Defaults.Exposed

Defaults.ExposedBehebungenGuides

E-Mail auf einer neuen Domain einrichten: die 20-Minuten-Checkliste für SPF, DKIM und DMARC (2026)

Veröffentlicht 2026-07-08

Zahlen mit Stand 2026-06-29 · Methodik v7. Aggregierte Zensusdaten über 261 Millionen bewertete Domains. Siehe wie wir bewerten.

Eine neue Domain braucht vier Dinge vor ihrer ersten E-Mail: einen Ausgangsscan, einen SPF-Eintrag, der Ihren tatsächlichen Provider benennt, DKIM-Signierung mit der eigenen Domain und einen DMARC-Eintrag mit aktiviertem Reporting vom ersten Tag an. Die meisten Domains kommen nie dorthin — 46,4% (121.145.609 von 261.086.232 bewerteten Domains) haben überhaupt kein SPF, laut dem Defaults.Exposed-Zensus (Stand 2026-06-29).

Alles zu veröffentlichen dauert etwa 20 Minuten: als Ausgangsmessung scannen, einen SPF-Eintrag hinzufügen, das Custom-Domain-DKIM Ihres Providers aktivieren, DMARC p=none mit einer Berichtsadresse veröffentlichen, optional MTA-STS hinzufügen, dann erneut scannen und den Bericht aufbewahren. Was länger dauert, kann keine Checkliste beschleunigen — DNS-Propagation und Versand-Reputation —, und dieser Leitfaden ist bei beidem ehrlich.

Reichen 20 Minuten wirklich?

Für das Veröffentlichen der Einträge, ja — jeder Schritt unten ist ein DNS-Eintrag plus ein paar Klicks in der Admin-Konsole Ihres Providers. Zwei Dinge dauern länger, und so zu tun, als wäre es anders, ist der Weg, auf dem neue Domains im Spam landen:

Die ehrliche Aussage: 20 Minuten kaufen korrekt veröffentlichte Authentifizierung. Die nächsten Wochen vernünftigen Versands kaufen Zustellbarkeit.

