Defaults.Exposed › Behebungen › Guides
Mailchimp-, Brevo- oder Klaviyo-E-Mails scheitern an DMARC? Echte Domain-Authentifizierung einschalten (2026)
Veröffentlicht 2026-07-08
Zahlen mit Stand 2026-06-29 · Methodik v7. Aggregierte Zensusdaten über 261 Millionen bewertete Domains. Siehe wie wir bewerten.
Newsletter-Plattformen scheitern an DMARC, wenn sie „von” Ihrer Domain senden, ohne sich als Ihre Domain zu authentifizieren. Die Lösung ist die Custom-Domain-Authentifizierung der Plattform — ihre DKIM-CNAMEs, plus eine Custom-Bounce-Domain, wo angeboten. Die Lücke ist normal: Von 740.321 Domains, die SendGrid autorisieren, setzen nur 18,0% DMARC durch, laut dem Defaults.Exposed-Zensus über 261.086.232 Domains (2026-06-29).
Die Lösung sind ein paar DNS-Einträge und zehn Minuten in den Einstellungen Ihrer Plattform. Im Folgenden: warum die geteilte Authentifizierung der Plattform seit Februar 2024 nicht mehr genügt, welcher Schalter bei Mailchimp, Brevo, Klaviyo und SendGrid umzulegen ist, und die Lösungsschritte der Reihe nach — einschließlich des Wegs von einer Freemail-From-Adresse, den kein DNS-Eintrag retten kann.
Warum scheitern Newsletter-E-Mails an DMARC, wenn die Plattform sagt, alles sei verifiziert?
Weil die Plattform sich selbst authentifiziert hat, nicht Sie. Ab Werk sendet ein ESP Ihre Kampagnen mit seiner eigenen Bounce-Domain im Return-Path und signiert DKIM oft auch mit seiner eigenen Domain. Empfänger bewerten SPF gegen die Return-Path-Domain (RFC5321.MailFrom), nicht den From-Header, also besteht SPF sauber… für die Domain der Plattform.
DMARC ist es egal, ob SPF oder DKIM abstrakt bestanden hat. Es fragt, ob eines von beiden für die Domain in Ihrer From-Adresse bestanden hat — diese Übereinstimmung heißt Alignment. Das SPF-Bestehen des ESP liegt auf seiner Bounce-Domain, nicht Ihrer; ohne Custom-Domain-DKIM liegt seine Signatur auf seiner Domain, nicht Ihrer. Nichts aligned, also scheitert Ihre From-Domain an DMARC — während das Dashboard der Plattform grüne Häkchen zeigt, denn aus ihrer Sicht funktioniert die Authentifizierung. Custom-Domain-Authentifizierung einzuschalten (DKIM signiert als Ihre Domain) ist die gesamte Lösung. Für die vollständige Alignment-Mechanik siehe DMARC schlägt fehl, obwohl SPF und DKIM bestehen.
Was hat sich im Februar 2024 geändert?
Google und Yahoo begannen, Massenversender-Anforderungen durchzusetzen: aligned Authentifizierung für die From-Domain, eine veröffentlichte DMARC-Richtlinie, Ein-Klick-Abmeldung und Spam-Raten-Limits. Die Shared-Infrastructure-Abkürzung — auf der Authentifizierung des ESP mitreiten, von irgendetwas senden — funktioniert nicht mehr. Zwei Folgen für Newsletter-Absender:
- Jeder ernstzunehmende ESP treibt jetzt Custom-Domain-Authentifizierung, weil Kampagnen ohne sie im Spam landeten oder komplett abgewiesen wurden (Gmails Variante ist 550-5.7.26).
- Freemail-From-Adressen sind für Massenversand tot. Sie können Kampagnen nicht mehr von
[email protected]über einen ESP senden: Freemail-Domains veröffentlichen strikte DMARC-Richtlinien, genau damit niemand sonst als sie senden kann, Ihr ESP kann sich nie mit ihnen alignen, und Empfänger weisen die ganze Ladung ab oder verschieben sie in den Spam. Sie brauchen Ihre eigene Domain in der From-Adresse — es gibt keinen Workaround.
Der vollständige Anforderungssatz steht in unserem Datenartikel zu den Google- und Yahoo-Absenderanforderungen.
Wie heißt der Schalter bei Mailchimp, Brevo, Klaviyo und SendGrid?
