Eine Bestellbestätigung, die im Spam-Ordner landet, ist für einen Online-Shop teurer als sie aussieht: Der Kunde ist verunsichert, fragt im Support nach oder storniert - und im Zweifel bestellt er beim nächsten Mal woanders. Seit Google und Yahoo Anfang 2024 sowie Microsoft im Mai 2025 verbindliche Regeln für Massenversender eingeführt haben, entscheidet nicht mehr allein der Inhalt einer Nachricht über ihre Zustellung, sondern die technische Absenderprüfung aus SPF, DKIM und DMARC. Fehlt eine dieser Angaben oder ist sie fehlerhaft, wandern gerade die geschäftskritischen Transaktionsmails - Bestell-, Zahlungs- und Versandbestätigungen - in den Spam-Ordner oder werden ganz abgewiesen. Dieser Leitfaden zeigt, wie die DNS-Records korrekt gesetzt werden, wie DMARC schrittweise von p=none auf p=reject angehoben wird und warum die Auswertung der Aggregat-Reports als Teil laufender Sicherheitsupdates so wichtig ist.
Warum Shop-Mails 2026 im Spam landen
Online-Handel lebt von Vertrauen, und Vertrauen entsteht auch über die scheinbar banale Frage, ob eine E-Mail überhaupt ankommt. 96 Prozent der Internetnutzerinnen und -nutzer in Deutschland haben in den vergangenen zwölf Monaten online eingekauft (Bitkom, 2025), und bei der Auswahl eines Shops nennen 51 Prozent Sicherheit und Vertrauen als sehr wichtiges Kriterium (Bitkom, 2025). Jede Bestellbestätigung, die nicht ankommt, arbeitet direkt gegen dieses Vertrauen.
Anders als ein Newsletter ist eine Transaktionsmail nicht optional. Sie bestätigt einen Kauf, liefert eine Zahlungsaufforderung, eine Rechnung, eine Sendungsnummer oder ein Token zum Zurücksetzen des Passworts. Landet sie im Spam, entsteht sofort ein konkretes Problem: Der Kunde hält die Bestellung für gescheitert, der Zahlungslink wird nicht gesehen, die Rücksendung verzögert sich. Das Ergebnis sind Supportanfragen, Zahlungsausfälle und Stornierungen - Kosten, die weit über den technischen Aufwand einer sauberen Authentifizierung hinausgehen.
Der Hintergrund der neuen Regeln ist eine reale Bedrohungslage. 61 Prozent der Internetnutzer wurden im vergangenen Jahr Opfer von Cyberkriminalität, 36 Prozent wurden beim Online-Kauf betrogen und bei 30 Prozent haben sich Angreifer per Nachricht, Mail oder Anruf durch Phishing persönliche Daten verschafft (Bitkom, 2025); der durchschnittliche Schaden lag bei 219 Euro (Bitkom, 2025). Gefälschte Absenderadressen - also E-Mails, die scheinbar von einem seriösen Shop stammen - sind ein zentrales Werkzeug dieser Angriffe. Genau hier setzt die E-Mail-Authentifizierung an: Sie macht für empfangende Server nachvollziehbar, ob eine Nachricht wirklich von der Domain stammt, die sie behauptet.
Was zählt als Transaktionsmail?
Die neuen Regeln von Google, Yahoo und Microsoft
Den Anfang machten Google und Yahoo. Seit Februar 2024 setzen beide verbindliche Anforderungen für sogenannte Massenversender durch - Absender, die mehr als 5.000 Nachrichten pro Tag an Gmail-Adressen senden (Google Sender-Richtlinien). Diese Absender müssen SPF und DKIM einrichten und zusätzlich einen DMARC-Eintrag mit mindestens der Policy p=none veröffentlichen (Google Sender-Richtlinien). Hinzu kommen zwei weitere Pflichten: Die in den Postmaster Tools gemeldete Spam-Rate muss unter 0,30 Prozent bleiben, empfohlen wird ein Wert unter 0,10 Prozent (Google Sender-Richtlinien), und Marketing- sowie Abo-Nachrichten müssen eine Ein-Klick-Abmeldung anbieten, die binnen zwei Tagen umgesetzt wird (Google Sender-Richtlinien).
