Die Absenderanforderungen von Gmail und Yahoo, erklärt
Von Thomas · virtueller CISO · 2026-06-16
Im Februar 2024 haben Gmail und Yahoo die E-Mail-Authentifizierung von einer bewährten Praxis in eine Eintrittskarte verwandelt. Absender, die ihre Anforderungen nicht erfüllen, sehen ihre Post gedrosselt, in den Junk verschoben oder abgewiesen. Wenn dein Unternehmen Marketing-E-Mails, Newsletter, Belege oder Benachrichtigungen versendet, haben sich die Regeln für dich geändert. Dieser Leitfaden erklärt, was verlangt wird, wer betroffen ist und wie man konform wird — und warum die Konformität nur der Boden ist.
Was sich geändert hat, und warum
Gmail und Yahoo stellen jeweils an Milliarden von Postfächern zu: Ihre Richtlinien setzen faktisch den Standard der ganzen Branche. Müde, die Kosten nicht authentifizierter und missbräuchlicher Post zu tragen, haben sie sich auf ein gemeinsames Anforderungsfundament für Massenversender geeinigt — und begonnen, es durchzusetzen. Kurz gesagt: Wenn du in Volumen sendest, musst du mit SPF, DKIM und DMARC beweisen, wer du bist, sonst kommt deine Post nicht zuverlässig an.
Wer betroffen ist
Die strengsten Regeln zielen auf Massenversender — von Google definiert als solche, die etwa 5.000 Nachrichten oder mehr pro Tag an Gmail-Adressen senden. Yahoo verwendet eine ähnliche Formulierung ohne feste öffentliche Zahl. Ein paar Punkte zum Verständnis:
- Die Schwelle betrifft das Volumen an deren Nutzer, und einmal überschritten, behandeln dich beide Provider quasi dauerhaft als Massenversender.
- Sie bemisst sich auf der Ebene deiner Domain: All deine Sendungen — Marketing, transaktional, interne Tools — zählen zusammen.
- Selbst unter der Schwelle gelten die Grunderwartungen (authentifiziere deine Post, spamme nicht) zunehmend. Die sichere Annahme heute: jeder seriöse Absender braucht SPF, DKIM und DMARC.
Die Anforderungen, Punkt für Punkt
Für Massenversender lautet die gemeinsame Checkliste:
- SPF und DKIM beide konfiguriert für deine sendende Domain — nicht das eine oder das andere. DKIM insbesondere muss gültig sein und deine Post signieren.
- Ein veröffentlichter DMARC-Eintrag, mindestens
p=none. Das ist die explizite und namentlich genannte Anforderung, die viele Teams überrascht hat: kein DMARC-Eintrag = nicht konform. - Die Ausrichtung — die Domain deines
From:muss sich mit SPF oder DKIM ausrichten. Eine Konfiguration, die besteht, aber ohne Ausrichtung, erfüllt DMARC nicht und damit auch nicht die Anforderung. (Wenn „Ausrichtung" unklar ist, siehe wie SPF, DKIM und DMARC zusammenarbeiten.) - Ein-Klick-Abmeldung (RFC 8058) in Marketing-Post, innerhalb von zwei Tagen honoriert.
- Eine niedrige Spam-Beschwerdequote — unter 0,3 %, idealerweise deutlich unter 0,1 %.
- Ein bestätigtes Reverse DNS (PTR) für deine sendenden IPs und TLS für den Transport.
Die Punkte 1 bis 3 sind der Kern der E-Mail-Authentifizierung, und dort nistet sich das Gros der Nichtkonformität ein. Die gute Nachricht: Das ist genau das, was du ohnehin hättest tun sollen.
Es lohnt sich, kurz bei Punkt 3 zu verweilen, denn er ist derjenige, der die meisten Teams zu Fall bringt. Die Ausrichtung ist kein zusätzlicher Schalter, den man neben SPF und DKIM aktiviert — sie ist die Bedingung, unter der SPF oder DKIM überhaupt für DMARC zählen. Konkret: Deine E-Mail kann eine gültige SPF-Prüfung und eine gültige DKIM-Signatur tragen und trotzdem bei DMARC durchfallen, wenn keine dieser beiden auf dieselbe Domain zeigt wie dein sichtbares From:. Das ist der Fall, wenn ein Dienstleister mit seiner eigenen Domain signiert. Genau diese Feinheit erklärt, warum so viele Absender fest davon überzeugt sind, konform zu sein, und es doch nicht sind — sie haben pass gesehen und angenommen, das reiche. Die Anbieter prüfen jedoch die Ausrichtung, nicht nur den rohen Durchlauf.
