Ihre Automatisierung verschickt Auftragsbestätigungen, Rechnungen und Terminerinnerungen – zuverlässig, rund um die Uhr. Der Workflow läuft grün durch, die Ausführung gilt als erfolgreich. Trotzdem ruft ein Kunde an: „Ich habe nie eine Bestätigung bekommen.“ Die Mail liegt im Spam-Ordner, oder sie wurde nie zugestellt. Dieser Beitrag erklärt für Geschäftsführer und alle, die typische Automatisierungen betreiben, warum das passiert – und welche Stellschrauben wirklich helfen, damit automatische E-Mails im Posteingang ankommen.
Warum der Workflow grün ist und die Mail trotzdem niemand sieht
Eine Automatisierung gilt als erfolgreich, sobald der erste Mailserver die Nachricht angenommen hat. „Angenommen“ heißt aber nur: Ein Server hat die E-Mail entgegengenommen – nicht, dass sie im Posteingang des Empfängers landet. Darüber entscheidet ein anderer Akteur: der empfangende Provider, also Gmail, Outlook oder der Mailhoster Ihres Kunden. Dessen Filter prüft in Sekundenbruchteilen, ob er der Nachricht traut. Tut er das nicht, verschiebt er sie in den Spam-Ordner oder lehnt sie ganz ab – und Ihr Workflow meldet trotzdem Erfolg. Genau das macht diese Art Ausfall so tückisch: Sie bleibt in den Ausführungsprotokollen unsichtbar, bis sich jemand beschwert.
Woran Provider erkennen, ob sie einer Mail trauen
Drei Standards entscheiden, ob eine E-Mail als echt durchgeht. Sie sind technisch, aber das Prinzip ist einfach: Sie weisen nach, dass eine Nachricht wirklich von Ihrer Domain stammt.
SPF: Wer darf für Ihre Domain senden?
SPF (Sender Policy Framework) ist ein Eintrag im DNS Ihrer Domain, der auflistet, welche Server in Ihrem Namen E-Mails verschicken dürfen. Der empfangende Provider vergleicht die sendende IP-Adresse mit dieser Liste. Steht der Server nicht darauf, ist das ein Warnsignal.
DKIM: Wurde die Mail unterwegs verändert?
DKIM (DomainKeys Identified Mail) versieht jede ausgehende Nachricht mit einer kryptografischen Signatur; der passende öffentliche Schlüssel liegt im DNS. Der Empfänger prüft die Signatur und weiß damit zweierlei: Die Mail kommt tatsächlich von Ihrer Domain, und ihr Inhalt wurde auf dem Weg nicht verändert.
DMARC: Was soll bei Zweifeln passieren?
DMARC setzt auf SPF und DKIM auf. Es verlangt laut dmarc.org ein „Alignment“ – die Domain im sichtbaren Absender (das From-Feld) muss zur per SPF oder DKIM geprüften Domain passen. Zusätzlich legen Sie eine Richtlinie fest, was mit nicht bestandenen Mails geschehen soll: p=none (nur beobachten), quarantine (in den Spam) oder reject (ablehnen). Und Sie erhalten Berichte darüber, wer in Ihrem Namen sendet.
Authentifizierung ist kein Filter-Trick, sondern der Ausweis Ihrer Domain: SPF, DKIM und DMARC sagen dem empfangenden Provider, dass eine E-Mail wirklich von Ihnen stammt und unterwegs nicht verändert wurde. Fehlt dieser Ausweis, landet selbst die korrekte Rechnung im Zweifel im Spam – und die Automatisierung gilt als zuverlässig, obwohl niemand die Nachricht liest.
Was Google und Microsoft inzwischen verlangen
Seit dem 1. Februar 2024 müssen laut Googles Absender-Richtlinien alle Versender an Gmail-Adressen mindestens SPF oder DKIM eingerichtet haben, gültige Reverse-DNS-Einträge (PTR) führen, per TLS übertragen und ihre Spam-Rate in den Postmaster Tools unter 0,3 % halten. Wer mehr als 5.000 Nachrichten pro Tag an Gmail schickt, braucht zusätzlich DMARC samt Alignment und für Werbung einen One-Click-Abmeldelink.
