Zurück
E-Mail-Authentifizierung: SPF, DKIM und DMARC richtig einrichten
Tom
March 13, 2026
Seit Februar 2024 ist E-Mail-Authentifizierung keine Option mehr – sie ist Pflicht. Gmail und Yahoo blockieren E-Mails ohne DKIM und DMARC komplett oder sortieren sie in den Spam-Ordner. Das betrifft auch deine ActiveCampaign-E-Mails.
Die gute Nachricht: ActiveCampaign macht dir die Einrichtung von SPF, DKIM und DMARC so einfach wie möglich. Du brauchst nur eine eigene Domain und 15 Minuten Zeit.
In diesem Artikel zeige ich dir, wie du die drei Authentifizierungs-Standards richtig einrichtest und warum sie für deine Zustellbarkeit entscheidend sind.
E-Mail-Authentifizierung beweist den E-Mail-Providern, dass du der rechtmäßige Absender deiner E-Mails bist. Ohne diese Nachweise behandeln Gmail, Outlook und Co. deine E-Mails als potentiell gefährlich.
Das ist wie ein Personalausweis für deine E-Mails. Ohne Ausweis kommst du nicht ins Gebäude – ohne Authentifizierung nicht in den Posteingang.
Die drei wichtigsten Standards sind:
Ohne diese drei Standards landen deine E-Mails seit Februar 2024 automatisch im Spam oder werden komplett abgelehnt.
Bevor du mit der Einrichtung startest, musst du diese Grundlagen klären:
Du brauchst eine eigene Domain – keine Freemail-Adresse wie gmail.com oder web.de. Die Domain sollte mindestens 30 Tage alt sein und auf eine echte Website zeigen, nicht auf eine leere Seite.
Deine Domain muss auf eine echte Website zeigen. E-Mail-Provider prüfen das und bewerten Domains ohne Website als verdächtig.
Du brauchst einen MX-Record, der angibt, welcher Server E-Mails für deine Domain empfängt. Das erledigst du über deinen E-Mail-Provider (Google Workspace, Microsoft 365 oder ähnliche).
Wenn du bereits E-Mails über deine Domain empfangen kannst, ist der MX-Record korrekt eingerichtet.
SPF (Sender Policy Framework) ist eine Liste aller Server, die in deinem Namen E-Mails versenden dürfen. Ohne SPF können Spammer deine Domain für ihre E-Mails missbrauchen.
Du erstellst einen TXT-Record in deiner Domain, der alle erlaubten E-Mail-Server auflistet. Wenn eine E-Mail ankommt, prüft der Empfänger-Server:
Die gute Nachricht: ActiveCampaign übernimmt das SPF-Setup automatisch für dich. Wenn du eine Sending Domain in ActiveCampaign einrichtest, wird der SPF-Record automatisch erstellt.
So gehst du vor:
ActiveCampaign erstellt automatisch einen CNAME-Record für deine Mailserver-Domain. Über diesen Record wird der SPF-Record bereitgestellt.
Wichtig: Du kannst nur einen SPF-Record pro Domain haben. Falls du bereits einen SPF-Record hast, musst du ActiveCampaign in den bestehenden Record eintragen, anstatt einen neuen zu erstellen.
DKIM (DomainKeys Identified Mail) fügt eine unsichtbare, kryptografische Signatur in jede deiner E-Mails ein. Diese Signatur beweist, dass die E-Mail wirklich von dir stammt und unterwegs nicht verändert wurde.
DKIM bringt dir drei entscheidende Vorteile:
Der letzte Punkt ist besonders wichtig: Ohne DKIM zeigt Gmail bei deinen E-Mails "von max@domain.de via ActiveCampaign" an. Mit DKIM verschwindet dieses Label und deine E-Mails wirken professioneller.
ActiveCampaign erstellt die DKIM-Signatur automatisch für jede E-Mail. Du musst nur die DNS-Records in deiner Domain eintragen:
Typische DKIM-Records sehen so aus:
Die genauen Werte zeigt dir ActiveCampaign im Setup-Prozess an.
DMARC (Domain-based Message Authentication, Reporting & Conformance) baut auf SPF und DKIM auf. Es definiert, was E-Mail-Provider tun sollen, wenn SPF oder DKIM fehlschlagen.
DMARC kennt drei Behandlungsoptionen für E-Mails, die die Authentifizierung nicht bestehen:
ActiveCampaign richtet automatisch einen Basis-DMARC-Record mit der Richtlinie "none" ein. Das erfüllt die Mindestanforderungen von Gmail und Yahoo, ohne deine E-Mail-Zustellung zu gefährden.
Ein typischer DMARC-Record sieht so aus:
Wichtig: Verwende anfangs immer die Richtlinie "none". Erst wenn SPF und DKIM einwandfrei funktionieren, kannst du auf "quarantine" oder "reject" umstellen.
