Wie E-Mail Spam Filter funktionieren und was es als Websitebetreiber zu beachten gilt.

E-Mail im Spam-Ordner: Was Websitebetreiber jetzt wissen müssen

Kontaktanfragen verschwinden lautlos. Kein Bounce, kein Hinweis – die Nachricht landet im Spam-Ordner des Empfängers oder wird vom Mailserver still blockiert, noch bevor sie überhaupt zugestellt wird. Für Unternehmen, die auf Website-Formulare als primären Kanal für Kundenanfragen setzen, ist das kein technisches Randproblem, sondern ein handfester geschäftlicher Schaden.

Dabei ist die Ausgangslage klar: Nahezu jede Webentwicklung umfasst mindestens ein Kontaktformular. Ob einfache Anfrage, Bewerbung, Konfiguratoranfrage oder Support-Ticket – das Formular ist der Dreh- und Angelpunkt zwischen Websitebesucher und Unternehmen. Und in vielen Fällen läuft die Übermittlung dieser Daten über automatisch generierte E-Mails. Dass diese E-Mails zuverlässig ankommen, ist technisch alles andere als selbstverständlich.

In diesem Artikel erklären wir, wie Spam-Filter tatsächlich entscheiden, was E-Mails als verdächtig einstuft – und was Websitebetreiber konkret tun können, um die Zustellrate dauerhaft hochzuhalten.

Wie Spam-Filter heute Entscheidungen treffen

Moderne Spam-Filter verwenden fortschrittliche Algorithmen und maschinelles Lernen, um unerwünschte E-Mails effektiv zu identifizieren und zu filtern. Das bedeutet: Es gibt keine statische Checkliste, nach der eine E-Mail bewertet wird. Die Entscheidung entsteht aus einem Zusammenspiel technischer Merkmale, Absenderverhalten und historischer Reputationsdaten.

Vereinfacht gesagt prüft der empfangende Mailserver bei jeder eingehenden E-Mail mehrere Ebenen gleichzeitig:

1. Absender-Authentifizierung – Kommt die E-Mail wirklich vom angegebenen Server?
2. Absender-Reputation – Hat die versendende IP oder Domain eine positive Vergangenheit?
3. Inhaltsanalyse – Enthält die E-Mail Merkmale bekannter Spam-Muster?
4. Empfängerverhalten – Wie reagieren Empfänger auf E-Mails dieses Absenders?

Beim Eintreffen einer E-Mail prüft der empfangende Server über SPF, DKIM und DMARC, ob der Absender echt ist. Stimmen die Angaben nicht, wird die E-Mail blockiert oder aussortiert – oft, ohne dass der Versender es merkt.

Genau dieser letzte Punkt macht das Problem so tückisch: Fehlkonfigurierte Formulare scheitern still. Kein Fehler im Backend, keine Rückmeldung an den Nutzer – und das Unternehmen wundert sich, warum keine Anfragen mehr eingehen.

Die drei Säulen der E-Mail-Authentifizierung

SPF – Wer darf im Namen Ihrer Domain versenden?

Das Sender Policy Framework (SPF) definiert per DNS-TXT-Eintrag, welche IP-Adressen und Server E-Mails für eine Domain senden dürfen. Der empfangende E-Mail-Server überprüft bei eingehender E-Mail die eingetragene Absenderdomain im Header „MAIL FROM" und ruft den SPF-Record dieser Domain ab. Anschließend vergleicht er, ob die sendende IP-Adresse im SPF-Record autorisiert ist.

Ohne einen gültigen SPF-Eintrag signalisiert Ihre E-Mail dem empfangenden Server: „Ich behaupte, von dieser Domain zu kommen – aber das lässt sich nicht überprüfen." Für Spam-Filter ist das ein klares Warnsignal.

Besonders relevant wird das beim Einsatz externer Versanddienste. Wer E-Mails über Dienste wie Amazon SES, Mailgun, SendGrid oder ähnliche Plattformen versendet, muss sicherstellen, dass diese Server im SPF-Record der eigenen Domain eingetragen sind. Jedes include und redirect im SPF-Record zählt als DNS-Lookup. Bei vielen Drittanbietern – Newsletter-Tool, CRM, Helpdesk – ist das Limit von 10 Lookups schnell erreicht. In diesem Fall helfen SPF-Flattening oder die Nutzung von Subdomains für unterschiedliche Dienste.

DKIM – Die digitale Unterschrift jeder E-Mail

DomainKeys Identified Mail (DKIM) bietet kryptographische Validierung, dass E-Mail-Nachrichten während der Übertragung nicht verändert wurden. DKIM erfordert, dass ausgehende Nachrichten mit einem privaten Schlüssel digital signiert werden, wobei die Signatur von empfangenden Systemen über einen im DNS veröffentlichten öffentlichen Schlüssel verifiziert wird. Der primäre Zweck von DKIM ist die Überprüfung der Nachrichtenintegrität und die Verhinderung von Manipulationen während der Übertragung.