Die 20-Minuten-Checkliste

  1. Führen Sie zuerst den kostenlosen Scan bei defaults.exposed durch. Scannen Sie die neue Domain, bevor Sie das DNS anfassen. Die bewertete Ausgangslage — nichts konfiguriert — ist in Sekunden festgehalten und macht den Nachher-Bericht aussagekräftig — Sie werden das Vorher-Nachher-Paar wollen (Schritt 6).
  2. Veröffentlichen Sie einen SPF-Eintrag für Ihren tatsächlichen Provider. Genau ein TXT-Eintrag, der mit v=spf1 beginnt und das Include Ihres Providers enthält — zum Beispiel v=spf1 include:_spf.google.com ~all für Google Workspace oder include:spf.protection.outlook.com für Microsoft 365; liegt Ihr DNS bei einem Registrar-Panel, behandelt die GoDaddy-Anleitung die UI-Eigenheiten. Nur ein Eintrag: Zwei v=spf1-Einträge sind ein permanenter Fehler, der SPF vollständig entwertet — der Zustand, in dem 1.013.416 Domains feststecken, ungefähr eine von 138 der Domains, die SPF versuchen (Zensus, Stand 2026-06-29), meist ein Migrationsüberbleibsel. Fügen Sie keine Includes „für alle Fälle” hinzu: SPF begrenzt DNS-Lookups auf 10, und mindestens 797.263 Domains haben ihren Eintrag entwertet, indem sie diese Grenze gesprengt haben. Und wissen Sie, was SPF tatsächlich prüft: Empfänger werten es gegen die Return-Path-Domain (RFC5321.MailFrom) aus — die Bounce-Adresse —, nicht gegen den From-Header, den Ihre Empfänger sehen.
  3. Aktivieren Sie DKIM-Signierung mit Ihrer eigenen Domain. Ihr Provider signiert Mail so oder so; die Frage ist, welche Domain die Signatur benennt. Bis Sie diesen Schritt abschließen, signiert Google Workspace mit seinem gappssmtp.com-Standard und Microsoft 365 mit onmicrosoft.com — Signaturen, die DKIM bestehen, aber nicht mit Ihrer Domain übereinstimmen, sodass DMARC weiterhin scheitert. Erzeugen Sie den Schlüssel in der Admin-Konsole und veröffentlichen Sie, was der Provider Ihnen gibt: einen 2048-Bit-TXT-Eintrag für Google, zwei CNAMEs (selector1/selector2) für Microsoft 365. Passt ein Eintrag nicht in Ihr DNS-Panel, siehe DKIM reparieren — von UIs verstümmelte lange Schlüssel sind ein Klassiker.
  4. Veröffentlichen Sie DMARC vom ersten Tag an — p=none mit einer Berichtsadresse. Ein TXT-Eintrag unter _dmarc.yourdomain.com: v=DMARC1; p=none; rua=mailto:[email protected]. Seien Sie sich im Klaren, was das tut: p=none schützt noch nichts — es ist Beobachtungsmodus. Aber es kostet nichts, und aggregierte Berichte decken dann die Versandhistorie Ihrer Domain von der allerersten Nachricht an ab. Etablierte Domains verbringen Wochen mit Reporting, nur um Absender zu entdecken, die sie vergessen hatten; Sie kaufen sich diese Sichtbarkeit kostenlos, von Tag null an. Siehe DMARC reparieren für die Anatomie des Eintrags.
  5. Optional, aber günstig auf einer neuen Domain: MTA-STS und TLS-RPT. MTA-STS sagt sendenden Servern, dass Ihre Domain TLS für eingehende Mail verlangt (ein DNS-Eintrag plus eine kleine gehostete Richtliniendatei); TLS-RPT meldet Fehler bei der Transportverschlüsselung. Auf einer etablierten Domain erfordern beide Sorgfalt; auf einer neuen Domain mit einem Mail-Provider gibt es nichts zu zerbrechen, und mode: testing ist praktisch risikofrei. Richten Sie sie jetzt ein oder lassen Sie sie weg — aber entscheiden Sie, statt es schleifen zu lassen.
  6. Erneut scannen und den Bericht aufbewahren. Führen Sie den Scan noch einmal durch — SPF, DKIM und DMARC sollten alle grün zeigen. Speichern Sie den bewerteten Bericht: ein datierter Nachweis des Zustands der Domain zum Start, und genau das, wonach ein Versicherer oder ein Kundenfragebogen fragen wird.

Wie viele Domains schließen diese Checkliste tatsächlich ab?

Sehr wenige — und die meisten scheitern an der ersten Hürde. Von den 261.086.232 im Defaults.Exposed-Zensus bewerteten Domains (Stand 2026-06-29):

Checklisten-MeilensteinZensus-Realität (von 261.086.232 bewerteten Domains, Stand 2026-06-29)
Schritt 2 — irgendeinen SPF-Eintrag veröffentlichen46,4% tun es nie: 121.145.609 Domains haben überhaupt kein SPF
Schritt 4+ — DMARC mit durchsetzender Richtlinie10,59% (27.640.987 Domains); 89,41% haben keine durchgesetzte Richtlinie
Die volle Trias — SPF + DKIM + durchgesetztes DMARC3,87% (10.092.481 Domains)

Die 20 Minuten, die diese Seite beschreibt, bringen eine brandneue Domain bei der vollen Trias vor ungefähr 96% des Internets. Das SPF-Adoptions-Reifegradmodell schlüsselt jede Sprosse dieser Leiter auf.

Wie schnell kann eine neue Domain p=reject erreichen?

Wochen, nicht Monate — der echte Vorteil eines Neustarts. Was DMARC-Durchsetzung auf etablierten Domains langsam macht, sind Altlasten: der vergessene CRM-Connector, das Rechnungstool, das jemand 2019 angeschlossen hat, die Newsletter-Plattform, die niemand dokumentiert hat. Jede muss in den Berichten gefunden und behoben werden, bevor die Richtlinie verschärft werden kann — daher der übliche monatelange Rollout.

