Zwei Anbieter signieren mehr als die Hälfte aller Mails in unserem Q1-2026-Datensatz. Die Signatur von Klaviyo erscheint auf 30,5 % der E-Mails, die wir einem Anbieter zuordnen konnten. Amazon SES taucht auf weiteren 27,9 % auf. Das sind 58,4 % aus zwei Anbietern. Alle anderen, also SendGrid, Google, Mailchimp, Microsoft, Mailgun, SparkPost, Yotpo, HubSpot, Mailjet sowie der lange Schwanz kundenspezifischer Signaturdomains, teilen sich den Rest. Wenn Sie für Ihr Unternehmen Marketing- oder Transaktions-E-Mails verschicken, ist die Wahrscheinlichkeit hoch, dass Ihre Nachrichten durch eine dieser Leitungen laufen. Wie diese Anbieter mit der Authentifizierung umgehen, entscheidet darüber, ob Ihre echten Mails im Posteingang oder im Spam landen.
Dieser Beitrag entpackt das Ergebnis zur Anbieterkonzentration aus dem DMARCeye-Branchenbericht für Q1 2026. Der vollständige Bericht mit allen 12 Auswertungen und der Methodik liegt unten.
Wir haben jede Nachricht danach gruppiert, wer sie abgefertigt hat. Jede ausgehende E-Mail trägt eine digitale Signatur des Anbieters, der sie verschickt hat. Mail, die mit klaviyomail.com signiert ist, kam von Klaviyo. Mail, die mit mcsv.net signiert ist, kam von Mailchimp. Hier sind die Top 12 plus eine Sammelkategorie für Marken mit eigenen Signaturdomains, kleinere regionale Anbieter und interne Mailsysteme:
Zwei Dinge. Erstens ist diese Verteilung sehr steil. Die Top 2 signieren 58 %, die nächsten 9 Anbieter zusammen rund 17 %. Zweitens besteht die Kategorie „Sonstige“ mit 24,3 % überwiegend aus kundeneigenen Signaturdomains, was bedeutet: Ein nennenswerter Teil der Mails wird mit Domains signiert, die der Empfänger keiner Marke zuordnen kann. Die Gruppierung nach DKIM-Signatur funktioniert für die großen Anbieter, verwischt aber alles im langen Schwanz, wo Domains mit eigenen Namen signieren.
Die Q1-Daten zeigen die Konzentration. Sie sagen uns nicht, warum sich eine bestimmte Marke für Klaviyo oder Amazon SES entscheidet. Behandeln Sie die folgenden Muster als fundierte Vermutungen, nicht als Erkenntnisse:
Die Zahlen spiegeln das Q1-2026-Volumen wider, das über DKIM-identifizierbare Domains signiert wurde. Der Mix einer einzelnen Marke wird vom Durchschnitt abweichen.
In diesen Zahlen steckt ein nützlicheres Muster: Die meisten Anbieter erreichen 99 % DMARC-Compliance nicht dadurch, dass sie sowohl SPF als auch DKIM bestehen, sondern dadurch, dass sie sich auf DKIM stützen, wenn SPF stolpert.
Mailchimp ist das deutlichste Beispiel: Ihr SPF scheitert in 89,2 % der Fälle, und trotzdem liegt ihre DMARC-Pass-Rate bei 98,9 %. DKIM fängt das auf. Am anderen Ende scheitert das DKIM von Mailgun in 22,9 % der Fälle, was die Gesamtcompliance auf 77 % drückt. Wenn DKIM schwächelt, gleicht nichts anderes das aus.
Wenn Sie über einen dieser Anbieter versenden, leistet DKIM den Großteil der Arbeit. Ihr SPF-Record ist für einen relevanten Teil Ihres ausgehenden Verkehrs vermutlich nicht auf die sendende IP ausgerichtet, und Ihnen ist das wahrscheinlich nicht aufgefallen, weil DKIM die Nachricht rettet.
Wenn sich Ihre echten Mails bei der Authentifizierung auf DKIM verlassen, drängt sich die nächste Frage auf: Ist DKIM für Ihre Domain überhaupt korrekt eingerichtet? Geben Sie unten Ihre Domain ein. Die Prüfung schlägt Ihren veröffentlichten DKIM-Record nach und zeigt Ihnen, was sie findet.
Wenn Ihre Marketing-Mails über Klaviyo laufen, Ihre Transaktions-Mails über SES (oder beides) und Sie diese Dienste nie ausdrücklich für Ihre Domain authentifiziert haben, machen Sie eine kurze Prüfung:
klaviyomail.com und Amazon SES mit der eigenen Domain. Beide lassen sich so einrichten, dass sie stattdessen mit Ihrer Domain signieren, und genau das lässt DMARC bestehen. Bleibt die Signatur auf der Anbieter-Domain, scheitert Ihre Mail für diesen Absender bei DMARC.Die eigentliche Korrektur ist klein: Die Anbieter-Doku führt Sie durch die SPF- und DKIM-Schritte, und die meisten Anbieter veröffentlichen Anleitungen zum Kopieren und Einfügen. Schwerer ist die Frage, welche Dienste überhaupt unter Ihrem Namen verschicken. Der kostenlose Tarif von DMARCeye deckt eine Domain ab und zeigt Ihnen in den Aggregat-Reports Woche für Woche jeden Dienst, der für Sie signiert. Zwei bis vier Wochen Daten reichen meist, um die Absender zu finden, die Sie vergessen hatten.
Wenn Sie zur 24-Prozent-Kategorie „Sonstige“ gehören, haben Sie wahrscheinlich Ihr eigenes DKIM-Signing eingerichtet oder nutzen einen kleineren regionalen Mail-Anbieter. Die Geschichte der Top-Anbieter-Konzentration trifft Sie nicht direkt, der grundlegende Punkt aber schon: DMARC-Aggregat-Reports sind der einzige Weg, um zu sehen, was tatsächlich in Ihrem Namen verschickt wird. Wenn Sie zum ersten Mal einen echten Report einer Domain lesen, die Sie zu kennen glaubten, finden Sie mit hoher Wahrscheinlichkeit mindestens einen vergessenen Absender und mindestens einen falsch konfigurierten. Den breiteren Blick darauf, was der Q1-2026-Datensatz domainübergreifend zeigt, finden Sie in der Analyse zur Durchsetzungslücke bei DMARC.
Unser vollständiger DMARC-Implementierungsleitfaden deckt den ganzen Weg von „kein Record“ bis zur durchgesetzten Policy ab. Die Absenderregeln von Google und Yahoo vom Februar 2024 liefern zusätzlichen Kontext für Absender ab 5.000 Nachrichten pro Tag.
Zwei Anbieter befördern den Großteil der Mails in unserem Q1-2026-Datensatz. Wenn Sie Marketing- oder Transaktions-E-Mails verschicken, fließen Ihre Nachrichten mit hoher Wahrscheinlichkeit über einen davon. Und egal, welche Anbieter Sie nutzen: Ihre Authentifizierung hängt vermutlich an DKIM, während SPF nebenher stolpert. Nichts davon ist tödlich. DMARC-Compliance kann hoch sein, auch wenn SPF die meiste Zeit scheitert, weil DKIM dort durchhält, wo SPF aufgibt. Aber „hohe Compliance“ verdeckt oft „ich habe keine Ahnung, was meine Domain eigentlich tut“. Der Ausweg ist derselbe wie immer: Reports lesen, Absender dokumentieren, die nicht authentifizierten reparieren.