Zum Inhalt springen
Proaktive Sicherheitsupdates
E-Mail-Zustellbarkeit

DMARC 2026: Shop-Mails zuverlässig in den Posteingang

Massenversender-Regeln von Google, Yahoo und Microsoft: SPF, DKIM und DMARC entscheiden über die Zustellung von Shop-Mails - so heben Sie DMARC auf p=reject.

13 Min. Lesezeit DMARCSPFDKIME-Mail-ZustellbarkeitTransaktionsmails

Eine Bestellbestätigung, die im Spam-Ordner landet, ist für einen Online-Shop teurer als sie aussieht: Der Kunde ist verunsichert, fragt im Support nach oder storniert - und im Zweifel bestellt er beim nächsten Mal woanders. Seit Google und Yahoo Anfang 2024 sowie Microsoft im Mai 2025 verbindliche Regeln für Massenversender eingeführt haben, entscheidet nicht mehr allein der Inhalt einer Nachricht über ihre Zustellung, sondern die technische Absenderprüfung aus SPF, DKIM und DMARC. Fehlt eine dieser Angaben oder ist sie fehlerhaft, wandern gerade die geschäftskritischen Transaktionsmails - Bestell-, Zahlungs- und Versandbestätigungen - in den Spam-Ordner oder werden ganz abgewiesen. Dieser Leitfaden zeigt, wie die DNS-Records korrekt gesetzt werden, wie DMARC schrittweise von p=none auf p=reject angehoben wird und warum die Auswertung der Aggregat-Reports als Teil laufender Sicherheitsupdates so wichtig ist.

DMARC 2026: Zustellung von Shop-Mails absichernVon der Beobachtung zur Durchsetzung - damit Transaktionsmails im Posteingang landenDrei Bausteine im DNSSPFautorisierte Sende-Server (DNS-TXT-Record)DKIMkryptografische Signatur je NachrichtDMARCbindet SPF und DKIM per Alignment (DMARC.org)Der DMARC-StufenwegAggregat-Reports (rua) machen jede Sendequelle sichtbarp=nonebeobachtenp=quarantineSpam-Ordnerp=rejectabweisenOhne saubere AuthentifizierungSPF, DKIM oder DMARC schlagen fehl - Nachrichtenwerden abgewiesen oder als Spam einsortiertBestell- und Versandmails gehen verlorenMit SPF + DKIM + DMARCAuthentifizierung besteht, das Alignment passt -Transaktionsmails erreichen den PosteingangZustellbarkeit bleibt stabil5.000 pro TagMassenversender-Schwelle (Google)0,30 %max. Spam-Rate bei Gmail (Google)Feb 2024Gmail/Yahoo-Durchsetzung (Google)Mai 2025Outlook-Durchsetzung (Microsoft)

Warum Shop-Mails 2026 im Spam landen

Online-Handel lebt von Vertrauen, und Vertrauen entsteht auch über die scheinbar banale Frage, ob eine E-Mail überhaupt ankommt. 96 Prozent der Internetnutzerinnen und -nutzer in Deutschland haben in den vergangenen zwölf Monaten online eingekauft (Bitkom, 2025), und bei der Auswahl eines Shops nennen 51 Prozent Sicherheit und Vertrauen als sehr wichtiges Kriterium (Bitkom, 2025). Jede Bestellbestätigung, die nicht ankommt, arbeitet direkt gegen dieses Vertrauen.

Anders als ein Newsletter ist eine Transaktionsmail nicht optional. Sie bestätigt einen Kauf, liefert eine Zahlungsaufforderung, eine Rechnung, eine Sendungsnummer oder ein Token zum Zurücksetzen des Passworts. Landet sie im Spam, entsteht sofort ein konkretes Problem: Der Kunde hält die Bestellung für gescheitert, der Zahlungslink wird nicht gesehen, die Rücksendung verzögert sich. Das Ergebnis sind Supportanfragen, Zahlungsausfälle und Stornierungen - Kosten, die weit über den technischen Aufwand einer sauberen Authentifizierung hinausgehen.

