Kundenbereich
Webhosting16. Dezember 2025 39 Aufrufe

So konfigurieren Sie SPF, DKIM und DMARC in cPanel

So konfigurieren Sie SPF, DKIM und DMARC in cPanel

SPF, DKIM und DMARC auf cPanel konfigurieren

Geschätzte Zeit: 15 Minuten
Schwierigkeit: Mittel ⭐⭐
Voraussetzungen: Zugriff auf cPanel, Domain mit verwalteten DNS

📋 Einführung

SPF, DKIM und DMARC sind drei wesentliche E-Mail-Authentifizierungsprotokolle, um :

  • Die Zustellbarkeit Ihrer E-Mails zu verbessern
  • 🛡️ Ihre Domain vor Spoofing und Phishing zu schützen
  • 📬 Zu verhindern, dass Ihre E-Mails als Spam eingestuft werden
  • Die Anforderungen von Gmail und Yahoo zu erfüllen (ab Februar 2024 obligatorisch)

🔍 SPF, DKIM und DMARC verstehen

Überblick

Protokoll Funktion Analogie
SPF Überprüft, ob der Server berechtigt ist, E-Mails zu senden Liste der autorisierten Faktoren
DKIM Fügt jeder ausgehenden E-Mail eine digitale Signatur hinzu Echtheitssiegel
DMARC Legt die Richtlinie für den Fall eines Fehlers fest Anweisungen an den Empfänger

SPF (Sender Policy Framework)

SPF ermöglicht es, welche Server berechtigt sind, E-Mails für Ihre Domain zu senden.

Funktionsweise :

  1. Sie veröffentlichen eine Liste autorisierter Server in einem DNS TXT-Eintrag
  2. Der empfangende Server überprüft, ob die E-Mail von einem autorisierten Server stammt
  3. Wenn nicht autorisiert → kann die E-Mail abgelehnt oder als Spam markiert werden

Beispiel für SPF-Eintrag :

v=spf1 +a +mx +ip4:123.456.789.0 include:_spf.google.com ~all

DKIM (DomainKeys Identified Mail)

DKIM fügt jeder ausgehenden E-Mail eine kryptografische Signatur hinzu.

Funktionsweise :

  1. Ihr Server signiert jede E-Mail mit einem privaten Schlüssel
  2. Der öffentliche Schlüssel wird in Ihren DNS veröffentlicht
  3. Der Empfänger überprüft die Signatur mit dem öffentlichen Schlüssel
  4. Wenn die Signatur gültig ist → ist die E-Mail authentisch und unverändert

Beispiel für DKIM-Eintrag :

default._domainkey.ihredomain.com IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBA..."

DMARC (Domain-based Message Authentication, Reporting & Conformance)

DMARC legt fest, was der Empfänger tun soll, wenn SPF oder DKIM fehlschlägt.

Funktionsweise :

  1. Sie legen eine Richtlinie fest (none, quarantine, reject)
  2. Der Empfänger wendet diese Richtlinie auf nicht authentifizierte E-Mails an
  3. Sie erhalten Berichte über Versuche der Fälschung

Beispiel für DMARC-Eintrag :

v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=100

📊 Zusammenfassungstabelle

Element SPF DKIM DMARC
Record-Typ TXT TXT TXT
Name @ oder Domain default._domainkey _dmarc
Erforderlich ✅ Ja ✅ Ja ⚠️ Empfohlen
Automatisch konfiguriert ✅ cPanel ✅ cPanel ❌ Manuell
Schützt vor Nicht autorisierte Server Inhaltsfälschung Identitätsdiebstahl

⚙️ Methode 1: Automatische Konfiguration (E-Mail-Zustellbarkeit)

cPanel bietet ein Tool E-Mail-Zustellbarkeit, das SPF und DKIM automatisch konfiguriert.

