Du hast eine eigene Domain und möchtest darüber E-Mails versenden? Dann reicht es nicht,
einfach nur einen Mailserver einzurichten. Damit deine E-Mails zuverlässig beim
Empfänger ankommen und nicht im Spam-Ordner landen, musst du bestimmte
DNS-Einträge korrekt setzen.
In diesem Beitrag erklären wir dir Schritt für Schritt, welche DNS-Records essenziell
sind und wie du sie einrichtest.
Warum sind DNS-Einträge für den E-Mail-Versand so wichtig?
Wenn du eine E-Mail versendest, prüft der empfangende Mailserver anhand verschiedener
DNS-Einträge, ob deine Nachricht legitim ist. Diese Prüfungen
dienen dem Schutz vor Spam, Phishing und E-Mail-Spoofing.
Fehlen diese Einträge oder sind sie falsch konfiguriert, kann es passieren, dass deine
E-Mails:
- im Spam-Ordner des Empfängers landen
- komplett abgelehnt werden
- als nicht vertrauenswürdig eingestuft werden
Die gute Nachricht: Mit den richtigen DNS-Einträgen stellst du sicher, dass deine E-Mails als seriös erkannt werden und zuverlässig zugestellt werden.
MX-Record (Mail Exchange)
Der MX-Record ist der grundlegendste DNS-Eintrag für den E-Mail-Verkehr. Er teilt anderen Mailservern mit, an welchen Server E-Mails für deine Domain zugestellt werden sollen.
Ohne einen MX-Record wissen andere Server schlicht nicht, wohin sie E-Mails an @deinedomain.de senden sollen.
So sieht ein MX-Record aus:
Die Zahl 10 ist die Priorität. Hast du mehrere
Mailserver, kannst du unterschiedliche Prioritäten vergeben. Der Server mit dem
niedrigsten Wert wird bevorzugt verwendet.
Stelle sicher, dass der Hostname, auf den der MX-Record zeigt, auch einen
A-Record mit der richtigen IP-Adresse hat.
A-Record für den Mailserver
Der A-Record ordnet den Hostnamen deines Mailservers einer IP-Adresse zu. Dies ist notwendig, damit der im MX-Record angegebene Hostname auch tatsächlich aufgelöst werden kann.
Beispiel:
Ersetze 123.456.78.90 durch die tatsächliche statische IP-Adresse deines Mailservers.
SPF-Record (Sender Policy Framework)
Ein SPF-Record legt fest, welche Server berechtigt sind, E-Mails im Namen deiner Domain zu versenden. Empfangende Mailserver prüfen den SPF-Eintrag und können so erkennen, ob eine E-Mail von einem autorisierten Server stammt oder gefälscht ist.
Der SPF-Record wird als TXT-Record in deiner DNS-Zone angelegt.
Beispiel für einen SPF-Record:
Die wichtigsten SPF-Mechanismen:
- ip4: / ip6: – Erlaubt das Senden von einer bestimmten IPv4- bzw. IPv6-Adresse
- a – Erlaubt den Server, der im A-Record der Domain hinterlegt ist
- mx – Erlaubt alle Server, die als MX-Record eingetragen sind
- include: – Bezieht den SPF-Record einer anderen Domain mit ein (z.B. bei Nutzung externer E-Mail-Dienste)
- -all – Lehnt alle Server ab, die nicht explizit erlaubt sind (Hard Fail)
- ~all – Markiert nicht autorisierte Server als verdächtig (Soft Fail)
Tipp: Verwende -all (Hard Fail) statt ~all
(Soft Fail), wenn du sicher bist, dass alle sendenden Server korrekt im SPF-Record
eingetragen sind. Das bietet den besten Schutz gegen Spoofing.
DKIM-Record (DomainKeys Identified Mail)
DKIM ermöglicht es dem Empfänger, zu überprüfen, dass eine E-Mail tatsächlich von deiner Domain stammt und unterwegs nicht verändert wurde. Dazu wird jede ausgehende E-Mail mit einer digitalen Signatur versehen.
So funktioniert DKIM:
-
Dein Mailserver signiert ausgehende E-Mails mit einem privaten Schlüssel.
-
Der zugehörige öffentliche Schlüssel wird als TXT-Record in deiner DNS-Zone veröffentlicht.
-
Der empfangende Server holt sich den öffentlichen Schlüssel aus dem DNS und überprüft damit die Signatur.
Beispiel für einen DKIM-Record:
Der Selector (hier default) wird von deinem Mailserver festgelegt und kann je nach Konfiguration variieren. Den vollständigen öffentlichen Schlüssel erhältst du von deinem Mailserver bzw. deinem E-Mail-Anbieter.