Der Hintergrund der neuen Regeln ist eine reale Bedrohungslage. 61 Prozent der Internetnutzer wurden im vergangenen Jahr Opfer von Cyberkriminalität, 36 Prozent wurden beim Online-Kauf betrogen und bei 30 Prozent haben sich Angreifer per Nachricht, Mail oder Anruf durch Phishing persönliche Daten verschafft (Bitkom, 2025); der durchschnittliche Schaden lag bei 219 Euro (Bitkom, 2025). Gefälschte Absenderadressen - also E-Mails, die scheinbar von einem seriösen Shop stammen - sind ein zentrales Werkzeug dieser Angriffe. Genau hier setzt die E-Mail-Authentifizierung an: Sie macht für empfangende Server nachvollziehbar, ob eine Nachricht wirklich von der Domain stammt, die sie behauptet.

Was zählt als Transaktionsmail?

Transaktionsmails sind automatisch ausgelöste Nachrichten rund um einen Vorgang: Bestellbestätigung, Zahlungsbestätigung, Rechnung, Versand- und Trackingbenachrichtigung, Passwort-Zurücksetzung oder Kontoänderung. Sie sind für den Geschäftsablauf unverzichtbar und werden vom Kunden erwartet - deshalb wiegt ihr Verlust im Spam-Ordner besonders schwer.

Die neuen Regeln von Google, Yahoo und Microsoft

Den Anfang machten Google und Yahoo. Seit Februar 2024 setzen beide verbindliche Anforderungen für sogenannte Massenversender durch - Absender, die mehr als 5.000 Nachrichten pro Tag an Gmail-Adressen senden (Google Sender-Richtlinien). Diese Absender müssen SPF und DKIM einrichten und zusätzlich einen DMARC-Eintrag mit mindestens der Policy p=none veröffentlichen (Google Sender-Richtlinien). Hinzu kommen zwei weitere Pflichten: Die in den Postmaster Tools gemeldete Spam-Rate muss unter 0,30 Prozent bleiben, empfohlen wird ein Wert unter 0,10 Prozent (Google Sender-Richtlinien), und Marketing- sowie Abo-Nachrichten müssen eine Ein-Klick-Abmeldung anbieten, die binnen zwei Tagen umgesetzt wird (Google Sender-Richtlinien).

Microsoft zog im Mai 2025 nach. Seit dem 5. Mai 2025 gelten für Domains, die mehr als 5.000 Nachrichten pro Tag an Outlook-, Hotmail- und Live-Adressen senden, dieselben drei Grundpfeiler SPF, DKIM und DMARC (Microsoft Sender Requirements). Nicht-konforme Nachrichten wurden zunächst in den Junk-Ordner umgeleitet; für dauerhaft nicht-konforme Absender ist die Abweisung mit dem Fehlercode 550 5.7.515 vorgesehen (Microsoft Sender Requirements). Damit haben die drei größten Mailbox-Anbieter faktisch einen gemeinsamen Mindeststandard etabliert, an dem kein wachsender Shop mehr vorbeikommt.

AnforderungGoogle und YahooMicrosoft Outlook
Schwelleab 5.000 Nachrichten pro Tag (Google Sender-Richtlinien)ab 5.000 Nachrichten pro Tag (Microsoft Sender Requirements)
SPF und DKIMerforderlicherforderlich
DMARCmindestens p=nonemindestens p=none
Spam-Rateunter 0,30 Prozent (Google Sender-Richtlinien)niedrig halten, Listenhygiene
Bei VerstoßFilterung oder AblehnungJunk, dann Ablehnung 550 5.7.515 (Microsoft Sender Requirements)
In Kraft seitFebruar 2024 (Google Sender-Richtlinien)5. Mai 2025 (Microsoft Sender Requirements)

Auch kleinere Shops sind betroffen

Die 5.000-Nachrichten-Schwelle wirkt hoch, doch Bestell-, Versand- und Newsletter-Mails summieren sich schneller als gedacht, und die Grenze bezieht sich auf einzelne Empfängeranbieter. Unabhängig davon werten die großen Anbieter eine saubere Authentifizierung zunehmend auch bei kleineren Absendern als Vertrauenssignal. Eine korrekte SPF-, DKIM- und DMARC-Konfiguration ist deshalb keine Frage der Größe, sondern der Grundhygiene.

SPF, DKIM und DMARC verständlich erklärt

Die drei Bausteine greifen ineinander, prüfen aber unterschiedliche Dinge. Wer sie einmal versteht, erkennt schnell, warum keiner allein ausreicht und warum erst ihr Zusammenspiel eine belastbare Absenderprüfung ergibt.