Konkret bedeutet das: Selbst wenn eine E-Mail auf dem Weg zum Empfänger abgefangen und verändert wird, schlägt die DKIM-Prüfung fehl – der empfangende Server erkennt, dass etwas nicht stimmt. Für legitime Formulare, die Kundenanfragen weiterleiten, ist DKIM damit ein zentrales Vertrauenssignal.

DMARC – Die Richtlinie, die alles zusammenhält

SPF definiert, welche Server E-Mails von Ihrer Domain versenden dürfen. DKIM fügt eine digitale Signatur hinzu, die Manipulation verhindert. DMARC kombiniert beide und legt fest, wie mit nicht-authentifizierten E-Mails umgegangen wird.

DMARC soll die verbleibende Lücke schließen – funktioniert aber nur, wenn SPF und DKIM korrekt eingerichtet sind und ihre Ergebnisse auf die Absenderdomain im „From"-Header zurückgeführt werden können (Domain Alignment).

DMARC-Einträge kennen drei Richtlinien: p=none (nur Beobachtung, keine Aktion), p=quarantine (Spam-Ordner) und p=reject (vollständige Ablehnung). Wer DMARC noch nicht aktiv einsetzt, sollte mit p=none beginnen, um zunächst Reporting-Daten zu sammeln, bevor härtere Maßnahmen konfiguriert werden.

Der Branchentrend: Authentifizierung wird Pflicht

Was vor wenigen Jahren noch als Best Practice galt, ist mittlerweile reguläre Anforderung großer E-Mail-Plattformen.

Seit Februar 2024 verlangen Google und Yahoo SPF und DMARC für alle Absender, die mehr als 5.000 E-Mails pro Tag senden. Microsoft 365 zog im April 2025 nach. Ohne diese Einträge landen E-Mails zunehmend im Spam oder werden komplett abgelehnt – auch legitime.

Ab November 2025 werden bei Gmail nicht mehr nur Warnungen ausgegeben oder E-Mails gefiltert – nicht konforme Nachrichten werden direkt abgelehnt. Das markiert das Ende der „Soft-Enforcement"-Phase, die Anfang 2024 begann.

Microsofts neue Anforderungen unterscheiden sich von früheren Richtlinien, da alle drei Authentifizierungsmechanismen gleichzeitig bestehen müssen. Früher konnte eine starke DKIM-Signatur combined mit einem bestehenden DMARC-Eintrag die Zustellung sichern, selbst wenn SPF fehlschlug. Unter den neuen Anforderungen führt das Scheitern eines einzigen Authentifizierungsmechanismus zur Ablehnung der Nachricht.

Das ist keine technische Feinheit am Rande – das ist eine fundamentale Verschiebung. Unternehmen, die ihre E-Mail-Infrastruktur frühzeitig korrekt aufgesetzt haben, sind von diesen Änderungen kaum betroffen. Alle anderen müssen nachziehen, um nicht auf breiter Front Zustellprobleme zu riskieren.

Der häufigste Fehler bei Website-Formularen

In der Praxis begegnet uns ein Konfigurationsfehler besonders häufig: Die E-Mail-Adresse des Websitebesuchers wird als From:-Adresse der automatisch generierten E-Mail gesetzt.

Um sich das Antworten zu erleichtern, mag man auf die Idee kommen, die E-Mail-Adresse des Nutzers in das Absender-Feld ("Von") einzutragen. Dies ist keine gute Idee, da diese E-Mail dann ziemlich sicher als Spam eingestuft wird, da die Domain nicht mit der sendenden Domain der Website übereinstimmt.

Das Muster ist verbreitet – und gerade bei Standard-Plugins für WordPress oder anderen CMS-Systemen häufig die vorkonfigurierte Standardeinstellung. Die E-Mail sieht aus, als käme sie von kunde@gmail.com, wird aber vom eigenen Webserver versendet. SPF schlägt fehl, DKIM passt nicht zur Domain – das Ergebnis ist absehbar.

Die korrekte Lösung: Die From:-Adresse muss immer eine E-Mail-Adresse der eigenen Domain sein, für die ein gültiger SPF-Eintrag und ein DKIM-Schlüssel existieren. Die Adresse des Besuchers gehört ausschließlich in den Reply-To:-Header. Trotzdem möchte man in der Regel auf eingehende Anfragen einfach antworten können. Damit beim Antworten nicht die eingegebene Absenderadresse, sondern die E-Mail-Adresse des Interessenten verwendet wird, braucht es eine kleine Ergänzung im Reply-To:-Header. So behalten Sie die Kontrolle über den Versandprozess, ohne auf Komfort beim Antworten zu verzichten.

