Reicht SPF allein für E-Mail-Zustellung?

Nein. SPF allein reicht nicht – DKIM und DMARC sind heute Standard. Viele Provider (Gmail, Outlook) werten alle drei aus.

Was bedeutet -all vs. ~all in SPF?

-all = hard fail (strikte Ablehnung nicht autorisierter Sender, empfohlen). ~all = soft fail (Verdacht, aber nicht strikt abgelehnt).

Wie teste ich ob SPF/DKIM/DMARC funktionieren?

Sende eine Test-Mail an mail-tester.com und prüfe den Score. Alternativ: mxtoolbox.com für einzelne Record-Checks.

SPF, DKIM & DMARC einrichten – E-Mail DNS richtig konfigurieren

Kurzantwort: SPF, DKIM und DMARC sind DNS TXT-Records die beweisen, dass deine E-Mails legitim sind. Ohne sie landen Mails in Spam oder werden abgelehnt – mit korrekter Konfiguration verbesserst du Zustellbarkeit und schützt deine Domain vor Spoofing.

Warum SPF, DKIM & DMARC?

SPF: Sagt empfangenden Servern, welche IPs E-Mails für deine Domain senden dürfen
DKIM: Digitale Signatur – beweist dass die Mail nicht manipuliert wurde
DMARC: Richtlinie was passiert wenn SPF/DKIM fehlschlagen + Reporting

Ergebnis: Weniger Spam-Ordner, mehr Vertrauen, Schutz vor Phishing mit deiner Domain.

Voraussetzungen

MX-Record auf deinen Mailserver gesetzt
Zugang zum DNS-Editor (NexoraHost Panel oder Cloudflare)
DKIM-Schlüssel vom Mail-Provider (Webspace, Google Workspace, Microsoft 365)

Schritt 1: MX-Record setzen

Typ:  MX
Name: @
Wert: mail.deinedomain.de
Priorität: 10
TTL:  3600

Mehr zu DNS-Grundlagen: DNS Guide

Schritt 2: SPF-Record einrichten

SPF (Sender Policy Framework) als TXT-Record:

Typ:  TXT
Name: @
Wert: "v=spf1 mx a ip4:93.184.216.34 -all"
TTL:  3600

SPF-Beispiele

Szenario	SPF-Record
Nur eigener Mailserver	`v=spf1 mx -all`
Mailserver + Webspace	`v=spf1 mx a -all`
Mit Google Workspace	`v=spf1 include:_spf.google.com -all`
Mit Microsoft 365	`v=spf1 include:spf.protection.outlook.com -all`
Mehrere Provider	`v=spf1 mx include:_spf.google.com -all`

Wichtig: Nur ein SPF-Record pro Domain! -all = strikt (empfohlen), ~all = soft fail.

Schritt 3: DKIM einrichten

DKIM-Schlüssel kommt vom Mail-Provider. Typischer TXT-Record:

Typ:  TXT
Name: default._domainkey
Wert: "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEF..."
TTL:  3600

Bei NexoraHost Webspace: DKIM im Mail-Panel aktivieren → Schlüssel kopieren → als TXT eintragen.

Schritt 4: DMARC einrichten

Typ:  TXT
Name: _dmarc
Wert: "v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=100"
TTL:  3600

DMARC Policies

Policy	Bedeutung	Empfehlung
`p=none`	Nur Monitoring	Startphase (2–4 Wochen)
`p=quarantine`	Verdächtige Mails in Spam	Produktiv (empfohlen)
`p=reject`	Verdächtige Mails ablehnen	Maximum Security

Komplettes Beispiel: E-Mail DNS für deinedomain.de

MX    @                    mail.deinedomain.de     10
TXT   @                    "v=spf1 mx a -all"
TXT   default._domainkey   "v=DKIM1; k=rsa; p=MIIB..."
TXT   _dmarc               "v=DMARC1; p=quarantine; rua=mailto:[email protected]"

Typische Fehler

Mehrere SPF-Records: Nur einer erlaubt – mehrere zusammenführen mit include:
SPF zu lang (>255 Zeichen): In mehrere Strings aufteilen oder includes reduzieren
DKIM Selector falsch: Name muss exakt zum Provider passen (default, google, selector1...)
DMARC ohne SPF/DKIM: Erst SPF + DKIM, dann DMARC mit p=none, dann verschärfen
Cloudflare Proxy auf MX: MX-Records nie proxien!

Setup testen

SPF: mail-tester.com, mxtoolbox.com/spf.aspx
DKIM: Test-Mail senden → Header prüfen (DKIM-Signature vorhanden?)
DMARC: mxtoolbox.com/dmarc.aspx
Gesamt: mail-tester.com (Ziel: 9/10 oder 10/10)