SPF - wer senden darf

Das Sender Policy Framework ist ein DNS-TXT-Eintrag, der festlegt, welche Server im Namen Ihrer Domain E-Mails versenden dürfen. Der empfangende Server prüft, ob die sendende IP-Adresse in dieser Liste steht.

DKIM - unverändert unterwegs

DomainKeys Identified Mail versieht jede Nachricht mit einer kryptografischen Signatur. Der öffentliche Schlüssel liegt im DNS; damit prüft der Empfänger, dass die Mail wirklich von der Domain stammt und unterwegs nicht verändert wurde.

DMARC - die Klammer

DMARC verbindet SPF und DKIM über das sogenannte Alignment und legt fest, was mit Nachrichten geschieht, die die Prüfung nicht bestehen (DMARC.org). Zusätzlich fordert es Berichte an, die jede Sendequelle sichtbar machen.

Der oft übersehene Punkt ist das Alignment. Es reicht nicht, dass SPF oder DKIM irgendwie bestehen - die dabei geprüfte Domain muss auch zur sichtbaren Absenderadresse passen (DMARC.org). Genau dieses Alignment ist der Grund, warum eine E-Mail trotz gültiger SPF- oder DKIM-Signatur an DMARC scheitern kann, etwa wenn ein Zahlungs- oder Versanddienstleister im Namen des Shops sendet, ohne korrekt eingebunden zu sein.

Alignment ist der eigentliche Knackpunkt

Viele gescheiterte DMARC-Prüfungen liegen nicht an fehlendem SPF oder DKIM, sondern daran, dass die geprüfte Domain nicht zur sichtbaren Absenderadresse passt (DMARC.org). Wer externe Dienste für Versand, Zahlung oder Newsletter nutzt, muss jeden dieser Absender sauber in SPF und DKIM einbinden - sonst bricht die Kette an einer Stelle, die im Alltag kaum auffällt.

Der Weg von ==p=none== zu p=reject

Der Sprung direkt auf die schärfste Einstellung ist der häufigste Fehler. DMARC ist bewusst als Stufenweg angelegt: von der reinen Beobachtung über eine Zwischenstufe bis zur vollen Durchsetzung (DMARC.org). Am Anfang steht p=none. In dieser Stufe passiert mit der Zustellung nichts - der empfangende Server ergreift keine Maßnahme, sendet aber Aggregat-Reports an die im Eintrag hinterlegte Adresse zurück. Diese Berichte zeigen erstmals vollständig, welche Server tatsächlich im Namen der Domain senden, und decken vergessene oder nicht eingebundene Quellen auf.

Sind alle legitimen Absender identifiziert und in SPF und DKIM eingebunden, folgt p=quarantine. Jetzt bittet DMARC die empfangenden Server, nicht authentifizierte Nachrichten in den Spam-Ordner zu verschieben (DMARC.org). Diese Stufe ist der erste echte Schutz gegen den Missbrauch der eigenen Domain und zugleich ein Sicherheitsnetz: Sollte doch noch eine legitime Quelle übersehen worden sein, landet ihre Mail im Spam statt zu verschwinden, und der Fehler wird in den Reports sichtbar.

Am Ende steht p=reject. Nicht authentifizierte Nachrichten werden bereits bei der Zustellung abgewiesen (DMARC.org). Erst diese Stufe schützt die Marke wirksam vor Fälschungen, denn eine im Namen des Shops verschickte Phishing-Mail erreicht den Empfänger gar nicht mehr. Der Weg dorthin sollte jedoch nicht überstürzt werden: Jede Stufenerhöhung setzt voraus, dass die Reports keine legitime Quelle mehr als scheiternd zeigen.