Microsoft zog im Mai 2025 nach. Seit dem 5. Mai 2025 gelten für Domains, die mehr als 5.000 Nachrichten pro Tag an Outlook-, Hotmail- und Live-Adressen senden, dieselben drei Grundpfeiler SPF, DKIM und DMARC (Microsoft Sender Requirements). Nicht-konforme Nachrichten wurden zunächst in den Junk-Ordner umgeleitet; für dauerhaft nicht-konforme Absender ist die Abweisung mit dem Fehlercode 550 5.7.515 vorgesehen (Microsoft Sender Requirements). Damit haben die drei größten Mailbox-Anbieter faktisch einen gemeinsamen Mindeststandard etabliert, an dem kein wachsender Shop mehr vorbeikommt.
| Anforderung | Google und Yahoo | Microsoft Outlook |
|---|---|---|
| Schwelle | ab 5.000 Nachrichten pro Tag (Google Sender-Richtlinien) | ab 5.000 Nachrichten pro Tag (Microsoft Sender Requirements) |
| SPF und DKIM | erforderlich | erforderlich |
| DMARC | mindestens p=none | mindestens p=none |
| Spam-Rate | unter 0,30 Prozent (Google Sender-Richtlinien) | niedrig halten, Listenhygiene |
| Bei Verstoß | Filterung oder Ablehnung | Junk, dann Ablehnung 550 5.7.515 (Microsoft Sender Requirements) |
| In Kraft seit | Februar 2024 (Google Sender-Richtlinien) | 5. Mai 2025 (Microsoft Sender Requirements) |
Auch kleinere Shops sind betroffen
SPF, DKIM und DMARC verständlich erklärt
Die drei Bausteine greifen ineinander, prüfen aber unterschiedliche Dinge. Wer sie einmal versteht, erkennt schnell, warum keiner allein ausreicht und warum erst ihr Zusammenspiel eine belastbare Absenderprüfung ergibt.
SPF - wer senden darf
Das Sender Policy Framework ist ein DNS-TXT-Eintrag, der festlegt, welche Server im Namen Ihrer Domain E-Mails versenden dürfen. Der empfangende Server prüft, ob die sendende IP-Adresse in dieser Liste steht.
DKIM - unverändert unterwegs
DomainKeys Identified Mail versieht jede Nachricht mit einer kryptografischen Signatur. Der öffentliche Schlüssel liegt im DNS; damit prüft der Empfänger, dass die Mail wirklich von der Domain stammt und unterwegs nicht verändert wurde.
DMARC - die Klammer
DMARC verbindet SPF und DKIM über das sogenannte Alignment und legt fest, was mit Nachrichten geschieht, die die Prüfung nicht bestehen (DMARC.org). Zusätzlich fordert es Berichte an, die jede Sendequelle sichtbar machen.
Der oft übersehene Punkt ist das Alignment. Es reicht nicht, dass SPF oder DKIM irgendwie bestehen - die dabei geprüfte Domain muss auch zur sichtbaren Absenderadresse passen (DMARC.org). Genau dieses Alignment ist der Grund, warum eine E-Mail trotz gültiger SPF- oder DKIM-Signatur an DMARC scheitern kann, etwa wenn ein Zahlungs- oder Versanddienstleister im Namen des Shops sendet, ohne korrekt eingebunden zu sein.
Alignment ist der eigentliche Knackpunkt
Der Weg von ==p=none== zu p=reject
Der Sprung direkt auf die schärfste Einstellung ist der häufigste Fehler. DMARC ist bewusst als Stufenweg angelegt: von der reinen Beobachtung über eine Zwischenstufe bis zur vollen Durchsetzung (DMARC.org). Am Anfang steht p=none. In dieser Stufe passiert mit der Zustellung nichts - der empfangende Server ergreift keine Maßnahme, sendet aber Aggregat-Reports an die im Eintrag hinterlegte Adresse zurück. Diese Berichte zeigen erstmals vollständig, welche Server tatsächlich im Namen der Domain senden, und decken vergessene oder nicht eingebundene Quellen auf.
Sind alle legitimen Absender identifiziert und in SPF und DKIM eingebunden, folgt p=quarantine. Jetzt bittet DMARC die empfangenden Server, nicht authentifizierte Nachrichten in den Spam-Ordner zu verschieben (DMARC.org). Diese Stufe ist der erste echte Schutz gegen den Missbrauch der eigenen Domain und zugleich ein Sicherheitsnetz: Sollte doch noch eine legitime Quelle übersehen worden sein, landet ihre Mail im Spam statt zu verschwinden, und der Fehler wird in den Reports sichtbar.
