Zustellbarkeit
SPF, DKIM, DMARC: warum Makler eine eigene Versand-Domain brauchen
Stand: 17. Juli 2026 · 8 Min. Lesezeit
Eine E-Mail, die im Spam-Ordner landet, ist so gut wie nie geschrieben. Ob Ihre Bestandspflege beim Kunden ankommt, entscheidet sich lange vor dem Text, nämlich an drei technischen Verfahren im Hintergrund: SPF, DKIM und DMARC. Sie beantworten dem empfangenden Server die Frage, ob eine Mail wirklich von Ihnen stammt oder gefälscht ist. Dieser Beitrag erklärt die drei Verfahren in verständlichen Worten, zeigt, warum der Versand über Ihr normales Postfach bei größeren Mengen riskant wird, und was eine eigene, sauber signierte Versand-Domain für Ihre Zustellbarkeit bedeutet.
Was prüfen SPF, DKIM und DMARC?
Alle drei prüfen die Echtheit einer E-Mail, aber auf unterschiedliche Weise. SPF prüft, ob der versendende Server überhaupt für Ihre Domain senden darf. DKIM prüft mit einer Signatur, ob die Mail unterwegs unverändert blieb und wirklich von Ihrer Domain kommt. DMARC bindet beides an die sichtbare Absenderadresse und legt fest, was bei einem Fehlschlag passiert.
SPF ist ein Eintrag in Ihrem Domain-Verzeichnis, der auflistet, welche Server E-Mails im Namen Ihrer Domain versenden dürfen. Der empfangende Server schlägt diesen Eintrag nach und vergleicht ihn mit dem Server, von dem die Mail tatsächlich kam. Passt beides zusammen, ist ein wichtiges Echtheitsmerkmal erfüllt. Ein typischer SPF-Eintrag sieht aus wie „v=spf1 include:ihr-versanddienst ~all“ und benennt damit die zugelassenen Absendewege.
DKIM versieht jede ausgehende Mail mit einer kryptografischen Signatur im Kopfbereich der Nachricht. Der passende öffentliche Schlüssel liegt als Eintrag in Ihrem Domain-Verzeichnis, hinterlegt unter einem sogenannten Selektor. Der empfangende Server holt sich diesen Schlüssel und prüft die Signatur. Stimmt sie, ist bewiesen, dass die Mail wirklich von Ihrer Domain signiert wurde und der Inhalt unterwegs nicht verändert worden ist.
DMARC ist die Klammer über SPF und DKIM. Der Eintrag verlangt, dass mindestens eines der beiden Verfahren zur sichtbaren Absenderdomain passt, das nennt sich Ausrichtung oder Alignment. Zugleich sagt DMARC dem empfangenden Server, was er mit einer Mail tun soll, die durchfällt, und kann Ihnen Berichte über Zustellung und Missbrauchsversuche schicken. Es genügt, wenn eines der beiden Verfahren ausgerichtet ist, beide gleichzeitig erhöhen die Robustheit zusätzlich.
Warum ist Massen-Versand über die normale Postfach-Adresse riskant?
Weil ein einzelner Massenversand die Reputation Ihrer Adresse dauerhaft beschädigen kann. Normale Postfächer bei einem Hoster sind für persönliche Korrespondenz gedacht, nicht für hunderte Mails auf einmal. Sobald mehr als etwa fünfzig Empfänger zeitgleich angeschrieben werden, gehört der Versand auf einen dafür gebauten Dienst.
Zwei Gründe stehen dahinter. Erstens die Mengen-Grenzen: Ein gewöhnliches Postfach ist oft auf einige hundert Mails pro Tag und eine überschaubare Zahl von Empfängern je Sendevorgang begrenzt. Wer diese Grenzen reißt, riskiert, dass der Hoster den Versand drosselt oder sperrt. Zweitens die Reputation: Empfänger-Systeme wie die großen Mailbox-Anbieter bewerten laufend, wie vertrauenswürdig ein Absender ist. Ein ungewohnter Schwung gleichartiger Mails aus einem kleinen Postfach sieht für diese Filter aus wie Spam, und ein einziges solches Ereignis kann die Zustellbarkeit einer kleinen Kanzlei nachhaltig verschlechtern.
