Tipps & AnleitungenTips & How-To Guides

Ein SPF-Record ist ein DNS TXT-Eintrag der festlegt, welche Server E-Mails für deine Domain senden dürfen.

1. Gehe zu deinem DNS-Provider (z.B. Cloudflare, Hetzner, Route53)
2. Erstelle einen TXT-Record für deine Domain (nicht für eine Subdomain)
3. Trage den SPF-Record ein, z.B.:

• include: — autorisiert die Mail-Server eines Anbieters
• ip4:1.2.3.4 — autorisiert eine einzelne IP
• -all — alle anderen Server werden abgelehnt (empfohlen)
• ~all — Softfail (akzeptabel, aber schwächer)
• Halte die Anzahl der DNS-Lookups unter 10 (includes, a:, mx: zählen)

DKIM signiert ausgehende E-Mails kryptographisch, sodass der Empfänger prüfen kann, dass die Nachricht nicht verändert wurde.

1. Generiere ein DKIM-Schlüsselpaar (dein Mail-Provider macht das meist automatisch)
2. Veröffentliche den Public Key als DNS TXT-Record:

• Verwende RSA mit mindestens 2048 Bit (1024 Bit ist unsicher)
• Der Algorithmus sollte rsa-sha256 sein (nicht sha1)
• Stelle sicher, dass From, To, Subject und Date signiert werden
• Bei Google Workspace / Microsoft 365: DKIM in der Admin-Console aktivieren

DMARC baut auf SPF und DKIM auf und legt fest, was mit E-Mails passieren soll, die die Prüfung nicht bestehen.

1. Erstelle einen TXT-Record für _dmarc.deinedomain.com
2. Starte mit Monitoring (p=none), dann verschärfe schrittweise:

• p=none — nur Monitoring (Einstieg)
• p=quarantine — verdächtige Mails in Spam verschieben
• p=reject — unautorisierte Mails ablehnen (stärkster Schutz)
• rua= — Aggregate Reports empfangen (wichtig!)
• sp=reject — Subdomain-Policy separat setzen

Empfohlener Pfad: p=none (2-4 Wochen) → p=quarantine (2-4 Wochen) → p=reject

MTA-STS erzwingt TLS-Verschlüsselung für eingehende Mails und schützt gegen Downgrade-Angriffe.

1. Erstelle einen DNS TXT-Record:

1. Hoste eine Policy-Datei unter https://mta-sts.domain/.well-known/mta-sts.txt:

1. Erstelle einen TLS-RPT Record:

• Starte mit mode: testing bevor du auf enforce umstellst
• Die id= muss bei jeder Policy-Änderung aktualisiert werden

BIMI zeigt dein Marken-Logo im Posteingang an. Voraussetzung: DMARC mit mindestens p=quarantine.

1. Stelle sicher, dass DMARC mit mindestens p=quarantine aktiv ist
2. Erstelle ein SVG Tiny PS Logo (quadratisch, max 32KB)
3. Hoste das Logo unter einer HTTPS-URL
4. Erstelle einen DNS TXT-Record:

• Für Gmail: Ein VMC (Verified Mark Certificate) ist erforderlich
• Für Apple Mail und Yahoo: BIMI funktioniert auch ohne VMC

Wenn deine IP oder Domain auf einer Blacklist steht, kann das die Zustellbarkeit massiv beeinträchtigen.

1. Identifiziere die Ursache (Spam, offenes Relay, kompromittierter Account)
2. Behebe das Problem und stelle sicher, dass kein Spam mehr gesendet wird
3. Beantrage Delisting bei der jeweiligen Blacklist:

• Spamhaus: spamhaus.org/lookup → Removal Form
• SpamCop: Automatisches Delisting nach 24-48h ohne Spam
• Barracuda: barracudacentral.org/rbl/removal-request
• UCEProtect: Automatisches Delisting nach Wartezeit

Reverse DNS und Forward-confirmed rDNS sind wichtig für die Mail-Server-Reputation.

1. Setze den PTR-Record bei deinem Hosting-Provider
2. Stelle sicher, dass der A-Record auf die gleiche IP zeigt
3. Konfiguriere den HELO-Hostnamen auf den gleichen FQDN

• Alle drei Werte (PTR, A-Record, HELO) sollten übereinstimmen
• PTR-Records werden vom IP-Inhaber gesetzt (Hosting-Provider)
• Keine generischen Hostnamen wie "vps12345.provider.com"