Inbox-Law: Gmail & Outlook prüfen härter - SPF, DKIM, DMARC einfach erklärt

Inbox-Law: Gmail & Outlook prüfen härter - SPF, DKIM, DMARC einfach erklärt

von

Wenn eine E-Mail in deinem Posteingang landet, ist das längst kein Zufall mehr, sondern das Ergebnis vieler Prüfungen. Große Mailbox-Provider sind strenger geworden, weil Spoofing und Phishing im Alltag ständig versucht werden. Im Kern geht es um eine einfache Frage: Passt die technische Absender-Identität zu dem, was Du im From-Feld siehst. Genau dafür gibt es SPF, DKIM und DMARC, und diese drei Begriffe klingen komplizierter als sie sind. Dieser Artikel zeigt Dir, was Provider wirklich prüfen, warum Mails beim Weiterleiten komisch wirken und wie Du als Empfänger Spoofing erkennst, ohne dich in Fachbegriffen zu verlieren.

Mailbox-Provider wollen vor allem eines: weniger Betrug im Posteingang und weniger genervte Nutzer. Darum rücken technische Authentifizierungs-Signale stärker in den Vordergrund, besonders bei Absendern mit vielen Nachrichten pro Tag. Google beschreibt in seinen Google Sender Guidelines klar, dass Absender ihre Identität mit SPF oder DKIM belegen sollen und dass DMARC als Richtlinie darüber liegt. Outlook hat ebenfalls Anforderungen für High-Volume-Sender kommuniziert und macht damit deutlich, dass "irgendwie senden" nicht mehr reicht. Für dich als Empfänger bedeutet das: Eine Mail kann optisch seriös wirken und trotzdem an technischen Prüfungen scheitern, was sich dann in Warnhinweisen, Spam-Ordnern oder fehlender Zustellbarkeit zeigt. Für Absender bedeutet es: Wer die Grundlagen sauber setzt, reduziert Fehlalarme und macht es Angreifern schwerer, den eigenen Domainnamen zu missbrauchen.

SPF, DKIM, DMARC in 5 Minuten

Diese drei Bausteine wirken zusammen, aber jeder löst ein anderes Problem. SPF prüft, ob ein Server überhaupt für eine Domain senden darf, und ist damit eine Art Absender-Erlaubnisliste. DKIM prüft, ob eine Mail unterwegs verändert wurde, und hängt eine kryptografische Unterschrift an die Nachricht. DMARC verbindet beides und sagt dem Empfänger, wie streng er sein soll, wenn SPF oder DKIM nicht passen, und ob die geprüfte Domain auch wirklich zu der sichtbaren Absender-Domain gehört. Wenn Du Dir nur eine Sache merken willst, dann diese: Provider prüfen nicht nur, ob irgendetwas bestanden wurde, sondern ob es zur From-Adresse passt. Genau hier liegt der praktische Kern von "DMARC erklärt" und genau hier entstehen die meisten Missverständnisse.

SPF erklärt: Wer darf für eine Domain senden

SPF steht für Sender Policy Framework und lebt als DNS-Eintrag bei der Domain des Absenders. In diesem Eintrag steht, welche Server oder Dienste Mails für diese Domain versenden dürfen, z.B. ein Newsletter-Tool oder ein Shopsystem. Der empfangende Provider schaut dabei oft auf die sogenannte Envelope-From-Domain, also die Domain, die für Rückläufer und Zustellberichte genutzt wird. Wenn ein Server sendet, der nicht in der SPF-Liste steht, kann SPF fehlschlagen, selbst wenn die Mail inhaltlich korrekt aussieht. SPF ist nützlich, aber nicht unfehlbar, weil Weiterleitungen die ursprüngliche Versand-IP verändern und damit den SPF-Check kippen können. Darum ist SPF ein starkes Signal, aber selten das einzige Signal, auf das sich Provider verlassen.

DKIM erklärt: Wurde die Mail unterwegs verändert

DKIM steht für DomainKeys Identified Mail und funktioniert wie ein Siegel auf dem Umschlag. Der sendende Server signiert bestimmte Teile der Mail, und der empfangende Provider prüft diese Signatur mit einem öffentlichen Schlüssel im DNS. Wenn jemand unterwegs Inhalte ändert, kann die Signatur ungültig werden, und das ist genau der Zweck der Sache. DKIM ist besonders hilfreich, weil es nicht an eine Versand-IP gebunden ist, sondern an die Domain, die signiert. Das macht DKIM robust gegenüber vielen Versand-Szenarien, aber nicht gegenüber jeder Art von Manipulation durch Zwischenstationen. Mailinglisten fügen oft Fußzeilen hinzu oder ändern Betreffzeilen, und genau das kann DKIM brechen, obwohl die Mail ursprünglich sauber signiert war.

