Wenn Sie heute E-Mails versenden, sei es eine Offerte aus Outlook, eine Rechnung aus Ihrer Buchhaltungssoftware, ein Newsletter – z.B. über Mailchimp – oder eine Anfrage über das Kontaktformular Ihrer Website, dann hat der Empfänger keine technische Möglichkeit, zu überprüfen, ob diese E-Mail wirklich von Ihnen stammt oder ob jemand Ihren Namen missbraucht. Genau das steuert SPF, DKIM und DMARC.
Spam, Phishing und gefälschte Absender gehören heute leider zum E-Mail-Alltag. Der Missbrauch von E-Mail-Diensten ist ein ständiger Kampf, denn Angreifende finden immer neue Wege, Schutzmechanismen zu umgehen.
Drei Mechanismen im Team
Diese drei Mechanismen sind so etwas wie ein digitaler Echtheitsnachweis für Ihre Domain. Sie hinterlegen im Internet (genauer: im sogenannten DNS – Domain Name System) eine Liste der Server, die in Ihrem Namen Mails verschicken dürfen und versehen jede ausgehende E-Mail mit einer Art unsichtbarem Siegel. Empfangende Systeme wie Outlook, Gmail, Microsoft 365, Apple Mail, prüfen dieses Siegel automatisch und entscheiden anhand des Ergebnisses, ob die E-Mail vertrauenswürdig ist.
Der Schutz Ihrer eigenen Benutzenden und fremder Empfangender vor gefälschten E-Mails lässt sich deutlich verbessern, wenn SPF, DKIM und DMARC korrekt eingerichtet sind. Die Umsetzung ist keine Hexerei, braucht aber eine saubere Planung. Das gilt besonders, wenn Sie externe Partner für den Versand einsetzen, zum Beispiel für Newsletter.
Was Sie davon haben
Erstens landen Ihre E-Mails seltener im Spam. Microsoft 365 und Google haben in den letzten zwei Jahren ihre Filter deutlich verschärft: Mails ohne korrekte Authentifizierung werden zunehmend abgewertet, im schlimmsten Fall gar nicht mehr zugestellt. Das betrifft besonders Mails an Geschäftskunden, die ihrerseits Microsoft 365 nutzen – also den allergrössten Teil des Schweizer KMU-Marktes. Ein einfacher SPF-Eintrag, wie er bei vielen Domains schon vorhanden ist, reicht dafür heute nicht mehr aus.
Zweitens steigt die Vertrauenswürdigkeit Ihrer Marke gegenüber Ihren Kunden. Auch wenn Sie über Drittsysteme wie Mailchimp oder Ihren Newsletter-Versand kommunizieren oder wenn ein Kontaktformular auf Ihrer Website eine E-Mail mit Absenderadresse Ihrer Hauptdomain verschickt: erst durch DKIM tragen all diese E-Mails ein gültiges Siegel und werden vom Empfänger als authentisch erkannt.
Drittens schützen sie Ihren Namen. Ohne DMARC kann grundsätzlich jeder beliebige Spammer oder Betrüger E-Mails versenden, die so aussehen, als kämen sie von Ihrer Domain – etwa um Ihre Kunden zu Phishing-Klicks zu verleiten oder im Namen Ihrer Geschäftsleitung Zahlungsanweisungen zu fälschen. Mit DMARC sagen Sie den empfangenden Mailservern weltweit: «Wenn ein E-Mail nicht unser Siegel trägt, behandelt sie als verdächtig!»
Was es ausdrücklich NICHT tut
Diese Massnahme schützt Sie nicht vor eingehendem Spam. Es geht ausschliesslich darum, die von Ihnen versendeten E-Mails als echt erkennbar zu machen. Spamfilter für Ihren Posteingang sind ein separates Thema.
SPF, DKIM und DMARC kurz und kompakt
Wie funktioniert SPF?
SPF steht für Sender Policy Framework. Damit wird geprüft, ob eine eMail von einem berechtigten Mailserver versendet wurde. Dafür wird in der DNS-Zone der eMail-Domäne ein Eintrag erstellt. Dieser listet die Systeme auf, die im Namen dieser Domäne Nachrichten versenden dürfen.
Wie funktioniert DKIM?
