Daten & Statistiken8 Min. Lesezeit

SPF, DKIM, DMARC: Wie viele deutsche Domains nutzen es wirklich?

Ein SPF-Eintrag ist schnell gesetzt, eine funktionierende Authentifizierungskette dagegen selten. Wir ordnen ein, was „Verbreitung“ bei SPF, DKIM und DMARC in Deutschland tatsächlich bedeutet.

Wer „SPF DKIM DMARC Verbreitung Deutschland" sucht, will meistens eine einfache Zahl: Wie viel Prozent der deutschen Domains haben das eingerichtet? Die ehrliche Antwort ist unbequemer, aber nützlicher: Es kommt darauf an, welchen der drei Standards du meinst, und ob ein bloßer DNS-Eintrag oder eine tatsächlich wirksame Konfiguration gezählt wird. Ein SPF-Record ohne passendes DKIM, oder ein DMARC-Eintrag mit p=none, der nie durchgesetzt wird, taucht in vielen Statistiken als „vorhanden" auf – schützt die Domain in der Praxis aber kaum vor Spoofing.

Warum diese Verbreitung überhaupt zählt

GMX, Web.de, T-Online, Gmail und Outlook bewerten eingehende Mail nicht nur nach Inhalt, sondern nach der Frage: Darf dieser Absender-Server im Namen dieser Domain überhaupt Mail verschicken? SPF beantwortet das über die IP-Adresse, DKIM über eine kryptografische Signatur, DMARC verknüpft beide mit einer Regel dafür, was bei einem Fehlschlag passieren soll. Google und Yahoo verlangen von Massenversendern inzwischen ausdrücklich SPF und DKIM, mindestens DMARC mit p=none, eine One-Click-Abmeldung nach RFC 8058 sowie eine Spam-Rate unter 0,3 % in den Postmaster Tools. Diese Anforderungen gelten für jeden deutschen Absender, dessen Mail bei Gmail- oder Yahoo-Postfächern landet – unabhängig davon, ob der eigentliche Empfänger GMX oder Web.de nutzt.

SPFPrüft die sendende IP gegen die erlaubte Absenderliste der DomainDKIMSigniert die Nachricht kryptografisch – bestätigt Unversehrtheit und HerkunftDMARCLegt die Regel fest: none, quarantine oder reject bei fehlgeschlagener Prüfung
Wie SPF, DKIM und DMARC zusammenspielen

Wie wir Verbreitung messen: der Tranco-Scan

Statt eine einzelne Zahl zu behaupten, veröffentlichen wir unter /email-stats/ einen wöchentlich aktualisierten Scan der Tranco-Top-1-Million-Domains. Dabei werden MX-Provider, SPF-, DKIM- und DMARC-Einträge sowie die Verbreitung von BIMI und MTA-STS erfasst – live, nicht geschätzt. Für einzelne Länder wie Deutschland lässt sich diese Datenbasis filtern, sodass du die aktuelle Momentaufnahme statt einer veralteten Studie siehst. Genau deshalb verzichten wir hier bewusst auf feste Prozentangaben: Die Zahlen verändern sich laufend, und die Live-Daten sind verlässlicher als jede eingefrorene Statistik in einem Blogartikel.

SPF ist fast Standard – DKIM und DMARC hinken oft hinterher

In der Praxis zeigt sich bei diesen Scans ein wiederkehrendes Muster, das auch für deutsche Domains gilt: SPF-Einträge sind mittlerweile weit verbreitet, weil sie einfach zu setzen sind – ein einziger TXT-Record reicht aus. DKIM erfordert dagegen die Konfiguration auf Server- oder ESP-Seite und wird seltener korrekt implementiert, gerade bei Domains, die über mehrere Versandsysteme gleichzeitig laufen (Website-Formular, Newsletter-Tool, CRM). DMARC wiederum wird zwar zunehmend gesetzt, aber meist nur mit der schwächsten Policy p=none, die lediglich Berichte sammelt, ohne Spoofing tatsächlich zu blockieren. Wie groß dieser Unterschied zwischen „none" und einer wirklich durchgesetzten Policy ausfällt, behandeln wir vertiefend im Artikel zu p=none vs. p=reject.

v=DMARC1; p=none; rua=mailto:dmarc@beispiel.deKennzeichnet den Record als DMARC-EintragSchwächste Policy – nur Reporting, keine Durchsetzung
Beispiel eines DMARC-Eintrags und seiner Bestandteile
Der schnellste Weg zur eigenen Zahl
Statistiken über andere Domains sind interessant, aber die einzige Zahl, die für dich wirklich zählt, ist die deiner eigenen Domain. Mit dem kostenlosen Inbox-Placement-Test siehst du in wenigen Minuten, ob SPF, DKIM und DMARC bei GMX, Web.de, T-Online, Gmail und weiteren Anbietern tatsächlich grün sind – ganz ohne Registrierung.