DMARC erklärt: Alignment und klare Ansage an den Empfänger

DMARC ist weniger ein eigener Prüfmechanismus und mehr ein Regelwerk, das SPF und DKIM auswertet. Der zentrale Begriff ist Alignment, also die Frage, ob die geprüfte Domain mit der Domain im sichtbaren From-Feld zusammenpasst. Eine Mail kann SPF bestehen, aber wenn SPF über eine andere Domain läuft als die From-Adresse, kann DMARC trotzdem scheitern. Ebenso kann DKIM bestehen, aber mit einer Signatur-Domain, die nicht zur From-Domain passt, und dann sieht der Provider eine Lücke. DMARC gibt zusätzlich eine Policy an, z.B. nur beobachten, in Spam einsortieren oder ablehnen, und damit wird die Reaktion berechenbarer. Für Provider ist DMARC ein starkes Werkzeug gegen Spoofing, weil Angreifer nicht einfach nur eine From-Adresse fälschen können, ohne auch die passenden technischen Beweise zu liefern.

SPF DKIM Unterschied auf einen Blick

Baustein Was wird geprüft Wo liegt die Info Typische Stolperstelle Wichtig für
SPF Ob der sendende Server für die Domain senden darf DNS (TXT Record) Forwarding ändert die Versand-IP und kann SPF kippen Grundschutz gegen unautorisierte Server
DKIM Ob Inhalt und Headerteile unverändert bleiben, Signatur passt DNS (Public Key) plus DKIM-Signature Header Mailinglisten ändern Inhalte, Signatur wird ungültig Integrität und Domain-Nachweis
DMARC Ob SPF oder DKIM bestehen und zur From-Domain passen (Alignment) DNS (DMARC Policy) Fehlendes Alignment durch falsche Return-Path-Domain Schutz gegen sichtbares Spoofing
ARC Ob ein Zwischenserver die ursprünglichen Prüfergebnisse "weiterreichen" kann Zusätzliche ARC Header Vertrauen in den ARC-Signer ist entscheidend Forwarding und Mailinglisten stabiler bewerten

Warum Forwarding und Mailinglisten oft komisch aussehen (ARC als Stichwort)

Viele Probleme entstehen nicht, weil jemand betrügt, sondern weil Mails unterwegs umgeleitet oder verändert werden. Beim klassischen Forwarding nimmt ein neuer Server die Mail an und schickt sie weiter, und dabei sieht der empfangende Provider als Absender-IP plötzlich den Forwarder. SPF scheitert dann leicht, weil die ursprüngliche Domain diese neue IP nicht autorisiert hat, obwohl die Mail inhaltlich vom echten Absender kam. Mailinglisten machen es oft noch "schwieriger", weil sie Betreffzeilen taggen, Fußzeilen anhängen oder Teile der Nachricht umbauen, und dadurch kann DKIM ungültig werden. Für Provider wirkt so etwas wie ein Manipulationsversuch, obwohl es nur eine legitime Weiterverarbeitung war. Genau deshalb taucht ARC als Stichwort auf, denn ARC versucht, die ursprünglichen Authentifizierungs-Ergebnisse mitsamt einer Kette von Signaturen für nachgelagerte Empfänger nachvollziehbar zu machen.

ARC in einfachen Worten

ARC steht für Authenticated Received Chain und ergänzt eine Mail um zusätzliche Header, die die früheren Prüfergebnisse dokumentieren. Die Idee ist, dass ein vertrauenswürdiger Zwischenserver festhält, was SPF, DKIM und DMARC bei der ersten Annahme ergeben haben, und diese Information später verifizierbar bleibt. So kann ein Provider entscheiden, ob eine Mail trotz gebrochener Signatur plausibel ist, weil sie durch eine bekannte Weiterleitung oder eine seriöse Mailingliste ging. Wichtig ist dabei, dass ARC keine Zauberei ist, sondern ein Vertrauenssignal, das Provider je nach Reputation des ARC-Signers bewerten. Wenn der Zwischenserver nicht als vertrauenswürdig gilt, hilft ARC wenig, und die Mail bleibt verdächtig. Für dich bedeutet das praktisch: Weitergeleitete Mails können häufiger Warnsignale zeigen, obwohl sie echt sind, und ARC ist ein Werkzeug, um solche Fälle besser einzuordnen.