Schritt 1: Zugriff auf E-Mail-Zustellbarkeit

  1. Melden Sie sich bei cPanel an
  2. Klicken Sie im Bereich E-Mail auf E-Mail-Zustellbarkeit

Bild

Schritt 2: Aktuellen Status überprüfen

Sie sehen eine Liste Ihrer Domains mit ihrem Status :

Status Bedeutung
Gültig SPF und DKIM korrekt konfiguriert
⚠️ Probleme vorhanden Fehlende oder falsche Konfiguration

Schritt 3: Automatische Reparatur

Wenn Probleme erkannt werden :

  1. Klicken Sie neben der betroffenen Domain auf Reparieren
  2. cPanel zeigt die vorgeschlagenen Einträge an
  3. Klicken Sie auf Reparieren, um automatisch anzuwenden
    Bild

💡 Hinweis : Diese Methode funktioniert nur, wenn Ihre DNS vom selben Server wie cPanel verwaltet werden. Andernfalls verwenden Sie die manuelle Methode.

Schritt 4: Konfiguration überprüfen

Nach der Reparatur sollte der Status auf Gültig ✅ wechseln

Sie können auf Verwalten klicken, um die Details jedes Eintrags zu sehen.

⚙️ Methode 2: Manuelle Konfiguration

Wenn Ihre DNS anderswo verwaltet wird (Cloudflare, OVH, Gandi, etc.), müssen Sie die Einträge manuell hinzufügen.

Schritt 1: Werte in cPanel abrufen

  1. Gehen Sie zu E-MailE-Mail-Zustellbarkeit
  2. Klicken Sie neben Ihrer Domain auf Verwalten
  3. Notieren Sie die vorgeschlagenen Werte für SPF und DKIM

Schritt 2: SPF-Eintrag hinzufügen

In cPanel (Zone Editor)

  1. Gehen Sie zu DomainsZone Editor
  2. Klicken Sie neben Ihrer Domain auf Verwalten
  3. Klicken Sie auf + Eintrag hinzufügenTXT-Eintrag hinzufügen
Feld Wert
Name ihredomain.com (oder @)
TTL 14400
Typ TXT
Eintrag v=spf1 +a +mx +ip4:VOTRE_IP include:_spf.google.com ~all
  1. Klicken Sie auf Eintrag speichern

SPF-Einträge je nach Konfiguration

Situation SPF-Eintrag
Nur cPanel-E-Mail v=spf1 +a +mx ~all
Mit MailChannels v=spf1 +a +mx include:relay.mailchannels.net ~all
Mit Google Workspace v=spf1 include:_spf.google.com ~all
Mit Microsoft 365 v=spf1 include:spf.protection.outlook.com ~all
Mit SendGrid v=spf1 include:sendgrid.net ~all
Mit Mailchimp v=spf1 include:servers.mcsv.net ~all
Kombiniert (cPanel + Google) v=spf1 +a +mx include:_spf.google.com ~all

SPF-Syntax verstehen

Element Bedeutung
v=spf1 Version des SPF-Protokolls
+a Erlaubt die IP des Domänenhosts (A-Eintrag)
+mx Erlaubt die MX-Server der Domäne
+ip4:123.456.789.0 Erlaubt eine spezifische IP
include:domain.com Bezieht autorisierte Server einer anderen Domäne ein
~all Soft Fail: Als verdächtig markieren, wenn nicht autorisiert
-all Hard Fail: Ablehnen, wenn nicht autorisiert
?all Neutral: Nicht überprüfen

⚠️ Wichtig: Eine Domäne kann nur ein SPF-Record haben. Wenn Sie mehrere Dienste nutzen, kombinieren Sie sie in einem Record.

Schritt 3: DKIM-Record hinzufügen

Holen Sie sich den DKIM-Schlüssel

  1. Unter Email Deliverability klicken Sie auf Verwalten
  2. Kopieren Sie unter DKIM den vollständigen Wert des öffentlichen Schlüssels

Record hinzufügen

  1. Unter Zonen-Editor klicken Sie auf + Record hinzufügenTXT-Record hinzufügen
Feld Wert
Name default._domainkey.yourdomain.com
TTL 14400
Typ TXT
Record v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEB... (Ihr Schlüssel)
  1. Klicken Sie auf Record speichern

💡 Hinweis: Der Selektor default kann je nach Konfiguration variieren. Einige Dienste verwenden andere Selektoren wie google, selector1 usw.

Schritt 4: DMARC-Record hinzufügen

DMARC wird von cPanel nicht automatisch konfiguriert. Sie müssen es manuell hinzufügen.

