So richten Sie SPF, DKIM und DMARC bei Beehiiv ein [2026]

von

Zuletzt aktualisiert:
9 Lesezeit: 9 Minuten
So richten Sie SPF, DKIM und DMARC bei Beehiiv ein [2026]

Haben Sie eine eigene Domain mit Beehiiv verknüpft oder eine kritische Warnung erhalten, dass eine DMARC-Authentifizierung erforderlich ist? Um sicherzustellen, dass die Zustellbarkeit Ihres Newsletters weiterhin einwandfrei bleibt, müssen Sie Ihre E-Mail-Authentifizierungsprotokolle ordnungsgemäß konfigurieren.

Beehiiv handhabt SPF und DKIM auf einzigartige Weise über automatisch generierte CNAME-Einträge, doch die Implementierung von DMARC bleibt für alle benutzerdefinierten Domains ein manueller, obligatorischer Schritt. Dieser Leitfaden behandelt die genauen Konfigurationsschritte, plattformspezifische Besonderheiten und erklärt, wie Sie überprüfen können, ob Ihre Einrichtung einwandfrei funktioniert.

Wichtigste Erkenntnisse

  • Automatische SPF- und DKIM-Generierung: Beehiiv generiert SPF- und DKIM-Einträge während der Konfiguration einer benutzerdefinierten Domain automatisch als CNAME-Einträge. Sie kopieren diese zu Ihrem DNS-Anbieter, anstatt die TXT-Zeilen manuell einzutragen.
  • DKIM-Verzögerung bei „Nicht gefunden“: Es ist völlig normal, dass unmittelbar nach der Konfiguration der Status „Nicht gefunden“ angezeigt wird. Die DKIM-Überprüfung von Beehiiv erfordert ausgehenden E-Mail-Verkehr, um die Erkennung auszulösen.
  • Wichtiger Hinweis zum Cloudflare-Proxy: Wenn Ihr DNS über Cloudflare verwaltet wird, stellen Sie sicher, dass Ihre Authentifizierungsdatensätze auf „Nur DNS“ eingestellt sind. Beehiiv kann „proxierte“ Datensätze nicht erkennen oder überprüfen.
  • 72-Stunden-Wartezeit: Die Domain-Propagierung kann bis zu 72 Stunden dauern. Vermeiden Sie es, Ihre Einträge während dieses Zeitraums zu löschen und erneut hinzuzufügen, um zu verhindern, dass Sie vom SSL-Anbieter von Beehiiv einer Ratenbegrenzung unterliegen.

Was Beehiiv automatisch einrichtet (und was Sie noch tun müssen)

Bei der Nutzung der standardmäßigen Subdomain-Infrastruktur von Beehiiv sind die E-Mail-Authentifizierungsprotokolle vollständig vorkonfiguriert. Sobald Sie jedoch eine eigene Domain verbinden, liegt die Authentifizierung der Domain-Inhaberschaft in Ihrer Verantwortung.

Um Ihre Marke zu schützen und die Platzierung zu verbessern:

Während Beehiiv die Abläufe rund um Ihre benutzerdefinierte Domain mithilfe dynamischer Tracking-Einträge organisiert, muss DMARC von Ihnen separat und manuell bei Ihrem Domain-Registrar eingerichtet werden.

So fügen Sie eine benutzerdefinierte Domain hinzu und richten SPF-/DKIM-Einträge ein

Schritt 1: Starten Sie die Einrichtung der benutzerdefinierten Domain

1. Melden Sie sich bei Ihrem Beehiiv-Dashboard an.

1 Beehiiv-Dashboard

2. Gehen Sie in die linke untere Ecke und klicken Sie auf „Einstellungen“.

3. Wählen Sie die Registerkarte „Domains“ aus, suchen Sie die Schaltfläche „Benutzerdefinierte Domain einrichten“ und klicken Sie darauf.

4. Geben Sie Ihre Root-Domain oder die von Ihnen gewählte Subdomain ein, legen Sie Ihre Weiterleitungspräferenz fest (die Aktivierung einer www-Weiterleitung wird dringend empfohlen, damit Ihre Publikation stets einheitlich aufgelöst wird) und geben Sie Ihre festgelegte Absenderdomain ein.