Jede Plattform hat dieselbe Funktion unter anderem Namen. Was sie immer erzeugt, ist eine kleine Menge CNAME-Einträge für Ihr DNS — daran erkennen Sie sie, was auch immer das Menü sagt.
| Plattform | Funktionsname (ungefähr) | Was Sie zu DNS hinzufügen | Hinweise |
|---|---|---|---|
| Mailchimp | Domain authentication | DKIM-CNAMEs (k2._domainkey, k3._domainkey) | Nur-DKIM-Alignment — Mailchimp nutzt keinen SPF-Include mehr; fügen Sie keinen hinzu |
| Brevo | Authenticate your domain | DKIM-CNAME-Satz + Verifizierungseintrag | Prüfen Sie den aktuellen Eintragssatz bei der Einrichtung in Brevos Dokumentation |
| Klaviyo | Dedicated sending domain | DKIM-CNAMEs + Bounce-(Return-Path-)Subdomain | Die dedizierte Domain gibt Ihnen auch SPF-Alignment |
| SendGrid | Domain authentication (automated security) | CNAME-Satz (DKIM + Return-Path) | Kein SPF-Include nötig — die CNAMEs decken es ab |
Zwei Muster sind bemerkenswert. Erstens: Keine dieser Plattformen will einen include: in Ihrem SPF-Eintrag — moderne ESP-Authentifizierung ist CNAME-delegiert, und ein übriggebliebener Include verbrennt nur DNS-Lookup-Budget. Zweitens: CNAME-Delegation ist ein Feature — die Plattform rotiert ihre DKIM-Schlüssel hinter den delegierten Namen, ohne dass Sie je wieder DNS anfassen.
Wie beheben Sie DMARC-Fehler bei Newslettern, Schritt für Schritt?
- Führen Sie den kostenlosen Scan bei defaults.exposed durch, bevor Sie DNS anfassen. Er zeigt den live SPF-, DKIM- und DMARC-Status Ihrer Domain, damit Sie die Alignment-Lücke sehen, die Sie gleich schließen.
- Schalten Sie Custom-Domain-Authentifizierung in der Plattform ein (Tabelle oben). Sie erzeugt für Ihr Konto spezifische CNAME-Einträge.
- Fügen Sie die CNAMEs exakt wie angegeben zu Ihrem DNS hinzu. Der klassische Fehler: DNS-Panels, die Ihre Zone automatisch anhängen und aus
k2._domainkey.ihredomain.comk2._domainkey.ihredomain.com.ihredomain.commachen. Fügen Sie nur den Host-Teil ein, wenn Ihr Panel die Domain anhängt. Meldet die Plattform später „no key for signature“, ist der Selektor-Eintrag nicht angekommen — siehe DKIM „no key for signature“. - Setzen Sie die Custom-Bounce-Domain (Return-Path), wo die Plattform eine anbietet. Das bringt auch das SPF-Bein zum Alignment und gibt DMARC zwei Wege zum Bestehen. Wo das nicht angeboten wird (Mailchimp), ist aligned DKIM allein ein vollständiges DMARC-Bestehen — DMARC braucht nur ein aligned Bein.
- Verlegen Sie Ihre From-Adresse auf Ihre eigene Domain, falls sie noch auf Freemail liegt.
[email protected], nicht[email protected]. Eine Anforderung, keine Präferenz. - Verifizieren Sie in der Plattform, dann erneut scannen. Warten Sie, bis die Prüfung der Plattform grün wird (DNS kann Minuten bis wenige Stunden dauern), senden Sie sich selbst eine Kampagne, und bestätigen Sie, dass die Header DKIM-Signierung durch Ihre Domain zeigen. Arbeiten Sie dann alles Weitere ab, was auf der DMARC-reparieren-Seite markiert ist — hat Ihre Domain überhaupt keinen DMARC-Eintrag, sind das die nächsten zehn Minuten.
Wie viele Newsletter-Absender machen das tatsächlich richtig?
Der Zensus liest es von der DNS-Seite: für jede Plattform, wie viele Domains sie autorisieren — und wie viele davon die sendende Domain tatsächlich schützen, laut dem Defaults.Exposed-Zensus über 261.086.232 Domains (2026-06-29).
| Plattform (SPF-Ziel) | Domains, die sie autorisieren | DMARC durchgesetzt |
|---|---|---|
SendGrid (sendgrid.net) | 740.321 | 18,0% |
Mailgun (mailgun.org) | 1.306.692 | 35,9% |
Amazon SES (amazonses.com) | 551.446 | 41,9% |
Datenstand: Zensus 2026-06-29. „DMARC durchgesetzt” = die autorisierende Domain veröffentlicht p=quarantine oder p=reject.