Praxis: So erkennst Du Spoofing als Empfänger (Header-Basics)

Wenn Du herausfinden willst, ob eine Mail echt ist, reicht der sichtbare Absendername nicht aus. Angreifer fälschen den Display-Name, kopieren Logos und bauen Betreffzeilen, die nach Kontoalarm aussehen. Die technischen Hinweise stecken in den Headern, also in den Metadaten der Mail, die die Versandstrecke und die Authentifizierungsergebnisse zeigen. Du musst dafür kein Administrator sein, aber Du brauchst einen Blick für drei Stellen: Authentication-Results, DKIM-Signature und die Domain im Return-Path. Wenn diese Teile nicht zur From-Adresse passen oder klar fehlschlagen, ist Vorsicht angesagt, selbst wenn der Text gut klingt. Wenn sie passen, ist das ein starkes Indiz für Echtheit, wobei Inhalt und Linkziele trotzdem geprüft werden sollten.

Welche Headerzeilen zählen für dich wirklich

Die wichtigste Zeile ist oft Authentication-Results, weil dort die Ergebnisse der Provider-Prüfung stehen, z.B. spf=pass oder dkim=pass sowie dmarc=pass oder dmarc=fail. Dann lohnt sich ein Blick in DKIM-Signature, weil dort die signierende Domain im Feld d= steht, und diese Domain sollte zur sichtbaren From-Domain passen, wenn DMARC sauber ausgerichtet ist. Der Return-Path zeigt häufig die Domain, die für Zustellberichte genutzt wird, und diese Domain beeinflusst den SPF-Check, auch wenn sie Dir im Mail-Client nicht direkt angezeigt wird. Received-Zeilen sind die Versandspur, und viele Sprünge über fremde Server können normal sein, aber sie können auch auf Umwege hindeuten. Wenn Du diese Punkte zusammen liest, bekommst Du ein Bild, ob die Mail technisch zu dem passt, was sie behauptet zu sein, und genau darum geht es bei "Ist diese Mail echt".

Ein kleines Header-Beispiel zum Einordnen

Header sehen zunächst wie ein Textblock aus, aber Du musst nicht alles lesen. Suche gezielt nach den Pass oder Fail-Markierungen und nach Domainnamen, die nicht zusammenpassen. Achte besonders darauf, ob DMARC besteht, denn das ist der beste Kurzindikator für sichtbares Spoofing der From-Adresse. Falls DMARC fehlschlägt, schaue nach, ob wenigstens DKIM oder SPF bestehen und ob Alignment fehlt, denn das kann bei Weiterleitungen passieren. Wenn mehrere Signale scheitern und die Domains sich wild unterscheiden, ist die Wahrscheinlichkeit für eine Fälschung hoch. Dieses Beispiel zeigt typische Zeilen, die Du in vielen Clients finden kannst, ohne dich durch hunderte Zeilen zu kämpfen.

From: "Service Team" 
Return-Path: 
Authentication-Results: mx.provider.example,
  spf=pass smtp.mailfrom=mailer-anbieter.example,
  dkim=pass header.d=beispiel.de,
  dmarc=pass header.from=beispiel.de
DKIM-Signature: v=1, a=rsa-sha256, d=beispiel.de, s=selector1,

Header sehen, nicht raten

Wenn Du häufiger Mails prüfst, hilft Dir ein Ort, an dem Du die Original-Header sauber einsehen kannst. Genau dafür passt TrashMail-Konto von TrashMailr, weil Du dort mit einer Wegwerf-Adresse testen kannst, wie Newsletter, Shops oder Login-Mails technisch ankommen. Du bekommst so einen sicheren Spielplatz für einen Header-Crashkurs mit echten Beispielen, ohne deine Hauptadresse zu belasten. Das Motto "Header sehen, nicht raten" ist dabei wörtlich gemeint, denn erst der Header zeigt, ob die Authentifizierung sauber war oder nur der Text gut aussieht. Das ist nicht nur für Sicherheit spannend, sondern auch für Deliverability, weil Du als Absender sehen kannst, ob dein Versand sauber ausgerichtet ist. Wenn Du einen verdächtigen Versand testen willst, leitest Du ihn an die Wegwerf-Adresse weiter und lernst an echten Daten, welche Signale im Posteingang zählen.

