Wer 2026 noch fragt, ob SPF und DKIM reichen, hat den wichtigsten Trend schon verpasst: Die Frage heißt längst nicht mehr „ob“, sondern „wie streng“. Mailboxanbieter wie GMX, Web.de, T-Online, Gmail und Outlook prüfen Authentifizierung nicht mehr nur als Checkbox, sondern als Grundlage für Reputationsentscheidungen. Wer hier Lücken hat, landet in DACH zunehmend direkt im Spam- oder Werbeordner, unabhängig vom Inhalt der Mail.
Trend 1: DMARC bewegt sich von p=none zu echtem Enforcement
Lange Zeit war ein DMARC-Eintrag mit p=none schon ein Fortschritt – reines Monitoring, ohne dass etwas blockiert wird. Der klare Trend für 2026: Immer mehr Domains, vor allem im E-Commerce und bei Versendern mit größerem Volumen, gehen bewusst auf p=quarantine oder p=reject. Getrieben wird das durch die inzwischen etablierten Anforderungen von Google und Yahoo an Massenversender: SPF und DKIM verpflichtend, DMARC mindestens im Monitoring-Modus, eine Spam-Rate unter 0,3 % in den Postmaster Tools sowie funktionierendes One-Click-Unsubscribe nach RFC 8058. Diese Regeln gelten technisch nur für Gmail und Yahoo, wirken aber faktisch als Branchenstandard – auch für Empfänger bei GMX, Web.de oder T-Online orientieren sich viele Absender inzwischen an denselben Vorgaben, einfach weil es keinen Grund gibt, zwei verschiedene Setups zu pflegen.
Trend 2: Der deutsche ESP- und Shop-Markt zieht nach
CleverReach und rapidmail verlangen in ihren Panels inzwischen eine explizite Verifizierung von Absenderdomain und -adresse, bevor ein Versand möglich ist. Auch Mailjet DE und Brevo (früher Newsletter2Go) setzen auf domainbasierte Authentifizierung als Voraussetzung für stabile Zustellraten. Bei Shop-Systemen ist der Trend besonders deutlich sichtbar: Shopware und JTL-Shop versenden Transaktionsmails standardmäßig über den Hosting-Server – ohne eigene SPF/DKIM-Konfiguration für die Shop-Domain landet diese Post-Kauf-Kommunikation regelmäßig im Spamordner. Dasselbe gilt für WooCommerce auf WordPress, wo wp_mail() ohne SMTP-Plugin faktisch im Namen des Hosting-Servers spricht, sowie für Shopify DE, das eigene Domain-Versand erst nach Verifizierung der SPF/DKIM-Einträge erlaubt. HubSpot DE im B2B-Marketing verlangt ebenfalls eine verifizierte eigene Absenderdomain, bevor Kampagnen im vollen Umfang laufen.
Trend 3: BIMI wird sichtbarer, ist aber noch lange nicht Standard
BIMI (Brand Indicators for Message Identification) zeigt das verifizierte Markenlogo direkt neben der Nachricht im Posteingang – vorausgesetzt, DMARC ist bereits im Enforcement-Modus und ein VMC (Verified Mark Certificate) liegt vor. In DACH ist BIMI 2026 klar ein Trend-Thema, aber noch keine Selbstverständlichkeit: Die Voraussetzung eines strengen DMARC-Enforcements schreckt viele Domains ab, die ihre Zustellung nicht gefährden wollen, bevor sie BIMI überhaupt in Erwägung ziehen. Wer BIMI einführen will, geht damit implizit den Trend 1 (Enforcement) konsequent zu Ende.
Trend 4: MTA-STS und Transportverschlüsselung rücken nach
Während SPF/DKIM/DMARC den Absender und die Integrität der Nachricht adressieren, sichert MTA-STS die Transportstrecke zwischen Mailservern ab und verhindert Downgrade-Angriffe auf unverschlüsselte SMTP- Verbindungen. Der Trend ist ähnlich wie bei BIMI: wachsende Aufmerksamkeit, aber noch weit von flächendeckender Verbreitung entfernt. Privacy-orientierte deutsche Anbieter wie Posteo und mailbox.org gehören traditionell zu den Vorreitern bei solchen Sicherheitsmechanismen, weil ihre Zielgruppe explizit danach fragt.
Trend 5: Recht und Technik wachsen zusammen
Technische Authentifizierung und rechtliche Anforderungen laufen 2026 immer stärker parallel. Das UWG §7 verlangt für kommerzielle E-Mail-Werbung eine vorherige Einwilligung, in der Praxis dokumentiert über Double-Opt-in. Die DSGVO regelt die E-Mail-Adresse als personenbezogenes Datum, das TTDSG ergänzt das für Telekommunikations- und Telemediendienste – relevant unter anderem für Öffnungs- und Klick-Tracking in Newslettern. Wer technisch sauber authentifiziert ist, aber rechtlich keine Einwilligung nachweisen kann, wird trotzdem als Spam gemeldet – und genau diese Beschwerderate fließt wieder in die Reputationsbewertung von GMX, Web.de und T-Online ein. Die beiden Ebenen lassen sich in DACH praktisch nicht mehr getrennt betrachten.
Was bedeutet das konkret für deinen Versand?
- SPF und DKIM sauber für jede versendende Domain und jeden Dienst (ESP, Shop, CRM) einrichten.
- DMARC nicht bei
p=nonestehen lassen, sondern schrittweise Richtung Enforcement planen. - Bei Shopware, JTL-Shop, WooCommerce und Shopify: Transaktionsmails über eine verifizierte eigene Domain versenden, nicht über den Standard-Hosting-Server.
- Double-Opt-in als Nachweis der Einwilligung dokumentieren, nicht nur technisch, sondern auch prozessual.
- Regelmäßig testen statt einmalig einzurichten – Provider-Anforderungen und eigene Infrastruktur ändern sich.
Einen aktuellen Blick auf die Verbreitung dieser Standards über Millionen Domains hinweg liefert der laufende Scan unter /email-stats/, der SPF-, DKIM-, DMARC-, BIMI- und MTA-STS-Adoption wöchentlich neu erhebt.