Selbst an der Spitze der Tabelle lassen die meisten Absender auf professionellen Plattformen die Domain ungeschützt: 41,9% der 551.446 Domains, die Amazon SES autorisieren, setzen DMARC durch, 35,9% von Mailguns 1.306.692 — und nur 18,0% von SendGrids 740.321. Die Infrastruktur ist professionell; der Domainschutz meist nicht. Die vollständige Anbieter-Rangliste — Mailbox-Hoster eingeschlossen — steht in welcher E-Mail-Anbieter das stärkste SPF hat.
Häufig gestellte Fragen
Muss ich Mailchimp zu meinem SPF-Eintrag hinzufügen?
Nein — und tun Sie es nicht. Mailchimp nutzt Nur-DKIM-Alignment über seine k2/k3-CNAMEs und veröffentlicht für Kunden keinen SPF-Include mehr. Ein altes include:servers.mcsv.net bewirkt nichts für DMARC und verschwendet DNS-Lookup-Budget; das aligned Bein hier ist DKIM.
Holt Domain-Authentifizierung meine Newsletter aus dem Spam-Ordner? Sie entfernt die größte Ursache — unaligned Mail auf einer Domain mit DMARC-Richtlinie —, und sie ist eine harte Anforderung der Google-/Yahoo-Regeln. Sie behebt keine Listenqualitätsprobleme: Hohe Beschwerdequoten und fehlende Ein-Klick-Abmeldung halten Mail auch bei perfekter Authentifizierung im Spam. Reparieren Sie zuerst die Authentifizierung; das ist der Teil mit einer eindeutigen Antwort.
Kann ich weiter Kampagnen von meiner @gmail.com-Adresse senden? Nein. Freemail-Anbieter veröffentlichen strikte DMARC-Richtlinien genau deshalb, damit niemand sonst als sie senden kann, und Ihr ESP kann sich nie mit gmail.com alignen. Seit Februar 2024 wird solche Mail massenhaft abgewiesen oder in den Spam verschoben. Eine From-Adresse auf Ihrer eigenen Domain ist der einzige Weg.
Ich habe Domain-Authentifizierung eingeschaltet — warum scheitert DMARC trotzdem? Meist eines von drei Dingen: Die CNAMEs wurden von einem zonenanhängenden DNS-Panel verstümmelt (Schritt 3), die From-Domain der Kampagne stimmt nicht mit der authentifizierten Domain überein, oder eine andere sendende Quelle scheitert parallel zum Newsletter. Über alle 261.086.232 Domains im 2026-06-29-Zensus setzen nur 10,59% überhaupt DMARC durch — tut Ihre das, sind Sie nah dran; scannen Sie erneut und lesen Sie, welches Bein unaligned ist.
Gilt das auch für kleine Listen, unter 5.000 E-Mails pro Tag? Die strengsten Schwellenwerte gelten formal für Massenversender, aber Empfänger wenden die Authentifizierungsgrundlagen auf alle an, und ESPs verlangen jetzt Domain-Authentifizierung unabhängig vom Volumen. Behandeln Sie es als Pflicht: Es sind ein paar DNS-Einträge, und es verhindert, dass Ihre Kampagnen kaputtgehen, sobald Ihre Liste wächst.
Senden Sie dem Inhaber den Bericht
Wenn Sie das für einen Kunden reparieren — oder den Newsletter besitzen, aber nicht das DNS —, schließen Sie den Job mit Beweisen ab. Führen Sie den kostenlosen Scan erneut durch, sobald die CNAMEs angekommen sind, und leiten Sie den bewerteten Bericht an den Geschäftsinhaber weiter: klare Sprache, datiert, DMARC-Alignment repariert. Das ist das Artefakt, das die Cyberversicherungs-Verlängerung und den nächsten Kunden-Sicherheitsfragebogen beantwortet — ein dokumentiertes Vorher-Nachher, nicht „ich habe ein paar Knöpfe in Mailchimp gedrückt”.
Prüfen Sie Ihre Domain → · DMARC schlägt fehl, obwohl SPF und DKIM bestehen → · DMARC reparieren → · DKIM reparieren → · Wie wir bewerten → · Nur aggregierte Daten. Daten werden in der EU gespeichert und verarbeitet.