E-Mail-Zustellbarkeits-Score: Woraus er besteht und wie du ihn verbesserst

⚡TL;DR

• Fünf Säulen bilden den E-Mail-Zustellbarkeits-Score: Authentifizierung (SPF, DKIM, DMARC und Alignment), IP- und Domain-Reputation, Transportsicherheit (MTA-STS, DANE, TLS-RPT), BIMI und Engagement
• Zielwerte: Zustellrate zwischen 95 und 99 %, Spam-Beschwerden unter 0,1 %, Bounces unter 2 %, Sender Score über 80
• Score ist nicht gleich Rate: Die Rate misst den Anteil zugestellter E-Mails, der Score ist eine zusammengesetzte, vorausschauende Bewertung deiner Chancen, den Posteingang zu erreichen
• Erst messen, dann überwachen: Ein einmaliger Audit zeigt den aktuellen Zustand, eine kontinuierliche Überwachung erkennt Verschlechterungen, bevor sie eine Kampagne kosten

Du verschickst legitime E-Mails, dein Inhalt ist gepflegt, deine Liste ist sauber. Trotzdem landet ein Teil deiner Nachrichten im Spam oder kommt nie an. Die Ursache liegt selten im Inhalt: Sie steckt in deinem E-Mail-Zustellbarkeits-Score (englisch email deliverability score), einer zusammengesetzten Bewertung, die E-Mail-Anbieter laufend aus deiner technischen Konfiguration und deinem Absenderverhalten berechnen.

Dieser Score ist keine Blackbox. Es ist eine vorausschauende Bewertung, die messbare Signale bündelt: Ist deine Authentifizierung vorhanden und ausgerichtet? Haben deine IP und deine Domain eine gute Reputation? Sind deine Übertragungen Ende-zu-Ende verschlüsselt? Öffnen deine Empfänger deine E-Mails oder markieren sie sie als unerwünscht? Wer diese Signale versteht, kann die Zustellbarkeit nachhaltig verbessern statt nur punktuell.

Dieser Leitfaden zerlegt den Score in fünf Säulen: Authentifizierung, Reputation, Transportsicherheit, BIMI und Engagement. Für jede erfährst du, was gemessen wird, warum es zählt und wie du sie verbesserst. Du gehst mit konkreten Zielwerten (Zustellrate zwischen 95 und 99 %, Beschwerden unter 0,1 %, Bounces unter 2 %, Sender Score über 80) und einem klaren Aktionsplan nach Hause.

Dieser Artikel richtet sich an Marketing- und CRM-Verantwortliche, die verstehen wollen, was ihre Zustellbarkeit steuert, an Systemadministratoren und DevOps, die die technischen Säulen umsetzen, und an KMU-Geschäftsführer, denen der Return on Investment ihres E-Mail-Versands wichtig ist. Jeder Abschnitt bleibt umsetzbar, unabhängig von deinem technischen Niveau.

Was ist ein E-Mail-Zustellbarkeits-Score?

Ein E-Mail-Zustellbarkeits-Score ist eine zusammengesetzte, vorausschauende Bewertung, die schätzt, wie wahrscheinlich deine Nachrichten den primären Posteingang deiner Empfänger erreichen, statt im Spam-Ordner oder bei einer schlichten Ablehnung zu landen. Anders als eine einzelne Kennzahl bündelt dieser Score mehrere Signalkategorien, jede gewichtet nach ihrem realen Gewicht in der Entscheidung der E-Mail-Anbieter.

Wichtig zu merken: Dieser Score wird aus objektiven und überprüfbaren Kriterien berechnet. Eine gültige Authentifizierungskonfiguration, eine saubere IP, ein verschlüsselter Transport und eine niedrige Beschwerderate lassen den Score steigen. Umgekehrt drücken ihn ein fehlendes DMARC, eine gelistete IP oder ein Beschwerde-Peak nach unten. Audit-Tools überlassen diese Berechnung einer serverseitigen Engine, die dieselben Maßstäbe anlegt wie Gmail, Microsoft und Yahoo.

Zustellbarkeits-Score oder Zustellrate?

Die Verwechslung der beiden Begriffe ist häufig, dabei messen sie Verschiedenes. Die Zustellrate ist eine rückblickende Messung: der Prozentsatz der tatsächlich zugestellten E-Mails (in den Posteingang oder in den Spam) am gesamten Versand, gemessen nach dem Versand. Eine Rate von 97 % bedeutet, dass 97 % deiner Nachrichten von den Empfängerservern akzeptiert wurden.

Der Zustellbarkeits-Score ist eine vorausschauende Bewertung: Er nimmt deine Erfolgschancen vor dem Versand vorweg, indem er den Zustand deiner Konfiguration und deiner Reputation bewertet. Du kannst eine gute historische Rate haben und trotzdem einen Score, der sich verschlechtert (etwa nach einer vergessenen DKIM-Schlüsselrotation), ein Zeichen, dass der nächste Versand Probleme bereiten könnte. Der Score ist also ein Frühwarnindikator, die Rate eine nachträgliche Bestätigung.

Eine zusammengesetzte Bewertung, keine Blackbox

Der Score fällt nicht vom Himmel. Er zerlegt sich in fünf Säulen, die dieser Leitfaden einzeln durchgeht:

1. Authentifizierung: SPF, DKIM, DMARC und vor allem ihr Alignment.
2. Reputation: das Vertrauen in deine IP und deine Domain.
3. Transportsicherheit: die Verschlüsselung der Übertragungen zwischen Servern (MTA-STS, DANE, TLS-RPT).
4. BIMI: das visuelle Vertrauen, an ein durchgesetztes DMARC gebunden.
5. Engagement und Inhalt: wie deine Empfänger mit deinen E-Mails interagieren.