  1. Unter Zonen-Editor klicken Sie auf + Record hinzufügenTXT-Record hinzufügen
Feld Wert
Name _dmarc.yourdomain.com (oder _dmarc)
TTL 14400
Typ TXT
Record v=DMARC1; p=none; rua=mailto:[email protected]
  1. Klicken Sie auf Record speichern

📝 Empfohlene DMARC-Konfigurationen

Progressive Richtlinie (empfohlen für den Einstieg)

Beginnen Sie mit einer lockeren Richtlinie und verstärken Sie sie schrittweise:

Phase 1: Überwachung (2-4 Wochen)

v=DMARC1; p=none; rua=mailto:[email protected]; pct=100
  • p=none: Nichts tun, nur überwachen
  • rua=mailto:...: Aggregierte Berichte erhalten

Phase 2: Quarantäne (2-4 Wochen)

v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=25
  • p=quarantine: Nicht authentifizierte E-Mails als Spam kennzeichnen
  • pct=25: Auf 25% der E-Mails anwenden (schrittweiser Test)

Phase 3: Vollständige Quarantäne

v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=100

Phase 4: Ablehnung (maximaler Schutz)

v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]; pct=100
  • p=reject: Nicht authentifizierte E-Mails vollständig ablehnen
  • ruf=mailto:...: Detaillierte forensische Berichte erhalten

Erklärung der DMARC-Parameter

Parameter Werte Beschreibung
v DMARC1 Version (obligatorisch)
p none, quarantine, reject Richtlinie für die Domäne
sp none, quarantine, reject Richtlinie für Subdomänen
pct 0-100 Prozentsatz der zu filternden E-Mails
rua mailto:[email protected] Adresse für aggregierte Berichte
ruf mailto:[email protected] Adresse für forensische Berichte
adkim r (relaxed), s (strict) DKIM-Ausrichtung
aspf r (relaxed), s (strict) SPF-Ausrichtung
fo 0, 1, d, s Optionen für Fehlerberichterstattung

Beispiele für DMARC-Konfigurationen

Anwendungsfall DMARC-Record
Anfänger (Überwachung) v=DMARC1; p=none; rua=mailto:[email protected]
Standard v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=100
Strikt v=DMARC1; p=reject; rua=mailto:[email protected]; pct=100
Vollständig mit Subdomänen v=DMARC1; p=reject; sp=quarantine; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1; pct=100

✅ Konfiguration überprüfen

Methode 1: Email Deliverability cPanel

  1. Gehen Sie zu EmailEmail Deliverability
  2. Überprüfen Sie, ob der Status für Ihre Domäne Gültig ✅ ist

Methode 2: Online-Tools

Tool URL Überprüft
MXToolbox mxtoolbox.com/SuperTool.aspx SPF, DKIM, DMARC
Mail Tester mail-tester.com Gesamtbewertung + Authentifizierung
DMARC Analyzer dmarcanalyzer.com/dmarc/dmarc-record-check DMARC
Google Admin Toolbox toolbox.googleapps.com/apps/checkmx MX, SPF, DKIM
DKIM Validator dkimvalidator.com DKIM
EasyDMARC easydmarc.com/tools SPF, DKIM, DMARC

Methode 3: Überprüfungsbefehle

SPF überprüfen

# Linux/Mac
dig TXT yourdomain.com +short

# Windows
nslookup -type=TXT yourdomain.com

Erwartetes Ergebnis:

"v=spf1 +a +mx ~all"

DKIM überprüfen

# Linux/Mac
dig TXT default._domainkey.ihredomain.com +short

# Windows
nslookup -type=TXT default._domainkey.ihredomain.com

Erwartetes Ergebnis :

"v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEB..."

