Defaults.Exposed

Defaults.ExposedBehebungenGuides

DMARC schlägt fehl, obwohl SPF und DKIM bestehen? Der Alignment-Fix (2026)

Veröffentlicht 2026-07-08

Zahlen mit Stand 2026-06-29 · Methodik v7. Aggregierte Zensusdaten über 261 Millionen bewertete Domains. Siehe wie wir bewerten.

DMARC braucht mehr als ein Bestehen — die Domain, die SPF oder DKIM bestanden hat, muss zu Ihrer From-Domain passen. Die meiste Mail mit „SPF pass, DMARC fail” hat SPF auf der Bounce-Domain des Anbieters bestanden, nicht auf Ihrer. Nur 7,4% der 261.086.232 bewerteten Domains bestehen SPF mit Alignment unter einer durchsetzenden DMARC-Richtlinie, laut dem Defaults.Exposed-Zensus (2026-06-29).

Der Fix ist schneller erledigt, als die Verwirrung vermuten lässt. Lesen Sie den Authentication-Results-Header, um zu sehen, welcher Weg — SPF oder DKIM — auf der falschen Domain besteht; aktivieren Sie dann entweder die DKIM-Signierung mit eigener Domain bei Ihrem Versanddienst (meist ein paar CNAMEs, und der Fix, der Weiterleitungen übersteht), oder richten Sie dessen Custom-Return-Path ein, damit SPF auf Ihrer Domain besteht. Ein aligned Weg ist alles, was DMARC braucht.

Wie kann DMARC fehlschlagen, wenn SPF und DKIM beide bestehen?

Weil DMARC nie fragt „hat SPF bestanden?”. Es fragt: hat SPF oder DKIM für eine Domain bestanden, die zu der From-Adresse passt, die Ihr Empfänger sieht? Diese Zusatzbedingung heißt Alignment, und sie ist der ganze Sinn von DMARC — ohne sie könnte jeder SPF auf einer eigenen Domain bestehen und dabei Ihre im From-Header anzeigen.

Jede Prüfung authentifiziert eine andere Domain:

PrüfungDomain, die tatsächlich ausgewertet wirdWo Sie es sehen
SPFDer Return-Path (RFC5321.MailFrom, die Bounce-/Envelope-From-Adresse) — nicht der From-Headersmtp.mailfrom= in Authentication-Results
DKIMDie Domain im d=-Tag der Signatur — was auch immer der Signierer gewählt hatheader.d= in Authentication-Results
DMARCIhre From-Header-Domain — und es verlangt, dass SPFs Domain oder DKIMs d= dazu passtheader.from= in Authentication-Results

So gehen die Teile üblicherweise schief: Ihre Newsletter-Plattform oder Ihr CRM versendet mit einem Return-Path wie [email protected], SPF wird gegen vendor.com geprüft und besteht, DKIM besteht mit d=vendor.com — und DMARC schlägt fehl, weil keine der bestehenden Domains zu yourcompany.com passt. Jede Prüfung hat die Wahrheit gesagt; keine hat Sie authentifiziert. Ihren eigenen SPF-Eintrag zu bearbeiten kann das nicht beheben — er wurde nie konsultiert. Es ist dieselbe Falle wie in SPF schlägt bei Ihren SaaS-Tools fehl.

Der Zensus zeigt, wie wenige Absender diesen letzten Schritt vollenden: 27.640.987 von 261.086.232 bewerteten Domains (10,59%) haben überhaupt eine durchsetzende DMARC-Richtlinie, und nur 7,4% bestehen SPF mit Alignment unter einer solchen. Unter den 77,5 Millionen Domains, deren SPF auf softfail (~all) endet, stehen nur 9,2% unter einer durchsetzenden DMARC-Richtlinie; unter den hardfail-Publishern (-all) sind 12.142.351 durchgesetzt, 42.514.532 dagegen nicht. Die meisten Domains hören bei „SPF besteht” auf — was, wenn DMARC nicht darauf reagiert, fast nichts schützt.

Wie lese ich Authentication-Results, um zu sehen, welcher Weg nicht aligned ist?

