Unsichtbar im Posteingang: So rettest du deine E-Mail-Zustellbarkeit

Donnerstag, 8. Mai 2025
Blog

Microsoft blockiert ab Mai unsichere E-Mails. Was das für SPF, DKIM und DMARC bedeutet – und wie du deine Domain jetzt absicherst, liest du hier.

E-Mails ohne Sicherheitsnachweis?
Willkommen im digitalen Niemandsland.

Microsoft macht ernst: Wer beim E-Mail-Versand nicht klar zeigt, dass er vertrauenswürdig ist, wird aussortiert – automatisch, kompromisslos.
Was bedeutet das konkret? E-Mails ohne korrekt eingerichtetes SPF, DKIM und DMARC landen nicht mehr im Posteingang, sondern im Spam. Oder schlimmer: Sie werden gar nicht mehr zugestellt.

Was viele nicht wissen: Google hat diese Regeln bereits 2024 eingeführt. Jetzt zieht Microsoft nach. Mit enormer Reichweite und ohne Kompromisse.

Wer also regelmäßig geschäftliche E-Mails versendet – ob Newsletter, Rechnungen oder Supportnachrichten – sollte jetzt handeln. Denn schlechte Zustellbarkeit ist kein IT-Detail. Sie ist ein Reputationsrisiko, ein Conversion-Killer, ein schleichender Umsatzverlust.

In diesem Artikel erfährst du, was sich bei Microsoft konkret ändert – und warum diese Anpassung längst überfällig war. Du erfährst außerdem, welche technischen Maßnahmen jetzt verbindlich sind und wie du deine Domain sowie deine E-Mail-Infrastruktur so aufstellst, dass sie den neuen Anforderungen nicht nur standhält, sondern langfristig sicher und zuverlässig funktioniert.

Und keine Sorge: Kein Fachchinesisch. Nur Klartext.
 

Was ändert sich bei Microsoft?

Von Zustellung zu Zugangsprüfung

Früher reichte es, eine E-Mail zu verschicken und sie kam meist an. Auch ohne technische Authentifizierung.

Ab Mai 2025 prüft Microsoft jede eingehende E-Mail streng. Wer seine Domain nicht technisch als vertrauenswürdig kennzeichnet, riskiert massive Einschränkungen bis hin zum Totalausfall der Zustellung.


Die neuen Anforderungen im Überblick

Microsoft verlangt von Absendern mit über 5.000 E-Mails pro Tag an Outlook-, Hotmail- oder Exchange-Adressen folgende Maßnahmen:

  • SPF (Sender Policy Framework): Legt fest, welcher Dienst im Namen deiner Domain senden dürfen.
  • DKIM (DomainKeys Identified Mail): Signiert jede E-Mail kryptografisch, um Manipulation auszuschließen.
  • DMARC (Domain-based Message Authentication, Reporting and Conformance): Bestimmt, wie mit E-Mails umgegangen wird, die die Prüfungen nicht bestehen und zeigt dir per Report, ob deine Domain missbraucht wird.
  •  
Zusammenspiel von SPF, DKIM und DMARC
 

Fehlt eine dieser Komponenten oder ist sie falsch implementiert, gerät deine Domain unter Verdacht. Und bei Microsoft heißt das: schlechte Zustellung, Spam-Ordner oder Zustellung ins digitale Nirwana.
 

Was bei Google längst Realität ist

Google hat diese Anforderungen schon 2024 eingeführt. Wer dort ohne SPF, DKIM und DMARC versendet, wird blockiert – kompromisslos. Microsoft folgt jetzt mit ähnlicher Konsequenz.
 

Es betrifft mehr als Du denkst

Die 5.000-Mails-Grenze klingt hoch, ist sie aber oft nicht. CRM, Newsletter, ERP-Systeme, Transaktionsmails: Die Volumina summieren sich schnell. Und auch wer darunter bleibt, sollte handeln. Denn: Was Microsoft und Google vormachen, wird bald Branchenstandard.
 

Warum Microsoft die Schrauben anzieht?

E-Mails als Einfallstor Nr. 1

E-Mails sind der meistgenutzte Kommunikationskanal im Geschäftsalltag und leider auch das beliebteste Einfallstor für Cyberangriffe. Phishing, Ransomware, CEO-Fraud – die Angriffe starten fast immer per E-Mail.
Cyberkriminelle nutzen Domains ohne Absicherung oder fälschen Absenderadressen täuschend echt. Der Vertrauensvorschuss von E-Mail-Kommunikation ist längst passé.
 

