM bestehen, erhöhen Sie die Strenge – zuerst auf p=quarantine (verdächtige Mails in den Spam), später auf p=reject (verdächtige Mails ablehnen):
v=DMARC1; p=quarantine; rua=mailto:dmarc@ihre-domain.de; fo=1
Nie mit
p=rejectstarten! Sonst riskieren Sie, dass auch legitime Mails (z. B. von Newsletter- oder CRM-Diensten) abgelehnt werden.
Schritt 4: Alles prüfen und testen
DNS-Änderungen brauchen etwas Zeit (oft Minuten, manchmal bis 24 Stunden). Danach prüfen Sie Ihr Setup mit kostenlosen Werkzeugen:
- MXToolbox – prüft SPF-, DKIM- und DMARC-Einträge einzeln (oben „SPF Record Lookup", „DKIM Lookup", „DMARC Lookup" wählen).
- mail-tester.com – senden Sie eine echte Test-Mail an die angezeigte Adresse; Ziel ist eine Bewertung von mindestens 8/10.
- Gmail-Header prüfen: Senden Sie sich eine Mail an ein Gmail-Konto, öffnen Sie sie, klicken Sie auf die drei Punkte → „Original anzeigen". Dort sollte bei SPF, DKIM und DMARC jeweils „PASS" stehen.
Den DKIM-Test direkt auf dem Server können Sie zusätzlich so machen:
sudo opendkim-testkey -d ihre-domain.de -s mail -vvv
Erscheint „key OK", ist der Schlüssel korrekt veröffentlicht.
Häufige Fehler und Lösungen
| Problem | Ursache | Lösung |
|---|---|---|
| Mails landen weiter im Spam | DNS noch nicht propagiert | einige Stunden warten, mit MXToolbox prüfen |
| SPF „PermError" | mehr als ein SPF-Eintrag | alle Angaben in einen SPF-Eintrag zusammenführen |
| DKIM „fail" | falscher/unvollständiger p=-Wert | kompletten Wert aus mail.txt exakt übernehmen (ohne Zeilenumbrüche) |
| DMARC ohne Wirkung | Tippfehler im Namen | Eintrag muss exakt _dmarc heißen |
| Keine DMARC-Berichte | rua-Postfach existiert nicht | Adresse dmarc@ihre-domain.de anlegen |
Checkliste
- [ ] SPF-TXT-Eintrag vorhanden (genau einer), endet mit
-alloder~all - [ ] OpenDKIM installiert, mit Postfix verbunden, Dienste neu gestartet
- [ ] DKIM-TXT-Eintrag (
mail._domainkey) veröffentlicht,opendkim-testkeymeldet „key OK" - [ ] DMARC-TXT-Eintrag (
_dmarc) mitp=noneaktiv - [ ] mail-tester.com zeigt ≥ 8/10
- [ ] Gmail „Original anzeigen": SPF, DKIM, DMARC = PASS
- [ ] Nach ein bis zwei Wochen DMARC auf
quarantine/rejecterhöht
Häufige Fragen (FAQ)
Reicht nicht SPF allein? Nein. Google, Yahoo und Microsoft verlangen mindestens SPF oder DKIM, für besten Schutz und beste Zustellbarkeit sollten Sie aber alle drei einrichten.
Was ist der Unterschied zwischen ~all und -all? ~all („soft fail") markiert nicht gelistete Absender nur als verdächtig, -all („hard fail") lehnt sie strikt ab. Starten Sie im Zweifel mit ~all und stellen später auf -all um.
Sind DMARC-Berichte datenschutzrelevant? Die aggregierten Berichte (rua) enthalten keine Mailinhalte, sondern Statistiken zu IP-Adressen und Authentifizierungsergebnissen. Forensische Berichte (ruf) können mehr enthalten – viele verzichten daher aus DSGVO-Gründen auf ruf.
Muss ich das regelmäßig pflegen? Einmal eingerichtet, läuft es. Schauen Sie anfangs in die DMARC-Berichte und erhöhen Sie die Strenge schrittweise.
Fazit
In drei Schritten haben Sie Ihre E-Mails sicher gemacht: SPF legt fest, wer senden darf, DKIM signiert jede Nachricht, DMARC bestimmt die Regel und liefert Berichte. Wichtig ist die Reihenfolge – erst SPF und DKIM, dann DMARC, und DMARC immer mit p=none starten. Nach dem Test bei mail-tester.com wissen Sie, dass Ihre Mails ankommen.
Damit ist die Serie komplett: Sie haben in Teil 1 einen sicheren Server aufgesetzt, in Teil 2 Froxlor installiert und hier den E-Mail-Versand abgesichert.
Sie möchten so etwas nicht selbst betreiben, sondern eine fertige Lösung oder individuelle Entwicklung? PepperTools unterstützt Sie – einfach übers Kontaktformular melden.
Quellen
- Mailvergleich.de: SPF, DKIM & DMARC einrichten
- saschafix.de: SPF, DKIM & DMARC einrichten
- Google Workspace: E-Mail-Authentifizierung
- MXToolbox (Prüf-Tools) · mail-tester.com
- OpenDKIM (Projektseite)
Stand: Juni 2026. Befehle und Anforderungen der großen Mailanbieter können sich ändern – maßgeblich sind deren offizielle Hinweise und die Dokumentation der eingesetzten Software.
Rechnungen einfacher erledigen
Easy Invoice bündelt Angebote, Rechnungen und Kundenverwaltung in der Cloud.
Easy Invoice testen