Jede Säule trägt zur Gesamtbewertung bei, und ein einziges schwaches Glied genügt, um das Ganze zu deckeln. Eine perfekt authentifizierte Domain, die aber auf einer gelisteten IP gehostet wird, erreicht nie einen guten Score. Genau das ist der Nutzen der Zerlegung: Sie zeigt präzise, wo du ansetzen musst.

Säule 1: Authentifizierung (SPF, DKIM, DMARC und das Alignment)

Die Authentifizierung ist das Fundament. Ohne sie können die Anbieter nicht prüfen, dass du wirklich der Absender bist, der du zu sein behauptest, und sie behandeln deine E-Mails mit Misstrauen. Seit 2024 haben Gmail und Yahoo SPF und DKIM für alle Absender verpflichtend gemacht, und DMARC verpflichtend für Massenversender (mehr als 5.000 E-Mails pro Tag). Authentifizierung ist also nicht mehr optional, sie ist eine Voraussetzung.

Der Punkt, den die meisten Leitfäden verpassen: Es ist nicht das bloße Vorhandensein von SPF, DKIM und DMARC, das zählt, sondern ihr Alignment. Eine E-Mail kann SPF und DKIM bestehen und trotzdem an DMARC scheitern, weil die geprüfte Domain nicht mit der im Feld From angezeigten Domain übereinstimmt. Es ist das Alignment, das aus drei isolierten Protokollen eine kohärente Authentifizierungskette macht.

Konkret beantworten die drei Protokolle drei verschiedene Fragen. SPF prüft, welcher Server für die Domain senden darf. DKIM prüft, dass die Nachricht nicht verändert wurde und von einem Inhaber des Schlüssels stammt. DMARC prüft, dass die angezeigte Identität mit der authentifizierten Identität übereinstimmt, und legt dann fest, wie bei einem Fehlschlag zu verfahren ist. Eine strenge Scoring-Engine belohnt also die Kohärenz des Ganzen: Ein perfektes SPF, aber ein fehlendes DKIM oder ein DMARC im reinen Beobachtungsmodus lassen eine ausnutzbare Lücke und deckeln die Säule. Deshalb begnügt sich ein ernsthafter Audit nicht mit dem Abhaken von "vorhanden / fehlt": Er prüft, dass jedes Glied gültig und ausgerichtet ist.

SPF: die richtigen Server autorisieren

SPF (Sender Policy Framework, RFC 7208) veröffentlicht im DNS die Liste der Server, die für deine Domain senden dürfen, über einen TXT-Eintrag:

v=spf1 include:_spf.captaindns.com -all

Der abschließende Mechanismus ist entscheidend für den Score. Ein -all (Hardfail) gibt fest vor, dass jeder nicht gelistete Server abgewiesen werden soll. Ein ~all (Softfail) bleibt für eine Übergangsphase toleriert, signalisiert aber eine unvollständige Richtlinie: Die Anbieter werten es als schwaches Signal. Und ?all (Neutral) bietet keinen Schutz und hat keinen defensiven Wert: Eine strenge Scoring-Engine behandelt es wie eine fehlende Richtlinie. Ziele auf -all, sobald dein Absender-Inventar vollständig ist.

Achte auf die Grenze der RFC 7208: Ein SPF-Eintrag darf bei seiner Auswertung nur 10 DNS-Anfragen auslösen. Die Mechanismen include, a, mx, redirect und exists zählen jeweils. Über 10 hinaus gibt der Server einen PermError zurück und dein SPF wird ungültig, was die Säule Authentifizierung einbrechen lässt. Wenn du Dienstleister anhäufst, lies unseren Leitfaden zum Problem zu vieler DNS-Lookups in SPF, um deinen Eintrag zu verschlanken.

DKIM: kryptografisch signieren

DKIM (DomainKeys Identified Mail, RFC 6376) fügt jeder E-Mail eine kryptografische Signatur hinzu, prüfbar über einen öffentlichen Schlüssel, der im DNS unter selector._domainkey.captaindns.com veröffentlicht ist. Die Signatur garantiert, dass die Nachricht unterwegs nicht verändert wurde und tatsächlich von einem Server stammt, der den privaten Schlüssel besitzt.

Für den Score zählen zwei Parameter. Zunächst die Robustheit des Schlüssels: Ein RSA-Schlüssel mit 2048 Bit ist heute das empfohlene Minimum, ein 1024-Bit-Schlüssel gilt als schwach. Ed25519 wird ebenfalls von modernen Anbietern unterstützt und liefert kompaktere Signaturen. Dann die Rotation: Ein DKIM-Schlüssel sollte nicht unbegrenzt in Betrieb bleiben. Eine regelmäßige Rotation begrenzt die Folgen einer Kompromittierung. Um diese Praxis zu strukturieren, siehe den Leitfaden zur DKIM-Schlüsselrotation. Wenn du die DKIM-Signatur gerade erst entdeckst, beginne damit zu verstehen, was ein DKIM-Eintrag ist.

DMARC und das Alignment: das entscheidende Glied

DMARC (RFC 7489, derzeit mit DMARCbis in Überarbeitung) stützt sich auf SPF und DKIM, ergänzt aber das fehlende Teil: die Prüfung des Alignments zwischen der authentifizierten Domain und der Domain im Feld From, das der Empfänger sieht. Es ist das Alignment, das verhindert, dass ein Dritter SPF mit seiner eigenen Domain besteht und gleichzeitig deine in der Anzeige vortäuscht.