„Wir haben einen DMARC-Eintrag" ist nicht die Ziellinie
Viele Teams haben auf die Frist 2024 reagiert, indem sie ein simples p=none veröffentlicht und die Sache als erledigt betrachtet haben. Das erfüllt den Buchstaben der Anforderung — aber es lohnt sich zu verstehen, was es bringt und was nicht.
p=none bedeutet nur Überwachung. Das erfüllt das Minimum von Gmail und Yahoo und startet den Strom der Aggregatberichte, den du brauchst. Aber es bietet keinerlei Schutz gegen Spoofing: Jemand, der deine Domain fälscht, erreicht weiterhin die Postfächer, da du den Empfängern gesagt hast, im Fehlerfall nichts zu tun. Die Konformität auf p=none ist der Boden, nicht das Ziel.
Das eigentliche Ziel ist p=reject, wo nicht authentifizierte Post in deinem Namen tatsächlich abgewiesen wird. Das ist zugleich bessere Sicherheit und ein besseres Zustellbarkeitssignal — die Provider vertrauen Domains, die eine Richtlinie durchsetzen, stärker. Der Weg dorthin ist dieselbe disziplinierte Sequenz, unabhängig von der Konformitätsfrist: deine Quellen inventarisieren, sie ausrichten, dann die Richtlinie anheben. Wir entrollen ihn in p=reject erreichen, ohne die eigenen E-Mails zu zerstören.
Wie man konform wird (und sich dann schützt)
Eine praktische Reihenfolge der Operationen:
- Prüfe, wo du stehst. Gib deine Domain in unseren kostenlosen Analyzer ein, um zu sehen, ob SPF, DKIM und DMARC existieren und sich ausrichten — und eine Bewertung zu erhalten. Er sagt dir in Sekunden, ob du die Gmail-/Yahoo-Kontrollen bestehen würdest.
- Behebe die Grundlagen. Veröffentliche ein SPF, das deine echten Quellen auflistet; aktiviere die DKIM-Signatur auf jeder Plattform; veröffentliche einen DMARC-Eintrag mit einer
rua=-Adresse, um die Berichte zu starten. - Lies die Berichte. Sie enthüllen jede Quelle, die in deinem Namen sendet — die, die vor dem Verschärfen auszurichten sind.
- Richte jede legitime Quelle aus, dann hebe die Richtlinie von
noneaufquarantine, dannrejectan. - Halte die Hygiene aufrecht — Ein-Klick-Abmeldung, niedrige Beschwerdequoten, saubere Listen. Die Authentifizierung lässt dich ein; das Verhalten hält dich drin.
Und Microsoft? (2025)
Gmail und Yahoo haben den Weg geebnet; Microsoft ist 2025 gefolgt. Der Anbieter von Outlook.com, Hotmail und Live.com hat angekündigt, dass ab Mai 2025 auch Absender mit hohem Volumen (auch hier um 5.000 Nachrichten/Tag oder mehr an seine Consumer-Postfächer) ebenfalls ausgerichtetes SPF, DKIM und DMARC veröffentlichen müssen. Anfangs wird nicht konforme Post in den Junk-Ordner geroutet statt abgewiesen — eine Toleranzphase vor einer angekündigten Verschärfung. Die Botschaft ist klar: Die drei großen Consumer-Anbieter konvergieren nun auf dasselbe Authentifizierungsfundament, und nur auf Gmail/Yahoo zu zielen wäre kurzsichtig.
Die gute Nachricht ist, dass es nichts Zusätzliches zu tun gibt. Die Checkliste ist identisch: gültiges SPF + DKIM, ein DMARC-Eintrag (mindestens p=none, das Ziel bleibt p=reject) und vor allem die Ausrichtung der Domain deines From:. Wenn du Gmail und Yahoo korrekt erfüllst, erfüllst du Microsoft — vorausgesetzt, du hast die Ausrichtung nicht verpfuscht. Und wie die Episode 2024 gezeigt hat, glauben viele Teams, konform zu sein, weil sie nur „einen DMARC-Eintrag" haben, ohne dass ihre Quellen sich wirklich ausrichten. Eine kostenlose Analyse beseitigt den Zweifel in Sekunden.
Ein Hinweis für regulierte Branchen
Wenn du in der Finanz-, Gesundheits- oder einer anderen regulierten Branche bist, sind die Gmail-/Yahoo-Regeln nur eine der Kräfte, die in dieselbe Richtung drücken. Rahmenwerke wie NIS2 und DORA heben die Anforderungen an operative und Anti-Phishing-Kontrollen an, und die E-Mail-Authentifizierung ist eine offensichtliche und prüfbare Kontrolle, die man vorlegen kann. Behandle die Absenderanforderungen 2024 als die sichtbare Spitze einer breiteren Bewegung: Durchgesetztes DMARC wird zur erwarteten Basis, nicht zur Ausnahme. Du kannst in unserem DMARC-Observatorium sehen, wo ganze Branchen stehen.
Häufige Fragen
Zählen transaktionale E-Mails in die Schwelle von 5.000/Tag? Ja. Google zählt alle Post an Gmail-Nutzer von deiner Domain — Marketing, Belege, Warnungen, interne Benachrichtigungen — zusammen. Keine transaktionale Ausnahme, und die meisten Domains unterschätzen ihr reales Volumen.
