E-Mail-Authentifizierung bei Nutzung eines eigenen SMTP-Servers (SPF, DKIM und DMARC)
Geändert am: Di, 7 Jul, 2026 um 1:15 NACHMITTAGS
INHALTSVERZEICHNIS
- Hintergrund
- SPF einrichten
- DKIM einrichten
- DMARC einrichten
- Zusammenspiel von SPF, DKIM und DMARC
- Welche Aufgaben übernimmt die FundraisingBox?
- Empfohlene Vorgehensweise
- Wenn der SMTP-Anbieter SPF, DKIM oder DMARC nicht unterstützt
Hintergrund
Wird in der FundraisingBox die Versandart „Eigener SMTP-Server“ verwendet, übergibt die FundraisingBox ausgehende E-Mails per SMTP an den hinterlegten Mailserver. Der eigentliche Versand erfolgt anschließend vollständig über diesen SMTP-Server.
Die FundraisingBox erzeugt und versendet die E-Mails nicht selbst, sondern überlässt dem verwendeten Mailserver die Zustellung. Deshalb liegt auch die Verantwortung für die Einrichtung der E-Mail-Authentifizierung beim jeweiligen SMTP-System bzw. Mailanbieter.
Für eine gute Zustellbarkeit sollten die folgenden Verfahren korrekt eingerichtet sein:
- SPF (Sender Policy Framework)
- DKIM (DomainKeys Identified Mail)
- DMARC (Domain-based Message Authentication, Reporting and Conformance)
SPF einrichten
SPF legt fest, welche Mailserver berechtigt sind, E-Mails für Eure Domain zu versenden.
Dazu wird im DNS der Domain ein SPF-Record veröffentlicht. Dieser enthält die Server oder Dienste, die E-Mails im Namen der Domain versenden dürfen.
Ein vereinfachtes Beispiel:
example.org. IN TXT "v=spf1 include:mail.example.com -all"
Welcher SPF-Eintrag benötigt wird, hängt vom verwendeten SMTP-Anbieter ab. Die erforderlichen Angaben stellt der jeweilige Anbieter zur Verfügung.
Hinweis: Wird ausschließlich ein eigener SMTP-Server verwendet, muss dieser im SPF-Eintrag der verwendeten Absenderdomain berücksichtigt werden.
DKIM einrichten
DKIM versieht jede ausgehende E-Mail mit einer digitalen Signatur. Dadurch kann der empfangende Mailserver prüfen, ob die Nachricht unverändert übertragen wurde und tatsächlich vom autorisierten Mailserver stammt.
Bei Verwendung eines eigenen SMTP-Servers erzeugt nicht die FundraisingBox, sondern der SMTP-Server diese Signatur.
Der öffentliche Schlüssel wird anschließend als DNS-Eintrag veröffentlicht.
Ein typischer DKIM-Eintrag sieht beispielsweise so aus:
selector._domainkey.example.org
Welcher Selector verwendet wird, hängt vom jeweiligen Mailanbieter oder SMTP-System ab.
DMARC einrichten
DMARC legt fest, wie empfangende Mailserver mit Nachrichten umgehen sollen, die SPF oder DKIM nicht bestehen. Gleichzeitig sorgt DMARC dafür, dass SPF oder DKIM zur verwendeten Absenderdomain passen (Alignment).
Ein einfacher DMARC-Eintrag sieht beispielsweise so aus:
_dmarc.example.org. IN TXT "v=DMARC1; p=none;"
Je nach gewünschter Richtlinie kann der Parameter p= beispielsweise folgende Werte besitzen:
- none – nur Berichte erstellen
- quarantine – verdächtige Nachrichten in den Spam-Ordner verschieben
- reject – Nachrichten ablehnen
Es empfiehlt sich, DMARC zunächst mit p=none einzurichten und die Berichte auszuwerten, bevor strengere Richtlinien verwendet werden.
Zusammenspiel von SPF, DKIM und DMARC
Für eine erfolgreiche Authentifizierung müssen die Verfahren zusammenarbeiten.
Insbesondere gilt:
- Der SMTP-Server sollte im SPF-Eintrag der Domain enthalten sein.
- Der SMTP-Server sollte ausgehende E-Mails mit DKIM signieren.
- Die im DKIM-Header verwendete Signaturdomain (d=) sollte zur sichtbaren Absenderdomain passen.
- DMARC überprüft, ob SPF oder DKIM erfolgreich sind und zur verwendeten Absenderdomain passen.
Beispiel:
Absenderadresse:
spenden@example.org
DKIM-Header:
d=example.org
In diesem Fall kann das erforderliche DMARC-Alignment erfolgreich erfolgen.
Welche Aufgaben übernimmt die FundraisingBox?
Bei Verwendung der Versandart „Eigener SMTP-Server“ übernimmt die FundraisingBox ausschließlich die Übergabe der E-Mail an den konfigurierten SMTP-Server.
Die FundraisingBox
- richtet keine SPF-Einträge ein,
- erstellt keine DKIM-Schlüssel,
- signiert E-Mails nicht selbst und
- verwaltet keine DMARC-Richtlinien.
Die vollständige Konfiguration erfolgt beim verwendeten SMTP-System bzw. Mailanbieter.
Empfohlene Vorgehensweise
- Richtet den SMTP-Server für den Versand mit Eurer Domain ein.
- Veröffentlicht den vom Anbieter benötigten SPF-Eintrag.
- Aktiviert DKIM und veröffentlicht den bereitgestellten DKIM-Schlüssel im DNS.
- Richtet einen DMARC-Eintrag für Eure Domain ein.
- Sendet anschließend Test-E-Mails und überprüft:
- ob SPF erfolgreich ist,
- ob eine DKIM-Signatur vorhanden ist,
- ob die DKIM-Signatur zur Absenderdomain passt,
- ob DMARC erfolgreich besteht.
Wenn der SMTP-Anbieter SPF, DKIM oder DMARC nicht unterstützt
Unterstützt der verwendete SMTP-Anbieter keine Authentifizierung für eigene Absenderdomains oder bietet keine DKIM-Signierung an, sollte zunächst geprüft werden, ob sich diese Funktionen beim Anbieter aktivieren oder nachrüsten lassen. Ist dies nicht möglich, sollte man unbedingt zu einem SMTP- oder Transaktionsmail-Anbieter wechseln, der SPF, DKIM und DMARC vollständig unterstützt.
Ohne diese Verfahren besteht das Risiko, dass E-Mails von empfangenden Mailservern als nicht vertrauenswürdig eingestuft werden. Je nach DMARC-Richtlinie der empfangenden Domain können Nachrichten im Spam-Ordner landen oder sogar vollständig abgelehnt werden. Zudem tragen SPF, DKIM und DMARC wesentlich dazu bei, die eigene Domain vor Missbrauch und Spoofing zu schützen.
War diese Antwort hilfreich? Ja Nein