  1. SPF- und DKIM-Einträge für alle sendenden Systeme vollständig einrichten
  2. DMARC mit p=none und einer Report-Adresse (rua) veröffentlichen
  3. Aggregat-Reports über mehrere Wochen auswerten und jede legitime Quelle einbinden
  4. Auf p=quarantine wechseln und beobachten, ob echte Mails fälschlich einsortiert werden
  5. Erst nach stabilen Reports auf p=reject anheben
  6. Nach jeder Änderung an Versand, DNS oder Dienstleistern erneut prüfen

Aggregat-Reports sind Pflichtlektüre

Die rua-Berichte sind maschinenlesbare XML-Dateien, die pro empfangendem Anbieter zusammenfassen, wie viele Nachrichten SPF, DKIM und DMARC bestanden oder nicht bestanden haben. Ohne ihre laufende Auswertung ist ein Wechsel auf p=quarantine oder p=reject ein Blindflug - deshalb gehört das Report-Monitoring dauerhaft in die Wartung und nicht nur in die Einrichtung.

Die Absicherung der Zustellung ist Teil eines größeren Bildes. Wer gefälschte Absender aussperrt, schützt zugleich die Kundenkommunikation vor Betrugsversuchen - ein Anliegen, das sich mit dem Schutz der Bezahlseite gegen Skimming-Angriffe im Checkout und mit einem geordneten CVE- und Patch-Management zu einem stimmigen Sicherheitskonzept ergänzt.

BSI TR-03182: der deutsche Rahmen

Für den deutschsprachigen Raum gibt es mit der Technischen Richtlinie TR-03182 des Bundesamts für Sicherheit in der Informationstechnik einen klaren Rahmen. Ihr erklärtes Ziel ist es, die Verbreitung von SPF, DKIM und DMARC zu fördern und E-Mail-Empfänger so vor Identitätsmissbrauch, Spam und Phishing zu schützen (BSI, TR-03182 E-Mail-Authentifizierung). Die Richtlinie beschreibt die drei Verfahren als zusammengehörendes Bündel und empfiehlt eine DMARC-Policy mit mindestens der Stufe quarantine (BSI, TR-03182 E-Mail-Authentifizierung).

Formell richtet sich TR-03182 zunächst an Behörden und Betreiber kritischer Infrastrukturen, doch der beschriebene Stand der Technik gilt als Orientierung für alle Organisationen, die E-Mails versenden. Für einen Online-Shop bedeutet das: Die Massenversender-Regeln der großen Anbieter und der behördliche Rahmen zeigen in dieselbe Richtung. Wer SPF, DKIM und DMARC sauber betreibt und die Policy schrittweise anhebt, erfüllt nicht nur die Anforderungen von Gmail und Outlook, sondern folgt zugleich einer anerkannten deutschen Richtlinie.

Warum Authentifizierung still bricht

Die unangenehmste Eigenschaft der E-Mail-Authentifizierung ist, dass sie leise ausfällt. Eine einmal korrekt eingerichtete Konfiguration bleibt nicht dauerhaft korrekt, weil sich die Umgebung um sie herum ständig ändert. Der Shop wechselt den Newsletter-Dienst, ein neuer Zahlungsdienstleister verschickt Belege, das DNS wird umgezogen, ein SPF-Eintrag überschreitet ein technisches Limit, oder ein DKIM-Schlüssel wird rotiert und der neue öffentliche Teil nicht im DNS hinterlegt. In all diesen Fällen bestehen die Nachrichten die Prüfung plötzlich nicht mehr - ohne dass eine Fehlermeldung im Shop auftaucht.

Neuer Versanddienst

Ein zusätzlicher Dienst für Newsletter, Belege oder Support sendet im Namen der Domain, ist aber nicht in SPF und DKIM eingetragen - seine Mails scheitern an DMARC.

DNS-Umzug oder -Änderung

Beim Wechsel des Providers oder einer Umstellung gehen TXT-Einträge verloren oder werden nicht übernommen, sodass SPF oder DMARC schlicht fehlen.

Rotierter DKIM-Schlüssel

Wird der Signaturschlüssel erneuert, aber der neue öffentliche Schlüssel nicht im DNS veröffentlicht, schlägt die DKIM-Prüfung für alle Nachrichten fehl.

Überladener SPF-Eintrag

SPF erlaubt nur eine begrenzte Zahl an DNS-Abfragen. Zu viele eingebundene Dienste sprengen dieses Limit, und der Eintrag wird ungültig.

Weil keiner dieser Brüche im Shop selbst sichtbar wird, bleibt er oft wochenlang unbemerkt - bis die Rückfragen aus dem Support oder ein Einbruch der Öffnungsraten den Verdacht wecken. Genau deshalb ist die einmalige Einrichtung nur der Anfang; entscheidend ist die laufende Überwachung der Reports, die einen solchen Bruch innerhalb weniger Tage sichtbar macht.

