DNS und E-Mail-Migration: MX, SPF, DKIM und DMARC verstehen | InfoSwitch - Migration vers Infomaniak

Zurück zum Blog Technik

DNS und E-Mail-Migration: MX, SPF, DKIM und DMARC verstehen

Das InfoSwitch-Team 30 décembre 2025 12 Min. gelesen

Bei einer E-Mail-Migration ist die DNS-Konfiguration oft der technisch anspruchsvollste Teil. MX, SPF, DKIM, DMARC... Diese Abkürzungen können einschüchternd wirken. Dennoch ist ihr Verständnis unerlässlich, um die Zustellbarkeit Ihrer E-Mails sicherzustellen und zu verhindern, dass Nachrichten im Spam landen.

Infomaniak Mail-Hosting

Überblick: Wie E-Mail funktioniert

Wenn Sie eine E-Mail an kontakt@beispiel.de senden, passiert Folgendes:

  1. Ihr E-Mail-Server sucht die MX-Einträge für beispiel.de
  2. Er erhält die Adresse des Empfangsservers
  3. Er stellt eine Verbindung her und übermittelt die E-Mail
  4. Der Zielserver prüft SPF, DKIM und DMARC vor der Annahme
  5. Die E-Mail kommt (oder nicht) im Posteingang des Empfängers an

Jeder DNS-Eintrag spielt eine spezifische Rolle in diesem Prozess.

MX-Eintrag: Die Adresse Ihres Mail-Servers

Wozu dient der MX-Eintrag?

Der MX-Eintrag (Mail eXchanger) gibt an, welcher Server E-Mails für Ihre Domain empfangen soll. Stellen Sie ihn sich als die Postanschrift für Ihr digitales Postfach vor.

Format des MX-Eintrags

beispiel.de. IN MX 10 mail.beispiel.de.

  • beispiel.de – Ihre Domain
  • IN MX – Eintragstyp
  • 10 – Priorität (niedriger = höhere Priorität)
  • mail.beispiel.de – Zielserver

MX für Infomaniak

Um Infomaniak-Server zu nutzen, konfigurieren Sie:

Typ Name Wert Priorität
MX @ (oder leer) mta.infomaniak.ch 10

Priorität und Redundanz

Sie können mehrere MX-Einträge mit unterschiedlichen Prioritäten definieren. Wenn der primäre Server nicht verfügbar ist, übernimmt der nächste:

  • MX 10 mail-primaer.beispiel.de (zuerst versucht)
  • MX 20 mail-sekundaer.beispiel.de (wenn der erste ausfällt)

SPF: Wer darf senden?

Wozu dient SPF?

SPF (Sender Policy Framework) listet die Server auf, die autorisiert sind, E-Mails für Ihre Domain zu senden. Es ist ein Schutz gegen Identitätsfälschungen.

Wenn ein Server eine E-Mail von @beispiel.de empfängt, prüft er, ob der Sendeserver im SPF-Eintrag von beispiel.de aufgeführt ist. Wenn nicht, ist die E-Mail verdächtig.

Format des SPF-Eintrags

v=spf1 include:spf.infomaniak.ch ~all

  • v=spf1 – SPF-Protokollversion
  • include: – Schließt die autorisierten Server einer anderen Domain ein
  • ~all – Richtlinie für andere Server (soft fail)

SPF für Infomaniak

Typ Name Wert
TXT @ (oder leer) v=spf1 include:spf.infomaniak.ch ~all

SPF-Mechanismen

  • a – Autorisiert die IP aus dem A-Eintrag der Domain
  • mx – Autorisiert die im MX-Eintrag aufgeführten Server
  • ip4:x.x.x.x – Autorisiert eine bestimmte IP
  • include:domain – Schließt den SPF einer anderen Domain ein

Abschlussqualifikatoren

  • -all – Strikt ablehnen (hard fail)
  • ~all – Als verdächtig markieren (soft fail) – empfohlen
  • ?all – Neutral, keine Prüfung

Achtung bei mehrfachen Includes

SPF erlaubt maximal 10 DNS-Lookups. Wenn Sie mehrere Dienste nutzen (Infomaniak + Mailchimp + SendGrid...), können Sie dieses Limit überschreiten. Verwenden Sie SPF-Prüfwerkzeuge.

DKIM: Digitale Signatur für E-Mails

Wozu dient DKIM?

DKIM (DomainKeys Identified Mail) fügt jeder E-Mail eine kryptografische Signatur hinzu. Der Empfänger kann überprüfen, dass die Nachricht während der Übertragung nicht geändert wurde und tatsächlich vom legitimen Server stammt.

Funktionsweise

  1. Ihr E-Mail-Server signiert jede Nachricht mit einem privaten Schlüssel
  2. Der öffentliche Schlüssel wird in DNS veröffentlicht
  3. Der Empfangsserver ruft den öffentlichen Schlüssel ab
  4. Er verifiziert die Nachrichtensignatur
  5. Wenn die Signatur gültig ist, ist die E-Mail authentifiziert

Format des DKIM-Eintrags

DKIM verwendet einen TXT-Eintrag mit einem Selektor:

selektor._domainkey.beispiel.de. IN TXT "v=DKIM1; k=rsa; p=MIGfMA0G..."