DMARC überprüfen

# Linux/Mac
dig TXT _dmarc.ihredomain.com +short

# Windows
nslookup -type=TXT _dmarc.ihredomain.com

Erwartetes Ergebnis :

"v=DMARC1; p=quarantine; rua=mailto:[email protected]"

Methode 4: Senden einer Test-E-Mail

  1. Senden Sie eine E-Mail an [email protected]
  2. Sie erhalten einen detaillierten Bericht mit den Ergebnissen von SPF, DKIM und DMARC

Oder verwenden Sie mail-tester.com:

  1. Gehen Sie zu mail-tester.com
  2. Kopieren Sie die bereitgestellte temporäre E-Mail-Adresse
  3. Senden Sie eine E-Mail an diese Adresse
  4. Überprüfen Sie Ihren Score und die Authentifizierungsdetails

📧 Konfiguration für externe Dienste

Google Workspace (professionelles Gmail)

SPF

v=spf1 include:_spf.google.com ~all

DKIM

  1. In der Google Admin-Konsole gehen Sie zu AnwendungenGoogle WorkspaceGmailE-Mails authentifizieren
  2. Generieren Sie den DKIM-Schlüssel
  3. Fügen Sie den von Google bereitgestellten TXT-Eintrag hinzu

Microsoft 365 (professionelles Outlook)

SPF

v=spf1 include:spf.protection.outlook.com ~all

DKIM

  1. In der Microsoft 365-Verwaltungskonsole
  2. EinstellungenDomänen → Wählen Sie Ihre Domäne aus
  3. Kopieren Sie die bereitgestellten DKIM-CNAME-Einträge

E-Mail-Versanddienste

Dienst SPF einschließen DKIM-Dokumentation
SendGrid include:sendgrid.net SendGrid-Dashboard
Mailchimp include:servers.mcsv.net Konto → Einstellungen → Verifizierte Domänen
Sendinblue include:sendinblue.com Einstellungen → Absender → Domänen
Mailjet include:spf.mailjet.com Kontoeinstellungen → Domänen
Amazon SES include:amazonses.com AWS SES-Konsole

Beispiel: Kombination von cPanel + Mailchimp

v=spf1 +a +mx include:servers.mcsv.net ~all

🔧 Fehlerbehebung

SPF: "Zu viele DNS-Lookups"

Problem: SPF ist auf maximal 10 DNS-Lookups beschränkt.

Lösung:

  • Reduzieren Sie die Anzahl der include:
  • Verwenden Sie direkte IPs (ip4:) anstelle von include:
  • Verwenden Sie einen "SPF-Flattening"-Dienst

SPF: "Mehrere SPF-Einträge"

Problem: Sie haben mehrere SPF-Einträge.

Lösung: Kombinieren Sie alle Ihre Einträge zu einem einzigen:

Falsch (2 Einträge):

v=spf1 +a +mx ~all
v=spf1 include:_spf.google.com ~all

Richtig (1 Eintrag):

v=spf1 +a +mx include:_spf.google.com ~all

DKIM: "Kein DKIM-Eintrag gefunden"

Ursache Lösung
Falscher Selektor Überprüfen Sie den Selektornamen (default, google, etc.)
DNS-Propagation Warten Sie 24-48 Stunden nach der Erstellung
Abgeschnittener Schlüssel Stellen Sie sicher, dass der Schlüssel vollständig ist
Falsche Domäne Überprüfen Sie das Format selektor._domainkey.domain.com

DKIM: Schlüssel zu lang

Wenn Ihr DKIM-Schlüssel mehr als 255 Zeichen umfasst, muss er aufgeteilt werden:

"v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA..." "...Schlüssel fortsetzen..."

Einige DNS-Systeme verarbeiten dies automatisch, andere erfordern eine manuelle Aufteilung.

DMARC: "DMARC-Eintrag nicht gefunden"

Ursache Lösung
Falscher Name Muss genau _dmarc.ihredomain.com sein
DNS-Propagation Warten Sie einige Stunden
Falsche Syntax Überprüfen Sie mit einem DMARC-Validator

E-Mails landen immer im Spam-Ordner

Überprüfen Sie in folgender Reihenfolge:

  1. ✅ SPF konfiguriert und gültig
  2. ✅ DKIM konfiguriert und gültig
  3. ✅ DMARC konfiguriert
  4. ✅ PTR (Reverse DNS) konfiguriert
  5. ✅ IP nicht auf Blacklist (überprüfen Sie auf mxtoolbox.com/blacklists.aspx)
  6. ✅ E-Mail-Inhalt (keine Spamwörter, gutes Text/Bild-Verhältnis)