Senden Sie sich über den fehlschlagenden Dienst eine Nachricht, öffnen Sie den Rohquelltext und suchen Sie den Authentication-Results-Header. Ein typisches nicht aligned Ergebnis sieht so aus:

Authentication-Results: mx.google.com;
       spf=pass smtp.mailfrom=bounces.espmail.net;
       dkim=pass header.d=espmail.net;
       dmarc=fail (p=NONE) header.from=yourcompany.com

Lesen Sie ihn in drei Vergleichen:

Der Weg, der bereits Ihre eigene Domain betrifft (oder dazu gebracht werden kann), ist der, den Sie reparieren. Sie brauchen nur einen.

Was ist der Unterschied zwischen relaxed und strict Alignment?

DMARC bietet zwei Abgleichmodi, gesetzt über die Tags aspf (SPF) und adkim (DKIM) in Ihrem DMARC-Eintrag:

Wenn Ihr Eintrag aspf oder adkim nicht erwähnt, sind Sie im relaxed-Modus — und da wollen Sie mit an Sicherheit grenzender Wahrscheinlichkeit bleiben. Der strict-Modus bringt für die meisten Absender keinen nennenswerten Sicherheitsgewinn und bricht stillschweigend jeden legitimen Subdomain-Absender, den Sie einrichten. Wenn DMARC fehlschlägt und Ihr Eintrag aspf=s oder adkim=s enthält, kann das allein schon der Fehler sein.

Wie behebe ich das DMARC-Alignment?

  1. Führen Sie den kostenlosen Scan bei defaults.exposed durch, bevor Sie DNS anfassen. Er zeigt Ihren DMARC-Eintrag und Ihre Richtlinie, ob Ihr SPF und DKIM auf Alignment eingerichtet sind und was sonst noch kaputt ist — damit Sie zuerst den richtigen Weg reparieren.
  2. Testen Sie jeden Versanddienst und lesen Sie dessen Authentication-Results (wie oben). Listen Sie jede Quelle auf — Postfach-Provider, Newsletter-Tool, CRM, Rechnungs-App — und notieren Sie pro Quelle, ob smtp.mailfrom und header.d Ihre Domain oder die des Anbieters sind.
  3. Aktivieren Sie für jeden Anbieter die DKIM-Signierung mit eigener Domain — der Fix, der hält. Jeder ernstzunehmende Versanddienst bietet „Domain-Authentifizierung” an: ein paar CNAME-Einträge, mit denen er als d=yourcompany.com signiert (oder eine Subdomain, die im relaxed-Modus aligned). Aligned DKIM ist meist der einfachere Fix und der einzige, der Weiterleitungen übersteht, denn Weiterleitung bricht SPF konstruktionsbedingt.
  4. Für SPF-Alignment aktivieren Sie den Custom-Return-Path des Anbieters (oft „Custom Bounce Domain” genannt) — typischerweise ein CNAME wie bounce.yourcompany.com, der auf den Anbieter zeigt. SPF besteht dann auf Ihrer Organisationsdomain und ist aligned. Tun Sie das, wo es angeboten wird, aber betrachten Sie es als zweites Standbein, nicht als Ersatz für aligned DKIM.
  5. Belassen Sie das Alignment im relaxed-Modus, sofern Sie keinen spezifischen, verstandenen Grund für aspf=s/adkim=s haben.
  6. Scannen Sie erneut, bestätigen Sie beide Wege und gehen Sie dann Richtung Durchsetzung. Eine DMARC-Richtlinie von p=none berichtet, blockiert aber nichts; sobald Ihre echten Absender aligned sind, steht der vollständige Weg zu einer Richtlinie, die Sie schützt, auf der Seite DMARC reparieren, und Provider-Anleitungen wie DMARC bei IONOS decken die Klicks im DNS-Panel ab.

Sollte ich das SPF-Alignment oder das DKIM-Alignment reparieren?

