PepperTools Ratgeber
Technik & Server

E-Mail richtig einrichten: SPF, DKIM und DMARC für Einsteiger (Teil 3 von 3)

Teil 3 der Serie „Eigener Server – von 0 auf sicher": SPF, DKIM und DMARC einrichten, damit Ihre E-Mails ankommen statt im Spam zu landen. Mit DNS-Einträgen, DKIM-Signierung per OpenDKIM auf dem eigenen Server, der richtigen Reihenfolge (p=none zuerst) und kostenlosen Test-Tools – alles zum Kopieren.

E-Mail richtig einrichten: SPF, DKIM und DMARC für Einsteiger (Teil 3 von 3)

E-Mail richtig einrichten: SPF, DKIM und DMARC für Einsteiger (Teil 3 von 3)

Serie „Eigener Server – von 0 auf sicher" · 3 Teile:

  1. Debian-vServer einrichten & absichern
  2. Froxlor installieren & konfigurieren
  3. E-Mail richtig einrichten: SPF, DKIM & DMARCSie sind hier

Diese Anleitung ist Teil 3 und schließt die Serie ab. Sie setzt einen Server mit Mailserver voraus, wie ihn Teil 1 und Teil 2 aufgebaut haben.

SPF, DKIM und DMARC für Einsteiger

Inhalt


Auf einen Blick: SPF, DKIM und DMARC sind drei Einträge im DNS Ihrer Domain. Sie beweisen, dass eine E-Mail wirklich von Ihnen stammt. Ohne sie landen Ihre Nachrichten heute oft im Spam – oder werden ganz abgelehnt. Seit 2024 verlangen Google und Yahoo diese Authentifizierung, Microsoft seit 2025. Die Einrichtung dauert 20–30 Minuten.

Wenn Sie über Ihren eigenen Server E-Mails versenden (z. B. Rechnungen oder Kontaktformular-Nachrichten), reicht es nicht, „nur" einen Mailserver zu betreiben. Sie müssen den empfangenden Servern auch beweisen, dass die Mail echt ist. Dafür gibt es drei Bausteine. Wir richten alle drei ein – einsteigerfreundlich und zum Kopieren.

Voraussetzungen

  • Ein Server mit Mailserver (Postfix/Dovecot), z. B. über Froxlor aus Teil 2 eingerichtet.
  • Zugriff auf die DNS-Verwaltung Ihrer Domain – also den Bereich beim Domain-Anbieter (oder in Froxlor, falls Sie dort DNS verwalten), in dem Sie „TXT-Einträge" anlegen können.
  • Die IP-Adresse Ihres Servers.

Wichtig – richtige Reihenfolge: Richten Sie erst SPF und DKIM ein und warten Sie, bis beide aktiv sind (mind. einige Stunden), bevor Sie DMARC scharf schalten. Und starten Sie DMARC immer mit der sanften Einstellung p=none.

Was sind SPF, DKIM und DMARC?

Drei einfache Bilder:

  • SPF ist die Gästeliste. Sie legt fest, welche Server in Ihrem Namen E-Mails verschicken dürfen. Steht der absendende Server nicht auf der Liste, ist die Mail verdächtig.
  • DKIM ist die digitale Unterschrift. Jede ausgehende Mail wird kryptografisch signiert. Der Empfänger prüft, ob sie echt und unterwegs nicht verändert wurde.
  • DMARC ist das Regelwerk. Es sagt dem Empfänger, was passieren soll, wenn SPF oder DKIM fehlschlagen: durchlassen, in den Spam verschieben oder ablehnen. Und es schickt Ihnen Berichte.

Alle drei sind technisch nur TXT-Einträge im DNS – außer dem DKIM-Schlüssel, den wir auf dem Server erzeugen. Eine sehr gute, ausführliche Erklärung bietet der Leitfaden von Mailvergleich.de.

Schritt 1: SPF einrichten

SPF ist ein einziger TXT-Eintrag, den Sie im DNS Ihrer Domain anlegen. Gehen Sie in die DNS-Verwaltung und erstellen Sie einen neuen Eintrag:

Typ:    TXT
Name:   @            (steht für die Hauptdomain)
Wert:   v=spf1 a mx ip4:SERVER-IP -all

Ersetzen Sie SERVER-IP durch die IP Ihres Servers. Was die Teile bedeuten:

  • v=spf1 – Versionskennung (immer am Anfang).
  • a mx – Server, auf die die A- und MX-Einträge der Domain zeigen, dürfen senden.
  • ip4:SERVER-IP – diese konkrete IP darf senden.
  • -allalle anderen dürfen nicht senden (strenge Variante). Wenn Sie unsicher sind oder zusätzliche Dienste (Newsletter, CRM) nutzen, starten Sie mit der weicheren Variante ~all und stellen später auf -all um.