Das Alignment kann relaxed sein (gleiche organisatorische Domain, etwa eine Signatur d=mail.captaindns.com, ausgerichtet mit einem From @captaindns.com) oder strict (exakte Übereinstimmung). Der Relaxed-Modus passt für die meisten Bereitstellungen.

Die DMARC-Richtlinie bestimmt das Gewicht dieser Säule. Eine Richtlinie p=none beobachtet nur: Sie sammelt Berichte, schützt aber nicht, und eine strenge Scoring-Engine deckelt sie, weil sie keine wirksame Verteidigung gegen Spoofing bietet. Das ist eine Übergangsstufe, kein Ziel. Um den Score zu heben, wechsle zu p=quarantine und dann zu p=reject, sobald deine Berichte sauber sind:

v=DMARC1; p=reject; rua=mailto:dmarc@captaindns.com; adkim=r; aspf=r

Für die vollständige Einrichtung und die Migration auf die neue Revision des Standards siehe den DMARCbis-Leitfaden. Beachte auch, dass zwischengeschaltete Relays (Mailinglisten, Weiterleitungen) SPF und DKIM brechen können; das Protokoll ARC (Authenticated Received Chain) erhält die Authentifizierungsergebnisse über diese Relays hinweg und begrenzt falsche DMARC-Fehlschläge.

Säule 2: IP-Reputation und Domain-Reputation

Die Authentifizierung beweist, wer du bist. Die Reputation entscheidet, ob man dir vertraut. Zwei perfekt authentifizierte Absender können je nach Historie ihrer IP und ihrer Domain radikal unterschiedliche Scores erhalten. Reputation ist ein Kapital, das sich langsam aufbaut und schnell zerstört.

IP-Reputation oder Domain-Reputation?

Die IP-Reputation hängt an der Adresse des Servers, der deine E-Mails versendet. Auf einer geteilten IP (häufig bei Versanddienstleistern) hängt deine Reputation auch vom Verhalten der anderen Absender ab, die sie nutzen. Auf einer dedizierten IP kontrollierst du deine Reputation, musst sie aber schrittweise aufwärmen: Ein großes Volumen auf einer neuen IP zu starten, löst sofort Misstrauen aus.

Die Domain-Reputation folgt deinem Domainnamen, unabhängig von der IP. Das ist die langlebigste Komponente: Ein IP-Wechsel setzt eine schlechte Domain-Reputation nicht zurück. Die Anbieter bevorzugen zunehmend die Domain, weil sie schwerer zu manipulieren ist als eine IP. Die Domain-Reputation zu pflegen ist daher eine langfristige Investition.

Die Aufwärmphase (Warmup) verdient besondere Aufmerksamkeit, denn hier werden die ersten Punkte entschieden. 50.000 E-Mails von einer IP oder Domain ohne Historie zu starten, löst sofort die Spamfilter aus: Ein vertrauenswürdiger Absender taucht nicht aus dem Nichts mit großem Volumen auf. Die gute Praxis besteht darin, die Volumen über mehrere Wochen schrittweise zu erhöhen. Beginnen Sie mit den engagiertesten Empfängern, jenen, die öffnen und klicken, um ein positives Signal aufzubauen, bevor Sie erweitern. Eine eigene Subdomain für das Marketing, getrennt von der transaktionalen Domain, isoliert zudem die Reputationen: Eine entgleiste Kampagne beschädigt dann nicht Ihre kritischen Service-E-Mails (Rechnungen, Bestätigungen, Passwort-Resets).

Seinen Absender-Reputationsscore lesen

Der Sender Score von Validity ist eine IP-Reputationsbewertung auf einer Skala von 0 bis 100, berechnet aus einer Versandhistorie über 30 gleitende Tage. Ein Score über 80 gilt als gut; zwischen 70 und 80 ist die Lage zu beobachten; unter 70 unterliegen deine E-Mails verstärkter Filterung. Es ist ein nützliches externes Barometer, um deine IP im Verhältnis zum Ökosystem einzuordnen.

Der Sender Score ist nicht der einzige Indikator, aber er deckt sich mit den anderen Reputationssignalen: Ein fallender Absenderscore geht fast immer mit einem Anstieg der Beschwerden oder einer Aufnahme in eine Blockliste einher.

Blocklisten: die unmittelbare Auswirkung

Eine IP oder Domain, die auf einer Blockliste (DNSBL) gelistet ist, sieht ihre Zustellbarkeit sofort einbrechen. Die wichtigsten Listen (Spamhaus, Barracuda, SpamCop) werden von den meisten Empfängerservern abgefragt. Ein einziger Eintrag auf Spamhaus ZEN kann einen massiven Anteil deines Versands blockieren. Um die Unterschiede zwischen diesen Listen und ihre Strenge zu verstehen, siehe unseren Vergleich Spamhaus, Barracuda und SpamCop.

Wenn du eine Eintragung entdeckst, ist der Austrag nicht automatisch: Jede Liste hat ihr Verfahren. Unser Leitfaden zur Entfernung von IP-Blocklisten beschreibt das Vorgehen Liste für Liste. Den eigenen Status kontinuierlich zu überwachen, verhindert, dass du das Problem erst entdeckst, wenn eine Kampagne scheitert.

Säule 3: Transportsicherheit (MTA-STS, DANE, TLS-RPT)

Hier ist die Säule, die die Konkurrenz fast immer vergisst. Die meisten Zustellbarkeits-Leitfäden enden bei SPF/DKIM/DMARC. Dabei ist die Transportsicherheit, also die garantierte Verschlüsselung der Übertragungen zwischen E-Mail-Servern, ein wachsendes Vertrauenssignal und ein Schutzfaktor gegen Abhören. Eine Domain, die eingehendes TLS erzwingt, sendet ein Signal von Seriosität, das die Anbieter honorieren.

