SPF, DKIM und DMARC einrichten

SPF, DKIM und DMARC sind drei DNS-Verfahren, die belegen, dass eine Mail wirklich von deiner Domain stammt — der wichtigste Hebel gegen Spam-Einstufung und gegen das Fälschen deiner Absenderadresse. Bei über rackSPEED versendeter Mail laufen SPF und DKIM weitgehend ab Werk. Diese Anleitung zeigt, was die drei tun, wie du sie prüfst und was zu tun ist, wenn ein Empfänger wie Microsoft trotzdem drosselt.

Die drei Verfahren in Kürze

• SPF legt per DNS fest, welche Server für deine Domain senden dürfen. Bei rackSPEED läuft der Mailserver lokal auf demselben Server — der a- oder mx-Mechanismus im SPF-Eintrag deckt ihn bereits ab, ein gesonderter include ist nicht nötig.
• DKIM signiert jede ausgehende Mail kryptografisch. Der Empfänger prüft die Signatur gegen einen öffentlichen Schlüssel in deinem DNS. Bei rackSPEED ist das Signieren im Panel standardmäßig aktiv.
• DMARC sagt dem Empfänger, was er mit Mails tun soll, die SPF und DKIM nicht bestehen — und schickt dir optional Berichte. DMARC legst du als einzelnen DNS-Eintrag selbst an.

Bei rackSPEED prüfen und aktivieren

Plesk

1. Öffne die E-Mail-Einstellungen der Domain.
2. DKIM: Vergewissere dich, dass der Haken bei DKIM-Spamschutz-System zum Signieren ausgehender E-Mails verwenden gesetzt ist. Er ist standardmäßig aktiv.
3. SPF: Der Standard-Eintrag mit a bzw. mx deckt den lokalen Mailserver ab — hier ist normalerweise nichts zu tun.
4. DMARC: Leg in der DNS-Zone der Domain einen TXT-Eintrag _dmarc an, z. B. v=DMARC1; p=none; rua=mailto:postmaster@deinedomain. Mehr dazu unten.

cPanel

1. Öffne Tools → E-Mail → E-Mail-Zustellbarkeit (Email Deliverability).
2. Die Übersicht listet deine Domains mit dem Status von SPF und DKIM. Steht dort Gültig, ist alles in Ordnung.
3. Zeigt eine Domain ein Problem, klick auf Reparieren — cPanel schlägt den korrekten Eintrag vor und richtet ihn ein.
4. DMARC: Leg im Zone-Editor einen TXT-Eintrag _dmarc an, z. B. v=DMARC1; p=none; rua=mailto:postmaster@deinedomain.

DMARC behutsam schärfen

Starte DMARC mit p=none — das überwacht nur und stellt nichts zu hart ab. Wenn die Berichte über Wochen zeigen, dass SPF und DKIM für deinen echten Versand sauber durchlaufen, kannst du auf p=quarantine und später p=reject hochziehen. So sperrst du dich nicht versehentlich selbst aus.

Prüfen, ob es greift

Sende eine Testmail an einen der Diagnose-Tools — mail-tester.com zeigt SPF, DKIM und DMARC mit konkretem Ergebnis, MXToolbox macht den Einzel-Lookup pro Eintrag. Drei grüne Haken heißt: Deine Domain ist sauber authentifiziert.

Wenn etwas schiefläuft

Du versendest über einen externen Dienst — nicht über rackSPEED

Geht deine Mail über Microsoft 365, Google Workspace, mailbox.org oder ein Newsletter-Tool raus, kommt die Authentifizierung von dort: Den DKIM-Schlüssel und den passenden SPF-Eintrag liefert der jeweilige Anbieter, und eine Drosselung wegen IP-Reputation betrifft die IP dieses Anbieters — nur er kann sie beim Empfänger bereinigen.

Lösung: Trag die vom Anbieter vorgegebenen SPF-, DKIM- und DMARC-Records in der DNS-Zone deiner Domain ein. Liegt deine DNS-Zone bei rackSPEED, öffne ein Ticket — wir veröffentlichen die Records für dich. Für die DKIM-Erstellung und die IP-Reputation wendest du dich an deinen Versand-Anbieter.

Microsoft/Outlook drosselt mit 451 4.7.650 (IP-Reputation)

Die Meldung 451 4.7.650 ... temporarily rate limited due to IP reputation ist eine vorübergehende Drosselung anhand der Reputation des sendenden Servers — kein Auth-Fehler und kein hartes Blockieren. Saubere SPF-/DKIM-/DMARC-Einträge sind die Voraussetzung für gute Reputation, heben das Limit aber nicht unmittelbar auf.

Lösung: Erst SPF, DKIM und DMARC wie oben sicherstellen. Geht deine Mail über rackSPEED raus, öffne ein Ticket — wir prüfen die Reputation der Server-IP und beantragen bei Microsoft die Entdrosselung. Versendest du über einen externen Dienst, ist dessen IP betroffen (siehe oben).

Mails landen trotz Authentifizierung im Spam

SPF und DKIM bestehen, die Mail wird aber einsortiert. Dann fehlt oft DMARC, oder Inhalt und Versandverhalten drücken die Reputation.

Lösung: Mit mail-tester.com gegenprüfen, welche Punkte ziehen. Häufig fehlt der _dmarc-Eintrag oder ein plötzlicher Volumen-Sprung hat die Reputation belastet — dann den Versand über mehr Zeit verteilen.

Verwandte Artikel

• Zustellung & Reputation — der Überblick über alle Reputations-Themen.
• E-Mails gehen nicht raus — wenn der Versand ganz scheitert.
• E-Mails kommen verzögert an: Greylisting — der Spam-Schutz auf der Empfangsseite.

Du kommst nicht weiter?

Wenn Mails trotz sauberer SPF-/DKIM-/DMARC-Einträge abgewiesen werden oder ein Empfänger eine Drosselung meldet: Ticket im Kundencenter öffnen. Nenn die betroffene Empfänger-Domain, die vollständige Fehlermeldung und ob du über rackSPEED oder einen externen Dienst versendest — damit ordnen wir den Fall sofort richtig ein.