DKIM steht für Domain Keys Identified Mail. Anders als SPF prüft DKIM nicht die IP-Adresse des sendenden Servers, sondern signiert die Nachricht und den Mail-Header digital. Dafür nutzt das sendende System den privaten Teil eines asymmetrischen Schlüsselpaares. Der öffentliche Schlüssel wird über einen DNS-Record in der eMail-Domäne veröffentlicht. So kann die empfangende Gegenstelle prüfen, ob die Nachricht unverändert ist und tatsächlich von der angegebenen Domäne stammt.
Wofür wird DMARC verwendet?
SPF und DKIM prüfen technische Absenderinformationen, jedoch nicht zwingend die Domäne, die der empfangenden Person im sichtbaren «From»-Feld angezeigt wird. DMARC schliesst diese Lücke. Über einen DNS-Eintrag wird festgelegt, dass mindestens einer der beiden Prüfmechanismen, SPF oder DKIM, mit der sichtbaren Absenderdomäne übereinstimmen muss.
Weiterführende Informationen
1. Google Workspace – Email Sender Guidelines (offiziell)
support.google.com/a/answer/81126
Die offizielle Ansage von Google: Seit Februar 2024 müssen alle E-Mail-Versender, die an Gmail-Konten senden, SPF oder DKIM eingerichtet haben, gültige Forward- und Reverse-DNS-Records pflegen und TLS verwenden – Versender mit mehr als 5’000 Mails pro Tag müssen zusätzlich SPF und DKIM aktiv haben sowie einen DMARC-Eintrag publizieren. Mails, die nicht authentifiziert sind, werden möglicherweise als Spam markiert oder mit Fehlercode 5.7.26 abgewiesen. Wichtigstes Verkaufsargument: das ist keine Empfehlung, sondern eine Vorgabe des grössten Mail-Providers weltweit.
2. Gmail Enforcement Update November 2025
powerdmarc.com/gmail-enforcement-email-rejection
Ab November 2025 hat Google die soft-enforcement-Phase beendet und filtert nicht-konforme Mails nicht mehr nur, sondern verzögert oder lehnt sie aktiv ab. Gleichzeitig wurde das Postmaster-Tools-Dashboard von «Reputation» auf «Compliance Status» mit binärer Pass/Fail-Logik umgestellt. Yahoo und Apple haben 2024 ähnliche Anforderungen angekündigt, Microsoft hat Mitte 2025 eigene Bulk-Sender-Regeln inklusive SPF-, DKIM- und DMARC-Enforcement und Pflicht-TLS ausgerollt. Die ganze Branche zieht gleichzeitig an – wer nicht mitzieht, fliegt aus dem Posteingang.
3. Microsoft Outlook Bulk Sender Requirements
support.higherlogic.com
Outlook verlangt seit dem 5. Mai 2025 von Domains, die mehr als 5’000 Mails pro Tag versenden, korrekte SPF-Authentifizierung, gültige DKIM-Validierung und einen DMARC-Eintrag mit mindestens p=none, der zu SPF oder DKIM aligned ist – idealerweise zu beiden. Nicht-konforme Mails können gefiltert oder blockiert werden. Genau das relevante Argument für Schweizer KMU: Microsoft 365 ist im B2B-Posteingangsmarkt dominant.
4. Valimail – Practical Impact Analysis
valimail.com/blog
Macht den Business-Impact greifbar: Authentifizierung, DMARC und saubere Versandpraxis sind nicht mehr optional – legitime, korrekt authentifizierte Versender erreichen den Posteingang zuverlässiger, schlampige oder nicht authentifizierte werden eher rausgefiltert. Compliance mit den Sender-Anforderungen ist nicht länger optional – sie beginnt mit Sichtbarkeit über die Authentifizierungs-Konfiguration. Gut zitierbar für Kundengespräche.
5. BSI – E-Mail-Authentifizierung als «Stand der Technik»
bsi.bund.de – Technischer Hintergrund.
Das deutsche BSI ordnet ein: Für die Authentifizierung von E-Mail-Servern haben sich weltweit die Standards SPF, DKIM und DMARC durchgesetzt – ihre Umsetzung stärkt den Schutz vor Angriffen, bei denen die Identität vertrauenswürdiger Sender-Domains vorgegaukelt wird. Damit gelten die drei Verfahren als «Stand der Technik» – ein Begriff, der über Art. 32 DSGVO und Art. 8 revDSG (technisch-organisatorische Massnahmen) auch in der Schweiz rechtliche Relevanz hat. Wer’s nicht implementiert, verzichtet aktiv auf Stand der Technik bei einem zentralen Kommunikationskanal.