Standardmäßig handelt SMTP die Verschlüsselung opportunistisch über STARTTLS aus: Kündigt der Empfängerserver TLS an, wird die Übertragung verschlüsselt, sonst läuft sie im Klartext. Ein Angreifer in Abhörposition kann die STARTTLS-Ankündigung entfernen und einen Versand im Klartext erzwingen (Downgrade-Angriff). MTA-STS und DANE existieren, um diese Lücke zu schließen.

Warum wiegt diese Säule auf der Zustellbarkeit, und nicht nur auf der Sicherheit? Weil die großen Anbieter inzwischen Transportberichte veröffentlichen und beobachten, wer TLS erzwingt. Eine Domain, die noch Klartextverbindungen akzeptiert, sendet ein Signal von Nachlässigkeit. Umgekehrt zeigt eine Domain, die eingehende Verschlüsselung vorschreibt, eine technische Beherrschung, die die Filter in ihre Vertrauensbewertung einbeziehen. Transportsicherheit ist außerdem eine Compliance-Voraussetzung in vielen regulierten Branchen: Sie ist daher ein Argument gegenüber der Geschäftsführung ebenso wie ein Hebel für die Zustellbarkeit.

MTA-STS: eingehendes TLS erzwingen

MTA-STS (SMTP MTA Strict Transport Security, RFC 8461) veröffentlicht eine Richtlinie, die den Absenderservern sagt: Um mir zu schreiben, ist TLS Pflicht, weigere dich, mir eine E-Mail im Klartext zu schicken. Die Richtlinie wird auf einem dedizierten HTTPS-Host bereitgestellt und über einen DNS-Eintrag referenziert. Ein Modus enforce ist schützend; ein Modus testing generiert nur Berichte, ohne zu blockieren; ein Modus none deaktiviert den Schutz und bringt für den Score nichts. Für die vollständige Einrichtung siehe den MTA-STS-Leitfaden.

DANE und TLSA: das Zertifikat im DNS verankern

DANE (DNS-based Authentication of Named Entities, RFC 7672 für SMTP) erreicht dasselbe Ziel wie MTA-STS auf einem anderen Weg: Es veröffentlicht einen Fingerabdruck des TLS-Zertifikats des Servers in einem DNS-Eintrag vom Typ TLSA, gesichert durch DNSSEC. Der Absenderserver prüft, dass das vorgelegte Zertifikat mit dem veröffentlichten Fingerabdruck übereinstimmt. DANE erfordert DNSSEC, was seine Verbreitung begrenzt, aber eine starke kryptografische Garantie bietet. Siehe den DANE/TLSA-Leitfaden. MTA-STS und DANE schließen sich nicht aus: Sie beantworten unterschiedliche Anforderungen, wie unser Vergleich MTA-STS gegen DANE erklärt.

TLS-RPT: den Transport messen

TLS-RPT (SMTP TLS Reporting, RFC 8460) schließt den Kreis: Es bittet die entfernten Server, dir aggregierte Berichte über Erfolge und Fehlschläge der TLS-Aushandlung beim Versand an deine Domain zurückzusenden. Ohne TLS-RPT aktivierst du MTA-STS oder DANE im Blindflug; damit weißt du, ob eine Richtlinie Zustellfehler verursacht. Es ist das unverzichtbare Messinstrument, ausführlich beschrieben im TLS-RPT-Leitfaden.

Säule 4: BIMI und das visuelle Vertrauen

BIMI (Brand Indicators for Message Identification) zeigt das Logo deiner Marke neben deinen E-Mails in kompatiblen Posteingängen an (Gmail, Yahoo, Apple Mail). Es ist eine Säule für sich: Sie erhöht nicht direkt deine Chancen, den Posteingang zu erreichen, aber sie stärkt das visuelle Vertrauen und das Engagement, die wiederum den Score mittelfristig nähren.

BIMI erfordert ein durchgesetztes DMARC

BIMI ist nur Domains zugänglich, deren DMARC-Richtlinie durchgesetzt wird (p=quarantine oder p=reject, nie p=none). Das ist eine strenge Anforderung: Ohne DMARC im Enforcement wird das Logo nicht angezeigt, egal wie gut deine Datei ist. Diese Abhängigkeit macht BIMI zu einem ausgezeichneten Motivationshebel, um die Arbeit an der Säule Authentifizierung abzuschließen. Zum Start siehe den BIMI-Leitfaden für kleine Unternehmen.

VMC, CMC und Auswirkung auf das Engagement

Um das Logo bei Gmail und den meisten Anbietern anzuzeigen, ist ein Zertifikat erforderlich: das VMC (Verified Mark Certificate), basierend auf einer eingetragenen Marke, oder das CMC (Common Mark Certificate), eine zugänglichere Alternative für nicht eingetragene Logos. Die Details beider Optionen findest du im Leitfaden zu VMC- und CMC-Zertifikaten.

Die Wirkung von BIMI ist indirekt, aber real: Ein sichtbares Markenlogo erhöht die Öffnungsrate und senkt das Risiko, dass der Empfänger die E-Mail als Spam meldet, weil er den Absender sofort erkennt. Diese besseren Engagement-Signale fließen anschließend in Säule 5 zurück. Betrachte es als Vertrauensverstärker, nicht als Abkürzung in den Posteingang.

