Warum hat SPF ein 10-Lookup-Limit?

SPF wird **bei jedem Mail-Empfang** aufgeloest. Um Missbrauch zu verhindern (ein boesartiges SPF koennte hunderte Includes verketten und DNS dosen), **deckelt RFC 7208 die Gesamtsumme auf 10 DNS-Lookups pro Check**. Darueber liefern Empfaenger `PermError` und behandeln deine Mail, als gaebe es kein SPF. Das Tool zaehlt deine komplette Kette (Top-Level + jedes geschachtelte Include) und flaggt rot bei mehr als 10. **Fix**: SPF flachklopfen (`include:` durch die aufgeloesten `ip4:`-Ranges ersetzen) oder einen Dienst nutzen, der das fuer dich macht (EasyDMARC, dmarcian).

**DKIM (DomainKeys Identified Mail)** signiert jede ausgehende Nachricht mit einem privaten Schluessel auf deinem Sendeserver. Der zugehoerige **oeffentliche Schluessel liegt im DNS** unter `selector._domainkey.deinedomain.de`. Der Empfaenger holt den oeffentlichen Schluessel, verifiziert die Signatur und bestaetigt, dass die Nachricht unterwegs nicht veraendert wurde. Ohne DKIM kann jeder Body oder Anhang umschreiben, und deine Domain-Reputation zahlt den Preis. **Pass erfordert**: Key vorhanden, base64 gueltig, nicht im Testing-Mode (`t=y`-Flag), idealerweise **2048+ Bit**.

Was ist ein DKIM-Selektor und wo finde ich ihn?

Der **Selektor** ist ein Label, das dein Provider einem bestimmten Schluesselpaar zuweist. Er steht zwischen deiner Subdomain und `._domainkey.`. Typische Defaults: Google = `google`, Microsoft 365 = `selector1` / `selector2`, Mailchimp = `k1`, SendGrid = `s1` / `s2`, Mandrill = `mandrill`. **So findest du deinen**: Test-Mail an dich selbst schicken, Quellcode ansehen, nach dem `DKIM-Signature`-Header und dem `s=`-Tag suchen, das ist der Selektor. Oder die "DKIM-Setup"-Seite deiner Sendeplattform pruefen.

**DMARC (Domain-based Message Authentication, Reporting & Conformance)** ist die Policy-Schicht ueber SPF und DKIM. Sie sagt Empfaengern, **was zu tun ist, wenn beide fehlschlagen**: `p=none` (zustellen, aber reporten), `p=quarantine` (in Spam stecken), `p=reject` (Nachricht ablehnen). Ohne DMARC entscheidet jeder Empfaenger selbst, deine Zustellung wird zur Lotterie. **Starte mit `p=none` + `rua=mailto:...`**, beobachte die Reports ein paar Wochen, dann auf `quarantine` ziehen, sobald legitime Mail sauber ausgerichtet ist.

Was bedeutet `-all` vs `~all` in SPF?

**Der letzte Mechanismus in deinem SPF-Record setzt die Policy, wenn keine andere Regel passt.** `-all` = **HardFail** (ablehnen), `~all` = SoftFail (als Spam markieren, aber zustellen), `?all` = Neutral (keine Meinung), `+all` = alles bestanden (katastrophal, jeder kann dich faelschen). **Best Practice = `-all`**. `~all` sind die Stuetzraeder, im ersten Monat nutzen, waehrend du DMARC-Reports beobachtest, dann auf `-all` wechseln.

Meine DKIM-Karte ist gelb wegen "legacy key", was bedeutet das?

**Dein Key ist 1024 Bit.** 1024-Bit-RSA war vor 15 Jahren Standard, heute gilt es als schwach. **2048 Bit ist das moderne Minimum**, 4096 ist Overkill. Rotier ihn: die meisten Provider (Google, Microsoft, AWS SES) haben einen "DKIM neu generieren"-Button im Admin-Panel. Wichtig: **der neue Key bekommt einen neuen Selektor** (z. B. `selector2` neben `selector1`), beide DNS-Records 48 bis 72 h live halten, damit Mail im Transit abklingen kann.

Mein DMARC sagt `p=none`, ist das schlecht?

**Nicht zwingend, aber unvollstaendig.** `p=none` bedeutet "wenn SPF und DKIM fehlschlagen, trotzdem zustellen". Du sammelst Reports (`rua=`), schuetzt aber keine Empfaenger vor Spoofing. **Das ist der richtige Startpunkt** fuer eine Domain, die schon Mail sendet, aber du solltest innerhalb weniger Wochen auf `quarantine` oder `reject` umschalten. **Eine Domain, die ueberhaupt keine Mail sendet, sollte sofort `p=reject` veroeffentlichen.** Das Tool flaggt `p=none` als gelb, weil die meisten Setups dort fuer immer haengen bleiben.

