1. Google Workspace – Email Sender Guidelines (offiziell)support.google.com/a/answer/81126 Die offizielle Ansage von Google: Seit Februar 2024 müssen alle E-Mail-Versender, die an Gmail-Konten senden, SPF oder DKIM eingerichtet haben, gültige Forward- und Reverse-DNS-Records pflegen und TLS verwenden – Versender mit mehr als 5'000 Mails pro Tag müssen zusätzlich SPF und DKIM aktiv haben sowie einen DMARC-Eintrag publizieren. Mails, die nicht authentifiziert sind, werden möglicherweise als Spam markiert oder mit Fehlercode 5.7.26 abgewiesen. Wichtigstes Verkaufsargument: das ist keine Empfehlung, sondern eine Vorgabe des grössten Mail-Providers weltweit. Google Support.

2. Gmail Enforcement Update November 2025powerdmarc.com/gmail-enforcement-email-rejection Ab November 2025 hat Google die soft-enforcement-Phase beendet und filtert nicht-konforme Mails nicht mehr nur, sondern verzögert oder lehnt sie aktiv ab. Gleichzeitig wurde das Postmaster-Tools-Dashboard von „Reputation" auf „Compliance Status" mit binärer Pass/Fail-Logik umgestellt. Yahoo und Apple haben 2024 ähnliche Anforderungen angekündigt, Microsoft hat Mitte 2025 eigene Bulk-Sender-Regeln inklusive SPF-, DKIM- und DMARC-Enforcement und Pflicht-TLS ausgerollt. Die ganze Branche zieht gleichzeitig an – wer nicht mitzieht, fliegt aus dem Posteingang. PowerDMARC.

3. Microsoft Outlook Bulk Sender Requirementssupport.higherlogic.com Outlook verlangt seit dem 5. Mai 2025 von Domains, die mehr als 5'000 Mails pro Tag versenden, korrekte SPF-Authentifizierung, gültige DKIM-Validierung und einen DMARC-Eintrag mit mindestens p=none, der zu SPF oder DKIM aligned ist – idealerweise zu beiden. Nicht-konforme Mails können gefiltert oder blockiert werden. Genau das relevante Argument für Schweizer KMU: Microsoft 365 ist im B2B-Posteingangsmarkt dominant. Higher Logic.

4. Valimail – Practical Impact Analysisvalimail.com/blog Macht den Business-Impact greifbar: Authentifizierung, DMARC und saubere Versandpraxis sind nicht mehr optional – legitime, korrekt authentifizierte Versender erreichen den Posteingang zuverlässiger, schlampige oder nicht authentifizierte werden eher rausgefiltert. Compliance mit den Sender-Anforderungen ist nicht länger optional – sie beginnt mit Sichtbarkeit über die Authentifizierungs-Konfiguration. Gut zitierbar für Kundengespräche. Valimail.

5. BSI – E-Mail-Authentifizierung als «Stand der Technik»bsi.bund.de – Technischer Hintergrund. Das deutsche BSI ordnet ein: Für die Authentifizierung von E-Mail-Servern haben sich weltweit die Standards SPF, DKIM und DMARC durchgesetzt – ihre Umsetzung stärkt den Schutz vor Angriffen, bei denen die Identität vertrauenswürdiger Sender-Domains vorgegaukelt wird. Damit gelten die drei Verfahren als „Stand der Technik" – ein Begriff, der über Art. 32 DSGVO und Art. 8 revDSG (technisch-organisatorische Massnahmen) auch in der Schweiz rechtliche Relevanz hat. Wer's nicht implementiert, verzichtet aktiv auf Stand der Technik bei einem zentralen Kommunikationskanal. BSI:

Spam, Phishing und gefälschte Absender gehören heute leider zum eMail-Alltag. Der Missbrauch von eMail-Diensten ist ein ständiger Kampf, denn Angreifende finden immer neue Wege, Schutzmechanismen zu umgehen.

Umso wichtiger ist es, bewährte Technologien konsequent einzusetzen. In diesem Artikel zeige ich dir die drei wichtigsten Schutzmechanismen gegen Spam und gefälschte eMails.

