Gmail und Yahoo: ab 1. Februar 2024 DMARC-Pflicht für Massenversender
Seit dem 1. Februar 2024 setzen Gmail und Yahoo SPF/DKIM/DMARC-Mindestanforderungen für Versender mit mehr als 5000 Nachrichten pro Tag durch. Was das für Transaktions- und Newsletter-Mails heißt.
Inhalt dieses Beitrags
Was ist neu
Seit dem 1. Februar 2024 setzen Gmail und Yahoo neue Mindestanforderungen für Versender durch, die mehr als 5.000 Nachrichten pro Tag an ihre Nutzer senden: SPF- und DKIM-Ausrichtung zur Absender-Domain (Alignment, also dass die geprüfte Domain zur sichtbaren Absender-Domain passt; SPF und DKIM sind die beiden Standard-Verfahren zum Nachweis der Absender-Echtheit), DMARC (die übergeordnete Richtlinie, die beide bündelt) mindestens auf p=none, sauberer From-Header und ein reagibler Abmelde-Link im RFC 8058-Format (ein Standard für das Abmelden mit einem Klick). Mails von Versendern, die das nicht erfüllen, werden in Spam-Ordner bewegt oder abgelehnt.
Für wen ist das? Für alle, die Newsletter oder Massenmails an Gmail- und Yahoo-Adressen versenden.
Was sich praktisch ändert
Transaktions- und Newsletter-Mails ohne saubere DMARC-Konfiguration landen bei Gmail- und Yahoo-Empfängern häufig nicht mehr im Posteingang. Das betrifft besonders Absender über Drittanbieter-Dienste (CRM, Shop-Systeme, Ticket-Lösungen, Marketing-Automations): DKIM wird dort zwar signiert, der signierende Schlüssel liegt aber oft auf einer Subdomain des Dienstleisters, nicht der eigenen Versender-Domain. Damit bricht das DMARC-Alignment. Für Versender unter der 5.000er-Schwelle gelten die Regeln formal nicht, greifen in der Praxis aber auch zunehmend als Spam-Klassifikations-Signal.
Einordnung
Der Hauptartikel E-Mail-Authentizität: SPF, DKIM, DMARC, MTA-STS, DANE im Zusammenspiel hatte p=reject als sauberes Ziel empfohlen. Durch die Gmail/Yahoo-Anforderungen ist der Weg dorthin jetzt ein wirtschaftlicher Faktor und nicht mehr optional. Die Migration bleibt wie beschrieben: drei bis sechs Monate p=none mit Aggregate-Reports (gesammelte Rückmeldungen der Empfänger-Server über bestandene und gescheiterte Prüfungen), dann p=quarantine, dann p=reject. Wer den Schritt auslässt, verliert Zustellraten bei den beiden größten Freemail-Anbietern. Sobald p=quarantine oder p=reject aktiv ist, lohnt der Folgeschritt auf BIMI (Brand Indicators for Message Identification): das eigene Markenlogo erscheint in Gmail, Yahoo und Apple Mail neben dem Absendernamen und erschwert Display-Name-Phishing (Täuschung über einen gefälschten Anzeigenamen) visuell. Den BIMI-Record erzeugen Sie mit dem BIMI-Generator in den Dernium Webtools; das zugehörige VMC (Verified Mark Certificate, ein geprüfter Marken-Nachweis) bestellen Sie direkt bei einem anerkannten Issuer.
Häufige Fragen
Gilt das auch für mich, wenn ich weniger als 5.000 Mails pro Tag sende?
Formal nein - die Pflicht greift erst ab mehr als 5.000 Nachrichten pro Tag an Gmail- oder Yahoo-Adressen. In der Praxis fließen SPF, DKIM und DMARC aber auch bei kleineren Versendern zunehmend in die Spam-Bewertung ein. Eine saubere Konfiguration hilft also unabhängig von der Schwelle.
Warum landen meine Mails trotz DKIM-Signatur im Spam?
Häufig liegt es am gebrochenen Alignment: Versenden Sie über einen Drittanbieter (CRM, Shop, Newsletter-Tool), signiert dieser oft mit einem Schlüssel auf seiner eigenen Subdomain statt auf Ihrer Absender-Domain. DKIM ist dann zwar gültig, passt aber nicht zur sichtbaren Absender-Domain, und DMARC scheitert. Abhilfe schafft ein DKIM-Schlüssel unter Ihrer eigenen Domain (oft als CNAME-Delegation beim Dienstleister einrichtbar).
Muss ich sofort auf p=reject umstellen?
Nein, das ist sogar riskant. Starten Sie für drei bis sechs Monate mit p=none und werten Sie die Aggregate-Reports aus, um alle legitimen Versandquellen zu erfassen. Erst danach gehen Sie über p=quarantine schrittweise auf p=reject. So vermeiden Sie, dass eigene, korrekte Mails versehentlich blockiert werden.