Wer „SPF DKIM DMARC Verbreitung Deutschland" sucht, will meistens eine einfache Zahl: Wie viel Prozent der deutschen Domains haben das eingerichtet? Die ehrliche Antwort ist unbequemer, aber nützlicher: Es kommt darauf an, welchen der drei Standards du meinst, und ob ein bloßer DNS-Eintrag oder eine tatsächlich wirksame Konfiguration gezählt wird. Ein SPF-Record ohne passendes DKIM, oder ein DMARC-Eintrag mit p=none, der nie durchgesetzt wird, taucht in vielen Statistiken als „vorhanden" auf – schützt die Domain in der Praxis aber kaum vor Spoofing.
Warum diese Verbreitung überhaupt zählt
GMX, Web.de, T-Online, Gmail und Outlook bewerten eingehende Mail nicht nur nach Inhalt, sondern nach der Frage: Darf dieser Absender-Server im Namen dieser Domain überhaupt Mail verschicken? SPF beantwortet das über die IP-Adresse, DKIM über eine kryptografische Signatur, DMARC verknüpft beide mit einer Regel dafür, was bei einem Fehlschlag passieren soll. Google und Yahoo verlangen von Massenversendern inzwischen ausdrücklich SPF und DKIM, mindestens DMARC mit p=none, eine One-Click-Abmeldung nach RFC 8058 sowie eine Spam-Rate unter 0,3 % in den Postmaster Tools. Diese Anforderungen gelten für jeden deutschen Absender, dessen Mail bei Gmail- oder Yahoo-Postfächern landet – unabhängig davon, ob der eigentliche Empfänger GMX oder Web.de nutzt.
Wie wir Verbreitung messen: der Tranco-Scan
Statt eine einzelne Zahl zu behaupten, veröffentlichen wir unter /email-stats/ einen wöchentlich aktualisierten Scan der Tranco-Top-1-Million-Domains. Dabei werden MX-Provider, SPF-, DKIM- und DMARC-Einträge sowie die Verbreitung von BIMI und MTA-STS erfasst – live, nicht geschätzt. Für einzelne Länder wie Deutschland lässt sich diese Datenbasis filtern, sodass du die aktuelle Momentaufnahme statt einer veralteten Studie siehst. Genau deshalb verzichten wir hier bewusst auf feste Prozentangaben: Die Zahlen verändern sich laufend, und die Live-Daten sind verlässlicher als jede eingefrorene Statistik in einem Blogartikel.
SPF ist fast Standard – DKIM und DMARC hinken oft hinterher
In der Praxis zeigt sich bei diesen Scans ein wiederkehrendes Muster, das auch für deutsche Domains gilt: SPF-Einträge sind mittlerweile weit verbreitet, weil sie einfach zu setzen sind – ein einziger TXT-Record reicht aus. DKIM erfordert dagegen die Konfiguration auf Server- oder ESP-Seite und wird seltener korrekt implementiert, gerade bei Domains, die über mehrere Versandsysteme gleichzeitig laufen (Website-Formular, Newsletter-Tool, CRM). DMARC wiederum wird zwar zunehmend gesetzt, aber meist nur mit der schwächsten Policy p=none, die lediglich Berichte sammelt, ohne Spoofing tatsächlich zu blockieren. Wie groß dieser Unterschied zwischen „none" und einer wirklich durchgesetzten Policy ausfällt, behandeln wir vertiefend im Artikel zu p=none vs. p=reject.
Was das für deutsche Absender in der Praxis bedeutet
Viele deutsche Shops und Mailings laufen über Systeme, die Authentifizierung nicht automatisch korrekt setzen. Shopware- und JTL-Shop-Installationen verschicken Transaktionsmails oft über den Standard-Hosting-Server, was ohne eigenen SMTP-Connector selten sauber mit SPF/DKIM der eigenen Domain übereinstimmt. WooCommerce-Installationen senden über wp_mail() standardmäßig im Namen des Hosting-Servers, nicht der eigenen Domain – ein SMTP-Plugin mit korrekt hinterlegten Records ist hier Pflicht. Bei Shopify muss die eigene Absenderdomain erst über die vorgegebenen SPF/DKIM-Einträge verifiziert werden, sonst greift der Shopify-Standardversand. Auch ESPs wie CleverReach, rapidmail, Brevo oder Mailjet DE verlangen inzwischen eine Verifizierung von Absender und Domain in der Plattform, bevor Kampagnen zuverlässig zugestellt werden. Wer diese Schritte überspringt, taucht in keiner offiziellen Statistik als „SPF/DKIM fehlt" auf – landet aber trotzdem häufiger im Spam-Ordner von GMX, Web.de oder T-Online.
Rechtlicher Rahmen: Authentifizierung ist mehr als Technik
In Deutschland kommt zur technischen Seite noch die rechtliche hinzu. Das UWG verlangt für kommerzielle E-Mail-Werbung eine vorherige Einwilligung, in der Praxis meist über Double-Opt-in nachgewiesen. DSGVO und TTDSG regeln zusätzlich den Umgang mit E-Mail-Adressen als personenbezogene Daten sowie Tracking-Fragen rund um Öffnungen und Klicks. Eine sauber authentifizierte Domain schützt zwar nicht direkt vor Abmahnungen wegen fehlender Einwilligung, signalisiert Providern aber, dass ein Absender es mit seiner Infrastruktur ernst meint – und das wirkt sich indirekt auch auf die Zustellrate der rechtlich einwandfreien Mails aus.