Vertrauen muss technisch belegt sein

Microsoft, Google & Co. sagen:
„Nur wer beweisen kann, dass er ist, wer er vorgibt zu sein, kommt durch.“

Und dieser Nachweis erfolgt eben nicht durch hübsche Logos, Signaturen, E-Mail-Footer oder ein sauberes Impressum, sondern durch technische Standards wie SPF, DKIM und DMARC.
 

Zahlen, die aufrütteln

  • • Laut ENISA zählt Phishing zu den meistgemeldeten Angriffsarten in Europa.
  • • Täglich werden Millionen betrügerischer E-Mails verschickt, viele im Namen realer Unternehmen.
  • • Besonders betroffen: SaaS, Finanzen, E-Commerce, Behörden.

Deshalb ist klar: Technisch unsichere Domains sind nicht nur ein Risiko für andere, sie gefährden auch dich selbst.
 

E-Mail-Provider übernehmen Verantwortung

E-Mail-Provider werden zunehmend zu Sicherheitsakteuren. Sie agieren als Schutzschild für ihre Nutzer und müssen daher differenzieren zwischen:

  • authentifizierten Domains → vertrauenswürdig = zugelassen
  • unsicheren Absendern → gefährlich = blockiert

Microsofts Schritt ist kein Aktionismus, sondern Konsequenz. Wer nicht sauber authentifiziert, wird zur potenziellen Bedrohung erklärt.
 

Digitale Souveränität beginnt im DNS

Domains, die SPF, DKIM und DMARC korrekt einsetzen, zeigen:

  • • Du schützt deine Marke aktiv vor Missbrauch.
  • • Du erhöhst die Verlässlichkeit deiner Kommunikation.
  • • Du erfüllst nicht nur technologische Standards, sondern stärkst deine digitale Identität.

Vertrauenswürdigkeit ist heute kein Bauchgefühl mehr, sie ist prüfbar. Und sie beginnt in deinem DNS.
 

Was passiert, wenn ich die Anforderungen ignoriere?

Betrifft mich das überhaupt?

Klare Antwort: Ja.
Ob du über oder unter der 5.000er-Grenze liegst, spielt mittelfristig keine Rolle. Denn Microsofts Entscheidung ist ein Signal für den gesamten Markt. Zustellbarkeit wird zum Prüfstein.
 

Die Folgen auf einen Blick

  1. Deine E-Mails erreichen ihre Empfänger nicht mehr zuverlässig.
    Was nicht korrekt authentifiziert ist, wird geblockt oder als verdächtig markiert. Das gilt nicht nur für Kampagnenmails, sondern auch für: Angebotsunterlagen, Rechnungen, Passwort-Resets, Termine.
  2. Deine Domain verliert an Vertrauen.
    Ohne SPF, DKIM und DMARC gibt’s keine Reputation. Und ohne Reputation keine Reichweite. Selbst Empfänger, die dich eigentlich kennen, sehen deine E-Mails nicht mehr.
  3. Du wirst zum Risiko – für dich und andere.
    Angreifer nutzen unsichere Domains für Spoofing und Phishing. Im schlimmsten Fall versendet jemand in deinem Namen und du hast den Schaden.
  4. Deine Organisation bekommt die Quittung – in jeder Abteilung.
    Zustellprobleme sind kein reines IT-Problem. Sie wirken sich direkt auf zentrale Unternehmensbereiche aus:
    • Marketing verliert Reichweite.
    • Sales wartet auf Rückmeldungen, die nie kommen.
    • Support kämpft mit Beschwerden, die leicht vermeidbar wären.
    • IT jagt Ursachen durch Konfigurationen und DNS-Zonen.

Fazit: Ein operativer Flächenbrand verursacht durch drei fehlende DNS-Einträge.
 

Ein fehlender DNS-Eintrag und der Vertrieb steht still

Ein mittelständisches SaaS-Unternehmen versendet automatisierte Buchungsbestätigungen, Login-Informationen und Rechnungen direkt aus dem ERP- und Supportsystem.

Kurz nach der Einführung der neuen Microsoft-Regeln häufen sich Beschwerden:
Kunden erhalten ihre Zugangsdaten nicht, Bestätigungen landen im Spam, und Rückfragen kommen vermehrt beim Kundensupport an.

Nach interner Prüfung wird klar: Die Absenderdomain hat zwar SPF eingerichtet, aber kein DKIM und keine DMARC-Policy gesetzt. Microsoft stuft die E-Mails daher zunehmend als potenziell unsicher ein und reduziert die Zustellbarkeit deutlich.

Die Folge:

  • • Innerhalb von drei Tagen steigt das Support-Volumen um über 40 %.
  • • Zwei große Neukunden verzögern ihren Vertragsstart, weil Login-Links nie ankamen.
  • • Die IT braucht mehrere Tage zur Fehleranalyse, inklusive externer Dienstleister.
  • • Parallel verliert das Marketing wertvolle Leads aus einer aktuellen Kampagne, da Bestätigungsmails nicht ankommen.

