Warum E-Mails im Spam landen — und was dagegen hilft
E-Mail

Warum E-Mails im Spam landen — und was dagegen hilft

E-Mail ist eines der unsichtbarsten Risiken in der täglichen Geschäftskommunikation. Sie funktioniert, bis sie es plötzlich nicht mehr tut: Angebote bleiben unbeantwortet, Rechnungen verschwinden im Spam-Ordner, Newsletter erreichen weniger Empfänger als erwartet. Die naheliegende Erklärung — “die Provider blockieren halt willkürlich” — stimmt selten. In den meisten Fällen ist es das eigene Setup.

Der Hintergrund: E-Mail ist eine offene Architektur aus den 1980ern, in die Schutzmechanismen nachgerüstet wurden. Drei Standards bestimmen heute, ob eine Mail als vertrauenswürdig durchgeht oder nicht — SPF, DKIM und DMARC. Wer sie nicht korrekt nutzt, fällt durch immer engere Filter. Wer sie versteht, hat ein Problem weniger, das im Hintergrund Geld kostet.

Was die drei Standards tun

SPF (Sender Policy Framework) legt im DNS fest, welche Server für eine Domain Mails versenden dürfen. Der Empfangsserver prüft die einliefernde IP gegen diese Liste. Was SPF nicht tut: Es schützt nicht die sichtbare Absenderadresse, sondern nur den technischen Envelope-Sender — ein Detail, das viele Setups in falscher Sicherheit wiegt.

DKIM (DomainKeys Identified Mail) signiert ausgehende E-Mails kryptographisch. Der Empfänger holt den passenden öffentlichen Schlüssel aus dem DNS und prüft, ob die Signatur stimmt. Damit ist zweierlei belegt: Die Mail kommt wirklich von einem Server, der für diese Domain signieren darf, und der Inhalt wurde unterwegs nicht verändert.

DMARC (Domain-based Message Authentication, Reporting and Conformance) verbindet die beiden Verfahren. Es legt fest, was passieren soll, wenn SPF oder DKIM fehlschlagen — gar nichts, in Quarantäne, oder ablehnen. Vor allem aber stellt es sicher, dass die für den Empfänger sichtbare Absenderadresse zur authentifizierten Domain passt. Erst alle drei zusammen ergeben ein belastbares Bild. SPF allein reicht nicht. DKIM ohne DMARC bringt wenig. DMARC ohne sinnvolle Policy ist Theater.

Wo es in der Praxis schiefgeht

Der häufigste Fehler ist die gemischte Versandlandschaft. Wer Microsoft 365 für interne Mail nutzt, Mailchimp für Newsletter und Sendgrid für transaktionale Mails der Webseite, hat drei Systeme, die alle in SPF und DKIM korrekt eingebunden gehören. Vergisst man eines, schlägt die Authentifizierung für genau diese Mails fehl — und ausgerechnet die Newsletter oder Auftragsbestätigungen landen im Spam.

Der zweithäufigste Fehler ist das SPF-Lookup-Limit. SPF erlaubt nur zehn DNS-Lookups pro Auswertung. Mit ein paar Includes für Mail-Anbieter, Marketing-Tools und Drittdienste ist das schnell überschritten. Die Folge ist hart: Der Record wird als ungültig gewertet, die gesamte SPF-Schutzwirkung fällt aus, und niemand bekommt eine Warnung — außer den Empfangsservern, die still härter filtern.

Der dritte typische Fehler ist DMARC nur auf p=none. Diese Einstellung ist ein Diagnosemodus, kein Schutz. Viele bleiben dort stehen, weil sie Angst haben, legitime Mails könnten geblockt werden. Verständlich, aber ohne den Übergang zu quarantine oder reject existiert der Schutz nur auf dem Papier — und Spoofing der eigenen Domain bleibt möglich.

Selbstdiagnose in fünf Minuten

Zwei kostenlose Werkzeuge geben in wenigen Minuten ein verlässliches Bild. mail-tester.com vergibt eine temporäre Adresse, an die man eine echte Mail aus dem eigenen System schickt. Das Tool bewertet anschließend SPF, DKIM, DMARC, Inhalt und Reputation und vergibt einen Score bis zehn — alles ab acht ist solide, darunter wird es kritisch. Konkret wird angezeigt, woran es hakt.

mxtoolbox.com liefert die einzelnen DNS-Records einer Domain auf einen Blick. Nützlich, um zu prüfen, ob ein bestimmter Versanddienst korrekt eingebunden ist oder ob das SPF-Lookup-Limit gerissen wurde. Beide Tools sind seit Jahren etabliert und werden auch in unserer eigenen Diagnose verwendet — wer sie kennt, macht sich von externer Hilfe ein Stück weit unabhängig.

Wann professionelle Hilfe sinnvoll ist

Für ein Setup mit einem einzigen Mail-Anbieter und ohne Newsletter-Versand reicht eigene Recherche oft aus. Sobald aber drei oder mehr Versandquellen ins Spiel kommen, eine Migration zwischen Anbietern ansteht oder DMARC auf reject gestellt werden soll, lohnt sich Erfahrung. Die Fehler hier sind unsichtbar — man merkt erst Wochen später, dass Rechnungen nicht ankommen oder ein Großkunde “schon länger nichts mehr gehört” hat.

Mit solidport.de bieten wir E-Mail-Hosting an, in dem SPF, DKIM und DMARC von Anfang an sauber konfiguriert sind. Das ist eine von mehreren möglichen Antworten auf das Problem — nicht die einzige, aber eine, hinter der wir technisch nachvollziehbar stehen.