Was das für deutsche Absender in der Praxis bedeutet

Viele deutsche Shops und Mailings laufen über Systeme, die Authentifizierung nicht automatisch korrekt setzen. Shopware- und JTL-Shop-Installationen verschicken Transaktionsmails oft über den Standard-Hosting-Server, was ohne eigenen SMTP-Connector selten sauber mit SPF/DKIM der eigenen Domain übereinstimmt. WooCommerce-Installationen senden über wp_mail() standardmäßig im Namen des Hosting-Servers, nicht der eigenen Domain – ein SMTP-Plugin mit korrekt hinterlegten Records ist hier Pflicht. Bei Shopify muss die eigene Absenderdomain erst über die vorgegebenen SPF/DKIM-Einträge verifiziert werden, sonst greift der Shopify-Standardversand. Auch ESPs wie CleverReach, rapidmail, Brevo oder Mailjet DE verlangen inzwischen eine Verifizierung von Absender und Domain in der Plattform, bevor Kampagnen zuverlässig zugestellt werden. Wer diese Schritte überspringt, taucht in keiner offiziellen Statistik als „SPF/DKIM fehlt" auf – landet aber trotzdem häufiger im Spam-Ordner von GMX, Web.de oder T-Online.

Rechtlicher Rahmen: Authentifizierung ist mehr als Technik

In Deutschland kommt zur technischen Seite noch die rechtliche hinzu. Das UWG verlangt für kommerzielle E-Mail-Werbung eine vorherige Einwilligung, in der Praxis meist über Double-Opt-in nachgewiesen. DSGVO und TTDSG regeln zusätzlich den Umgang mit E-Mail-Adressen als personenbezogene Daten sowie Tracking-Fragen rund um Öffnungen und Klicks. Eine sauber authentifizierte Domain schützt zwar nicht direkt vor Abmahnungen wegen fehlender Einwilligung, signalisiert Providern aber, dass ein Absender es mit seiner Infrastruktur ernst meint – und das wirkt sich indirekt auch auf die Zustellrate der rechtlich einwandfreien Mails aus.

Warum nennt ihr keine konkrete Prozentzahl für die Verbreitung in Deutschland?

Weil sich diese Werte laufend ändern und stark davon abhängen, ob nur das Vorhandensein eines DNS-Eintrags oder eine korrekt funktionierende Konfiguration gezählt wird. Statt eine eingefrorene Zahl zu behaupten, verlinken wir auf den live aktualisierten Scan unter /email-stats/, der die Tranco-Top-1-Million-Domains regelmäßig neu erfasst.

Reicht SPF allein aus, um bei GMX, Web.de oder T-Online im Posteingang zu landen?

Nein. SPF prüft nur die sendende IP, nicht die Signatur der Nachricht selbst. Ohne DKIM und eine sinnvolle DMARC-Policy bleibt eine Lücke, die Spoofing erlaubt und von strengeren Filtern wie dem von T-Online negativ bewertet werden kann. Alle drei Standards gehören zusammen.

Wie finde ich heraus, ob meine eigene Domain korrekt konfiguriert ist?

Am zuverlässigsten mit einem echten Zustelltest statt einer reinen DNS-Prüfung: Der kostenlose Inbox-Placement-Test schickt eine Testmail an Seed-Adressen bei über 20 Anbietern und zeigt dir, ob SPF, DKIM und DMARC dort tatsächlich als bestanden gewertet werden – inklusive Ordner-Platzierung und Screenshot des gerenderten Ergebnisses.
Weiterführende Artikel
Found this useful? Share it
AB
Über den Autor
Artem Berezin
B2B Deliverability Specialist

B2B deliverability specialist with 5+ years of hands-on outreach experience. Built campaigns reaching 90,000+ inboxes across 20+ countries — and fixed the deliverability problems that came with that scale.

Prüfen Sie Ihre Zustellbarkeit bei über 20 Providern

Gmail, Outlook, Yahoo, GMX, Web.de, ProtonMail und mehr. Echte Posteingang-Screenshots, SPF/DKIM/DMARC, Spamfilter-Urteile. Kostenlos, ohne Anmeldung.

Kostenlosen Test starten →

Unbegrenzte Tests · 20+ Seed-Postfächer · Live-Ergebnisse · Kein Konto nötig