Der Imageschaden? Sofort spürbar. Und vermeidbar, mit drei DNS-Einträgen.
 

So erfüllst du die neuen Vorgaben – Schritt für Schritt

Kein Hexenwerk, aber Pflicht

SPF, DKIM, DMARC – das klingt erst mal wie ein technisches Buzzword-Bingo. Aber in Wahrheit geht es um drei gut dokumentierte Standards, die zusammenspielen und dafür sorgen, dass deine E-Mails authentisch, überprüfbar und vertrauenswürdig sind.

Hier kommt eine verständliche Schritt-für-Schritt-Anleitung, mit der du die Anforderungen sicher erfüllst und deine Domain zukunftsfest machst.
 

1. SPF einrichten – Wer darf überhaupt in deinem Namen senden?

SPF ist eine Art Positivliste im DNS, die definiert, welche Dienste berechtigt sind, im Namen deiner Domain E-Mails zu versenden.

Beispiel für den DNS-Eintrag:
deinedomain.de IN TXT "v=spf1 include:mailserver.de include:newslettertool.de -all"

Achte darauf:

  • • Alle sendenden Systeme (z. B. Newsletter-Tool, CRM, ERP-Systeme) müssen korrekt eingebunden sein.
  • • Die Regel -all bedeutet: nur die aufgelisteten Server dürfen senden, alles andere werden abgelehnt.
  • • Achte auf die Grenze von max. 10 DNS-Lookups – diese wird oft unbemerkt überschritten und führt zu SPF-Fehlschlägen.
  •  

2. DKIM aktivieren – Jede Mail bekommt ihre digitale Unterschrift

DKIM ergänzt SPF um eine kryptografische Signatur, die an jede ausgehende E-Mail angehängt wird. Damit kann der empfangende Mailserver prüfen, ob die Nachricht wirklich von deiner Domain stammt und ob sie unterwegs unverändert geblieben ist.

Beispiel für den DNS-Eintrag:
default._domainkey.deinedomain.de IN TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkqh..."

Achte darauf:

  • • Die Signatur muss vom sendenden System (z. B. Mailserver, Newsletter-Tool, ERP-System) aktiv gesetzt werden.
  • • Der zugehörige Public Key muss im DNS deiner Domain (deinedomain.de) veröffentlicht sein.
  • • Jeder Absenderdienst benötigt ggf. einen eigenen „Selector“ (z. B. mailing, crm, support).

Tipp: Unsere Kunden können nach der Einrichtung eine Testmail an uns senden, und wir prüfen für sie, ob die DKIM-Signatur korrekt erzeugt und gültig ist. Das spart ihnen Zeit und gibt sofort Klarheit.
 

3. DMARC konfigurieren – Du entscheidest, was mit verdächtigen E-Mails passiert

DMARC ist die Regelinstanz, die kontrolliert, ob SPF und DKIM erfolgreich sind und welche Konsequenzen das hat, wenn nicht.

Beispiel-Eintrag (für Startphase):
v=DMARC1; p=none; rua=mailto:dmarc-reports@deinedomain.de

Achte darauf:

  • • Starte mit p=none, um erst mal nur Berichte zu sammeln.
  • •  Steigere später schrittweise auf quarantine oder reject, um echten Schutz aufzubauen.
  • • Nutze Tools zur Auswertung der DMARC-Berichte (z. B. unser DMARC-Monitoring).
E-Mail-Zustellbarkeit


 

Best Practices für nachhaltige E-Mail-Zustellung

Pflicht ist nicht genug – jetzt kommt die Kür

SPF, DKIM und DMARC sind die Eintrittskarte. Doch wer denkt, mit dem einmaligen Einrichten sei alles erledigt, unterschätzt die Dynamik des E-Mail-Ökosystems.

Denn neue Systeme kommen hinzu, Tools wechseln, Dienstleister werden integriert und mit jeder Veränderung steigt das Risiko, dass die Konfiguration veraltet oder unvollständig wird.

Hier kommen bewährte Best Practices, mit denen du nicht nur compliant bleibst, sondern auch langfristig die volle Kontrolle über deine E-Mail-Zustellung behältst.
 

Reports aktiv auswerten – nicht nur sammeln

DMARC-Reports sind kein Datenfriedhof.
Sie zeigen Dir, wer in deinem Namen sendet, welche E-Mails durchkommen und welche nicht. Damit erkennst du frühzeitig Angriffe, Konfigurationsfehler oder vergessene Systeme.