Microsoft zog nach: Seit dem 5. Mai 2025 verlangt Outlook.com (samt hotmail.com und live.com) von Versendern ab 5.000 Mails pro Tag SPF, DKIM und DMARC. Nicht konforme Nachrichten landeten erst im Junk-Ordner und werden inzwischen mit der Fehlermeldung 550 5.7.515 ganz abgelehnt.
Die 5.000er-Schwelle klingt nach „betrifft mich nicht“ – die meisten Betriebe verschicken aus ihren Workflows weit weniger. Der Haken: Dieselben Signale entscheiden auch unterhalb der Schwelle, ob Ihre Bestätigung im Posteingang oder im Spam landet. Die Schwellenwerte schreiben nur verbindlich fest, was guter Zustellbarkeit ohnehin zugrunde liegt. Wer automatisiert sendet, richtet SPF, DKIM und DMARC deshalb unabhängig vom Volumen ein.
Wo es in der Automatisierung konkret hakt
In n8n verschickt der Knoten Send Email Nachrichten über SMTP. Dafür hinterlegen Sie eine SMTP-Zugangsdaten mit Host (smtp.ihre-domain.de), Port (587 mit STARTTLS oder 465 mit SSL/TLS), Benutzer und Passwort. Im Feld From Email tragen Sie die Absenderadresse ein, optional mit Anzeigename im Format Name <info@ihre-domain.de>. Das technische Einrichten der Workflows und Zugangsdaten ist dabei der einfache Teil – die Zustellbarkeit entscheidet sich an der Authentifizierung.
Der häufigste Fehler steckt im Alignment: Der Workflow sendet zwar „von“ Ihrer Domain, aber über einen fremden Server – etwa den Standard-SMTP des Hosters oder ein Tool-Konto –, für den weder SPF noch DKIM Ihrer Domain hinterlegt sind. Dann passt der sichtbare Absender nicht zur geprüften Domain, und DMARC schlägt fehl. Die saubere Lösung: über einen Server senden, der für Ihre Domain SPF-berechtigt ist und mit Ihrem DKIM-Schlüssel signiert. Manche Anbieter verlangen dafür ein App-Passwort oder haben die einfache SMTP-Anmeldung eingeschränkt – prüfen Sie die Vorgaben Ihres Mailanbieters.
Transaktionsmail ist kein Newsletter
Trennen Sie zwei Welten: transaktionale Mails wie Bestätigung, Rechnung oder Erinnerung, die ein Kunde erwartet, und Werbung oder Newsletter, die er abonniert hat. Beschwerden und Abmeldungen aus dem Marketing belasten die Reputation Ihrer Domain – und ziehen im Zweifel die wichtige Rechnung mit in den Spam. Wer beides in großem Stil über dieselbe Domain verschickt, trennt die Ströme besser über eine eigene Subdomain. Und: Automatisierte Werbung braucht eine Rechtsgrundlage, nämlich die Einwilligung nach UWG, wie ich sie bei der Lead-Übernahme ins CRM beschreibe.
Eine ehrliche Checkliste
| Schritt | Was er bewirkt |
|---|---|
| Eigene Domain als Absender nutzen | Grundlage für SPF und DKIM – eine fremde Adresse als Absender geht nicht durch |
| SPF, DKIM und DMARC im DNS einrichten | Der Provider erkennt die Mail als echt – der Eintrittsausweis |
| From-Domain und Signatur ausrichten | DMARC besteht nur, wenn sichtbarer Absender und geprüfte Domain zusammenpassen |
| Transaktion und Werbung trennen | Marketing-Beschwerden ziehen sonst die Rechnung in den Spam |
| Bounces und Spam-Rate beobachten | Frühwarnung, bevor der Provider die Reputation herabstuft |
Eintrittskarte, keine Garantie
SPF, DKIM und DMARC sind die Eintrittskarte, nicht die Garantie. Inhalt, Versandhistorie und Beschwerdequote entscheiden mit, ob ein Provider Ihrer Domain langfristig traut. Aber ohne diese drei Einträge beginnt jede automatische Mail mit einem Misstrauensvorschuss – und kein noch so sauberer Workflow holt das wieder auf. Die Einrichtung ist einmalige Arbeit im DNS, und sie entscheidet, ob Ihre Automatisierung am Ende wirklich ankommt.
Wenn Sie wissen wollen, wo Ihre Workflows heute senden und ob die Authentifizierung sitzt, schauen wir uns das im kostenlosen Prozess-Check gemeinsam an – ehrlich und ohne Verkaufsdruck.