Säule 5: Engagement und Inhalt

Die ersten vier Säulen sind technisch. Die fünfte ist verhaltensbezogen: Sie misst, wie deine Empfänger auf deine E-Mails reagieren. Das ist heute eines der stärksten Signale, weil es sehr schwer zu fälschen ist. Beobachtet ein Anbieter, dass deine Abonnenten öffnen, klicken und antworten? Dann schließt er daraus, dass deine E-Mails erwünscht sind, und stellt sie in den Posteingang. Löschen sie ohne zu öffnen oder klicken auf "Spam"? Die Strafe folgt sofort.

Öffnungen, Klicks und Antworten

Die Öffnungsrate, die Klickrate und, ein starkes Signal, die Antwortrate nähren die Engagement-Reputation. Die Anbieter überwachen auch negative Aktionen: Löschen ohne Öffnen, manuelles Verschieben in den Spam. Eine wirklich engagierte Abonnentenliste ist besser als eine große inaktive Liste: An Adressen zu senden, die nie öffnen, verschlechtert den Score des Ganzen. Wenn deine Nachrichten trotzdem im Unerwünscht-Ordner landen, beschreibt unser Leitfaden zu den Gründen, warum E-Mails im Spam landen die häufigsten Ursachen.

Spam-Beschwerden und Bounces: die kritischen Schwellen

Zwei Kennzahlen wiegen schwer und haben präzise Schwellen. Die Beschwerderate (Anteil der Empfänger, die deine E-Mails als Spam markieren) muss unter 0,1 % bleiben. Gmail toleriert bis zu 0,3 % vor einer harten Strafe, aber 0,1 % anzupeilen schützt deine Marge. Darüber hinaus bricht die Zustellbarkeit schnell ein.

Die Bounce-Rate (abgewiesene E-Mails) muss unter 2 % bleiben. Eine hohe Rate signalisiert eine schlecht gepflegte Liste, was die Anbieter als Spammer-Verhalten deuten. Unterscheide Hard Bounces (nicht existierende Adresse, sofort entfernen) von Soft Bounces (volles Postfach, vorübergehendes Problem).

Auch der Inhalt zählt

Der Inhalt selbst sendet Signale. Ein zu unausgewogenes Text-Bild-Verhältnis (eine E-Mail, die komplett aus einem einzigen großen Bild ohne verwertbaren Text besteht) ist ein Klassiker der Spamfilter. Ebenso verschlechtern generische Kurzlinks, unerwartete Anhänge oder ein Betreff in Großbuchstaben mit einer Flut von Ausrufezeichen die Wahrnehmung der Nachricht. Moderne Filter begnügen sich nicht mehr damit, nach "verbotenen" Schlüsselwörtern zu suchen. Sie bewerten die Gesamtkohärenz zwischen Absender, Betreff, Inhalt und historischem Verhalten. Ein sauberer Inhalt, ein ehrlicher Betreff und ein klarer Call-to-Action senken das Risiko der Einstufung als unerwünscht und stützen das Engagement, das wiederum den Score nährt.

Auch die Versandkonstanz spielt eine Rolle: Ein regelmäßiger Absender, der einen stabilen Rhythmus zu einem interagierenden Publikum hält, erweckt mehr Vertrauen als ein erratischer Absender, der einen Monat 100 E-Mails und den nächsten 100.000 verschickt. Regelmäßigkeit ist ebenfalls ein Signal der Legitimität.

Saubere Listen und Anforderungen an Massenversender

Eine rigorose Listenhygiene (Adressvalidierung, Entfernung von Inaktiven, Double-Opt-in, Abmeldung mit einem Klick) ist das wirksamste Mittel, um Engagement und Beschwerden im grünen Bereich zu halten. Seit 2024 stellen Gmail und Yahoo zusätzlich strenge Anforderungen an Massenversender: vollständige Authentifizierung, One-Click-Unsubscribe-Header und kontrollierte Beschwerderate. Unser Leitfaden zu den Gmail- und Yahoo-Anforderungen für Massenversender beschreibt die vollständige Checkliste.

Was ist ein guter Zustellbarkeits-Score?

Ein guter Score zeigt sich in messbaren Kennzahlen. Statt in einer abstrakten Zahl denke in Schwellen je Indikator. Die folgende Tabelle nennt die Werte, die du anpeilen, beobachten und dringend korrigieren solltest.

Kennzahl	Gut	Beobachten	Kritisch
Zustellrate	95-99 %	90-95 %	Unter 90 %
Spam-Beschwerderate	Unter 0,1 %	0,1-0,3 %	Über 0,3 %
Bounce-Rate	Unter 2 %	2-5 %	Über 5 %
Sender Score (Validity)	Über 80	70-80	Unter 70
DMARC-Richtlinie	p=reject	p=quarantine	p=none oder fehlt
Transportsicherheit	MTA-STS enforce oder DANE	MTA-STS testing	Keine

Diese Schwellen decken sich mit den Maßstäben der großen Anbieter. Eine Domain, die alle Spalten "Gut" abhakt, erhält eine hohe Bewertung und eine zuverlässige Zustellung in den Posteingang. Ein einziger Indikator im Bereich "Kritisch" genügt, um das Ganze zu deckeln: die Logik des schwachen Glieds.

Über die reinen Zahlen hinaus ist es hilfreich, Konfigurations-Schwellen (DMARC, Transportsicherheit) von Performance-Schwellen (Zustellrate, Beschwerden, Bounces, Sender Score) zu unterscheiden. Die ersten stehen unter deiner direkten Kontrolle und werden ein für alle Mal korrigiert: ein DMARC in p=reject zu veröffentlichen oder MTA-STS zu aktivieren ist eine einmalige Aktion. Die zweiten spiegeln ein laufendes Verhalten und erfordern ständige Pflege: Sie können sich von einer Kampagne zur nächsten verschlechtern. Genau deshalb darf die Messung kein einmaliges Ereignis sein, sondern eine Routine, wie der letzte Abschnitt dieses Leitfadens aufgreift.

