Kundenbereich
Webhosting16. Dezember 2025 199 Aufrufe

Wie man SPF, DKIM und DMARC in cPanel konfiguriert

Wie man SPF, DKIM und DMARC in cPanel konfiguriert

Wie man SPF, DKIM und DMARC in cPanel konfiguriert

Geschätzte Zeit : 15 Minuten
Schwierigkeit : Mittel ⭐⭐
Voraussetzungen : Zugang zu cPanel, Domain mit verwaltetem DNS

📋 Einführung

SPF, DKIM und DMARC sind drei wesentliche E-Mail-Authentifizierungsprotokolle für:

  • Verbesserung der Zustellbarkeit Ihrer E-Mails
  • 🛡️ Schutz Ihrer Domain vor Spoofing und Phishing
  • 📬 Vermeidung, dass Ihre E-Mails im Spam landen
  • Einhaltung der Anforderungen von Gmail und Yahoo (ab Februar 2024 verpflichtend)

🔍 Verständnis von SPF, DKIM und DMARC

Überblick

Protokoll Funktion Analogie
SPF Überprüft, ob der Server berechtigt ist, E-Mails zu senden Liste der autorisierten Faktoren
DKIM Fügt der E-Mail eine digitale Signatur hinzu Echtheitsstempel
DMARC Definiert die Richtlinie im Falle eines Fehlers Anweisungen an den Empfänger

SPF (Sender Policy Framework)

SPF ermöglicht es, anzugeben, welche Server berechtigt sind, E-Mails für Ihre Domain zu senden.

Funktionsweise :

  1. Sie veröffentlichen eine Liste von autorisierten Servern in einem DNS TXT-Eintrag
  2. Der empfangende Server überprüft, ob die E-Mail von einem autorisierten Server stammt
  3. Wenn nicht autorisiert → kann die E-Mail abgelehnt oder als Spam markiert werden

Beispiel für einen SPF-Eintrag :

v=spf1 +a +mx +ip4:123.456.789.0 include:_spf.google.com ~all

DKIM (DomainKeys Identified Mail)

DKIM fügt jeder ausgehenden E-Mail eine kryptografische Signatur hinzu.

Funktionsweise :

  1. Ihr Server signiert jede E-Mail mit einem privaten Schlüssel
  2. Der öffentliche Schlüssel wird in Ihrem DNS veröffentlicht
  3. Der Empfänger überprüft die Signatur mit dem öffentlichen Schlüssel
  4. Wenn die Signatur gültig ist → ist die E-Mail authentisch und unverändert

Beispiel für einen DKIM-Eintrag :

default._domainkey.ihredomain.com IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBA..."

DMARC (Domain-based Message Authentication, Reporting & Conformance)

DMARC definiert, was der Empfänger tun soll, wenn SPF oder DKIM fehlschlägt.

Funktionsweise :

  1. Sie definieren eine Richtlinie (none, quarantine, reject)
  2. Der Empfänger wendet diese Richtlinie auf nicht authentifizierte E-Mails an
  3. Sie erhalten Berichte über Versuche zur Spoofing

Beispiel für einen DMARC-Eintrag :

v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=100

📊 Zusammenfassende Tabelle

Element SPF DKIM DMARC
Typ des Eintrags TXT TXT TXT
Name @ oder Domain default._domainkey _dmarc
Obligatorisch ✅ Ja ✅ Ja ⚠️ Empfohlen
Automatisch konfiguriert ✅ cPanel ✅ cPanel ❌ Manuell
Schützt vor Unberechtigten Servern Inhaltsfälschung Identitätsdiebstahl

⚙️ Methode 1 : Automatische Konfiguration (E-Mail-Zustellbarkeit)

cPanel bietet ein E-Mail-Zustellbarkeit-Tool, das SPF und DKIM automatisch konfiguriert.

