Live Direct Marketing
StartseiteBlogZustellbarkeit

SPF, DKIM und DMARC für kalte B2B-E-Mails: die technische Grundlage vor dem ersten Versand

12. Juli 2026 · 11 Min. Lesezeit · Leitfaden: Zustellbarkeit

Bevor Sie eine einzige personalisierte Kaltakquise-Mail an einen Ansprechpartner verschicken, entscheidet die Empfänger-Infrastruktur in Millisekunden, ob die Nachricht überhaupt eine Chance auf den Posteingang bekommt. SPF, DKIM und DMARC sind die drei DNS-Einträge, an denen sich diese Entscheidung zu einem großen Teil festmacht. Wer sie nicht oder nur halb einrichtet, verliert Antwortquote nicht durch schlechte Texte, sondern durch einen fehlenden TXT-Eintrag.

Das Wichtigste
  • SPF, DKIM und DMARC sind keine Deliverability-Kür, sondern die Mindestvoraussetzung, um bei adressierter B2B-Kaltakquise überhaupt zugestellt zu werden.
  • SPF autorisiert Versandserver, DKIM signiert die Nachricht kryptografisch, DMARC verknüpft beide und legt fest, was mit nicht-authentifizierten Mails passiert.
  • Für Cold Outreach empfiehlt sich eine eigene Subdomain, damit die Reputation des Versands nicht auf die Hauptdomain zurückschlägt.
  • Die Einrichtung dauert technisch meist unter einer Stunde, DNS-Propagation kann aber bis zu 48 Stunden brauchen — vor dem ersten Testversand prüfen, nicht raten.
  • Eine zu strenge DMARC-Policy direkt zu Beginn kann eigene Mails blockieren, wenn SPF/DKIM noch nicht sauber für alle genutzten Versandwege stehen.

Warum diese drei Einträge bei Kaltakquise über Zustellung entscheiden

Bei einem Newsletter an Bestandskunden verzeiht ein Mailserver kleinere Unsauberkeiten eher, weil Empfänger die Absenderadresse bereits kennen und öffnen. Bei einer kalten E-Mail an einen Ansprechpartner, der die Absenderdomain noch nie gesehen hat, fehlt dieser Vertrauensvorschuss komplett. Der empfangende Mailserver muss allein anhand technischer Signale entscheiden, ob die Nachricht echt ist oder gefälscht — und genau das prüfen SPF, DKIM und DMARC.

Ohne diese drei Einträge sieht ein Empfängerserver bei einer unbekannten Absenderdomain nur eine Behauptung: „Ich bin die Musterfirma GmbH.“ Mit SPF, DKIM und DMARC wird aus dieser Behauptung ein überprüfbarer Nachweis. Für adressierten B2B-Outreach mit kleinen, gezielten Versandvolumen ist das besonders wichtig, weil jede einzelne Zustellung zählt — es gibt keine Streuverluste, die sich durch Masse ausgleichen ließen.

Hinzu kommt, dass viele Empfängerserver die drei Prüfungen nicht isoliert, sondern in Kombination mit anderen Reputationssignalen bewerten: Domain-Alter, bisheriges Sendevolumen, Bounce-Rate und Beschwerdequote fließen mit ein. Eine fehlende oder fehlerhafte Authentifizierung verschärft jedes dieser Signale zusätzlich, weil sie dem Empfängerserver signalisiert, dass er sich auf die Absenderangabe nicht verlassen kann. Bei einer neu registrierten Domain, wie sie für Kaltakquise-Subdomains häufig verwendet wird, wiegt das besonders schwer, weil noch keine positive Historie existiert, die eine Unsauberkeit ausgleichen könnte.

SPF-Record Schritt für Schritt einrichten

SPF ist ein einzelner TXT-Eintrag im DNS Ihrer Domain, der auflistet, welche Server, Mailprovider oder Cold-Email-Tools im Namen der Domain versenden dürfen. Loggen Sie sich bei Ihrem DNS-Provider ein und legen Sie einen neuen TXT-Eintrag für die Domain oder Subdomain an, die Sie für den Versand nutzen.