Sie brauchen einen aligned Weg pro Versandquelle. Wenn Sie nur einen umsetzen können, ist die Entscheidung nicht knapp:

FixWas er beinhaltetÜbersteht Weiterleitungen?
Aligned DKIM (Signierung mit eigener Domain)Ein paar CNAMEs im „Domain-Authentifizierung”-Panel des AnbietersJa — die Signatur reist mit der Nachricht
Aligned SPF (Custom-Return-Path/Bounce-Domain)Ein CNAME, wo der Anbieter es anbietetNein — die IP jedes Weiterleiters ersetzt die des Anbieters

Der Spezialfall, den man kennen sollte: Google Workspace und Microsoft 365 signieren Ihre Mail standardmäßig per DKIM mit ihren eigenen Fallback-Domains (gappssmtp.com, onmicrosoft.com) — DKIM zeigt also pass, während DMARC trotzdem fehlschlägt. Es ist die mit Abstand häufigste konkrete Ausprägung dieses ganzen Problems, und sie hat einen eigenen Leitfaden: DKIM besteht, aber DMARC schlägt trotzdem fehl: die Standard-Signatur-Falle.

Häufig gestellte Fragen

Müssen SPF und DKIM beide aligned sein, damit DMARC besteht? Nein — ein aligned Bestehen genügt. Best Practice ist trotzdem, beide zu alignen, damit der DKIM-Weg das DMARC-Bestehen weiterträgt, wenn eine Weiterleitung den SPF-Weg bricht. Von 261.086.232 im Zensus vom 2026-06-29 bewerteten Domains vervollständigen nur 3,87% die volle Triade aus SPF + DMARC + DKIM.

Mein ESP-Dashboard sagt, SPF und DKIM seien „verifiziert” — warum schlägt DMARC trotzdem fehl? „Verifiziert” bedeutet meist, dass der eigene Versand des Anbieters auf den Domains des Anbieters besteht. Solange Sie nicht dessen Custom-Domain-Schritte abgeschlossen haben (DKIM-CNAMEs, Custom-Return-Path), authentifiziert sich die Mail als der Anbieter, nicht als Sie — und DMARC vergleicht gegen Ihre From-Domain.

Reicht ein strikter -all-SPF-Eintrag ohne Alignment? Nein. Ein strikter Qualifier verschärft SPFs Urteil über die Return-Path-Domain, aber DMARC braucht weiterhin, dass diese Domain Ihre ist. Laut dem Zensus vom 2026-06-29 stehen nur 12.142.351 der Domains, die -all veröffentlichen, unter einer durchsetzenden DMARC-Richtlinie — die übrigen 42.514.532 haben einen strikten Eintrag, auf den keine Richtlinie reagiert.

Sollte ich für mehr Sicherheit auf striktes Alignment (aspf=s/adkim=s) umstellen? Fast nie. Relaxed Alignment verlangt bereits dieselbe registrierbare Domain, die ein Spoofer nicht kontrolliert. Der strict-Modus bricht vor allem Ihre eigenen Subdomain-Absender — prüfen Sie darauf, wann immer das Alignment unerwartet fehlschlägt.

DMARC schlägt nur bei Mail fehl, die Empfänger weiterleiten — derselbe Fix? Das ist der SPF-Weg, der unterwegs stirbt: Der Server des Weiterleiters steht in niemandes SPF-Eintrag für Ihren Return-Path. SPF für weitergeleitete Mail können Sie nicht reparieren; aligned DKIM ist die Antwort, denn die Signatur übersteht die Weiterleitung intakt. Details in Weitergeleitete E-Mail scheitert an SPF.

Senden Sie dem Inhaber den Bericht

Wenn Sie das für einen Kunden oder Ihren Arbeitgeber beheben, schließen Sie den Kreis mit einem Nachweis. Führen Sie den kostenlosen Scan erneut durch, sobald die CNAMEs greifen, und leiten Sie den bewerteten Bericht an den Geschäftsinhaber weiter: datiert, in klarer Sprache, mit SPF, DKIM und DMARC aligned und bestehend. Das ist das Dokument, das er für die Cyberversicherungs-Verlängerung und den nächsten Lieferanten-Sicherheitsfragebogen braucht — der Beleg einer funktionierenden Konfiguration, nicht bloß „ich habe ein paar DNS-Einträge hinzugefügt”.

Prüfen Sie Ihre Domain → · DKIM besteht, aber DMARC schlägt trotzdem fehl → · DMARC reparieren → · Wie wir bewerten → · Nur aggregierte Daten. Daten werden in der EU gespeichert und verarbeitet.