Schritt 1 : Zugriff auf E-Mail-Zustellbarkeit

  1. Loggen Sie sich in cPanel ein
  2. Im Abschnitt E-Mail klicken Sie auf E-Mail-Zustellbarkeit

Bild

Schritt 2 : Überprüfen des aktuellen Status

Sie sehen die Liste Ihrer Domains mit ihrem Status :

Status Bedeutung
Gültig SPF und DKIM korrekt konfiguriert
⚠️ Probleme vorhanden Fehlende oder falsche Konfiguration

Schritt 3 : Automatisch reparieren

Wenn Probleme festgestellt werden :

  1. Klicken Sie auf Repair (Reparieren) neben der betroffenen Domain
  2. cPanel zeigt die vorgeschlagenen Einträge an
  3. Klicken Sie auf Repair, um automatisch anzuwenden
    Bild

💡 Hinweis : Diese Methode funktioniert nur, wenn Ihr DNS vom gleichen Server wie cPanel verwaltet wird. Andernfalls verwenden Sie die manuelle Methode.

Schritt 4 : Überprüfen der Konfiguration

Nach der Reparatur sollte der Status auf Gültig ✅ wechseln

Sie können auf Verwalten klicken, um die Details jedes Eintrags zu sehen.

⚙️ Methode 2 : Manuelle Konfiguration

Wenn Ihr DNS woanders verwaltet wird (Cloudflare, OVH, Gandi usw.), müssen Sie die Einträge manuell hinzufügen.

Schritt 1 : Werte in cPanel abrufen

  1. Gehen Sie zu E-MailE-Mail-Zustellbarkeit
  2. Klicken Sie auf Verwalten neben Ihrer Domain
  3. Notieren Sie sich die vorgeschlagenen Werte für SPF und DKIM

Schritt 2 : SPF-Eintrag hinzufügen

In cPanel (Zonen-Editor)

  1. Gehen Sie zu DomainsZonen-Editor
  2. Klicken Sie auf Verwalten neben Ihrer Domain
  3. Klicken Sie auf + Eintrag hinzufügenAdd TXT Record
Feld Wert
Name ihredomain.com (oder @)
TTL 14400
Typ TXT
Eintrag v=spf1 +a +mx +ip4:IHR_IP include:_spf.google.com ~all
  1. Klicken Sie auf Eintrag speichern

SPF-Einträge je nach Ihrer Konfiguration

Situation SPF-Eintrag
Nur cPanel-E-Mail v=spf1 +a +mx ~all
Mit MailChannels v=spf1 +a +mx include:relay.mailchannels.net ~all
Mit Google Workspace v=spf1 include:_spf.google.com ~all
Mit Microsoft 365 v=spf1 include:spf.protection.outlook.com ~all
Mit SendGrid v=spf1 include:sendgrid.net ~all
Mit Mailchimp v=spf1 include:servers.mcsv.net ~all
Kombiniert (cPanel + Google) v=spf1 +a +mx include:_spf.google.com ~all

Verstehen der SPF-Syntax

Element Bedeutung
v=spf1 Version des SPF-Protokolls
+a Erlaubt die IP der Domain (A-Eintrag)
+mx Erlaubt die MX-Server der Domain
+ip4:123.456.789.0 Erlaubt eine spezifische IP
include:domaine.com Schließt die autorisierten Server einer anderen Domain ein
~all Soft fail : als verdächtig markieren, wenn nicht autorisiert
-all Hard fail : ablehnen, wenn nicht autorisiert
?all Neutral : nicht überprüfen

⚠️ Wichtig : Eine Domain kann nur einen SPF-Eintrag haben. Wenn Sie mehrere Dienste verwenden, kombinieren Sie diese in einem einzigen Eintrag.

Schritt 3 : DKIM-Eintrag hinzufügen

DKIM-Schlüssel abrufen

  1. In E-Mail-Zustellbarkeit klicken Sie auf Verwalten
  2. Unter DKIM kopieren Sie den vollständigen Wert des öffentlichen Schlüssels

Eintrag hinzufügen

  1. Im Zonen-Editor klicken Sie auf + Eintrag hinzufügenAdd TXT Record
Feld Wert
Name default._domainkey.ihredomain.com
TTL 14400
Typ TXT
Eintrag v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEB... (Ihr Schlüssel)
  1. Klicken Sie auf Eintrag speichern

💡 Hinweis : Der Selektor default kann je nach Ihrer Konfiguration variieren. Einige Dienste verwenden andere Selektoren wie google, selector1 usw.