Ein typischer Eintrag beginnt mit v=spf1 und listet danach die erlaubten Quellen auf, etwa include:_spf.google.com für Google Workspace oder include:spf.protection.outlook.com für Microsoft 365. Nutzen Sie zusätzlich ein Cold-Email- oder CRM-Tool für den Versand, muss dessen Versand-IP oder Include-Domain ebenfalls in denselben SPF-Eintrag aufgenommen werden — ein zweiter separater SPF-Eintrag wird von Mailservern ignoriert, nur der erste gefundene TXT-Eintrag mit v=spf1 zählt.

Am Ende steht ein Qualifier, meist ~all (soft fail, empfohlen für den Einstieg) oder -all (hard fail, strenger). Für die Ersteinrichtung ist ~all die sicherere Wahl, weil ein versehentlich vergessener Versandweg dann nicht sofort zur harten Ablehnung führt, sondern nur markiert wird.

Ein Detail, das bei der Ersteinrichtung häufig übersehen wird: SPF erlaubt maximal zehn DNS-Lookups pro Prüfung, jeder include-Baustein zählt dabei mit. Wer über die Zeit immer mehr Tools ergänzt, ohne alte, nicht mehr genutzte Includes zu entfernen, überschreitet dieses Limit irgendwann — die Folge ist ein permafail, bei dem SPF unabhängig vom tatsächlichen Absender als ungültig gilt. Ein regelmäßiger Blick auf den bestehenden SPF-Eintrag, bevor ein neues Tool ergänzt wird, verhindert dieses stille Problem.

Beispiel

Ein SPF-Eintrag für eine Domain, die über Google Workspace und zusätzlich über ein Cold-Email-Tool versendet, könnte so aussehen: v=spf1 include:_spf.google.com include:mail.beispiel-tool.de ~all

DKIM-Schlüssel generieren und veröffentlichen

DKIM funktioniert anders als SPF: Statt einer Liste erlaubter Server wird jede ausgehende Nachricht mit einem privaten Schlüssel signiert, während der passende öffentliche Schlüssel im DNS als TXT-Eintrag liegt. Der Empfängerserver prüft die Signatur gegen diesen öffentlichen Schlüssel — stimmt sie nicht überein oder wurde die Nachricht unterwegs verändert, schlägt die Prüfung fehl.

Den DKIM-Schlüssel generieren Sie im Admin-Bereich des jeweiligen Versanddienstes, nicht selbst von Hand. Der Dienst liefert einen CNAME- oder TXT-Eintrag mit einem Selector-Präfix wie google._domainkey oder selector1._domainkey, den Sie exakt so ins DNS übernehmen. Ein Tippfehler im Selector-Namen führt dazu, dass die Signatur zwar existiert, aber nie gefunden wird.

Achten Sie auf eine Schlüssellänge von mindestens 2048 Bit — ältere Anleitungen empfehlen teils noch 1024 Bit, das gilt inzwischen als zu schwach und wird von manchen großen Mailboxanbietern schlechter bewertet.

Nutzen Sie mehrere Versandwege parallel, etwa ein Cold-Email-Tool zusätzlich zum Hauptpostfach, braucht jeder Weg einen eigenen DKIM-Selector mit eigenem Schlüsselpaar. Das ist kein Nachteil, sondern ein Vorteil: Fällt ein Schlüssel durch einen Vorfall beim Anbieter aus oder muss rotiert werden, bleiben die übrigen Versandwege unberührt, weil sie unter einem anderen Selector-Namen laufen.

DMARC-Record als Abschluss setzen

DMARC ist ebenfalls ein TXT-Eintrag, diesmal unter _dmarc.ihredomain.de. Er sagt dem Empfängerserver, was passieren soll, wenn eine Nachricht weder SPF noch DKIM korrekt besteht, und an welche Adresse Berichte über solche Fälle gehen sollen. Für die Ersteinrichtung reicht eine Beobachtungs-Policy: p=none meldet lediglich, ohne Zustellung zu beeinflussen.