Nur ein SPF-Eintrag! Eine Domain darf genau einen SPF-TXT-Eintrag haben. Nutzen Sie weitere Dienste, fügen Sie deren include:-Angaben in diesen einen Eintrag ein, z. B. v=spf1 a mx include:_spf.example.com -all.

Schritt 2: DKIM einrichten (auf dem eigenen Server signieren)

Anders als bei einem gemieteten Postfach müssen Sie DKIM auf dem eigenen Server selbst erzeugen. Wir nutzen dafür OpenDKIM, das sich in Postfix einklinkt und jede ausgehende Mail signiert.

2.1 OpenDKIM installieren:

sudo apt install -y opendkim opendkim-tools

2.2 Schlüssel erzeugen (ersetzen Sie ihre-domain.de):

sudo mkdir -p /etc/opendkim/keys/ihre-domain.de
sudo opendkim-genkey -b 2048 -d ihre-domain.de -D /etc/opendkim/keys/ihre-domain.de -s mail -v
sudo chown -R opendkim:opendkim /etc/opendkim

2.3 OpenDKIM konfigurieren. Öffnen Sie die Hauptkonfiguration:

sudo nano /etc/opendkim.conf

Ergänzen Sie am Ende:

Canonicalization   relaxed/simple
Mode               sv
Socket             inet:8891@localhost
KeyTable           /etc/opendkim/KeyTable
SigningTable       /etc/opendkim/SigningTable
ExternalIgnoreList /etc/opendkim/TrustedHosts
InternalHosts      /etc/opendkim/TrustedHosts

Legen Sie die drei Tabellen an:

echo "mail._domainkey.ihre-domain.de ihre-domain.de:mail:/etc/opendkim/keys/ihre-domain.de/mail.private" | sudo tee /etc/opendkim/KeyTable
echo "*@ihre-domain.de mail._domainkey.ihre-domain.de" | sudo tee /etc/opendkim/SigningTable
printf "127.0.0.1\nlocalhost\nihre-domain.de\n" | sudo tee /etc/opendkim/TrustedHosts

2.4 OpenDKIM mit Postfix verbinden. Öffnen Sie die Postfix-Konfiguration:

sudo nano /etc/postfix/main.cf

Fügen Sie am Ende hinzu:

milter_default_action = accept
milter_protocol = 6
smtpd_milters = inet:localhost:8891
non_smtpd_milters = inet:localhost:8891

Dienste neu starten:

sudo systemctl restart opendkim postfix

2.5 Den DKIM-DNS-Eintrag veröffentlichen. OpenDKIM hat Ihren öffentlichen Schlüssel in eine Datei geschrieben. Lassen Sie sie sich anzeigen:

sudo cat /etc/opendkim/keys/ihre-domain.de/mail.txt

Sie sehen einen langen Wert in der Form v=DKIM1; k=rsa; p=.... Legen Sie damit im DNS einen TXT-Eintrag an:

Typ:    TXT
Name:   mail._domainkey
Wert:   v=DKIM1; k=rsa; p=MIIBI...   (der komplette p=-Wert aus der Datei)

Eine bebilderte Schritt-für-Schritt-Hilfe zu DKIM finden Sie auch bei saschafix.de.

Schritt 3: DMARC einrichten

DMARC verbindet SPF und DKIM und legt die Regel fest. Legen Sie im DNS einen weiteren TXT-Eintrag an:

Typ:    TXT
Name:   _dmarc
Wert:   v=DMARC1; p=none; rua=mailto:dmarc@ihre-domain.de; fo=1

Bedeutung:

  • p=nonebeobachten, aber nichts blockieren. So starten Sie immer, um zu sehen, ob alles sauber läuft, ohne legitime Mails zu gefährden.
  • rua=mailto:dmarc@ihre-domain.de – an diese Adresse schicken Empfänger tägliche Berichte. Legen Sie dieses Postfach an.
  • fo=1 – ausführlichere Fehlerberichte.

Schritt für Schritt schärfer stellen: Wenn nach ein bis zwei Wochen die Berichte zeigen, dass Ihre echten Mails SPF/DKIM bestehen, erhöhen Sie die Strenge – zuerst auf p=quarantine (verdächtige Mails in den Spam), später auf p=reject (verdächtige Mails ablehnen):

v=DMARC1; p=quarantine; rua=mailto:dmarc@ihre-domain.de; fo=1

Nie mit p=reject starten! Sonst riskieren Sie, dass auch legitime Mails (z. B. von Newsletter- oder CRM-Diensten) abgelehnt werden.