📊 DMARC-Berichte lesen

Format der Berichte

DMARC-Berichte werden als XML gesendet. Vereinfachtes Beispiel:

<record>
  <row>
    <source_ip>123.456.789.0</source_ip>
    <count>10</count>
    <policy_evaluated>
      <disposition>none</disposition>
      <dkim>pass</dkim>
      <spf>pass</spf>
    </policy_evaluated>
  </row>
</record>

DMARC-Analyse-Services

XML-Berichte sind schwer zu lesen. Verwenden Sie einen kostenlosen Service:

Service URL Funktionen
DMARC Analyzer dmarcanalyzer.com Begrenzt kostenlos
Postmark DMARC dmarc.postmarkapp.com Kostenlos
EasyDMARC easydmarc.com Begrenzt kostenlos
URIports uriports.com Kostenlos
DMARCLY dmarcly.com Begrenzt kostenlos

⚠️ Best Practices

Zu tun ✅

Praxis Grund
DMARC mit p=none starten Beobachten, bevor Sie blockieren
Nach jeder Änderung testen Unterbrechungen vermeiden
DMARC-Berichte überwachen Probleme erkennen
SPF aktualisieren, wenn Sie den Dienst ändern Liste aktuell halten
~all anstelle von -all am Anfang verwenden Fehler toleranter

Zu vermeiden ❌

Praxis Risiko
Direkt auf p=reject umschalten Eigene E-Mails blockieren
Vergessen, alle Versanddienste einzuschließen E-Mails abgelehnt
Mehrere SPF-Einträge haben Ungültige Konfiguration
DMARC-Berichte ignorieren Probleme übersehen
Konfigurationen ohne Anpassung kopieren Falsche Werte

📝 Zusammenfassung

E-MAIL AUTHENTIFIZIERUNG - CPANEL KONFIGURATION

┌─────────────────────────────────────────────────────────────┐
│                         SPF                                 │
├─────────────────────────────────────────────────────────────┤
│ Typ: TXT                                                    │
│ Name: yourdomain.com (or @)                                 │
│ Wert: v=spf1 +a +mx ~all                                    │
│ → Ermöglicht Servern, E-Mails für Ihre Domain zu senden     │
└─────────────────────────────────────────────────────────────┘

┌─────────────────────────────────────────────────────────────┐
│                         DKIM                                │
├─────────────────────────────────────────────────────────────┤
│ Typ: TXT                                                    │
│ Name: default._domainkey.yourdomain.com                      │
│ Wert: v=DKIM1; k=rsa; p=YOUR_PUBLIC_KEY                     │
│ → Signiert jede E-Mail kryptografisch                        │
└─────────────────────────────────────────────────────────────┘

┌─────────────────────────────────────────────────────────────┐
│                        DMARC                                │
├─────────────────────────────────────────────────────────────┤
│ Typ: TXT                                                    │
│ Name: _dmarc.yourdomain.com                                  │
│ Wert: v=DMARC1; p=none; rua=mailto:[email protected]          │
│ → Legt Richtlinien fest, wenn SPF/DKIM fehlschlagen          │
└─────────────────────────────────────────────────────────────┘

AUTOMATISCHE KONFIGURATION (cPanel):
1. E-Mail → E-Mail-Zustellbarkeit
2. Klicken Sie auf "Reparieren", wenn Probleme erkannt werden
3. Fügen Sie DMARC manuell im Zone Editor hinzu

EMPFOHLENER DMARC-FORTSCHRITT:
Phase 1: p=none (Überwachung) → 2-4 Wochen
Phase 2: p=quarantine; pct=25 → 2-4 Wochen
Phase 3: p=quarantine; pct=100 → 2-4 Wochen
Phase 4: p=reject; pct=100 → Maximale Sicherheit

ÜBERPRÜFUNG:
├── cPanel E-Mail-Zustellbarkeit → Status "Gültig"
├── mail-tester.com → Wertung 10/10
├── mxtoolbox.com → Vollständige Überprüfung
└── dig TXT yourdomain.com → Einträge anzeigen
Zurück zur Dokumentation