Unsere Empfehlung:

  • • DMARC-Policy mit rua-Eintrag aktivieren
  • • Berichte regelmäßig auswerten – entweder manuell oder mit Tools/Dashboards
  • • Absenderquellen validieren und bei Bedarf anpassen
  •  

Zuständigkeiten klären – einmalig reicht nicht

Verteilt sich die Verantwortung für Domain-Sicherheit über IT, Marketing und externe Anbieter, ist Chaos vorprogrammiert.

Setze klare Regeln:

  • • Wer darf Systeme einbinden, die E-Mails versenden?
  • • Wer verwaltet SPF- und DKIM-Einträge im DNS?
  • • Wer prüft regelmäßig, ob alles noch gültig und vollständig ist?

Tipp: Halte alle Absenderquellen zentral fest, z. B. in einem Domain-Sicherheits-Board oder Security-Wiki. 
 

Veränderungen sofort in SPF und DKIM nachziehen

Du wechselst das Newsletter-Tool?
Du integrierst ein neues ERP?
Dann musst du auch SPF, DKIM und ggf. den DMARC-Report-Empfänger anpassen.

Das Problem: In der Praxis wird das oft vergessen.
Die Folge: Neue Systeme senden E-Mails, die technisch nicht autorisiert sind und Microsoft blockt.

Merke: Wenn neue Tools einsetzt werden, müssen sie auch in SPF und DKIM eintragen werden. Ansonsten werden sie beim Empfänger geblockt.
 

DMARC-Policy nicht ewig auf „none“ lassen

„p=none“ ist ein guter Startpunkt, aber auf Dauer wertlos.
Denn solange du keine Konsequenzen vorgibst, werden nicht vertrauenswürdige E-Mails ohne gültige Signatur trotzdem zugestellt und du bist angreifbar.

Besser:

  • • Schrittweise hochfahren: p=quarantinep=reject
  • • Erst prüfen, dann handeln. Aber nicht ewig zögern.
 

Brand-Schutz über DMARC hinaus denken

DMARC ist mächtig, aber nicht alles. Wer seine Marke wirklich schützt, setzt ergänzend auf:

  • BIMI (Brand Indicators for Message Identification) – damit E-Mails mit geprüften Logos angezeigt werden
  • MTA-STS & TLS Reporting – für verschlüsselte Transportverbindungen
  • Domain-Monitoring – zur Überwachung potenziell schädlicher Drittverwendungen (z. B. Lookalike-Domains)

Diese Maßnahmen zeigen: Du denkst nicht nur reaktiv, sondern proaktiv.
 

Bonus: Zustellbarkeit regelmäßig testen

Sende regelmäßig Testmails an:

  • • eigene Microsoft- und Google-Adressen
  • • unabhängige Tools (z. B. mail-tester.com)
  • • Euer Sicherheitsteam oder E-Mail-Dienstleister

Nur so erkennst du, ob alles wie gewünscht funktioniert. Nicht erst, wenn Kunden sich beschweren.
 

Fazit & Empfehlung

Zustellbarkeit entscheidet

Microsoft hat die Spielregeln verändert. Und das nicht irgendwann, sondern jetzt.
Wer weiterhin auf klassische E-Mail-Kommunikation setzt – ob für Marketing, Sales oder Kundenservice – kommt an SPF, DKIM und DMARC nicht vorbei. Microsofts Schritt ist kein Einzelfall. Es ist der neue Standard.

Wer jetzt nicht handelt, verliert Sichtbarkeit, Reichweite und Vertrauen.

Die gute Nachricht: Die Umsetzung ist machbar. Vor allem, wenn du strukturiert vorgehst und auf Partner setzt, die sich mit Domain- und E-Mail-Sicherheit wirklich auskennen. Die Lösung ist klar und technisch machbar.
 

Unsere Empfehlung

  • • Prüfe jetzt den Status deiner Domain: SPF, DKIM, DMARC vollständig eingerichtet?
  • • Lass deine Konfiguration unabhängig analysieren, bevor es Microsoft für dich erledigt.
  • • Plane die nächsten Schritte strategisch: Zuständigkeiten, Monitoring, kontinuierliche Pflege.
  •  

Du willst wissen, wie sicher deine Domain wirklich ist?

Wir bieten Dir:

  • • einen kostenfreien Domainsecurity-Check
  • • eine individuelle DMARC-Analyse mit Handlungsempfehlungen
  • • technische Unterstützung bei der korrekten Einrichtung – inklusive Report-Monitoring und Dashboard

Jetzt prüfen lassen → Hier deine Domainsecurity testen
Oder: Termin buchen für eine 20-minütiges Taskforce zu optimale E-Mail-Zustellraten/-Sicherheit mit einem unserer E-Mail-Sicherheitsexperten.

Aktuelle Themen aus der Domainwelt