Erschwerend kommt hinzu, dass die großen Anbieter die Anforderungen an Massenversender seit Anfang 2024 verschärft haben. Wer regelmäßig in Richtung fünftausend Mails pro Tag versendet, muss inzwischen eine funktionierende Ein-Klick-Abmeldung im Kopf der Nachricht mitliefern und saubere Authentifizierung nachweisen, sonst drohen Zustellprobleme bis zur Blockade. Das lässt sich über ein normales Postfach kaum verlässlich abbilden.
Was bringt eine eigene, sauber signierte Versand-Domain?
Sie trennt Ihren Marketing- und Serienversand von Ihrer täglichen Korrespondenz und gibt ihm eine eigene, kontrollierte Grundlage. Über einen dafür gebauten Versanddienst mit eingerichtetem SPF, DKIM und DMARC weisen sich Ihre Mails sauber aus, und die Reputation dieses Versandwegs bleibt von Ihrem persönlichen Postfach unberührt.
Der Kern ist die Ausrichtung: Läuft der Versand über einen professionellen Dienst, dessen Signatur und Absenderweg auf Ihre Domain ausgerichtet sind, besteht die DMARC-Prüfung, und die Mail wirkt für den Empfänger nachweislich echt. Solche Dienste arbeiten in der Regel über geteilte, bereits eingespielte Versand-Adressbereiche, deren Ruf gepflegt ist. Ein eigenes, wochenlanges Warmlaufen einzelner Server entfällt damit, weil Ihre Mails den bestehenden guten Ruf des gemeinsamen Versandwegs mitnutzen.
Damit verschiebt sich die entscheidende Stellschraube von der Technik auf Ihre Domain-Reputation und den Inhalt. Wenn SPF, DKIM und DMARC sauber ausgerichtet sind, hängt die Zustellbarkeit vor allem daran, dass Sie relevante Mails an interessierte Empfänger senden und Abmeldungen sowie unzustellbare Adressen konsequent aus dem Verteiler nehmen. Genau das ist der Teil, den Sie inhaltlich in der Hand haben.
Welche DMARC-Stufen gibt es und wann welche?
DMARC kennt drei Stufen, die festlegen, wie streng der Empfänger mit einer durchgefallenen Mail umgeht: beobachten, aussortieren oder abweisen. Sie steigern die Strenge behutsam, während Sie prüfen, ob Ihre echten Mails die Authentifizierung zuverlässig bestehen, und vermeiden so, dass legitime Post fälschlich hängen bleibt.
- Beobachten (p=none): Der Empfänger stellt alle Mails wie gewohnt zu, schickt Ihnen aber Berichte darüber, was SPF und DKIM ergeben haben. Diese Stufe ist der sichere Einstieg, um zu sehen, ob alles sauber ausgerichtet ist.
- Aussortieren (p=quarantine): Mails, die durchfallen, landen beim Empfänger im Spam-Ordner statt im Posteingang. Auf diese Stufe heben Sie an, sobald DKIM und SPF für Ihre echten Mails stabil bestehen.
- Abweisen (p=reject): Durchgefallene Mails werden gar nicht erst angenommen. Das ist der stärkste Schutz gegen Missbrauch Ihrer Domain, setzt aber voraus, dass Ihre Authentifizierung wirklich lückenlos sitzt.
Für den Anfang genügt die Beobachtungsstufe. Läuft die Signatur stabil, heben Sie schrittweise an. So gewinnen Sie mit der Zeit sowohl bessere Zustellbarkeit als auch Schutz davor, dass jemand unter Ihrem Namen Mails verschickt.
Wie prüfen Sie die Versand-Domain Ihrer Kanzlei?
Mit ein paar gezielten Kontrollen sehen Sie, ob Ihre Domain sauber aufgestellt ist. Die folgende Liste geht die entscheidenden Punkte durch. Bei den meisten Kanzleien reicht es, diese einmal sauber einzurichten und danach nur bei einem Wechsel des Versandwegs erneut zu prüfen.