Schritt 4 : DMARC-Eintrag hinzufügen

DMARC wird nicht automatisch von cPanel konfiguriert. Sie müssen ihn manuell hinzufügen.

  1. Im Zonen-Editor klicken Sie auf + Eintrag hinzufügenAdd TXT Record
Feld Wert
Name _dmarc.ihredomain.com (oder _dmarc)
TTL 14400
Typ TXT
Eintrag v=DMARC1; p=none; rua=mailto:[email protected]
  1. Klicken Sie auf Eintrag speichern

📝 Empfohlene DMARC-Konfigurationen

Schrittweise Richtlinie (empfohlen für den Einstieg)

Beginnen Sie mit einer flexiblen Richtlinie und verstärken Sie diese schrittweise :

Phase 1 : Überwachung (2-4 Wochen)

v=DMARC1; p=none; rua=mailto:[email protected]; pct=100
  • p=none : Nichts tun, nur überwachen
  • rua=mailto:... : Aggregierte Berichte erhalten

Phase 2 : Quarantäne (2-4 Wochen)

v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=25
  • p=quarantine : Nicht authentifizierte E-Mails in den Spam verschieben
  • pct=25 : Auf 25% der E-Mails anwenden (schrittweiser Test)

Phase 3 : Vollständige Quarantäne

v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=100

Phase 4 : Ablehnung (maximaler Schutz)

v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]; pct=100
  • p=reject : Vollständige Ablehnung nicht authentifizierter E-Mails
  • ruf=mailto:... : Detaillierte forensische Berichte erhalten

DMARC-Parameter erklärt

Parameter Werte Beschreibung
v DMARC1 Version (obligatorisch)
p none, quarantine, reject Richtlinie für die Domain
sp none, quarantine, reject Richtlinie für Subdomains
pct 0-100 Prozentsatz der E-Mails, die gefiltert werden sollen
rua mailto:[email protected] Adresse für aggregierte Berichte
ruf mailto:[email protected] Adresse für forensische Berichte
adkim r (entspannt), s (streng) DKIM-Ausrichtung
aspf r (entspannt), s (streng) SPF-Ausrichtung
fo 0, 1, d, s Fehlerberichterstattungsoptionen

Beispiele für DMARC-Konfigurationen

Anwendungsfall DMARC-Eintrag
Einsteiger (Überwachung) v=DMARC1; p=none; rua=mailto:[email protected]
Standard v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=100
Streng v=DMARC1; p=reject; rua=mailto:[email protected]; pct=100
Vollständig mit Subdomains v=DMARC1; p=reject; sp=quarantine; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1; pct=100

✅ Überprüfen der Konfiguration

Methode 1 : E-Mail-Zustellbarkeit cPanel

  1. Gehen Sie zurück zu E-MailE-Mail-Zustellbarkeit
  2. Überprüfen Sie, ob der Status für Ihre Domain Gültig ✅ ist

Methode 2 : Online-Tools

Tool URL Überprüft
MXToolbox mxtoolbox.com/SuperTool.aspx SPF, DKIM, DMARC
Mail Tester mail-tester.com Gesamtpunktzahl + Authentifizierung
DMARC Analyzer dmarcanalyzer.com/dmarc/dmarc-record-check DMARC
Google Admin Toolbox toolbox.googleapps.com/apps/checkmx MX, SPF, DKIM
DKIM Validator dkimvalidator.com DKIM
EasyDMARC easydmarc.com/tools SPF, DKIM, DMARC

Methode 3 : Überprüfungsbefehle

SPF überprüfen

# Linux/Mac
dig TXT ihredomain.com +short

# Windows
nslookup -type=TXT ihredomain.com

Erwartetes Ergebnis :

"v=spf1 +a +mx ~all"

DKIM überprüfen

# Linux/Mac
dig TXT default._domainkey.ihredomain.com +short

# Windows
nslookup -type=TXT default._domainkey.ihredomain.com

Erwartetes Ergebnis :

"v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEB..."

