Wer in letzter Zeit seltsame Bounce-Nachrichten oder Zustellprobleme von Gmail oder Yahoo beobachtet hat, ist damit nicht allein.
Google und Yahoo haben neue E-Mail-Authentifizierungsanforderungen eingeführt, die viele legitime Absender unvorbereitet getroffen haben. Das Ziel: Postfächer durch die Reduzierung von Phishing und Spoofing sicherer zu machen. Das Ergebnis war eine Flut von DMARC-Fehlermeldungen für Domains, die noch nicht vollständig konform sind.
Dieser Leitfaden erklärt, was diese Fehler bedeuten, was sich an den E-Mail-Regeln geändert hat und wie die zugrunde liegenden Probleme behoben werden, damit Nachrichten nicht im Spam landen.
Jahrelang galten SPF, DKIM und DMARC als empfohlene Best Practices. Für Massenversender sind sie inzwischen Pflicht.
Wer täglich mehr als 5.000 E-Mails versendet, muss für Gmail und Yahoo Folgendes erfüllen:
p=quarantine oder p=reject)Diese Regeln sind mittlerweile Bestandteil der offiziellen Absenderrichtlinien beider Anbieter. Auch wer keine großen Volumina versendet, profitiert von der Einhaltung - sie stärkt den Domain-Ruf und sorgt für konsistente Postfachzustellung.
Wenn Nachrichten diese Prüfungen nicht bestehen, senden Gmail und Yahoo spezifische Fehlermeldungen zurück, die bei der Diagnose helfen.
Hier sind die häufigsten authentifizierungsbezogenen Fehler, die auftreten können, zusammen mit ihrer Bedeutung und den entsprechenden Lösungsschritten.
| Fehlermeldung | Bedeutung | Maßnahme |
|---|---|---|
550-5.7.26 This mail is unauthenticated (Gmail) |
Gmail konnte den Absender weder über SPF noch über DKIM verifizieren. | Prüfen, ob SPF und DKIM veröffentlicht sind und mit der „From"-Domain übereinstimmen. |
5.7.1 Email rejected per DMARC policy (Yahoo) |
Der DMARC-Eintrag erzwingt die Ablehnung von Nachrichten, die die Authentifizierung nicht bestehen. | DMARC-Berichte prüfen, um herauszufinden, welche IPs oder Dienste fehlschlagen. |
5.7.25 Message not accepted due to DMARC restrictions (Yahoo) |
Die „From"-Domain des Absenders stimmt nicht mit den SPF- oder DKIM-Ergebnissen überein. | Sicherstellen, dass der Versanddienst E-Mails mit der eigenen Domain signiert, nicht mit einer gemeinsam genutzten. |
5.7.0 Authentication-Results: dmarc=fail (Gmail) |
Die Nachricht hat die DMARC-Ausrichtungsprüfung nicht bestanden. | SPF/DKIM-Ausrichtung prüfen und Fehlkonfigurationen in der E-Mail-Plattform beheben. |
Diese Fehler zeigen, dass mindestens eines der Versandsysteme nicht korrekt authentifiziert ist oder dass die DMARC-Richtlinie bereits durchgesetzt wird, bevor die Allowlist vollständig ist.
Um diese Fehler zu beheben und eine dauerhaft zuverlässige Zustellung sicherzustellen, muss jede Authentifizierungsschicht Schritt für Schritt geprüft werden.
SPF legt fest, welche IPs und Server E-Mails für eine Domain versenden dürfen.
Mit einem Lookup-Tool oder dem DNS-Manager prüfen, ob alle legitimen Absender (z. B. HubSpot, SendGrid, Outlook) eingetragen sind.
Beispiel:
v=spf1 include:sendgrid.net include:hubspotemail.net -all-all bedeutet „alle anderen ablehnen." Fehlt dieser Eintrag, können Spoofing-Versuche weiterhin durchkommen.
DKIM verwendet kryptografische Schlüssel, um zu bestätigen, dass eine Nachricht nicht verändert wurde und von einer autorisierten Domain stammt.
Eine fehlende oder falsch ausgerichtete DKIM-Konfiguration ist eine der häufigsten Ursachen für Gmails „unauthenticated"-Fehler.
Mit einer reinen Monitoring-Richtlinie (d. h. einer None-Richtlinie) beginnen. Das ermöglicht den Empfang von Berichten, ohne bei fehlgeschlagenen Prüfungen Maßnahmen zu ergreifen:
v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.comSobald alle Versandquellen verifiziert und in der Allowlist erfasst sind, zur Durchsetzung übergehen:
v=DMARC1; p=reject; rua=mailto:dmarc-reports@yourdomain.com; aspf=r; adkim=rp=none dient nur zur Beobachtung
p=quarantine verschiebt verdächtige Mails in den Spam
p=reject blockiert sie vollständig
Wer große E-Mail-Volumina versendet, wird von Gmail und Yahoo zu einer der beiden Durchsetzungsstufen verpflichtet.
Sobald DMARC aktiv ist, werden aggregierte Berichte (RUA) und forensische Berichte (RUF) eingehen.
Diese XML-Dateien zeigen, wer im Namen der Domain versendet und ob die Nachrichten die Authentifizierung bestehen. Die Auswertung hilft dabei:
Wie diese Berichte interpretiert werden, erklären folgende Leitfäden:
Selbst bei korrekter Authentifizierung können hohe Spam-Beschwerdequoten die Zustellung beeinträchtigen. Diese Versandpraktiken helfen:
Ein gesunder Domain-Ruf ist ein wesentlicher Bestandteil der Gesamtcompliance.
Einen vollständigen Überblick und einen Fahrplan für die DMARC-Einrichtung und -Implementierung bietet unser Leitfaden zu DMARC-Monitoring und Compliance.
Wer mehrere Domains verwaltet oder über verschiedene Plattformen versendet, weiß, wie aufwendig die Fehlersuche sein kann. DMARCeye vereinfacht diesen Prozess, indem alle Authentifizierungsdaten an einem Ort gesammelt, analysiert und visualisiert werden.
Mit DMARCeye lässt sich:
Anstatt Berichte manuell zu prüfen oder XML-Dateien zu entschlüsseln, übersetzt DMARCeye sie mithilfe von KI in übersichtliche Diagramme und Kennzahlen - so können Probleme behoben werden, bevor sie die Zustellung beeinträchtigen.
Jetzt kostenlos testen: DMARCeye gratis ausprobieren und die E-Mail-Domain schützen.