Ebenso sollte der Versand über die native mail()-Funktion von PHP vermieden werden. Stellen Sie sicher, dass der Versand Ihrer E-Mails über einen SMTP-Server erfolgt, der mit Benutzername und Passwort authentifiziert wird. Vermeiden Sie PHP-Funktionen wie mail(), die keine Authentifizierung bieten. Moderne Content-Management-Systeme und Webanwendungen bieten Schnittstellen zur Konfiguration von SMTP-Servern.

Shared Hosting: Das unsichtbare Risiko

Ein unterschätztes Problem betrifft besonders Unternehmen, die ihre Website in Shared-Hosting-Umgebungen betreiben. Hier teilen sich viele Kunden dieselbe IP-Adresse – und damit auch die gemeinsame Sender-Reputation.

In Shared-Hosting-Umgebungen teilen sich mehrere Nutzer denselben Server und dieselbe IP-Adresse. Wenn auch nur ein Account kompromittiert, fehlkonfiguriert oder für Spam genutzt wird, kann die IP des gesamten Servers auf eine Blacklist geraten. Das betrifft alle Websites auf dieser gemeinsamen IP – mit möglichen Auswirkungen auf E-Mail-Zustellung, Suchmaschinen-Rankings und das Vertrauen von Nutzern und Providern.

Auch 2025 ist IP-Blacklisting eines der häufigsten und kostspieligsten Probleme für Web-Hosting-Anbieter. Täglich kämpfen Hosting-Unternehmen mit blockierten E-Mails und überfüllten Support-Queues – verursacht durch einen einzigen Hauptgrund: ausgehender Spam von kompromittierten Accounts. Das Muster ist immer dasselbe: Ein gehacktes WordPress-Plugin oder ein gestohlenes E-Mail-Credential versendet Spam. Eine IP, die von Hunderten von Domains genutzt wird, landet auf einer Blacklist. Alle E-Mails von dieser IP werden zurückgewiesen.

Das Tückische: Man kann selbst alles richtig machen – und dennoch betroffen sein, weil ein Mitnutzer desselben Servers Probleme verursacht.

Was hilft:

• Regelmäßige Prüfung der eigenen Domain und IP über Blacklist-Checker wie MxToolbox oder ähnliche Tools
• Bei wiederkehrenden Blacklist-Einträgen: Wechsel zu einem dedizierten E-Mail-Versanddienst
• Bei häufigen Problemen: Migration zu einem Managed Hosting mit separater IP oder eigenem E-Mail-Server
• Sicherheitscheck des Webservers auf Kompromittierungen, insbesondere wenn E-Mails ohne Ihr Wissen versendet werden

Externe Versanddienste: Die richtige Wahl für skalierbare Projekte

Für Websites mit höherem E-Mail-Aufkommen oder besonders sensiblen Formular-Workflows empfiehlt sich der Einsatz spezialisierter Versanddienste. Für Newsletter oder größere Mengen an E-Mails sollten spezialisierte E-Mail-Dienste wie Sendinblue, Mailchimp oder Amazon SES genutzt werden. Diese Dienste bieten eine bessere Zustellbarkeit, umfangreiche Analysefunktionen und erweiterte Sicherheitsmaßnahmen, die speziell auf den Massenversand ausgelegt sind.

Ein häufig diskutierter Aspekt bei externen Diensten ist die Frage nach dedizierten IP-Adressen. Grundsätzlich gilt: Für neue Domains oder IPs sollte das Sendevolumen schrittweise gesteigert werden, um eine positive Reputation aufzubauen. Ein zu schneller Anstieg des Sendevolumens kann zu Spam-Filterung und Blockierungen führen. Eine neue dedizierte IP hat zunächst keine Reputation – weder positiv noch negativ. Erst durch konsequentes, sauberes Verhalten über Wochen und Monate wird eine vertrauenswürdige Sender-Reputation aufgebaut.

Für die meisten mittelständischen Websites ist eine shared IP eines renommierten Versanddienstleisters mit guter Reputation oft die bessere Wahl als eine dedizierte IP ohne Aufwärmphase.

Spam-Rate, Inhalte und weitere Einflussfaktoren

Technische Authentifizierung allein reicht nicht aus. Der Spam-Schwellenwert sollte unter 0,1 % Spam-Rate gehalten werden – ab 0,3 % drohen Zustellprobleme bei Google.