Beachte auch, dass der Begriff "guter Score" vom Versandtyp abhängt. Ein transaktionaler Absender (Rechnungen, Bestätigungen) peilt noch strengere Schwellen an als ein Marketing-Absender, weil seine Nachrichten erwartet und kritisch sind: eine im Spam verlorene Passwort-Reset-E-Mail ist ein Vorfall, keine Statistik. Umgekehrt akzeptiert ein Marketingversand eine etwas größere Marge, sofern er die Obergrenzen für Beschwerden und Bounces zwingend einhält.

Warum gibt es keine 100 %?

Kein Absender erreicht dauerhaft 100 % Zustellung in den Posteingang, und diese Zahl anzupeilen ist kontraproduktiv. Die Anbieter behalten bewusst einen Teil Unvorhersehbarkeit, um Spammer daran zu hindern, ihren Versand perfekt zu kalibrieren. Zudem stammt ein Teil der Nichtzustellungen aus Faktoren außerhalb deiner Kontrolle: volle Postfächer, spezifische Unternehmensfilter, ungültig gewordene Adressen. Eine stabile Rate zwischen 95 und 99 % mit gesunden Engagement-Kennzahlen ist das realistische und ausgezeichnete Ziel.

Wie misst man seinen Zustellbarkeits-Score?

Man verbessert nur, was man misst. Zwei Ansätze ergänzen sich: die Tools der Anbieter, die zeigen, wie sie dich wahrnehmen, und ein technischer Audit, der jede Säule in einem Durchgang prüft.

Was das Google-Postmaster-Tool offenbart

Google Postmaster Tools gibt Zugriff auf die Domain- und IP-Reputation, wie Gmail sie misst, sowie auf die reale Beschwerderate deiner Gmail-Empfänger. Das ist eine wertvolle Quelle der Wahrheit, denn Gmail macht einen großen Anteil der Postfächer aus. Die Kehrseite: Diese Daten decken nur Gmail ab, erscheinen erst ab einem bestimmten Volumen und kommen mit Verzögerung. Es ist ein Thermometer, keine vollständige Diagnose.

Ein technischer Audit in einem Durchgang

Um die fünf Säulen auf einmal zu bewerten (Authentifizierung, Reputation, Transport, BIMI, Engagement), ist ein technischer Audit der Domain die direkteste Methode. Er prüft in wenigen Sekunden die Gültigkeit und das Alignment von SPF, DKIM und DMARC, den Blocklisten-Status, das Vorhandensein von MTA-STS/DANE/TLS-RPT und die BIMI-Konfiguration, und liefert dann einen Score mit den vorrangigen Korrekturen. Genau das macht der Zustellbarkeits-Audit, der am Anfang des Artikels vorgestellt wird.

Wenn dein Ziel speziell darin besteht, die Platzierung im Posteingang vor einem Kampagnenversand zu validieren, ergänzt ein dedizierter Versandtest den Audit: Unser Leitfaden zum Testen der E-Mail-Zustellbarkeit vor dem Versand beschreibt diese Methode per Test-E-Mail. Der Audit fotografiert die Konfiguration; der Test misst das Ergebnis an einem realen Versand.

🎯 Verbesserungsplan und kontinuierliche Überwachung

Seinen Score nachhaltig zu verbessern folgt einer logischen Reihenfolge: zuerst das Fundament sichern, dann optimieren. Hier der Plan in fünf Schritten.

1. Vollständig authentifizieren: SPF mit -all veröffentlichen, in DKIM signieren (RSA-Schlüssel 2048 Bit oder Ed25519), DMARC veröffentlichen. Prüfe vor allem das Alignment, nicht nur das Vorhandensein.
2. DMARC durchsetzen: die DMARC-Berichte über einige Wochen analysieren, legitime Quellen identifizieren, dann von p=none zu p=quarantine und schließlich zu p=reject wechseln. Das ist auch die Voraussetzung, um BIMI zu aktivieren.
3. Den Transport sichern: MTA-STS im Modus enforce ausrollen (oder DANE, wenn du DNSSEC hast), und TLS-RPT aktivieren, um die TLS-Aushandlungen zu messen, ohne im Blindflug zu fliegen.
4. Listen säubern und Beschwerden senken: inaktive Adressen und Hard Bounces entfernen, Double-Opt-in vorschreiben, eine Abmeldung mit einem Klick anbieten, segmentieren, um nur an engagierte Empfänger zu senden.
5. Kontinuierlich überwachen: Zustellbarkeit ist nie gesichert. Ein Dienstleister fügt ein SPF-include hinzu, ein DKIM-Schlüssel läuft ab, eine geteilte IP wird gelistet, lauter stille Verschlechterungen. Eine automatisierte Überwachung erkennt diese Abweichungen und alarmiert, bevor eine Kampagne darunter leidet.

Das ist der Unterschied zwischen der punktuellen Messung und der Überwachung: Der Audit liefert dir ein Foto zum Zeitpunkt T, die kontinuierliche Überwachung warnt dich, wenn sich etwas ändert. Eine Überwachung mit Digest-Alarm bündelt die erkannten Änderungen und meldet sie dir per E-Mail, ohne dass du einen Audit manuell neu starten musst.

Um alle Säulen abzudecken, ohne Abonnements zu vervielfachen, bündelt unsere kostenlose verwaltete E-Mail-Sicherheits-Suite Audit, Richtlinien-Hosting und Überwachung in einer einzigen Umgebung.