Am Ende steht p=reject. Nicht authentifizierte Nachrichten werden bereits bei der Zustellung abgewiesen (DMARC.org). Erst diese Stufe schützt die Marke wirksam vor Fälschungen, denn eine im Namen des Shops verschickte Phishing-Mail erreicht den Empfänger gar nicht mehr. Der Weg dorthin sollte jedoch nicht überstürzt werden: Jede Stufenerhöhung setzt voraus, dass die Reports keine legitime Quelle mehr als scheiternd zeigen.
- SPF- und DKIM-Einträge für alle sendenden Systeme vollständig einrichten
- DMARC mit p=none und einer Report-Adresse (rua) veröffentlichen
- Aggregat-Reports über mehrere Wochen auswerten und jede legitime Quelle einbinden
- Auf p=quarantine wechseln und beobachten, ob echte Mails fälschlich einsortiert werden
- Erst nach stabilen Reports auf p=reject anheben
- Nach jeder Änderung an Versand, DNS oder Dienstleistern erneut prüfen
Aggregat-Reports sind Pflichtlektüre
Die Absicherung der Zustellung ist Teil eines größeren Bildes. Wer gefälschte Absender aussperrt, schützt zugleich die Kundenkommunikation vor Betrugsversuchen - ein Anliegen, das sich mit dem Schutz der Bezahlseite gegen Skimming-Angriffe im Checkout und mit einem geordneten CVE- und Patch-Management zu einem stimmigen Sicherheitskonzept ergänzt.
BSI TR-03182: der deutsche Rahmen
Für den deutschsprachigen Raum gibt es mit der Technischen Richtlinie TR-03182 des Bundesamts für Sicherheit in der Informationstechnik einen klaren Rahmen. Ihr erklärtes Ziel ist es, die Verbreitung von SPF, DKIM und DMARC zu fördern und E-Mail-Empfänger so vor Identitätsmissbrauch, Spam und Phishing zu schützen (BSI, TR-03182 E-Mail-Authentifizierung). Die Richtlinie beschreibt die drei Verfahren als zusammengehörendes Bündel und empfiehlt eine DMARC-Policy mit mindestens der Stufe quarantine (BSI, TR-03182 E-Mail-Authentifizierung).
Formell richtet sich TR-03182 zunächst an Behörden und Betreiber kritischer Infrastrukturen, doch der beschriebene Stand der Technik gilt als Orientierung für alle Organisationen, die E-Mails versenden. Für einen Online-Shop bedeutet das: Die Massenversender-Regeln der großen Anbieter und der behördliche Rahmen zeigen in dieselbe Richtung. Wer SPF, DKIM und DMARC sauber betreibt und die Policy schrittweise anhebt, erfüllt nicht nur die Anforderungen von Gmail und Outlook, sondern folgt zugleich einer anerkannten deutschen Richtlinie.
Warum Authentifizierung still bricht
Die unangenehmste Eigenschaft der E-Mail-Authentifizierung ist, dass sie leise ausfällt. Eine einmal korrekt eingerichtete Konfiguration bleibt nicht dauerhaft korrekt, weil sich die Umgebung um sie herum ständig ändert. Der Shop wechselt den Newsletter-Dienst, ein neuer Zahlungsdienstleister verschickt Belege, das DNS wird umgezogen, ein SPF-Eintrag überschreitet ein technisches Limit, oder ein DKIM-Schlüssel wird rotiert und der neue öffentliche Teil nicht im DNS hinterlegt. In all diesen Fällen bestehen die Nachrichten die Prüfung plötzlich nicht mehr - ohne dass eine Fehlermeldung im Shop auftaucht.
Neuer Versanddienst
Ein zusätzlicher Dienst für Newsletter, Belege oder Support sendet im Namen der Domain, ist aber nicht in SPF und DKIM eingetragen - seine Mails scheitern an DMARC.
DNS-Umzug oder -Änderung
Beim Wechsel des Providers oder einer Umstellung gehen TXT-Einträge verloren oder werden nicht übernommen, sodass SPF oder DMARC schlicht fehlen.