Darüber hinaus beeinflussen weitere Faktoren die Zustellrate:

• Inhalt der E-Mail: Spam-typische Formulierungen, zu viele Links oder übermäßige Bildanteile können trotz korrekter Authentifizierung zur Spam-Einstufung führen.
• Absender-Konsistenz: Verwenden Sie eine konsistente From:-Adresse, um Markenwiedererkennung aufzubauen. Konsistenz hilft, Vertrauen zu schaffen und Ihre E-Mails erkennbarer zu machen.
• Trennung von Marketing- und transaktionalen E-Mails: Marketing-E-Mails werden eher als Spam eingestuft. Separate Domains und IPs für Transaktions- und Marketing-E-Mails stellen sicher, dass wichtige Kommunikation nicht durch Marketing-Probleme beeinträchtigt wird.
• Bounce-Monitoring: Temporäre und permanente SMTP-Fehler (4xx und 5xx) sollten verfolgt, untersucht und zur Verbesserung der Zustellbarkeit genutzt werden.

User Experience beginnt beim Formular-Versand

Formulare sind nicht nur ein technisches Hilfsmittel – sie sind ein zentraler Berührungspunkt zwischen Nutzer und Unternehmen. Eine schlecht zugestellte Formular-E-Mail ist nicht nur ein technisches Versagen. Sie ist eine fehlgeschlagene Interaktion, eine verlorene Anfrage, ein Signal mangelnder Professionalität.

Gute User Experience endet nicht mit dem Absenden des Formulars. Sie umfasst auch die zuverlässige Zustellung der Anfrage, eine schnelle Antwort und ein konsistentes Absenderbild. Wer Formulare als bloße Dateneingabe betrachtet, übersieht den gesamten Kommunikationsprozess dahinter.

In unseren Projekten – ob Business-Websites, Webanwendungen oder komplexe Portale – ist die korrekte Konfiguration des E-Mail-Versands fester Bestandteil der technischen Umsetzung. Fehlkonfigurierte Formulare fallen uns regelmäßig bei der Übernahme bestehender Projekte auf: falsche Absenderadressen, fehlende SPF-Einträge, kein DKIM – und das bei Websites, die seit Jahren produktiv im Einsatz sind.

Checkliste: Was Websitebetreiber jetzt prüfen sollten

Eine schnelle Selbstprüfung für alle, die sichergehen wollen, dass ihre Website-Formulare zuverlässig zugestellt werden:

DNS-Konfiguration

• [ ] SPF-Eintrag für die eigene Domain konfiguriert und alle genutzten Versandserver eingetragen?
• [ ] DKIM für alle Versandwege (eigener Server, externe Dienste) eingerichtet?
• [ ] DMARC-Eintrag vorhanden – mindestens p=none mit Reporting-Adresse?
• [ ] Reverse-DNS (PTR-Record) für die Versand-IP gesetzt?

Formular-Konfiguration

• [ ] From:-Adresse ist eine Adresse der eigenen Domain – nicht die des Besuchers?
• [ ] E-Mail-Adresse des Besuchers nur im Reply-To:-Header gesetzt?
• [ ] Versand über authentifizierten SMTP-Server, nicht über mail()?
• [ ] Kein kostenloser E-Mail-Anbieter (Gmail, GMX etc.) als Absender?

Monitoring

• [ ] Blacklist-Status der eigenen Domain regelmäßig prüfen?
• [ ] Bounce-Rate und SMTP-Fehlercodes im Blick?
• [ ] Spam-Beschwerderate monitoren?

Fazit: Technische Sorgfalt schützt geschäftliche Kommunikation

Eine hundertprozentige Zustellgarantie gibt es nicht – das ist eine nüchterne Realität. Jeder E-Mail-Anbieter kann eigene Filterregeln definieren, und Empfänger können Absender individuell blockieren. Aber: Wer die technischen Grundlagen korrekt umsetzt, eliminiert die häufigsten und gravierendsten Ursachen für Zustellprobleme.

Wer seine E-Mails sauber authentifiziert, schützt nicht nur Empfänger vor Phishing, sondern stärkt auch die eigene Zustellbarkeit und Reputation. Das ist kein Selbstzweck, sondern ein direkter Einfluss auf die Qualität der geschäftlichen Kommunikation.

E-Mail-Authentifizierung ist heute der Schlüssel, damit Newsletter und Kampagnen verlässlich im Posteingang landen. Sie schützt vor Domain-Missbrauch, stärkt die Marke und stabilisiert die Zustellbarkeit. Gleichzeitig steigen die Risiken: Fehlende oder falsch konfigurierte Verfahren führen schneller zu Spam-Einstufungen, Blockierungen und Umsatzverlusten.

Wer Unterstützung bei der Prüfung oder Neukonzeption seiner Website-Infrastruktur sucht – ob als Teil eines Website-Projekts oder im Rahmen von Website-Wartung und Pflege – findet bei uns einen erfahrenen Ansprechpartner. Wir schauen uns das gerne gemeinsam an.