FAQ

Was ist ein E-Mail-Zustellbarkeits-Score?

Ein E-Mail-Zustellbarkeits-Score ist eine zusammengesetzte, vorausschauende Bewertung, die schätzt, wie wahrscheinlich deine Nachrichten den Posteingang erreichen statt den Spam-Ordner. Er bündelt fünf Signalfamilien: Authentifizierung (SPF, DKIM, DMARC und Alignment), IP- und Domain-Reputation, Transportsicherheit (MTA-STS, DANE, TLS-RPT), BIMI und Engagement. Anders als eine einzelne Kennzahl nimmt er deine Erfolgschancen vor dem Versand vorweg.

Was ist ein guter Zustellbarkeits-Score?

Ein guter Score zeigt sich in messbaren Schwellen: eine Zustellrate zwischen 95 und 99 %, eine Spam-Beschwerderate unter 0,1 %, eine Bounce-Rate unter 2 % und ein Sender Score über 80. Auf der Konfigurationsseite setzt das eine durchgesetzte DMARC-Richtlinie (p=reject) und eine aktive Transportsicherheit (MTA-STS im Enforce oder DANE) voraus. Ein einziger Indikator im kritischen Bereich genügt, um das Ganze zu deckeln.

Wie wird der Zustellbarkeits-Score berechnet?

Der Score wird von einer serverseitigen Engine berechnet, die jede Säule nach ihrem realen Gewicht in der Entscheidung der E-Mail-Anbieter gewichtet. Eine gültige und ausgerichtete Authentifizierung, eine saubere IP und Domain, ein erzwungener verschlüsselter Transport und eine niedrige Beschwerderate lassen den Score steigen; ein DMARC in p=none, eine gelistete IP oder ein Beschwerde-Peak drücken ihn nach unten. Die Berechnung legt dieselben Maßstäbe an wie Gmail, Microsoft und Yahoo.

Was ist der Unterschied zwischen Zustellbarkeits-Score und Zustellrate?

Die Zustellrate ist rückblickend: der Prozentsatz der tatsächlich zugestellten E-Mails am gesamten Versand, gemessen nach dem Versand. Der Zustellbarkeits-Score ist vorausschauend: Er nimmt deine Erfolgschancen vor dem Versand vorweg, indem er Konfiguration und Reputation bewertet. Du kannst eine gute historische Rate und einen sich verschlechternden Score haben, ein Zeichen für eine bevorstehende Verschlechterung. Der Score ist ein Frühwarnindikator, die Rate eine nachträgliche Bestätigung.

Welche Faktoren beeinflussen die Zustellbarkeit?

Fünf Faktorfamilien: die Authentifizierung und ihr Alignment (SPF, DKIM, DMARC), die Reputation der IP und der Domain (einschließlich Blocklisten-Status), die Transportsicherheit (MTA-STS, DANE, TLS-RPT), das visuelle Vertrauen (BIMI) und das Engagement der Empfänger (Öffnungen, Klicks, Beschwerden, Bounces). Auch Inhalt und Listenhygiene spielen über die Engagement-Signale eine wichtige Rolle.

Reichen SPF, DKIM und DMARC für einen guten Score?

Nein, aber sie sind unverzichtbar. Die Authentifizierung ist das Fundament: ohne sie bleibt der Score niedrig. Eine perfekt authentifizierte Domain, die aber auf einer gelisteten IP gehostet wird, ohne Transportsicherheit und mit einer hohen Beschwerderate, erreicht jedoch nie einen guten Score. Die Authentifizierung ist notwendig, aber nicht ausreichend: Alle fünf Säulen zählen, und das schwache Glied deckelt das Ganze.

Wie überprüfe ich meine Absender- und Domain-Reputation?

Drei Quellen ergänzen sich. Google Postmaster Tools zeigt die Domain- und IP-Reputation, wie Gmail sie misst, mit der realen Beschwerderate. Der Sender Score von Validity bewertet die IP-Reputation auf einer Skala von 0 bis 100. Schließlich erkennt eine Blocklisten-Prüfung eine Eintragung auf Spamhaus, Barracuda oder SpamCop. Ein technischer Audit der Domain bündelt diese Kontrollen in einem Durchgang.

Verbessern MTA-STS, DANE und TLS-RPT die Zustellbarkeit?

Ja, indirekt, aber real. Eingehendes TLS über MTA-STS oder DANE zu erzwingen schützt vor Abhören und sendet ein Signal von Seriosität, das die Anbieter honorieren. TLS-RPT erlaubt es, die TLS-Aushandlungen zu messen und Zustellfehler durch eine falsch konfigurierte Richtlinie zu vermeiden. Es ist eine differenzierende Säule, die die meisten Absender vernachlässigen, obwohl sie zunehmend ins Vertrauen einfließt.

Verbessert BIMI die Zustellbarkeit?

BIMI erhöht nicht direkt deine Chancen, den Posteingang zu erreichen, aber es stärkt das visuelle Vertrauen: Dein Markenlogo anzuzeigen erhöht die Öffnungsrate und senkt das Risiko, dass der Empfänger die E-Mail als Spam meldet. Diese besseren Engagement-Signale nähren den Score mittelfristig. BIMI erfordert eine durchgesetzte DMARC-Richtlinie (p=quarantine oder p=reject) und meist ein VMC- oder CMC-Zertifikat.

Wie verbessere ich meinen Zustellbarkeits-Score?