Für Creator und Shop-Betreiber: Quick-Audit-Checkliste (DNS, Alignment, Unsubscribe)

Wenn Du Newsletter, Transaktionsmails oder Shop-Benachrichtigungen versendest, brauchst Du eine kleine Routine, die die Basics abdeckt. Viele Zustellprobleme entstehen nicht durch "Spammy" Inhalte, sondern durch fehlende oder falsch konfigurierte Authentifizierung. Provider bewerten Absender-Domains, ihre Authentifizierungsquote und das Nutzerverhalten, und Du kannst den technischen Teil aktiv stabilisieren. Ein Audit muss nicht kompliziert sein, wenn Du strukturiert vorgehst und pro Versandweg prüfst, welche Domain sichtbar ist und welche Domain technisch signiert. Besonders wichtig ist das Alignment, weil DMARC genau an dieser Stelle entscheidet, ob die sichtbare Absender-Identität glaubwürdig ist. Zusätzlich spielen Abmelde-Mechanismen eine Rolle, weil Provider für Massenversand klare, einfache Unsubscribe-Signale erwarten.

  1. Inventar erstellen: Welche Systeme senden Mails in deinem Namen, inklusive Shop, CRM, Support-Tool und Newsletter-Anbieter.
  2. SPF prüfen: Enthält der SPF-Record alle legitimen Sender und ist er schlank genug, damit keine DNS-Lookup-Limits reißen.
  3. DKIM aktivieren: Für jeden Versanddienst einen DKIM-Selector einrichten und testen, ob d= zur gewünschten Domain passt.
  4. DMARC setzen: Eine DMARC-Policy veröffentlichen, Alignment prüfen und Reports auswerten, statt blind zu raten.
  5. From und Return-Path abgleichen: Sicherstellen, dass die genutzten Domains zusammenpassen und nicht zufällig auseinanderlaufen.
  6. Unsubscribe sauber machen: List-Unsubscribe Header setzen und bei Promotions auch eine One-Click-Variante anbieten.
  7. Testen mit echten Postfächern: Mails an mehrere Provider schicken und Header vergleichen, statt nur im Versandtool zu vertrauen.

DNS und Alignment ohne Stolperfallen

Beim DNS geht es weniger um "viel" und mehr um "richtig". SPF sollte nur die Dienste enthalten, die wirklich senden, weil jede zusätzliche Quelle die Angriffsfläche vergrößert und die Fehlersuche erschwert. DKIM muss in jedem Versandweg aktiv sein, sonst verlierst Du das Integritäts-Siegel, das Provider gern als starkes Signal nutzen. DMARC wirkt erst, wenn mindestens SPF oder DKIM sauber besteht, und Alignment sorgt dafür, dass diese Ergebnisse zur sichtbaren Absenderadresse passen. Darum lohnt sich eine einfache Regel: Verwende für Versand, Signatur und From möglichst dieselbe Domain oder eine klar kontrollierte Subdomain, die Du konsequent durchziehst. Wenn dein Setup über mehrere Dienstleister verteilt ist, ist Konsistenz der wichtigste Hebel für weniger Überraschungen im Spam-Ordner.

Unsubscribe: Nicht nur nett, sondern ein Zustellsignal

Viele Absender denken beim Abmelden zuerst an Rechtstexte, aber Provider denken an Nutzerfrust. Wenn Nutzer keine klare Abmeldeoption finden, klicken sie eher auf "Spam melden", und das schadet Dir direkt. Darum sind List-Unsubscribe Header ein technisches Signal, das Mailbox-Provider maschinell auswerten können. Bei Promotions ist eine One-Click-Abmeldung besonders hilfreich, weil sie den schnellen Ausstieg ermöglicht, ohne dass Nutzer sich durch Formulare kämpfen müssen. Das reduziert Beschwerden und verbessert die Beziehung zu deinen Empfängern, weil Du zeigst, dass Du Kontrolle respektierst. Selbst wenn deine Inhalte hochwertig sind, ist ein holpriger Abmeldeprozess ein unnötiger Zustell-Killer.