Eine neue Domain hat keine Alt-Absender: Sie haben jede Versandquelle selbst konfiguriert, diese Woche, und die Berichte aus Schritt 4 werden es bestätigen. Lassen Sie p=none für zwei bis vier Wochen echten Versands laufen, prüfen Sie, dass die Berichte alles abdecken, was Sie tatsächlich nutzen (Postfächer, Rechnungen, Belege, das Kontaktformular der Website), und wechseln Sie dann zu p=quarantine und weiter zu p=reject, sobald sie sauber laufen. Die schrittweise Mechanik — pct-Rampen, Subdomain-Richtlinie, worauf zu achten ist — steht in von p=none zu p=reject; auf einer neuen Domain durchlaufen Sie sie im Eiltempo, zu einem Punkt, den nur 10,59% der bewerteten Domains erreicht haben.

Was ist mit der alten Domain, die Sie ersetzen?

Wenn diese neue Domain Teil eines Rebrandings ist, ist die Domain, die Sie zurücklassen, jetzt Ihr größtes E-Mail-Risiko: immer noch Ihre, immer noch von Geschäftspartnern als vertrauenswürdig eingestuft, nicht mehr beobachtet. Geben Sie sie nicht auf — sperren Sie sie explizit. Das ist ein eigener kurzer Job: Die alte Domain aus Ihrem Rebranding ist eine offen gelassene Tür.

Häufig gestellte Fragen

Kann ich diese Einträge veröffentlichen, bevor ich einen Mail-Provider gewählt habe? DMARC, ja — p=none mit rua ist provider-unabhängig, veröffentlichen Sie es also am Tag der Registrierung. SPF braucht das Include Ihres Providers; bis Sie einen gewählt haben, veröffentlichen Sie v=spf1 -all (nichts ist zum Senden autorisiert) und ersetzen es in Schritt 2. Das ist strikt besser als der Zustand ohne Eintrag, in dem 121.145.609 Domains sitzen (46,4% von 261.086.232 bewerteten, Stand 2026-06-29).

Brauche ich DKIM, wenn SPF bereits besteht? Ja. SPF bricht bei Weiterleitungen konstruktionsbedingt, und es validiert die Return-Path-Domain, die bei vielen Tools nicht Ihre ist — ausgerichtetes DKIM ist das Standbein, das beides übersteht. Nur 3,87% der bewerteten Domains vervollständigen die volle Trias aus SPF+DKIM+durchgesetztem DMARC (Zensus, Stand 2026-06-29); DKIM ist der Schritt, den die meisten Aussteiger überspringen. Beginnen Sie bei DKIM reparieren, wenn der Scan es markiert.

Sollte eine neue Domain ~all oder -all verwenden? Auf einer etablierten Domain ist ~all die vorsichtige Wahl, während Sie vergessene Absender aufspüren. Eine neue Domain hat keine aufzuspüren: Sobald das Include Ihres Providers drin ist und DKIM signiert, ist -all deutlich früher sicher. Sie wollen doppelte Absicherung? Bestätigen Sie es zuerst mit zwei sauberen Wochen DMARC-Berichten.

Alle drei Einträge bestehen — warum landet meine Mail trotzdem im Spam? Weil Authentifizierung und Reputation verschiedene Dinge sind: Bestehende Einträge bedeuten, dass Empfänger verifizieren können, dass die Mail von Ihnen ist — nicht, dass sie Ihnen schon vertrauen. Neue Domains verdienen sich Vertrauen durch konsistente, erwünschte Mail in geringem Volumen und schrittweise Steigerung. Scheitert Mail an Prüfungen, statt nur im Spam zu landen, beginnen Sie bei SPF reparieren und arbeiten Sie die Scan-Ergebnisse ab.

Senden Sie dem Inhaber den Bericht

Wenn Sie diese Domain für einen Kunden einrichten, schließen Sie den Auftrag mit einem Beleg ab. Führen Sie nach Schritt 6 den kostenlosen Scan erneut durch und leiten Sie den bewerteten Bericht an den Geschäftsinhaber weiter: SPF, DKIM und DMARC bestanden, in klarer Sprache, datiert zum Start. Das ist das Dokument, das er für die Cyberversicherungs-Verlängerung und den nächsten Lieferanten-Sicherheitsfragebogen braucht — und es belegt, dass die Domain ihr Leben so begonnen hat, wie es 96% des Internets nie schaffen.

Prüfen Sie Ihre Domain → · Von p=none zu p=reject, ohne legitime E-Mails zu verlieren → · Nur aggregierte Daten. Daten werden in der EU gespeichert und verarbeitet.