- SPF vorhanden: Existiert ein SPF-Eintrag, und benennt er genau den Dienst, über den Sie tatsächlich versenden? Alte oder mehrfache Einträge sind eine häufige Fehlerquelle.
- DKIM aktiv: Ist für Ihren Versandweg ein DKIM-Schlüssel hinterlegt und die Signatur aktiv? Prüfwerkzeuge, die nur Standard-Selektoren kennen, melden bei manchen Anbietern fälschlich, es sei nichts eingerichtet, obwohl die Signatur unter einem eigenen Selektor korrekt läuft.
- DMARC gesetzt: Gibt es einen DMARC-Eintrag, und steht er mindestens auf der Beobachtungsstufe, damit Sie Berichte erhalten?
- Ausrichtung stimmt: Passt die Absenderdomain zu dem, was SPF oder DKIM ausweisen? Ohne diese Ausrichtung besteht die DMARC-Prüfung nicht.
- Abmeldung und Sperrliste: Trägt jede Werbemail eine funktionierende Ein-Klick-Abmeldung, und landen abgemeldete oder unzustellbare Adressen dauerhaft auf einer Sperrliste?
InsurAgent ist auf diesen zustellsicheren Versand ausgelegt: Die E-Mail-Vorlagen sind bewusst so gebaut, dass sie auch in strengen Programmen wie Outlook stabil ankommen, jede Werbemail unterstützt die Ein-Klick-Abmeldung nach RFC 8058, und abgemeldete oder zurückgesprungene Adressen landen dauerhaft auf einer Sperrliste. Zählpixel und umgeschriebene Klick-Links kommen dabei nicht zum Einsatz. Wie das Produkt vor dem Versand prüft und sperrt, beschreibt die Doku zu Freigabe und Recht. Auf Wunsch versenden Kampagnen und Grüße über Ihre eigene Domain, technisch sauber signiert: Verifizierung der nötigen Einträge und Testversand erledigen Sie direkt in den Einstellungen.
Häufige Fragen
Was ist der Unterschied zwischen SPF, DKIM und DMARC?
SPF legt fest, welche Server für Ihre Domain senden dürfen. DKIM signiert jede Mail kryptografisch und belegt, dass sie unverändert von Ihrer Domain kommt. DMARC verbindet beide mit der sichtbaren Absenderadresse und bestimmt, was der Empfänger mit durchgefallenen Mails tut.
Kann ich meine Serienmails einfach über mein normales Postfach verschicken?
Bei größeren Mengen ist das riskant. Normale Postfächer sind auf einige hundert Mails pro Tag begrenzt, und ein Massenversand kann die Reputation Ihrer Adresse nachhaltig beschädigen. Ab etwa fünfzig zeitgleichen Empfängern gehört der Versand auf einen dafür gebauten Dienst mit sauberer Authentifizierung.
Welche DMARC-Einstellung sollte ich am Anfang wählen?
Beginnen Sie mit der Beobachtungsstufe p=none. Der Empfänger stellt alle Mails normal zu, sendet Ihnen aber Berichte über SPF und DKIM. Sobald Ihre echten Mails stabil bestehen, heben Sie schrittweise auf p=quarantine und später gegebenenfalls auf p=reject an.
Setzt InsurAgent Öffnungs-Pixel oder Tracking-Links?
Nein. InsurAgent misst weder Öffnungen noch Klicks und setzt keine Zählpixel oder umgeschriebenen Tracking-Links ein. Den Erfolg einer Kampagne sehen Sie an den Antworten Ihrer Kunden. Details dazu stehen in der Doku zu Freigabe und Recht.
Weiterlesen
Mehr aus Ihrem Bestand holen?
InsurAgent übernimmt Kampagnen, Grüße und Bestandsanalyse für Versicherungsmakler. Jede Mail wartet auf Ihre Freigabe.
Persönliche Demo buchen