Wie funktioniert SPF?
SPF steht für Sender Policy Framework. Damit wird geprüft, ob eine eMail von einem berechtigten Mailserver versendet wurde. Dafür wird in der DNS-Zone der eMail-Domäne ein Eintrag erstellt. Dieser listet die Systeme auf, die im Namen dieser Domäne Nachrichten versenden dürfen.

Wie funktioniert DKIM?
DKIM steht für Domain Keys Identified Mail. Anders als SPF prüft DKIM nicht die IP-Adresse des sendenden Servers, sondern signiert die Nachricht und den Mail-Header digital. Dafür nutzt das sendende System den privaten Teil eines asymmetrischen Schlüsselpaares. Der öffentliche Schlüssel wird über einen DNS-Record in der eMail-Domäne veröffentlicht. So kann die empfangende Gegenstelle prüfen, ob die Nachricht unverändert ist und tatsächlich von der angegebenen Domäne stammt.

Wofür wird DMARC verwendet?
SPF und DKIM prüfen technische Absenderinformationen, jedoch nicht zwingend die Domäne, die der empfangenden Person im sichtbaren «From»-Feld angezeigt wird. DMARC schliesst diese Lücke. Über einen DNS-Eintrag wird festgelegt, dass mindestens einer der beiden Prüfmechanismen, SPF oder DKIM, mit der sichtbaren Absenderdomäne übereinstimmen muss.

Fazit
Der Schutz deiner eigenen Benutzenden und fremder Empfangender vor gefälschten eMails lässt sich deutlich verbessern, wenn SPF, DKIM und DMARC korrekt eingerichtet sind. Die Umsetzung ist keine Hexerei, braucht aber eine saubere Planung. Das gilt besonders, wenn du externe Partner für den Versand einsetzt, zum Beispiel für Newsletter.

Keel Marktideen sorgt dafür, dass ihr sicher und kompetent im Online-Umfeld bleibt.

1. Google Workspace – Email Sender Guidelines (offiziell)support.google.com/a/answer/81126 Die offizielle Ansage von Google: Seit Februar 2024 müssen alle E-Mail-Versender, die an Gmail-Konten senden, SPF oder DKIM eingerichtet haben, gültige Forward- und Reverse-DNS-Records pflegen und TLS verwenden – Versender mit mehr als 5'000 Mails pro Tag müssen zusätzlich SPF und DKIM aktiv haben sowie einen DMARC-Eintrag publizieren. Mails, die nicht authentifiziert sind, werden möglicherweise als Spam markiert oder mit Fehlercode 5.7.26 abgewiesen. Wichtigstes Verkaufsargument: das ist keine Empfehlung, sondern eine Vorgabe des grössten Mail-Providers weltweit. Google Support.

2. Gmail Enforcement Update November 2025powerdmarc.com/gmail-enforcement-email-rejection Ab November 2025 hat Google die soft-enforcement-Phase beendet und filtert nicht-konforme Mails nicht mehr nur, sondern verzögert oder lehnt sie aktiv ab. Gleichzeitig wurde das Postmaster-Tools-Dashboard von „Reputation" auf „Compliance Status" mit binärer Pass/Fail-Logik umgestellt. Yahoo und Apple haben 2024 ähnliche Anforderungen angekündigt, Microsoft hat Mitte 2025 eigene Bulk-Sender-Regeln inklusive SPF-, DKIM- und DMARC-Enforcement und Pflicht-TLS ausgerollt. Die ganze Branche zieht gleichzeitig an – wer nicht mitzieht, fliegt aus dem Posteingang. PowerDMARC.

3. Microsoft Outlook Bulk Sender Requirementssupport.higherlogic.com Outlook verlangt seit dem 5. Mai 2025 von Domains, die mehr als 5'000 Mails pro Tag versenden, korrekte SPF-Authentifizierung, gültige DKIM-Validierung und einen DMARC-Eintrag mit mindestens p=none, der zu SPF oder DKIM aligned ist – idealerweise zu beiden. Nicht-konforme Mails können gefiltert oder blockiert werden. Genau das relevante Argument für Schweizer KMU: Microsoft 365 ist im B2B-Posteingangsmarkt dominant. Higher Logic.