Brauche ich `rua=` und `ruf=`?

**`rua=` ja, `ruf=` selten.** `rua=mailto:dmarc@deinedomain.de` aktiviert **Aggregat-Reports**, taegliche XML-Zusammenfassungen von Gmail, Outlook, Yahoo etc. mit Counts von Pass/Fail/Source-IP. Ohne `rua=` fliegst du blind. `ruf=` aktiviert **Forensik-Reports** (voller Mail-Header bei jedem Fail), Gmail und Outlook **unterstuetzen `ruf=` wegen DSGVO nicht mehr**, es funktioniert also fast nie. Richte `rua=` ab Tag eins ein.

Sind diese Checks wirklich privat?

Die Domain, die du tippst, geht zu unserem Server, und wir fragen Cloudflares oeffentliches DNS (1.1.1.1). **Nichts wird geloggt, nichts gespeichert.** Die Records, die du siehst, sind oeffentliche TXT-Daten, jeder kann sie weltweit per `dig` aus dem Terminal ziehen. **Das ist kein datenschutzsensibler Lookup** wie ein Passwort-Check, es sind dieselben Daten, die die Mailserver deiner Kunden bei jeder gesendeten Nachricht abrufen.

E-Mail DNS Checker - kostenlos

Warum landen meine Mails im Spam? SPF, DKIM, DMARC pruefen.

Tippe die Domain ein, von der du E-Mails verschickst (der Teil nach @ in der Absenderadresse), und das Tool liest die drei DNS-Records aus, die jedes moderne Postfach prueft: SPF (welche Server fuer dich senden duerfen), DKIM (die kryptografische Signatur jeder Nachricht) und DMARC (was passieren soll, wenn SPF und DKIM widersprechen).

Du bekommst drei Ampel-Karten: gruen bedeutet bestanden, gelb bedeutet funktioniert, aber fragil, rot bedeutet, Empfaenger schicken deine Mail mit hoher Wahrscheinlichkeit in den Spam oder lehnen sie ab. Jede Karte laesst sich aufklappen und zeigt den Raw-Record, die geparsten Werte und eine Klartext-Liste von Warnungen.

Wir fragen die Records von unserem Server ueber Cloudflares oeffentliches DNS (1.1.1.1). Nichts wird irgendwo geschrieben, der Lookup ist in unter zwei Sekunden durch.

So benutzt du es

Tippe die Absender-Domain ein. Die Domain der From-Adresse, nicht die volle E-Mail. Bei "marketing@store.de" ist die Domain store.de. Wir trennen den User-Teil ab, wenn du die ganze Adresse einfuegst.
Klick "Check". Das Tool holt SPF, DKIM (fuer die 8 haeufigsten Selektoren) und DMARC parallel.
Gruene Karte = dieser Teil ist gesund. Gelb = funktioniert, hat aber eine Schwachstelle, die sich lohnt zu fixen (Testing-Mode-Key, `~all` statt `-all`, kein DMARC-Reporting). Rot = Empfaenger koennen deine Mail verwerfen.
Siehst du deinen DKIM-Key nicht? Schalte "Custom DKIM selectors" ein und tippe den Selektor, den dein E-Mail-Provider verwendet (z. B. `dkim`, `mxvault`, `mandrill`). Der Selektor ist der Praefix vor `._domainkey.` im DNS-Record.
Lies die Warnungen in jeder Karte. Sie sind nach Wirkung sortiert, fix erst die oberste, dann nochmal pruefen.

Wann das nuetzlich ist

Fuenf reale Momente, in denen ein SPF/DKIM/DMARC-Check dich rettet:

Newsletter landet im Spam. Du hast Mailchimp / Brevo / Klaviyo eingerichtet, die erste Kampagne verschickt, die Haelfte der Empfaenger hat sie nicht bekommen. Erste Diagnose = SPF + DKIM pruefen, die Sendeplattform verlangt meist, dass beide ausgerichtet sind.
Migration zu einem neuen E-Mail-Provider. Wechsel von Google Workspace zu Microsoft 365 oder Ergaenzung eines transaktionalen Senders (Postmark, SendGrid). Altes SPF/DKIM bleibt neben dem neuen stehen, bis die Propagation fertig ist, leicht zu uebersehen.
"Meine Mails werden abgelehnt"-Beschwerde eines Kunden. Der Kunde sagt "deine Mail kommt nie an". Moegliche Ursachen: SPF ueber dem 10-Lookup-Limit, DKIM-Key widerrufen, DMARC `p=reject` ohne `rua` zum Debuggen.
Phishing-Schutz-Audit. Deine Firma schickt Rechnungen an Kunden. Ohne DMARC `p=reject` kann jeder deine Domain faelschen. Das Tool zeigt genau, welches Teil fehlt.
Pre-Launch auf einer neuen Domain. Bevor du die erste Transaktionsmail von einer frischen Domain schickst, alle drei Teile verifizieren. Reputation wird langsam aufgebaut, in einer Kampagne ruiniert.