Outlook DMARC Anforderungen und Google Sender Guidelines richtig einordnen

Outlook und Gmail formulieren ihre Anforderungen zwar in eigenen Dokumenten, aber die Richtung ist ähnlich: Authentifiziere klar und sei transparent. Bei High-Volume-Sendern fällt die Latte höher aus, weil Provider dort mehr Missbrauchspotenzial sehen und stärker automatisiert filtern. Das bedeutet nicht, dass kleine Absender "frei" sind, denn auch dort helfen SPF, DKIM und DMARC, Spoofing abzuwehren und Reputation aufzubauen. Die wichtigste praktische Konsequenz ist, dass DMARC nicht nur ein "Nice to have" ist, sondern die Brücke zwischen sichtbarer Identität und technischer Authentifizierung. Wer diese Brücke nicht baut, überlässt die Entscheidung dem Filter und verliert Kontrolle über Zustellung und Vertrauen. Wer sie baut, macht es für Angreifer deutlich schwerer, sich als deine Domain auszugeben, und das schützt auch deine Empfänger.

FAQ

DMARC erklärt: Muss ich DMARC sofort auf "reject" setzen

Nein, DMARC ist kein Schalter, den Du ohne Vorbereitung umlegen solltest. Sinnvoll ist ein Einstieg mit einer beobachtenden Policy, damit Du siehst, welche Systeme in deinem Namen senden. Über Reports bekommst Du Hinweise auf legitime Quellen, die Du noch nicht sauber signierst oder ausrichtest. Erst wenn SPF oder DKIM zuverlässig bestehen und Alignment passt, lohnt sich eine strengere Policy. Der Weg dorthin ist oft ein Aufräumen von Versandwegen, nicht ein einmaliger Klick. So reduzierst Du das Risiko, echte Mails zu blockieren, und erhöhst Schritt für Schritt die Sicherheit.

SPF DKIM Unterschied: Brauche ich wirklich beides

Beides zu haben ist deutlich besser, weil SPF und DKIM unterschiedliche Dinge absichern. SPF ist gut, um unerlaubte Versandserver auszuschließen, aber anfällig für Weiterleitungen, weil die IP sich ändert. DKIM ist robust gegenüber IP-Wechseln, aber anfällig, wenn Zwischenstationen Inhalte verändern und dadurch die Signatur ungültig wird. DMARC kann mit SPF oder DKIM bestehen, aber die Kombination erhöht die Trefferquote bei echten Mails. Provider mögen Redundanz, weil sie mehr Signale bekommen und weniger raten müssen. Darum ist "entweder oder" meist eine Notlösung, nicht das Zielbild.

Warum sagt mein Mail-Client "via" oder zeigt eine fremde Domain an

Solche Hinweise entstehen oft, wenn Versand über einen Dienstleister läuft und die sichtbare From-Domain nicht sauber ausgerichtet ist. Manche Tools senden mit einer eigenen Return-Path-Domain, und wenn SPF darüber läuft, fehlt Alignment zur sichtbaren Domain. Dann kann DMARC scheitern oder zumindest weniger überzeugend wirken, und der Client zeigt Zusatzinformationen an. Das ist nicht automatisch Betrug, aber es ist ein Signal, genauer hinzuschauen. Mit DKIM, das auf deine Domain signiert, und mit sauberem DMARC-Alignment verschwindet dieses "komische" Gefühl oft. Für dich als Empfänger ist es eine Erinnerung, nicht nur auf den Namen zu vertrauen.

Wie erkenne ich Spoofing, wenn der Text perfekt wirkt

Der Text kann perfekt wirken, weil Angreifer Vorlagen kopieren und sich Mühe geben. Darum ist der Header-Check so wertvoll, denn er zeigt technische Fakten, die schwerer zu fälschen sind. Prüfe zuerst, ob dmarc=pass steht und ob header.from zur erwarteten Domain passt. Schaue dann, ob dkim=pass ist und ob die DKIM-Domain d= ebenfalls zur From-Domain passt. Wenn SPF oder DKIM fehlschlagen und gleichzeitig Links auf fremde Domains führen, ist höchste Vorsicht angesagt. Im Zweifel gehst Du nicht über den Link, sondern öffnest die Seite des Dienstes direkt über ein Lesezeichen oder eine manuelle Eingabe.

Fazit

SPF, DKIM und DMARC sind keine Magie, sondern ein System aus klaren Beweisen für Absender-Identität. Provider prüfen dabei vor allem, ob technische Signale zur sichtbaren From-Adresse passen, und genau dieses Alignment entscheidet über Vertrauen. Forwarding und Mailinglisten können legitime Mails "kaputt wirken" lassen, und ARC ist ein Ansatz, solche Fälle besser einzuordnen. Als Empfänger kannst Du Spoofing oft schon mit einem Blick auf Authentication-Results, DKIM-Domain und Return-Path entlarven. Als Absender senkst Du Zustellrisiken mit einem kurzen Audit aus DNS, Alignment und sauberem Unsubscribe.