Wichtig für Kaltakquise: Setzen Sie DMARC nicht direkt auf p=reject oder p=quarantine, bevor Sie sicher sind, dass SPF und DKIM für sämtliche genutzten Versandwege sauber stehen — inklusive eines eventuell parallel genutzten Cold-Email-Tools oder CRM-Systems. Sonst landen im schlimmsten Fall die eigenen legitimen Kampagnen-Mails im Nichts, weil ein einzelner Versandweg noch nicht authentifiziert ist. Die schrittweise Verschärfung der Policy und das Auswerten der DMARC-Berichte ist ein eigenes Thema für später — an dieser Stelle geht es nur darum, den Eintrag überhaupt korrekt zu setzen.

Beispiel

Ein Einstiegs-DMARC-Eintrag: v=DMARC1; p=none; rua=mailto:dmarc-reports@musterfirma.de — er sammelt Daten, ohne bereits Mails zu blockieren.

Eigene Subdomain für den Kaltakquise-Versand nutzen

Ein Muster, das sich bei adressiertem B2B-Outreach durchgesetzt hat: Kaltakquise nicht über die Hauptdomain (musterfirma.de) verschicken, sondern über eine dedizierte Subdomain wie mail.musterfirma.de oder outreach.musterfirma.de. SPF, DKIM und DMARC werden dann für diese Subdomain separat eingerichtet.

Der Vorteil: Sinkt die Reputation dieser Subdomain durch hohe Bounce-Raten, veraltete Kontaktlisten oder zu aggressives Versandtempo, bleibt die Hauptdomain — auf der auch Rechnungen, Support-Anfragen und interne Kommunikation laufen — davon unberührt. Umgekehrt schützt eine saubere Hauptdomain-Reputation die Cold-Sending-Subdomain nicht automatisch, weshalb auch dort SPF, DKIM und DMARC vollständig eingerichtet sein müssen, nicht nur „geerbt“ von der Hauptdomain.

Für die Bauer Maschinenbau AG würde das bedeuten: reguläre Geschäftskorrespondenz weiterhin über bauer-maschinenbau.de, gezielte Kaltakquise-Kampagnen dagegen über eine separat authentifizierte Subdomain, deren Aufwärmphase und Versandvolumen unabhängig von der Hauptdomain gesteuert werden kann.

Einrichtung prüfen, bevor der erste echte Versand läuft

Nach dem Setzen der drei Einträge folgt der Test — nicht durch Vermutung, sondern durch eine tatsächliche Testmail. Schicken Sie eine Nachricht von der eingerichteten Domain an ein Postfach, das die Authentifizierungs-Header anzeigt, und öffnen Sie dort die Original-Nachricht bzw. den Header-Quelltext. Dort stehen die Ergebnisse für spf=, dkim= und dmarc= explizit als pass oder fail.

Prüfen Sie außerdem direkt im DNS, ob die Einträge korrekt propagiert sind, bevor Sie testen — DNS-Änderungen brauchen je nach Provider zwischen wenigen Minuten und 48 Stunden, bis sie überall sichtbar sind. Ein Test unmittelbar nach dem Speichern des Eintrags kann fälschlich fehlschlagen, obwohl der Eintrag korrekt ist, einfach weil er noch nicht überall angekommen ist.

Erst wenn alle drei Prüfungen bei einer echten Testmail „pass“ zeigen, sollte der erste reale Kaltakquise-Batch losgehen. Ein Start mit halb eingerichteter Authentifizierung lässt sich zwar technisch nicht verhindern, kostet aber Reputation, die sich nur langsam wieder aufbaut.

