Newsletter landet im Spam? SPF, DKIM und DMARC einfach erklärt
Seit November 2025 schiebt Gmail schlecht authentifizierte Massen-Mails nicht mehr nur in den Spam, sondern lehnt sie zunehmend ganz ab. 2026 sind diese Regeln voll durchgesetzt. Eine Zahl solltest du dir merken: 0,1 %. So niedrig muss deine Spam-Beschwerdequote dauerhaft bleiben, sonst leidet die Zustellung.
Dein Newsletter landet im Spam, weil dem empfangenden Server zwei Dinge fehlen: Vertrauen und Beweis. Den Beweis lieferst du mit drei DNS-Einträgen (Konfigurations-Zeilen bei deinem Domain-Anbieter): SPF, DKIM und DMARC. Das Vertrauen baust du dir mit sauberer Praxis auf: Bestätigte Empfänger, gepflegte Listen, ein einfacher Abmeldeweg. Dieser Leitfaden erklärt beides, verständlich und ohne Technik-Kauderwelsch.
Warum landet mein Newsletter im Spam?
Mailbox-Anbieter wie Gmail, Outlook oder GMX entscheiden in Millisekunden, ob eine Mail in den Posteingang wandert, in den Spam fällt oder gleich abgelehnt wird. Diese Gründe wiegen am schwersten:
- Fehlende Authentifizierung. Ist die Domain nicht per SPF, DKIM und DMARC abgesichert, wirkt der Absender unecht. Die Mail wird abgewertet oder seit Ende 2025 zunehmend ganz zurückgewiesen.
- Kein Double-Opt-In. Wer an Adressen sendet, die den Empfang nie aktiv per Klick bestätigt haben, erzeugt Beschwerden und das schädigt den Ruf der Absender-Domain.
- Inaktive oder tote Adressen. Viele Bounces (unzustellbare Mails) und nie geöffnete Nachrichten verraten eine ungepflegte Liste.
- Spam-typische Inhalte. Reine Bild-Mails, irreführende Betreffzeilen, viele Links oder ein fehlender Abmeldelink lösen Filter aus.
- Schlechter Ruf der Versand-IP. Wer über eine belastete Infrastruktur sendet, zieht seine eigene Zustellung mit runter.
Die ersten beiden Punkte sind mit Abstand die häufigsten. Beide lassen sich sauber lösen.
Was ist SPF?
SPF (Sender Policy Framework) ist ein Eintrag bei deiner Domain, der festhält, welche Server in deinem Namen Mails verschicken dürfen. Bekommt ein Mailserver eine Nachricht von deiner Domain, prüft er, ob der sendende Server auf dieser erlaubten Liste steht. Steht er nicht drauf, ist das ein deutliches Fälschungs-Signal.
In der Praxis hinterlegst du einen TXT-Eintrag, der deinen Versanddienst als erlaubten Absender benennt. Eine Sache ist dabei wichtig: Pro Domain darf es nur einen SPF-Eintrag geben. Nutzt du mehrere Dienste, etwa dein Postfach und deinen Newsletter-Versand, werden sie in diesem einen Eintrag kombiniert.
Was ist DKIM?
DKIM (DomainKeys Identified Mail) hängt an jede ausgehende Mail eine digitale Unterschrift. Der passende Schlüssel dazu liegt als Eintrag bei deiner Domain. Der empfangende Server prüft die Unterschrift und weiß danach zweierlei: Die Mail stammt wirklich von deiner Domain und sie wurde unterwegs nicht verändert.
SPF prüft nur den sendenden Server, DKIM bestätigt die Mail selbst. Darum gehören beide zusammen.
Was ist DMARC?
DMARC (Domain-based Message Authentication, Reporting and Conformance) ist die Klammer um SPF und DKIM. Per Eintrag legst du fest, was passieren soll, wenn eine Mail die Prüfung nicht besteht: Nur beobachten (p=none), in den Spam verschieben (p=quarantine) oder ganz ablehnen (p=reject).
DMARC bringt dir zwei Dinge. Es schützt deine Domain davor, dass Fremde in deinem Namen Phishing versenden und es liefert dir Berichte darüber, wer überhaupt unter deiner Domain sendet. Als Minimum ist p=none gefordert, also das reine Beobachten. Strenger und damit das eigentliche Ziel sind später p=quarantine oder p=reject.