DKIM für Infomaniak

Infomaniak generiert und verwaltet DKIM automatisch für Sie. Wenn Sie Infomaniak DNS-Server verwenden, ist es automatisch konfiguriert. Andernfalls rufen Sie den Eintrag aus Ihrem Infomaniak Manager ab.

Typ Name Wert
TXT infomaniak._domainkey v=DKIM1; k=rsa; p=[öffentlicher Schlüssel]

DMARC: Die Sicherheitsrichtlinie

Wozu dient DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) kombiniert SPF und DKIM, um eine Richtlinie für den Umgang mit fehlgeschlagenen E-Mails zu definieren. Es teilt empfangenden Servern mit, was zu tun ist, wenn eine E-Mail die Prüfungen nicht besteht.

Format des DMARC-Eintrags

_dmarc.beispiel.de. IN TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc@beispiel.de"

  • v=DMARC1 – Protokollversion
  • p= – Anzuwendende Richtlinie
  • rua= – Adresse zum Empfang von Berichten

DMARC-Richtlinien

  • p=none – Überwachungsmodus (nichts tun, nur berichten)
  • p=quarantine – Verdächtige E-Mails in Spam verschieben
  • p=reject – Verdächtige E-Mails ablehnen

Empfohlener DMARC-Einstieg

Typ Name Wert
TXT _dmarc v=DMARC1; p=none; rua=mailto:dmarc@ihredomain.de

Empfohlene Vorgehensweise

Beginnen Sie mit p=none, um ohne Risiko zu beobachten. Analysieren Sie die Berichte einige Wochen lang. Wechseln Sie dann zu p=quarantine und schließlich zu p=reject, sobald Sie sicher sind, dass alles korrekt konfiguriert ist.

DNS-Propagierung: Der Zeitfaktor

Was ist Propagierung?

Wenn Sie einen DNS-Eintrag ändern, ist die Änderung nicht sofort wirksam. Sie muss sich auf DNS-Servern weltweit verbreiten. Das ist Propagierung.

Propagierungsdauer

  • Theoretisch: durch den TTL-Wert des Eintrags definiert (Time To Live)
  • Praktisch: in der Regel wenige Minuten bis 48 Stunden
  • Durchschnittlich: 1 bis 4 Stunden für die meisten Änderungen

Propagierungszeit minimieren

  1. Den TTL Ihrer Einträge einige Tage vor der Migration auf 300 (5 Minuten) reduzieren
  2. Die Änderung vornehmen
  3. Nach der Propagierung einen normalen TTL wiederherstellen (3600 oder höher)

Vollständige Konfiguration für Infomaniak

Hier sind alle DNS-Einträge, die für eine optimale Infomaniak E-Mail-Konfiguration benötigt werden:

Typ Name Wert
MX @ mta.infomaniak.ch (Priorität 10)
TXT @ v=spf1 include:spf.infomaniak.ch ~all
TXT infomaniak._domainkey [Von Infomaniak bereitgestellter DKIM-Schlüssel]
TXT _dmarc v=DMARC1; p=quarantine; rua=mailto:dmarc@ihredomain.de

Ihre Konfiguration überprüfen

Online-Werkzeuge

  • MXToolbox – Umfassende MX-, SPF-, DKIM-, DMARC-Prüfung
  • Mail-tester.com – Zustellbarkeit durch Senden einer E-Mail testen
  • DMARC Analyzer – DMARC-Berichtsanalyse

Befehlszeilenwerkzeuge

MX prüfen:
nslookup -type=MX ihredomain.de

SPF prüfen:
nslookup -type=TXT ihredomain.de

DKIM prüfen:
nslookup -type=TXT selektor._domainkey.ihredomain.de

Häufige Fehler vermeiden

Mehrere SPF-Einträge

Sie können nur einen SPF-Eintrag pro Domain haben. Wenn Sie mehrere haben, heben sie sich gegenseitig auf.

Lösung

Kombinieren Sie alle Ihre Includes in einem einzigen Eintrag: v=spf1 include:spf.infomaniak.ch include:spf.andererdienstanbieter.de ~all

MX zeigt noch auf den alten Anbieter

E-Mails kommen nach der Migration weiterhin beim alten Host an.

Lösung

Überprüfen Sie, dass Sie den MX-Eintrag bei Ihrem DNS-Registrar geändert haben (nicht beim alten E-Mail-Host).

Fazit

Die DNS-Konfiguration für E-Mail kann komplex erscheinen, ist aber unerlässlich für:

  • Empfang Ihrer E-Mails (MX)
  • Verhinderung, dass Ihre E-Mails als Spam markiert werden (SPF, DKIM)
  • Schutz Ihrer Domain vor Spoofing (DMARC)

Nehmen Sie sich die Zeit, diese Einträge korrekt zu konfigurieren. Wenn Sie sich dabei nicht sicher fühlen, kann InfoSwitch diesen technischen Teil Ihrer Migration übernehmen.

Meinen Infomaniak Mail-Dienst erstellen

Sind Sie bereit, zu Infomaniak zu migrieren?

Kontaktieren Sie uns für ein kostenloses 15-minütiges Audit. Wir analysieren Ihre Situation und erstellen Ihnen ein individuelles Angebot.

Fordern Sie ein kostenloses Audit an
Teilen Sie diesen Artikel:

Lesen Sie auch