4. Valimail – Practical Impact Analysisvalimail.com/blog Macht den Business-Impact greifbar: Authentifizierung, DMARC und saubere Versandpraxis sind nicht mehr optional – legitime, korrekt authentifizierte Versender erreichen den Posteingang zuverlässiger, schlampige oder nicht authentifizierte werden eher rausgefiltert. Compliance mit den Sender-Anforderungen ist nicht länger optional – sie beginnt mit Sichtbarkeit über die Authentifizierungs-Konfiguration. Gut zitierbar für Kundengespräche. Valimail.

5. BSI – E-Mail-Authentifizierung als «Stand der Technik»bsi.bund.de – Technischer Hintergrund. Das deutsche BSI ordnet ein: Für die Authentifizierung von E-Mail-Servern haben sich weltweit die Standards SPF, DKIM und DMARC durchgesetzt – ihre Umsetzung stärkt den Schutz vor Angriffen, bei denen die Identität vertrauenswürdiger Sender-Domains vorgegaukelt wird. Damit gelten die drei Verfahren als „Stand der Technik" – ein Begriff, der über Art. 32 DSGVO und Art. 8 revDSG (technisch-organisatorische Massnahmen) auch in der Schweiz rechtliche Relevanz hat. Wer's nicht implementiert, verzichtet aktiv auf Stand der Technik bei einem zentralen Kommunikationskanal. BSI:

Spam, Phishing und gefälschte Absender gehören heute leider zum eMail-Alltag. Der Missbrauch von eMail-Diensten ist ein ständiger Kampf, denn Angreifende finden immer neue Wege, Schutzmechanismen zu umgehen.

Umso wichtiger ist es, bewährte Technologien konsequent einzusetzen. In diesem Artikel zeige ich dir die drei wichtigsten Schutzmechanismen gegen Spam und gefälschte eMails.

Wie funktioniert SPF?
SPF steht für Sender Policy Framework. Damit wird geprüft, ob eine eMail von einem berechtigten Mailserver versendet wurde. Dafür wird in der DNS-Zone der eMail-Domäne ein Eintrag erstellt. Dieser listet die Systeme auf, die im Namen dieser Domäne Nachrichten versenden dürfen.

Wie funktioniert DKIM?
DKIM steht für Domain Keys Identified Mail. Anders als SPF prüft DKIM nicht die IP-Adresse des sendenden Servers, sondern signiert die Nachricht und den Mail-Header digital. Dafür nutzt das sendende System den privaten Teil eines asymmetrischen Schlüsselpaares. Der öffentliche Schlüssel wird über einen DNS-Record in der eMail-Domäne veröffentlicht. So kann die empfangende Gegenstelle prüfen, ob die Nachricht unverändert ist und tatsächlich von der angegebenen Domäne stammt.

Wofür wird DMARC verwendet?
SPF und DKIM prüfen technische Absenderinformationen, jedoch nicht zwingend die Domäne, die der empfangenden Person im sichtbaren «From»-Feld angezeigt wird. DMARC schliesst diese Lücke. Über einen DNS-Eintrag wird festgelegt, dass mindestens einer der beiden Prüfmechanismen, SPF oder DKIM, mit der sichtbaren Absenderdomäne übereinstimmen muss.

Fazit
Der Schutz deiner eigenen Benutzenden und fremder Empfangender vor gefälschten eMails lässt sich deutlich verbessern, wenn SPF, DKIM und DMARC korrekt eingerichtet sind. Die Umsetzung ist keine Hexerei, braucht aber eine saubere Planung. Das gilt besonders, wenn du externe Partner für den Versand einsetzt, zum Beispiel für Newsletter.

Keel Marktideen sorgt dafür, dass ihr sicher und kompetent im Online-Umfeld bleibt.