Eine E-Mail-Authentifizierung, die niemand überwacht, ist wie ein Rauchmelder ohne Batterie: An dem Tag, an dem es darauf ankommt, meldet sich niemand.

Managed Service Agentur

Laufendes Monitoring statt Einmal-Einrichtung

Aus diesen Eigenschaften folgt der eigentliche Kern: E-Mail-Zustellbarkeit ist keine Aufgabe, die man einmal erledigt, sondern ein laufender Prozess. In einem Wartungsvertrag lässt sie sich als fester Bestandteil der laufenden Sicherheitsupdates abbilden. Die DNS-Records werden regelmäßig gegen den tatsächlichen Versand abgeglichen, die Aggregat-Reports werden ausgewertet, und jede Änderung an Diensten oder Infrastruktur zieht eine erneute Prüfung nach sich. Diese kontinuierliche Betreuung ist Teil unserer Wartungsleistungen.

Damit reiht sich die E-Mail-Authentifizierung in dieselbe Logik ein wie das übrige laufende Monitoring eines Shops. So wie die Verfügbarkeit, die TLS-Zertifikate und die Sicherheitspatches kontinuierlich beobachtet werden, gehört auch die Zustellbarkeit in den festen Wartungsrhythmus. In einem SLA-Wartungsvertrag lässt sich verbindlich festhalten, wer die Reports auswertet, in welchem Takt geprüft wird und wie schnell auf einen erkannten Bruch reagiert wird.

Reports auswerten

Die rua-Berichte werden regelmäßig gelesen und ausgewertet, sodass neue oder scheiternde Sendequellen früh auffallen.

Sichere Stufenerhöhung

Der Weg von p=none über quarantine bis p=reject wird begleitet und erst nach stabilen Reports vollzogen.

Prüfung nach Änderungen

Nach jedem Wechsel von Diensten, DNS oder Infrastruktur wird die Authentifizierung erneut verifiziert.

Schutz der Marke

Mit erreichter Durchsetzung erreichen im Namen des Shops verschickte Fälschungen die Empfänger nicht mehr.

Zustellung im Blick

Auffällige Veränderungen bei Zustellung und Spam-Einstufung werden erkannt, bevor sie den Umsatz treffen.

Dokumentierter Stand

Konfiguration und Änderungen sind nachvollziehbar festgehalten - eine Grundlage für Audits und den Betrieb.

  • SPF, DKIM und DMARC für alle sendenden Systeme einrichten und auf Alignment prüfen
  • DMARC mit rua-Report-Adresse veröffentlichen und die Berichte regelmäßig auswerten
  • Die Policy schrittweise von p=none über quarantine auf p=reject anheben
  • Nach jeder Änderung an Versand, DNS oder Dienstleistern erneut verifizieren
  • Spam-Rate und Zustellung laufend beobachten
  • Konfiguration und Anpassungen dokumentieren

Die Absicherung der Zustellung ist damit kein einmaliges Projekt, sondern ein Baustein im dauerhaften Betrieb - eng verzahnt mit der übrigen Wartung, von der Server-Härtung über die barrierefreie Gestaltung nach BFSG bis zum geordneten Umgang mit Vorfällen. Ein Shop, dessen Bestell- und Versandbestätigungen verlässlich ankommen, schützt damit nicht nur seinen Umsatz, sondern auch das Vertrauen, das für 51 Prozent der Online-Shopper zu den wichtigsten Kriterien zählt (Bitkom, 2025).

Quellen und Studien

Dieser Artikel basiert auf Daten aus: Google Sender-Richtlinien (E-Mail-Absenderrichtlinien für Massenversender), Microsoft Sender Requirements (Outlook-Anforderungen für Hochvolumen-Absender), BSI Technische Richtlinie TR-03182 (E-Mail-Authentifizierung), DMARC.org (Spezifikation und Deployment-Empfehlungen zu SPF, DKIM und DMARC) sowie Bitkom (Cyberkriminalität 2025 und Digitaler Handel 2025). Die genannten Zahlen können je nach Branche, Shop-Größe, eingesetzten Diensten und Infrastruktur variieren.