SPF, DKIM oder DMARC: Was brauche ich?
Alle drei. Sie greifen ineinander: SPF und DKIM beweisen die Echtheit, DMARC setzt durch und macht den Versand sichtbar. Seit Februar 2024 ist das bei Gmail und Yahoo für Absender mit höherem Volumen (Richtwert ab rund 5.000 Mails pro Tag) sogar Pflicht, zusammen mit einer Ein-Klick-Abmeldung (List-Unsubscribe nach RFC 8058) und einer niedrigen Spam-Beschwerdequote. Microsoft (Outlook, Hotmail) zog im Mai 2025 mit denselben Anforderungen nach.
Den Aufwand hast du dabei genau einmal pro Domain. In bemailed führt dich die Versand-Einrichtung Schritt für Schritt durch die passenden DNS-Einträge, erkennt deinen Anbieter und prüft automatisch, sobald alles steht. Jede künftige Mail ist danach abgedeckt.
8 weitere Hebel für sichere Zustellung
- Double-Opt-In nutzen. Sende nur an Adressen, die den Empfang per Klick bestätigt haben. Das senkt Beschwerden und ist in Deutschland ohnehin Pflicht.
- Listen sauber halten. Entferne harte Bounces (dauerhaft unzustellbare Adressen) sofort und inaktive Empfänger regelmäßig. Eine kleinere, aktive Liste schlägt eine große, tote.
- Ein-Klick-Abmeldung sauber umsetzen. Sichtbarer Abmeldelink plus List-Unsubscribe-Header. Vergiss dabei den
List-Unsubscribe-Post-Header nicht, das ist der häufigste Umsetzungsfehler. Abmeldungen musst du binnen 2 Tagen verarbeiten. - Spam-Quote unter Kontrolle halten. Die Beschwerdequote gehört dauerhaft unter 0,1 %. Den Wert von 0,3 % solltest du nie erreichen.
- Von einer eigenen Domain senden. Eine verifizierte Marken-Domain als Absender wirkt vertrauenswürdiger als eine generische Freemail-Adresse.
- Inhalt ausgewogen gestalten. Text und Bild im Verhältnis, klare Betreffzeile ohne Clickbait, keine reinen Bild-Mails.
- Volumen langsam steigern. Eine neue Domain langsam „aufwärmen“, statt sofort an Zehntausende zu senden.
- Zustellung beobachten. Behalte Bounce- und Beschwerdequoten im Blick und reagiere früh, statt erst beim Einbruch der Öffnungsrate.
Schnell-Check: Bist du startklar?
- Ist für deine Versand-Domain ein SPF-Eintrag hinterlegt?
- Ist DKIM aktiv und signiert jede Mail?
- Existiert ein DMARC-Eintrag (Start mit
p=none)? - Sendest du ausschließlich an Double-Opt-In-Empfänger?
- Werden harte Bounces automatisch entfernt?
- Hat jede Mail eine Ein-Klick-Abmeldung inklusive
List-Unsubscribe-Post-Header? - Liegt deine Spam-Beschwerdequote dauerhaft unter 0,1 %?
- Sagt „Original anzeigen“ in Gmail bei SPF, DKIM und DMARC jeweils PASS?
Mit bemailed ist das schon eingebaut
Das komplette Fundament aus diesem Artikel richtet bemailed automatisch ein, du hakst den Schnell-Check oben nicht von Hand ab:
- SPF, DKIM, DMARC: geführte Versand-Einrichtung mit automatischer Prüfung, fertig, sobald deine Domain startklar ist.
- Double-Opt-In: standardmäßig aktiv und protokolliert.
- Harte Bounces: fliegen automatisch raus, tote Adressen kommen nicht zurück.
- Ein-Klick-Abmeldung: Abmeldelink plus List-Unsubscribe-Header (inklusive
List-Unsubscribe-Post, RFC 8058) in jeder Mail, Abmeldungen sofort verarbeitet. - EU-Hosting: Versand aus Frankfurt.
