E-Mails gehören nach wie vor zu den wichtigsten Diensten im Internet. Und trotzdem begegnet man im Alltag immer wieder Mailservern, die so schlecht konfiguriert sind, dass man sich ernsthaft fragt, wie diese überhaupt noch Zustellraten erzielen können.
Die Liste der Probleme ist lang: fehlendes SPF, kaputtes DKIM, kein DMARC, falsches Reverse DNS. Die Folge: E-Mails landen im Spam-Ordner, werden abgelehnt oder schaden langfristig der Reputation der eigenen Domain.
Zeit also für einen Überblick: Wie sollte ein sauber konfigurierter Mailserver heute aufgebaut sein?
Grundvoraussetzung: saubere Basis
Bevor wir über Authentifizierung sprechen, muss die Basis stimmen:
- FQDN für den Mailserver (zum Beispiel
mail.example.com) - Passendes Reverse DNS (PTR-Record) auf die gleiche Domain
- Stimmiger HELO-/EHLO-Hostname, der exakt zum PTR passt
- Statische IP-Adresse (Dynamische IPs sind ein Unding)
Viele Mailprovider prüfen genau diese Punkte zuerst. Wer hier patzt, hat verloren – ganz egal, wie gut SPF oder DKIM aussehen.
IP-Reputation und IPREV
Die IP-Reputation ist einer der wichtigsten Faktoren für die Zustellbarkeit.
IPREV (Reverse DNS Check)
Beim IPREV-Check wird geprüft:
- Gibt es einen PTR-Record?
- Zeigt dieser auf einen gültigen Hostnamen?
- Passt dieser Hostname zum HELO?
Fehlt der PTR-Eintrag oder ist dieser generisch (zum Beispiel dsl-123.provider.net), ist das ein sofortiger Spam-Indikator.
Merke:
Forward- und Reverse-DNS müssen zueinander passen.
SPF – Wer darf für meine Domain senden?
SPF (Sender Policy Framework) legt fest, welche Server E-Mails im Namen einer Domain versenden dürfen.
Beispiel:
„`txt
v=spf1 ip4:192.0.2.10 include:_spf.mailprovider.de -all
Wichtig dabei:
- Nur einen SPF-Record pro Domain
- Maximal 10 DNS-Lookups
- Am Ende idealerweise
-all(hartes Fail)
Ein falsch gesetztes oder zu großzügiges SPF (+all) ist schlimmer als gar kein SPF.
DKIM – kryptografische Signatur für E-Mails
Mit DKIM (DomainKeys Identified Mail) werden ausgehende E-Mails kryptografisch signiert. So kann der empfangende Server die E-Mail prüfen.
- Wurde die Mail verändert?
- Stammt sie wirklich von dieser Domain?
Best Practices:
- 2048-Bit-Schlüssel verwenden
- Regelmäßige Schlüsselrotation
- Pro Mailstream eigene Selector-Namen
Spätestens bei großen Providern wie Google oder Microsoft wird es ohne DKIM kritisch.
DMARC – die Klammer um alles
DMARC verbindet SPF und DKIM und definiert, welche Maßnahmen ergriffen werden sollen, wenn Prüfungen fehlschlagen.
Ein sinnvoller Einstieg:
v=DMARC1; p=none; rua=mailto:dmarc@example.com; ruf=mailto:dmarc@example.com; fo=1
Später dann:
p=quarantine- oder konsequent
p=reject
DMARC bietet außerdem:
- Reporting (wer sendet in deinem Namen?)
- Schutz vor Spoofing & Phishing
- Kontrolle über die eigene Domain-Reputation
Wer heute ohne DMARC unterwegs ist, verschenkt Kontrolle, denn DMARC ist ein Werkzeug, das es ermöglicht, die Sicherheit und Integrität der eigenen E-Mail-Kommunikation zu gewährleisten.
TLS, MTA-STS und DANE
Moderne Mailserver sollten E-Mails stets verschlüsselt übertragen. TLS ist dafür der Standard und sollte korrekt konfiguriert sein, inklusive deaktivierter veralteter Protokolle und schwacher Cipher.
Optional kann zusätzlich MTA-STS eingesetzt werden. Dies verbessert die Sicherheit und Zustellbarkeit, indem großen Providern signalisiert wird, dass der Mailserver weitere moderne Sicherheitsstandards unterstützt. Ebenso kann DANE in Verbindung mit DNSSEC genutzt werden, um die Verbindungsabsicherung weiter zu stärken.
Selbst wenn nicht alle Gegenstellen MTA-STS oder DANE prüfen, stellt deren Implementierung einen zusätzlichen Qualitäts- und Sicherheitsvorteil für den eigenen Mailserver dar.
Monitoring und Tests
Ein Mailserver ist kein „Einmal einstellen und vergessen“-System, sondern erfordert regelmäßige Pflege und Wartung.
Regelmäßig prüfen:
- SPF / DKIM / DMARC mit Werkzeuge
- Blacklistings
- DMARC-Reports auswerten
- Logfiles analysieren
Selbst kleine Änderungen, wie beispielsweise ein neuer Newsletter-Anbieter, können sonst unbemerkt Probleme verursachen.
Fazit
Ein sauber konfigurierter Mailserver ist keine Hexerei – aber er erfordert Sorgfalt.
Wer sich die Zeit nimmt, IPREV, SPF, DKIM, DMARC und TLS korrekt umzusetzen, profitiert von:
- besserer Zustellbarkeit
- höherer Sicherheit
- stabiler Domain-Reputation
Und ganz ehrlich: Es gibt kaum etwas Nervigeres als E-Mails, die eigentlich korrekt sind, aber aufgrund einer schlampigen Konfiguration im Spam-Ordner landen oder sogar komplett abgelehnt werden.
Grüße, Lorenzo
PS: Du darfst diesen Blogbeitrag hier mit den nachfolgenden Buttons gerne teilen:
Ein schlecht konfigurierter Mailserver ist ein (vermeidbarer) Luxus. 😉
Ein gutes 2026 Dir.
Absolut! 🙂
Und leider immer noch ein Luxus, den sich zu viele leisten.
Danke dir – ebenfalls ein gutes 2026!