Fuer ein tiefes DNS-Audit jenseits von E-Mail nimm das DNS-Lookup-Tool. Um zu pruefen, ob das Passwort deines SMTP-Accounts geleakt ist, siehe Passwort-Leck-Check.

Fragen und Antworten

SPF (Sender Policy Framework) ist eine Liste von Servern, die berechtigt sind, mit "From: deinedomain.de" zu versenden. Wenn Gmail eine Nachricht empfaengt, prueft es die IP des Senders gegen deine SPF-Liste. Kein Treffer = die Nachricht gilt als verdaechtig (Spam-Ordner oder abgelehnt). Du veroeffentlichst SPF als TXT-Record auf deiner Domain, ein Record, der mit `v=spf1` beginnt. Das Schwerste ist nicht das Schreiben, sondern das 10-Lookup-Limit, jedes `include:` zaehlt, und verkettete Includes sprengen die 10 schnell.

Warum landen meine Mails im Spam? SPF, DKIM, DMARC pruefen.

Wir fragen die Records von unserem Server ueber Cloudflares oeffentliches DNS (1.1.1.1). Nichts wird irgendwo geschrieben, der Lookup ist in unter zwei Sekunden durch.

So benutzt du es

Tippe die Absender-Domain ein. Die Domain der From-Adresse, nicht die volle E-Mail. Bei "marketing@store.de" ist die Domain store.de. Wir trennen den User-Teil ab, wenn du die ganze Adresse einfuegst.

Klick "Check". Das Tool holt SPF, DKIM (fuer die 8 haeufigsten Selektoren) und DMARC parallel.

Gruene Karte = dieser Teil ist gesund. Gelb = funktioniert, hat aber eine Schwachstelle, die sich lohnt zu fixen (Testing-Mode-Key, `~all` statt `-all`, kein DMARC-Reporting). Rot = Empfaenger koennen deine Mail verwerfen.

Siehst du deinen DKIM-Key nicht? Schalte "Custom DKIM selectors" ein und tippe den Selektor, den dein E-Mail-Provider verwendet (z. B. `dkim`, `mxvault`, `mandrill`). Der Selektor ist der Praefix vor `._domainkey.` im DNS-Record.

Lies die Warnungen in jeder Karte. Sie sind nach Wirkung sortiert, fix erst die oberste, dann nochmal pruefen.

Wann das nuetzlich ist

Fuenf reale Momente, in denen ein SPF/DKIM/DMARC-Check dich rettet:

Newsletter landet im Spam. Du hast Mailchimp / Brevo / Klaviyo eingerichtet, die erste Kampagne verschickt, die Haelfte der Empfaenger hat sie nicht bekommen. Erste Diagnose = SPF + DKIM pruefen, die Sendeplattform verlangt meist, dass beide ausgerichtet sind.
Migration zu einem neuen E-Mail-Provider. Wechsel von Google Workspace zu Microsoft 365 oder Ergaenzung eines transaktionalen Senders (Postmark, SendGrid). Altes SPF/DKIM bleibt neben dem neuen stehen, bis die Propagation fertig ist, leicht zu uebersehen.
"Meine Mails werden abgelehnt"-Beschwerde eines Kunden. Der Kunde sagt "deine Mail kommt nie an". Moegliche Ursachen: SPF ueber dem 10-Lookup-Limit, DKIM-Key widerrufen, DMARC `p=reject` ohne `rua` zum Debuggen.
Phishing-Schutz-Audit. Deine Firma schickt Rechnungen an Kunden. Ohne DMARC `p=reject` kann jeder deine Domain faelschen. Das Tool zeigt genau, welches Teil fehlt.
Pre-Launch auf einer neuen Domain. Bevor du die erste Transaktionsmail von einer frischen Domain schickst, alle drei Teile verifizieren. Reputation wird langsam aufgebaut, in einer Kampagne ruiniert.

Fuer ein tiefes DNS-Audit jenseits von E-Mail nimm das DNS-Lookup-Tool. Um zu pruefen, ob das Passwort deines SMTP-Accounts geleakt ist, siehe Passwort-Leck-Check.

Fragen und Antworten

E-Mail DNS Checker

Warum landen meine Mails im Spam? SPF, DKIM, DMARC pruefen.

So benutzt du es

Wann das nuetzlich ist

Fragen und Antworten

Passende Tools

Passwort-Leak-Check

JWT Decoder

E-Mail DNS Checker

Warum landen meine Mails im Spam? SPF, DKIM, DMARC pruefen.

So benutzt du es

Wann das nuetzlich ist

Fragen und Antworten

Passende Tools

Passwort-Leak-Check

JWT Decoder