DMARC-Record (Domain-based Message Authentication, Reporting and Conformance)
DMARC baut auf SPF und DKIM auf und gibt dem empfangenden Mailserver eine Anweisung, wie er mit E-Mails umgehen soll, die die SPF- oder DKIM-Prüfung nicht bestehen. Zusätzlich kannst du dir Berichte über fehlgeschlagene Authentifizierungen zusenden lassen.
Beispiel für einen DMARC-Record:
Die wichtigsten DMARC-Parameter:
- p=none – Keine Aktion, nur Monitoring (gut zum Testen)
- p=quarantine – Verdächtige E-Mails werden in den Spam-Ordner verschoben
- p=reject – Nicht authentifizierte E-Mails werden komplett abgelehnt (schärfste Einstellung)
- rua= – E-Mail-Adresse, an die aggregierte Berichte gesendet werden
Empfehlung: Starte zuerst mit p=none, um zu beobachten,
ob alle deine E-Mails korrekt authentifiziert werden. Wechsle dann schrittweise zu
p=quarantine und schließlich zu p=reject.
PTR-Record (Reverse DNS)
Der PTR-Record ist das Gegenstück zum A-Record: Er ordnet eine IP-Adresse einem Hostnamen zu. Viele Mailserver prüfen, ob die IP-Adresse des sendenden Servers einen gültigen PTR-Record hat und ob dieser mit dem Hostnamen übereinstimmt.
Stimmt der PTR-Record nicht, kann es sein, dass deine E-Mails als nicht vertrauenswürdig eingestuft oder sogar abgelehnt werden. Große E-Mail-Anbieter wie Gmail, Outlook oder Yahoo prüfen dies besonders streng.
Beispiel:
Wichtig: Den PTR-Record kannst du in der Regel nicht selbst in deiner DNS-Zone setzen. Er wird vom Betreiber der IP-Adresse (also deinem Hosting-Anbieter) gesetzt. Bei 24fire kannst du den Reverse-DNS-Eintrag direkt über das Kundenpanel konfigurieren.
Zusammenfassung: Alle DNS-Einträge auf einen Blick
Hier ist eine Übersicht aller essenziellen DNS-Einträge für einen zuverlässigen E-Mail-Versand:
-
MX-Record – Gibt an, welcher Server E-Mails für deine Domain empfängt
-
A-Record – Ordnet den Mailserver-Hostnamen einer IP-Adresse zu
-
SPF-Record – Definiert, welche Server E-Mails im Namen deiner Domain senden dürfen
-
DKIM-Record – Signiert E-Mails digital, um Authentizität und Integrität zu bestätigen
-
DMARC-Record – Legt fest, wie mit nicht authentifizierten E-Mails umgegangen wird
-
PTR-Record – Reverse DNS für die IP-Adresse deines Mailservers
E-Mails testen mit Mail-Tester
Nachdem du alle DNS-Einträge korrekt gesetzt hast, solltest du überprüfen, ob deine E-Mails auch wirklich alle Prüfungen bestehen. Dafür empfehlen wir das kostenlose Tool mail-tester.com.
So funktioniert Mail-Tester:
-
Öffne mail-tester.com – dort wird dir eine zufällige E-Mail-Adresse angezeigt.
-
Sende eine ganz normale E-Mail von deinem Mailserver an diese Adresse.
-
Klicke auf der Website auf „Dann überprüfe deine Bewertung“.
-
Du erhältst eine detaillierte Auswertung mit einem Score von 0 bis 10, die dir genau zeigt, was korrekt eingerichtet ist und wo noch Handlungsbedarf besteht.
Mail-Tester prüft unter anderem:
- Ob dein SPF-Record korrekt ist
- Ob deine E-Mail mit DKIM signiert ist
- Ob ein DMARC-Record vorhanden ist
- Ob ein gültiger Reverse DNS (PTR) Eintrag existiert
- Ob deine IP auf einer Blacklist steht
- Ob der E-Mail-Inhalt Spam-typische Merkmale enthält
Ziel: Ein Score von 10/10 zeigt dir, dass dein E-Mail-Setup optimal konfiguriert ist. Solltest du einen niedrigeren Score erhalten, zeigt dir Mail-Tester genau, welche Punkte du noch verbessern musst.
Fazit
Korrekt gesetzte DNS-Einträge sind die Grundlage für einen zuverlässigen E-Mail-Versand. Ohne SPF, DKIM und DMARC riskierst du, dass deine E-Mails im Spam landen oder gar nicht erst zugestellt werden.
Nimm dir die Zeit, alle Einträge sorgfältig einzurichten, und nutze mail-tester.com, um dein Setup zu überprüfen. So stellst du sicher, dass deine E-Mails professionell und zuverlässig ankommen.
Bei Fragen zur DNS-Konfiguration oder zum E-Mail-Setup stehen wir dir selbstverständlich gerne zur Verfügung – unser Support-Team hilft dir jederzeit weiter!