DMARC überprüfen

# Linux/Mac
dig TXT _dmarc.ihredomain.com +short

# Windows
nslookup -type=TXT _dmarc.ihredomain.com

Erwartetes Ergebnis :

"v=DMARC1; p=quarantine; rua=mailto:[email protected]"

Methode 4 : Test-E-Mail senden

  1. Sendet eine E-Mail an [email protected]
  2. Sie erhalten einen detaillierten Bericht mit den Ergebnissen von SPF, DKIM und DMARC

Oder verwenden Sie mail-tester.com :

  1. Gehen Sie zu mail-tester.com
  2. Kopieren Sie die bereitgestellte temporäre E-Mail-Adresse
  3. Sendet eine E-Mail an diese Adresse
  4. Überprüfen Sie Ihre Punktzahl und die Authentifizierungsdetails

📧 Konfiguration für externe Dienste

Google Workspace (professionelles Gmail)

SPF

v=spf1 include:_spf.google.com ~all

DKIM

  1. Gehen Sie in der Google Admin-Konsole zu AnwendungenGoogle WorkspaceGmailE-Mails authentifizieren
  2. Generieren Sie den DKIM-Schlüssel
  3. Fügen Sie den von Google bereitgestellten TXT-Eintrag hinzu

Microsoft 365 (professionelles Outlook)

SPF

v=spf1 include:spf.protection.outlook.com ~all

DKIM

  1. Im Microsoft 365 Admin Center
  2. EinstellungenDomains → Wählen Sie Ihre Domain aus
  3. Kopieren Sie die bereitgestellten DKIM CNAME-Einträge

E-Mail-Versanddienste

Dienst SPF einfügen DKIM-Dokumentation
SendGrid include:sendgrid.net SendGrid-Dashboard
Mailchimp include:servers.mcsv.net Account → Einstellungen → Verifizierte Domains
Sendinblue include:sendinblue.com Einstellungen → Absender → Domains
Mailjet include:spf.mailjet.com Kontoeinstellungen → Domains
Amazon SES include:amazonses.com AWS SES-Konsole

Beispiel : cPanel + Mailchimp kombiniert

v=spf1 +a +mx include:servers.mcsv.net ~all

🔧 Fehlersuche

SPF : "Zu viele DNS-Abfragen"

Problem : SPF ist auf maximal 10 DNS-Abfragen beschränkt.

Lösung :

  • Reduzieren Sie die Anzahl der include:
  • Verwenden Sie direkte IPs (ip4:) anstelle von include:
  • Verwenden Sie einen "SPF Flattening"-Dienst

SPF : "Mehrere SPF-Einträge"

Problem : Sie haben mehrere SPF-Einträge.

Lösung : Fassen Sie alle Ihre Einträge in einem einzigen zusammen :

Falsch (2 Einträge) :

v=spf1 +a +mx ~all
v=spf1 include:_spf.google.com ~all

Richtig (1 Eintrag) :

v=spf1 +a +mx include:_spf.google.com ~all

DKIM : "Kein DKIM-Eintrag gefunden"

Ursache Lösung
Falscher Selektor Überprüfen Sie den Namen des Selektors (default, google usw.)
DNS-Propagation Warten Sie 24-48 Stunden nach der Erstellung
Truncated Key Überprüfen Sie, ob der Schlüssel vollständig ist
Falsche Domain Überprüfen Sie das Format selecteur._domainkey.domaine.com

DKIM: Schlüssel zu lang

Wenn Ihr DKIM-Schlüssel 255 Zeichen überschreitet, muss er aufgeteilt werden:

"v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA..." "...Fortsetzung des Schlüssels..."

Einige DNS verwalten dies automatisch, andere erfordern eine manuelle Aufteilung.

DMARC: "DMARC-Eintrag nicht gefunden"

Ursache Lösung
Falscher Name Musste genau _dmarc.ihredomain.com sein
DNS-Propagation Warten Sie einige Stunden
Falsche Syntax Überprüfen Sie mit einem DMARC-Validator

Emails landen immer im Spam

Überprüfen Sie in der Reihenfolge:

  1. ✅ SPF konfiguriert und gültig
  2. ✅ DKIM konfiguriert und gültig
  3. ✅ DMARC konfiguriert
  4. ✅ PTR (Reverse DNS) konfiguriert
  5. ✅ IP nicht auf der Blacklist (überprüfen Sie auf mxtoolbox.com/blacklists.aspx)
  6. ✅ Inhalt der E-Mail (keine Spam-Wörter, gutes Verhältnis von Text/Bildern)