Schritt 4: Alles prüfen und testen

DNS-Änderungen brauchen etwas Zeit (oft Minuten, manchmal bis 24 Stunden). Danach prüfen Sie Ihr Setup mit kostenlosen Werkzeugen:

  • MXToolbox – prüft SPF-, DKIM- und DMARC-Einträge einzeln (oben „SPF Record Lookup", „DKIM Lookup", „DMARC Lookup" wählen).
  • mail-tester.com – senden Sie eine echte Test-Mail an die angezeigte Adresse; Ziel ist eine Bewertung von mindestens 8/10.
  • Gmail-Header prüfen: Senden Sie sich eine Mail an ein Gmail-Konto, öffnen Sie sie, klicken Sie auf die drei Punkte → „Original anzeigen". Dort sollte bei SPF, DKIM und DMARC jeweils „PASS" stehen.

Den DKIM-Test direkt auf dem Server können Sie zusätzlich so machen:

sudo opendkim-testkey -d ihre-domain.de -s mail -vvv

Erscheint „key OK", ist der Schlüssel korrekt veröffentlicht.

Häufige Fehler und Lösungen

ProblemUrsacheLösung
Mails landen weiter im SpamDNS noch nicht propagierteinige Stunden warten, mit MXToolbox prüfen
SPF „PermError"mehr als ein SPF-Eintragalle Angaben in einen SPF-Eintrag zusammenführen
DKIM „fail"falscher/unvollständiger p=-Wertkompletten Wert aus mail.txt exakt übernehmen (ohne Zeilenumbrüche)
DMARC ohne WirkungTippfehler im NamenEintrag muss exakt _dmarc heißen
Keine DMARC-Berichterua-Postfach existiert nichtAdresse dmarc@ihre-domain.de anlegen

Checkliste

  • [ ] SPF-TXT-Eintrag vorhanden (genau einer), endet mit -all oder ~all
  • [ ] OpenDKIM installiert, mit Postfix verbunden, Dienste neu gestartet
  • [ ] DKIM-TXT-Eintrag (mail._domainkey) veröffentlicht, opendkim-testkey meldet „key OK"
  • [ ] DMARC-TXT-Eintrag (_dmarc) mit p=none aktiv
  • [ ] mail-tester.com zeigt ≥ 8/10
  • [ ] Gmail „Original anzeigen": SPF, DKIM, DMARC = PASS
  • [ ] Nach ein bis zwei Wochen DMARC auf quarantine/reject erhöht

Häufige Fragen (FAQ)

Reicht nicht SPF allein? Nein. Google, Yahoo und Microsoft verlangen mindestens SPF oder DKIM, für besten Schutz und beste Zustellbarkeit sollten Sie aber alle drei einrichten.

Was ist der Unterschied zwischen ~all und -all? ~all („soft fail") markiert nicht gelistete Absender nur als verdächtig, -all („hard fail") lehnt sie strikt ab. Starten Sie im Zweifel mit ~all und stellen später auf -all um.

Sind DMARC-Berichte datenschutzrelevant? Die aggregierten Berichte (rua) enthalten keine Mailinhalte, sondern Statistiken zu IP-Adressen und Authentifizierungsergebnissen. Forensische Berichte (ruf) können mehr enthalten – viele verzichten daher aus DSGVO-Gründen auf ruf.

Muss ich das regelmäßig pflegen? Einmal eingerichtet, läuft es. Schauen Sie anfangs in die DMARC-Berichte und erhöhen Sie die Strenge schrittweise.

Fazit

In drei Schritten haben Sie Ihre E-Mails sicher gemacht: SPF legt fest, wer senden darf, DKIM signiert jede Nachricht, DMARC bestimmt die Regel und liefert Berichte. Wichtig ist die Reihenfolge – erst SPF und DKIM, dann DMARC, und DMARC immer mit p=none starten. Nach dem Test bei mail-tester.com wissen Sie, dass Ihre Mails ankommen.

Damit ist die Serie komplett: Sie haben in Teil 1 einen sicheren Server aufgesetzt, in Teil 2 Froxlor installiert und hier den E-Mail-Versand abgesichert.

Sie möchten so etwas nicht selbst betreiben, sondern eine fertige Lösung oder individuelle Entwicklung? PepperTools unterstützt Sie – einfach übers Kontaktformular melden.

Quellen

Stand: Juni 2026. Befehle und Anforderungen der großen Mailanbieter können sich ändern – maßgeblich sind deren offizielle Hinweise und die Dokumentation der eingesetzten Software.

Rechnungen einfacher erledigen

Easy Invoice bündelt Angebote, Rechnungen und Kundenverwaltung in der Cloud.

Easy Invoice testen

Sprachversionen