Neben der Testmail helfen einfache DNS-Lookup-Werkzeuge, um die reine Syntax der Einträge unabhängig vom Versand zu kontrollieren — etwa ob der SPF-Eintrag tatsächlich mit v=spf1 beginnt, ob der DKIM-CNAME auf das richtige Ziel zeigt und ob unter _dmarc. wirklich nur ein einziger Eintrag existiert. Solche Werkzeuge ersetzen die Testmail nicht, weil sie nur die DNS-Seite prüfen, nicht das tatsächliche Verhalten eines echten Empfängerservers, sind aber ein schneller erster Check direkt nach dem Speichern eines Eintrags.

Technische Authentifizierung ersetzt keine rechtliche Grundlage

SPF, DKIM und DMARC sorgen dafür, dass eine E-Mail technisch als authentisch gilt — sie sagen nichts darüber aus, ob der Versand rechtlich zulässig ist. Für adressierte B2B-Kaltakquise in Deutschland bleibt die Grundlage meist eine Interessenabwägung nach DSGVO, kombiniert mit den Anforderungen aus § 7 UWG zur unerlaubten Werbung. Beide Themen sind unabhängig von SPF, DKIM und DMARC zu klären und ersetzen sich nicht gegenseitig.

Praktisch bedeutet das: Auch eine technisch perfekt authentifizierte Kampagne kann abmahnfähig sein, wenn der Ansprechpartner keinen erkennbaren geschäftlichen Bezug zum Angebot hat, kein Impressum oder Abmeldelink in der Mail steht, oder eine bereits erfolgte Abmeldung ignoriert wird. Authentifizierung schützt die Zustellung, nicht vor rechtlichen Risiken — beides gehört vor dem ersten Versand geprüft, nicht nur eines davon.

Häufige Fragen

Muss ich SPF, DKIM und DMARC für jede Subdomain einzeln einrichten?

Für SPF und DKIM gilt ein eigener Eintrag pro Subdomain, sofern diese eigenständig versendet. DMARC kann bei Bedarf zentral auf der Hauptdomain gesetzt werden und wirkt dann per Vererbung auch auf Subdomains, sofern keine eigene Policy für die Subdomain existiert.

Wie lange dauert es, bis die Einträge wirken?

Das Setzen selbst dauert Minuten, die DNS-Propagation zwischen wenigen Minuten und bis zu 48 Stunden je nach Provider und TTL-Wert. Vor dem ersten Testversand sollte die Propagation abgeschlossen sein.

Reicht SPF allein aus?

Nein. SPF allein lässt sich leicht umgehen, weil Absenderadressen im sichtbaren „From“-Feld nicht von SPF geprüft werden. Erst die Kombination mit DKIM und der Verknüpfung durch DMARC macht Fälschung deutlich schwerer.

Kann ich mehrere SPF-Einträge parallel nutzen, wenn ich mehrere Tools einsetze?

Nein, DNS erlaubt nur einen SPF-TXT-Eintrag pro Domain. Alle genutzten Versanddienste müssen in denselben Eintrag als include aufgenommen werden, sonst wird nur der erste gefundene Eintrag ausgewertet und die anderen ignoriert.

Wie prüfe ich, ob die Einrichtung tatsächlich funktioniert?

Am zuverlässigsten mit einer echten Testmail an ein Postfach, dessen Header-Quelltext einsehbar ist. Dort die Zeilen spf=, dkim= und dmarc= im Authentication-Results-Header kontrollieren; ergänzend helfen DNS-Lookup-Tools zur Kontrolle der reinen Eintrag-Syntax.

Wichtig: Das ist kein Massenversand und kein Spam. Wir arbeiten gezielt: Jede Nachricht geht aus einem legitimen geschäftlichen Anlass an einen konkreten Ansprechpartner eines konkreten Unternehmens — in kleinen Tagesvolumina und personalisiert. Jede E-Mail nennt den Absender und enthält eine Ein-Klick-Abmeldung; Abmeldungen und Sperrlisten gelten ausnahmslos für alle künftigen Kampagnen.

Möchten Sie das in Ihrem Outreach anwenden?

Wir zeigen Ihnen vor Projektstart, wie das für Ihr Segment und Produkt funktioniert.

Gespräch vereinbaren