📊 DMARC-Berichte lesen

Berichtsformat

DMARC-Berichte werden im XML-Format gesendet. Vereinfachtes Beispiel:

<record>
  <row>
    <source_ip>123.456.789.0</source_ip>
    <count>10</count>
    <policy_evaluated>
      <disposition>none</disposition>
      <dkim>pass</dkim>
      <spf>pass</spf>
    </policy_evaluated>
  </row>
</record>

DMARC-Analyse-Services

XML-Berichte sind schwer zu lesen. Verwenden Sie einen kostenlosen Dienst:

Dienst URL Funktionen
DMARC Analyzer dmarcanalyzer.com Begrenzte kostenlose Version
Postmark DMARC dmarc.postmarkapp.com Kostenlos
EasyDMARC easydmarc.com Begrenzte kostenlose Version
URIports uriports.com Kostenlos
DMARCLY dmarcly.com Begrenzte kostenlose Version

⚠️ Gute Praktiken

Zu tun ✅

Praxis Grund
DMARC im Modus p=none starten Beobachten, bevor Sie blockieren
Nach jeder Änderung testen Unterbrechungen vermeiden
DMARC-Berichte überwachen Probleme erkennen
SPF aktualisieren, wenn Sie den Dienst wechseln Liste aktuell halten
~all anstelle von -all zu Beginn verwenden Fehlerfreundlicher

Zu vermeiden ❌

Praxis Risiko
Direkt zu p=reject wechseln Eigene E-Mails blockieren
Vergessen, alle Versanddienste einzuschließen E-Mails abgelehnt
Mehrere SPF-Einträge haben Ungültige Konfiguration
DMARC-Berichte ignorieren Probleme übersehen
Konfigurationen kopieren, ohne sie anzupassen Falsche Werte

📝 Zusammenfassung

EMAIL-AUTHENTIFIZIERUNG - CPANEL KONFIGURATION

┌─────────────────────────────────────────────────────────────┐
│                         SPF                                 │
├─────────────────────────────────────────────────────────────┤
│ Typ: TXT                                                   │
│ Name: ihredomain.com (oder @)                             │
│ Wert: v=spf1 +a +mx ~all                                   │
│ → Erlaubt Server, für Ihre Domain zu senden               │
└─────────────────────────────────────────────────────────────┘

┌─────────────────────────────────────────────────────────────┐
│                         DKIM                                │
├─────────────────────────────────────────────────────────────┤
│ Typ: TXT                                                   │
│ Name: default._domainkey.ihredomain.com                   │
│ Wert: v=DKIM1; k=rsa; p=IHRE_ÖFFENTLICHE_SCHLÜSSEL        │
│ → Signiert jede E-Mail kryptografisch                     │
└─────────────────────────────────────────────────────────────┘

┌─────────────────────────────────────────────────────────────┐
│                        DMARC                                │
├─────────────────────────────────────────────────────────────┤
│ Typ: TXT                                                   │
│ Name: _dmarc.ihredomain.com                               │
│ Wert: v=DMARC1; p=none; rua=mailto:[email protected]       │
│ → Legt die Richtlinie fest, wenn SPF/DKIM fehlschlägt      │
└─────────────────────────────────────────────────────────────┘

AUTOMATISCHE KONFIGURATION (cPanel) :
1. E-Mail → E-Mail-Zustellbarkeit
2. Klicken Sie auf "Reparieren", wenn Probleme erkannt werden
3. DMARC manuell im Zonen-Editor hinzufügen

EMPFOHLENE DMARC-FORTSCHRITTSSTUFEN :
Phase 1: p=none (Überwachung) → 2-4 Wochen
Phase 2: p=quarantine; pct=25 → 2-4 Wochen  
Phase 3: p=quarantine; pct=100 → 2-4 Wochen
Phase 4: p=reject; pct=100 → Maximale Sicherheit

ÜBERPRÜFUNG :
├── cPanel E-Mail-Zustellbarkeit → Status "Gültig"
├── mail-tester.com → Punktzahl 10/10
├── mxtoolbox.com → Vollständige Überprüfung
└── dig TXT ihredomain.com → Einträge anzeigen
Zurück zur Dokumentation