Zustellbarkeit hat zwei Seiten: Ein sauberes technisches Fundament und einen respektvollen Umgang mit deiner Liste. Beides bekommst du in bemailed ab Werk, du landest im Posteingang, ohne DNS-Handarbeit. Wie du dabei rechtlich sauber bleibst, liest du im DSGVO-Leitfaden; worauf es beim Wechsel zu einem Anbieter mit EU-Hosting ankommt, im Mailchimp-Alternative-Leitfaden.
Häufige Fragen
Warum landet mein Newsletter im Spam?
Meistens steckt einer von vier Gründen dahinter: Die Absender-Domain ist nicht authentifiziert (SPF, DKIM oder DMARC fehlen), du sendest an Adressen ohne Double-Opt-In, deine Liste schleppt viele inaktive oder ungültige Empfänger mit, oder der Inhalt wirkt spam-typisch. Mailbox-Anbieter prüfen vor allem zwei Fragen: Ist der Absender technisch echt und reagieren die Empfänger positiv? Seit November 2025 schiebt Gmail schlecht authentifizierte Massen-Mails nicht mehr nur in den Spam, sondern lehnt sie zunehmend komplett ab. Wer an bestätigte, aktive Kontakte von einer korrekt eingerichteten Domain sendet, landet zuverlässig im Posteingang.
Was ist der Unterschied zwischen SPF, DKIM und DMARC?
SPF (Sender Policy Framework) ist eine Liste der Server, die für deine Domain senden dürfen. DKIM (DomainKeys Identified Mail) hängt an jede Mail eine fälschungssichere Unterschrift, an der der Empfänger erkennt: Die Mail kommt wirklich von dir und wurde unterwegs nicht verändert. DMARC (Domain-based Message Authentication, Reporting and Conformance) sitzt über beiden. Es sagt dem empfangenden Server, was passieren soll, wenn SPF und DKIM nicht bestehen und schickt dir Berichte darüber, wer in deinem Namen sendet.
Brauche ich wirklich alle drei Einträge?
Ja. SPF und DKIM belegen, dass der Versand echt ist, DMARC bindet beide zusammen und schützt deine Domain vor Fälschung. Seit Februar 2024 verlangen Gmail und Yahoo von Absendern mit höherem Volumen (Richtwert ab rund 5.000 Mails pro Tag) alle drei plus eine Ein-Klick-Abmeldung. Microsoft (Outlook, Hotmail) zog im Mai 2025 mit denselben Anforderungen nach. Fehlt dieses Fundament, ist gute Zustellung 2026 nicht mehr verlässlich.
Wie teste ich, ob SPF, DKIM und DMARC korrekt eingerichtet sind?
Schick eine Test-Mail an ein Gmail-Konto, öffne sie, klick auf die drei Punkte und wähle „Original anzeigen“. Dort steht für SPF, DKIM und DMARC jeweils „PASS“. Es gibt auch Tools, die eine Test-Adresse für dich auswerten. In bemailed prüft die geführte Versand-Einrichtung deine DNS-Einträge (die Konfigurations-Zeilen bei deinem Domain-Anbieter) automatisch und meldet, sobald die Domain startklar ist.
Wie lange dauert es, bis DNS-Einträge aktiv sind?
Oft wenige Minuten, manchmal ein paar Stunden, in Einzelfällen bis zu 24 bis 48 Stunden. Das hängt vom Domain-Anbieter und der TTL ab (der Zeit, die ein Eintrag zwischengespeichert wird). SPF, DKIM und DMARC richtest du nur einmal pro Domain ein, danach sind alle künftigen Newsletter abgedeckt.
Was ist die Ein-Klick-Abmeldung und warum scheitert sie oft?
Die Ein-Klick-Abmeldung (List-Unsubscribe nach RFC 8058) blendet einen „Abbestellen“-Knopf direkt oben in der Mail ein, ohne dass der Empfänger sie erst öffnen muss. Damit der Knopf funktioniert, braucht es zusätzlich den Header `List-Unsubscribe-Post` und der wird am häufigsten vergessen. Abmeldungen musst du außerdem binnen 2 Tagen verarbeiten. Wer das ordentlich umsetzt, kassiert weniger Spam-Beschwerden.