Rotierter DKIM-Schlüssel
Wird der Signaturschlüssel erneuert, aber der neue öffentliche Schlüssel nicht im DNS veröffentlicht, schlägt die DKIM-Prüfung für alle Nachrichten fehl.
Überladener SPF-Eintrag
SPF erlaubt nur eine begrenzte Zahl an DNS-Abfragen. Zu viele eingebundene Dienste sprengen dieses Limit, und der Eintrag wird ungültig.
Weil keiner dieser Brüche im Shop selbst sichtbar wird, bleibt er oft wochenlang unbemerkt - bis die Rückfragen aus dem Support oder ein Einbruch der Öffnungsraten den Verdacht wecken. Genau deshalb ist die einmalige Einrichtung nur der Anfang; entscheidend ist die laufende Überwachung der Reports, die einen solchen Bruch innerhalb weniger Tage sichtbar macht.
Eine E-Mail-Authentifizierung, die niemand überwacht, ist wie ein Rauchmelder ohne Batterie: An dem Tag, an dem es darauf ankommt, meldet sich niemand.
Laufendes Monitoring statt Einmal-Einrichtung
Aus diesen Eigenschaften folgt der eigentliche Kern: E-Mail-Zustellbarkeit ist keine Aufgabe, die man einmal erledigt, sondern ein laufender Prozess. In einem Wartungsvertrag lässt sie sich als fester Bestandteil der laufenden Sicherheitsupdates abbilden. Die DNS-Records werden regelmäßig gegen den tatsächlichen Versand abgeglichen, die Aggregat-Reports werden ausgewertet, und jede Änderung an Diensten oder Infrastruktur zieht eine erneute Prüfung nach sich. Diese kontinuierliche Betreuung ist Teil unserer Wartungsleistungen.
Damit reiht sich die E-Mail-Authentifizierung in dieselbe Logik ein wie das übrige laufende Monitoring eines Shops. So wie die Verfügbarkeit, die TLS-Zertifikate und die Sicherheitspatches kontinuierlich beobachtet werden, gehört auch die Zustellbarkeit in den festen Wartungsrhythmus. In einem SLA-Wartungsvertrag lässt sich verbindlich festhalten, wer die Reports auswertet, in welchem Takt geprüft wird und wie schnell auf einen erkannten Bruch reagiert wird.
Reports auswerten
Die rua-Berichte werden regelmäßig gelesen und ausgewertet, sodass neue oder scheiternde Sendequellen früh auffallen.
Sichere Stufenerhöhung
Der Weg von p=none über quarantine bis p=reject wird begleitet und erst nach stabilen Reports vollzogen.
Prüfung nach Änderungen
Nach jedem Wechsel von Diensten, DNS oder Infrastruktur wird die Authentifizierung erneut verifiziert.
Schutz der Marke
Mit erreichter Durchsetzung erreichen im Namen des Shops verschickte Fälschungen die Empfänger nicht mehr.
Zustellung im Blick
Auffällige Veränderungen bei Zustellung und Spam-Einstufung werden erkannt, bevor sie den Umsatz treffen.
Dokumentierter Stand
Konfiguration und Änderungen sind nachvollziehbar festgehalten - eine Grundlage für Audits und den Betrieb.
- SPF, DKIM und DMARC für alle sendenden Systeme einrichten und auf Alignment prüfen
- DMARC mit rua-Report-Adresse veröffentlichen und die Berichte regelmäßig auswerten
- Die Policy schrittweise von p=none über quarantine auf p=reject anheben
- Nach jeder Änderung an Versand, DNS oder Dienstleistern erneut verifizieren
- Spam-Rate und Zustellung laufend beobachten
- Konfiguration und Anpassungen dokumentieren
Die Absicherung der Zustellung ist damit kein einmaliges Projekt, sondern ein Baustein im dauerhaften Betrieb - eng verzahnt mit der übrigen Wartung, von der Server-Härtung über die barrierefreie Gestaltung nach BFSG bis zum geordneten Umgang mit Vorfällen. Ein Shop, dessen Bestell- und Versandbestätigungen verlässlich ankommen, schützt damit nicht nur seinen Umsatz, sondern auch das Vertrauen, das für 51 Prozent der Online-Shopper zu den wichtigsten Kriterien zählt (Bitkom, 2025).
Quellen und Studien