Für maximale Sicherheit deiner Domain kannst du DMARC auf "quarantine" oder "reject" stellen. Das blockiert alle E-Mails, die deine Authentifizierung nicht bestehen.
Aber Vorsicht: Stelle sicher, dass DKIM für alle deine Sending Domains korrekt eingerichtet ist. Sonst blockiert DMARC auch deine eigenen E-Mails aus ActiveCampaign.
Für professionelles DMARC-Management empfehlen wir DMARC Digests – ein Partnertool von ActiveCampaign, das detaillierte Reports über deine E-Mail-Authentifizierung liefert.
Mit SPF, DKIM und DMARC verbesserst du nicht nur deine Zustellbarkeit – du baust eine nachhaltige Sender-Reputation auf.
E-Mail-Provider bewerten nicht nur einzelne E-Mails, sondern die gesamte Sending-History deiner Domain. Mit korrekter Authentifizierung baust du eine positive Reputation auf, die deine Zustellbarkeit langfristig verbessert.
Das funktioniert aber nur, wenn du auch sonst sauberes E-Mail-Marketing betreibst:
Authentifizierung allein macht aus schlechten E-Mails keine guten. Aber gute E-Mails mit korrekter Authentifizierung erreichen deutlich mehr Empfänger.
Hier die konkrete Anleitung für die Einrichtung in ActiveCampaign:
ActiveCampaign zeigt dir alle notwendigen DNS-Records an. Diese musst du bei deinem Domain-Provider (Strato, 1&1, GoDaddy etc.) eintragen:
Nach dem Eintragen der Records dauert es 24-48 Stunden, bis sie weltweit verfügbar sind. ActiveCampaign prüft automatisch und zeigt dir den Status an.
Grüner Haken = Alles korrekt eingerichtet.
Diese Probleme kommen in unseren ActiveCampaign-Projekten am häufigsten vor:
Neben SPF, DKIM und DMARC gibt es weitere Standards, die in Zukunft wichtig werden könnten:
BIMI (Brand Indicators for Message Identification) zeigt dein Unternehmens-Logo direkt neben deinen E-Mails in Gmail und anderen Providern an. Das erhöht die Erkennbarkeit und das Vertrauen.
Voraussetzungen für BIMI:
BIMI lohnt sich aktuell nur für große Unternehmen mit entsprechendem Budget. Für die meisten ActiveCampaign-Nutzer ist es noch nicht relevant.
Falls du noch alte SenderID-Records in deinen DNS-Einstellungen hast (TXT-Records die mit "spf2.0" beginnen), solltest du sie entfernen. SenderID ist veraltet und kann mit modernen SPF-Records kollidieren.
Die Einrichtung von SPF, DKIM und DMARC ist nur der erste Schritt. Jetzt musst du deine Authentifizierung überwachen und optimieren.
DMARC sendet dir wöchentliche Reports über alle E-Mails, die in deinem Namen verschickt wurden. Diese Reports zeigen dir:
Tools wie DMARC Digests helfen dir dabei, diese Reports zu verstehen und entsprechend zu handeln.
Mit korrekter Authentifizierung legst du den Grundstein für eine gute Sender-Reputation. Diese baust du durch konsequent gutes E-Mail-Marketing auf:
Prüfe regelmäßig, ob deine DNS-Records noch korrekt sind. Besonders bei Domain-Provider-Wechseln oder Website-Relaunches gehen Authentifizierungs-Records manchmal verloren.
ActiveCampaign warnt dich, wenn ein Record nicht mehr funktioniert. Reagiere schnell auf solche Warnungen, um Zustellbarkeitsprobleme zu vermeiden.
SPF, DKIM und DMARC sind seit 2024 kein Nice-to-have mehr – sie sind absolute Pflicht für erfolgreiches E-Mail-Marketing. Ohne korrekte Authentifizierung landen deine E-Mails im Spam oder werden komplett blockiert.
Die gute Nachricht: ActiveCampaign macht dir die Einrichtung so einfach wie möglich. In 15 Minuten hast du alle drei Standards konfiguriert und deine Zustellbarkeit deutlich verbessert.
Das Wichtigste nochmal zusammengefasst:
Authentifizierung allein garantiert dir keine perfekte Zustellbarkeit. Aber ohne Authentifizierung hast du 2025 keine Chance auf den Posteingang.
Wenn du Hilfe bei der Einrichtung brauchst oder deine gesamte E-Mail-Marketing-Strategie mit ActiveCampaign optimieren willst, melde dich bei uns: advertal.de/start
Erzeuge Erstkontakte mit potenziellen Kunden, verwandle bestehende Leads in zahlende Kunden durch optimierte Funnel-Strategien und maximiere deinen Umsatz pro Kunde mit personalisierten Upselling-Methoden - vollständig automatisierte durch E-Mail-Marketing.