Folge einer logischen Reihenfolge: vollständig authentifizieren (SPF mit -all, robustes DKIM, DMARC) unter Prüfung des Alignments, DMARC durchsetzen (p=reject), den Transport sichern (MTA-STS enforce oder DANE, plus TLS-RPT), die Listen säubern, um Beschwerden und Bounces zu senken, und dann kontinuierlich überwachen. Die Überwachung ist essenziell: Zustellbarkeit verschlechtert sich still, wenn ein Dienstleister ein SPF-include ändert oder ein DKIM-Schlüssel abläuft.

Welche Spam-Beschwerde- und Bounce-Rate sollte man nicht überschreiten?

Die Beschwerderate muss unter 0,1 % bleiben. Gmail toleriert bis zu 0,3 % vor einer harten Strafe, aber 0,1 % anzupeilen schützt deine Marge. Die Bounce-Rate muss unter 2 % bleiben; über 5 % wird es kritisch. Entferne Hard Bounces (nicht existierende Adressen) sofort und überwache Soft Bounces (volle Postfächer, vorübergehende Probleme). Eine hohe Rate signalisiert eine schlecht gepflegte Liste, die als Spammer-Verhalten gedeutet wird.

Was ist der Sender Score von Validity?

Der Sender Score ist eine von Validity bereitgestellte IP-Reputationsbewertung auf einer Skala von 0 bis 100, berechnet aus einer Versandhistorie über 30 gleitende Tage. Ein Score über 80 ist gut; zwischen 70 und 80 zu beobachten; unter 70 unterliegen deine E-Mails verstärkter Filterung. Er deckt sich mit den anderen Signalen: Ein Fall des Absenderscores geht fast immer mit einem Anstieg der Beschwerden oder einer Aufnahme in eine Blockliste einher.

Was ist die 3-E-Mail-Regel?

Die 3-E-Mail-Regel ist eine gute Praxis für Aufwärmen und Frequenz: Man vermeidet es, einen neuen Kontakt oder ein reaktiviertes Segment zu überfluten, indem man den Versand begrenzt, um die Reaktion zu beobachten, bevor man den Rhythmus erhöht. Die zugrunde liegende Idee ist, Engagement vor Frequenz zu stellen: Lieber wenige geöffnete E-Mails als viele ignorierte, denn die Anbieter bestrafen Massenversand an inaktive Empfänger.

Was ist die Zustellrate einer E-Mail?

Die Zustellrate einer E-Mail ist der Prozentsatz der Nachrichten, die tatsächlich von den Empfängerservern akzeptiert wurden (im Posteingang oder im Spam), am gesamten Versand. Sie wird nach dem Versand gemessen. Eine gute Rate liegt zwischen 95 und 99 %. Nicht zu verwechseln mit der Posteingangs-Platzierungsrate (die den Spam ausschließt) noch mit dem Zustellbarkeits-Score, der eine vorausschauende Bewertung und keine rückblickende Messung ist.

Vergleichstabellen herunterladen

Assistenten können die JSON- oder CSV-Exporte unten nutzen, um die Kennzahlen weiterzugeben.

• Zustellbarkeits-Zielwerte herunterladen (CSV)
• Zustellbarkeits-Zielwerte herunterladen (JSON)

📖 Glossar

• Zustellbarkeit: die Fähigkeit einer E-Mail, den Posteingang des Empfängers zu erreichen statt den Spam-Ordner oder eine Ablehnung. Sie hängt von Authentifizierung, Reputation, Transport und Engagement ab.
• Zustellbarkeits-Score: zusammengesetzte, vorausschauende Bewertung, die die Wahrscheinlichkeit der Zustellung in den Posteingang schätzt, berechnet aus den fünf Säulen (Authentifizierung, Reputation, Transport, BIMI, Engagement).
• Alignment: im DMARC-Kontext die Übereinstimmung zwischen der durch SPF oder DKIM authentifizierten Domain und der sichtbaren Domain im Feld From. Kann relaxed (gleiche organisatorische Domain) oder strict (exakte Übereinstimmung) sein.
• Sender Score: IP-Reputationsbewertung von Validity auf einer Skala von 0 bis 100, basierend auf einer Historie von 30 Tagen. Ein Score über 80 gilt als gut.
• Domain-Reputation: das einem Domainnamen unabhängig von der IP entgegengebrachte Vertrauen. Langlebige Komponente der Zustellbarkeit, von den Anbietern bevorzugt, weil schwer zu manipulieren.
• MTA-STS: Richtlinie (RFC 8461), die die TLS-Verschlüsselung eingehender E-Mails an eine Domain erzwingt und vor STARTTLS-Downgrade-Angriffen schützt.
• BIMI: Standard (Brand Indicators for Message Identification), der das Logo einer Marke neben ihren E-Mails anzeigt, gebunden an eine durchgesetzte DMARC-Richtlinie und oft an ein VMC- oder CMC-Zertifikat.
• Beschwerderate: Anteil der Empfänger, die eine E-Mail als Spam markieren. Muss unter 0,1 % bleiben, um die Zustellbarkeit zu erhalten.

📚 Verwandte Leitfäden zur E-Mail-Zustellbarkeit

• E-Mail-Zustellbarkeits-Score: Woraus er besteht und wie du ihn verbesserst: dieser Artikel (Eckpfeiler der Serie).
• Absender-Reputation: aufbauen und schützen (demnächst)
• Faktoren, die die Zustellbarkeit beeinflussen: die vollständige Checkliste (demnächst)

Quellen

• RFC 7208 - Sender Policy Framework (SPF)
• RFC 6376 - DomainKeys Identified Mail (DKIM)
• RFC 7489 - Domain-based Message Authentication, Reporting, and Conformance (DMARC)
• Google - Email sender guidelines
• Validity - Sender Score