Wir senden weniger als 5.000/Tag. Sind wir befreit? Von den strengsten Massen-Regeln, vorerst. Aber die Grunderwartungen — sich mit SPF und DKIM authentifizieren, DMARC veröffentlichen, eine niedrige Beschwerdequote halten — gelten zunehmend für alle, und die Schwelle auch nur einmal zu überschreiten kippt dich quasi endgültig in die Behandlung als „Massenversender". Der sichere Reflex: sich authentifizieren, egal welches Volumen.
Gilt das für Subdomains? Ja. Authentifiziere jede Subdomain, von der du tatsächlich sendest, und stelle das DMARC-Tag sp (Subdomain-Richtlinie) ein, damit die Subdomains nicht offen für Spoofing bleiben, während deine Root verriegelt ist.
Wir laufen über eine geteilte Plattform (Mailchimp, SendGrid…). Sind wir abgedeckt? Nur wenn du ein DKIM ausgerichtet mit deiner eigenen Domain auf dieser Plattform konfiguriert hast. Die Standardsignatur einer geteilten Plattform ist auf die Plattform ausgerichtet, nicht auf dich: Sie erfüllt DMARC nicht. Konfiguriere die markeneigene Signaturdomain, die der Dienstleister anbietet — in der Regel ein paar CNAME.
In welcher Zeit muss man konform werden? Die Anforderungen werden bereits durchgesetzt. Wenn deine Post bei Gmail oder Yahoo gedrosselt oder in den Junk verschoben wird, ist eine schwache oder nicht ausgerichtete Authentifizierung das Erste, was zu prüfen ist — beginne mit einer kostenlosen Analyse.
Und wenn wir diese Anforderungen ignorieren? Nichts so Spektakuläres wie eine sofortige Blockade, anfangs: Deine Post wird zunächst gedrosselt (Throttling), dann zunehmend in den Junk gelenkt. Die Verschlechterung ist still und schleichend — deine Öffnungsraten bröckeln ohne sichtbaren Fehler — was sie umso gefährlicher macht, weil man sie spät diagnostiziert. Bei gleichem Volumen landet ein authentifizierter Konkurrent im Posteingang, während du es nicht tust.
Gelten diese Regeln für Post an unsere eigenen Mitarbeiter? Wenn deine Teams Gmail-, Yahoo- oder Outlook.com-Konten nutzen, ja — der Anbieter kümmert sich nicht um deine interne/externe Unterscheidung, nur darum, wer die Nachricht empfängt. Postfächer, die auf deinem eigenen Tenant gehostet werden, folgen deiner Filterung, aber alles, was ein Consumer-Postfach erreicht, wird nach diesen Regeln beurteilt.
Lass Thomas den Weg managen
Die Anforderung zu erfüllen ist schnell; echten Schutz zu erreichen, ohne deinen Postfluss zu zerstören, ist die eigentliche Arbeit — und genau das automatisiert Thomas, dein virtueller CISO. Er findet jede Quelle aus deinen Berichten, generiert die präzisen SPF-, DKIM- und DMARC-Einträge zum Veröffentlichen und begleitet dich von einem simplen p=none bis zu einem sicheren p=reject.
Analysiere deine Domain kostenlos → oder erstelle ein Konto, um konform und geschützt zu werden. Neu hier? Beginne mit Was ist DMARC.
Bereit, DMARC anzuwenden?
Zu p=reject — kostenlosVerwandte Leitfäden
- Wie man seinen SPF-Eintrag prüft (und worauf zu achten ist)
Seinen SPF zu prüfen heißt nicht nur zu bestätigen, dass er existiert: Es heißt, seine Syntax, seine Auflösungszählung, seine Qualifikation und seine Ausrichtung zu lesen. Der komplette Leitfaden, Schritt für Schritt.
- SPF -all oder ~all: Wo ist der Unterschied und was solltest du wählen
Der abschließende Mechanismus deines SPF (-all, ~all, ?all, +all) sagt den Empfängern, was sie mit nicht gelisteter Mail tun sollen. Was jeder bedeutet, ihr Zusammenspiel mit DMARC und was du veröffentlichen solltest.
- Was ist SPF-Flattening (und wann du es wirklich einsetzen solltest)
SPF-Flattening ersetzt deine include durch die IP-Adressen, in die sie auflösen, um wieder unter das Limit von 10 Lookups zu kommen. Wie es funktioniert, seine Wartungsrisiken und die Alternativen.
Über den Autor
Thomas — Thomas ist der virtuelle CISO von DMARC.com: ein auf E-Mail-Authentifizierung spezialisierter Copilot, der Organisationen von p=none bis p=reject begleitet, ohne ihren Mailverkehr zu stören. Seine Leitfäden stützen sich auf echte Daten aus dem DMARC-Observatorium und aus den von der Plattform analysierten RUA-Berichten.