4 Geben Sie Ihre Stammdomain ein

Schritt 2: DNS-Einträge überprüfen und erstellen

1. Wechseln Sie zum Bildschirm „Überprüfen und einrichten“ und vergewissern Sie sich, dass Ihre Domain-Angaben vollständig korrekt sind.

5 Überprüfen und erstellen

2. Klicken Sie auf „Einrichtung abschließen“.

6. Einrichtung abschließen

3. Beehiiv stellt Ihnen umgehend Ihre individuelle DNS-Zuordnung zur Verfügung. Das System generiert einen vollständigen Satz von Web-, Routing- und Verknüpfungs-Einträgen, von denen drei spezifische CNAME-Einträge ausschließlich der Einrichtung Ihrer SPF- und DKIM-Infrastruktur dienen.

Schritt 3: Wählen Sie „Entri (automatisch)“ oder „Manuelle Einrichtung“

Beehiiv bietet zwei Möglichkeiten, Einträge bei Ihrem DNS-Anbieter zu speichern:

  • Entri (automatisiert): Wenn Ihr Domain-Anbieter vom automatisierten Partner von Beehiiv unterstützt wird, können Sie Entri autorisieren, sich sicher bei Ihrem Registrar anzumelden und die generierten Einträge automatisch zu speichern. Diese Option minimiert manuelle Fehler beim Kopieren und Einfügen.

7 Einträge (automatisiert)

  • Manuelle Einrichtung: Bei nicht unterstützten Registraren oder Administratoren, die den automatischen Zugriff auf das Control Panel einschränken möchten, können Sie jeden einzelnen Host und jeden „Point-to“-Wert manuell kopieren.

10 Manuelle Einrichtung

Schritt 4: Fügen Sie die CNAME-Einträge für SPF/DKIM hinzu

1. Melden Sie sich direkt bei Ihrem Domain-Registrar oder Ihrem externen DNS-Host-Manager an.

2. Erstellen Sie für jede der drei automatisch generierten Beehiiv-Authentifizierungszeichenfolgen einen neuen Datensatz:

  • Typ: CNAME
  • Host/Name: Fügen Sie den von Beehiiv generierten Host-Schlüssel genau so ein, wie er lautet (z. B. bh._domainkey). Hinweis: Bei einigen DNS-Verwaltungsportalen ist nur das Subdomain-Präfix erforderlich; überprüfen Sie die Formatierungsregeln Ihres Hostanbieters.
  • Ziel/Wert: Fügen Sie die vom Bedienfeld bereitgestellte Zielzeichenfolge ein.
  • TTL: Auf „Auto“ oder „1 Stunde“ belassen.

3. Hinweis zu Cloudflare: Wenn Ihr DNS über Cloudflare läuft, ändern Sie den Proxy-Status für diese Einträge von „Proxied“ (orangefarbene Wolke) auf „DNS Only“ (graue Wolke). Beehiiv kann Einträge, die durch einen Proxy-Schutz verdeckt sind, nicht lesen.

4. Speichern Sie jeden Datensatz sicher.

Schritt 5: Überprüfen Sie Ihre Änderungen

1. Kehren Sie zu Ihrem Beehiiv-Dashboard zurück und klicken Sie auf „Einrichtung überprüfen“.

2. Bei einer erfolgreich authentifizierten Domain wird ein Häkchen zur Bestätigung sowie ein Statusbanner mit der Aufschrift „E-Mail“ in der Domain-Ebene angezeigt.

3. Falls die Validierung nicht sofort bestätigt wird, warten Sie, bis sich das globale Caching stabilisiert hat. Die Weitergabe der Daten kann bis zu 72 Stunden dauern. Ändern, löschen oder aktualisieren Sie während dieses Validierungszeitraums keine Datensätze, da dies zu Sperren aufgrund von Ratenbeschränkungen beim SSL-Ausstellungsdienst von Beehiiv führen kann.

Schritt 6: Fügen Sie den Beehiiv-DMARC-Eintrag hinzu

Um einen korrekten, vollständigen DMARC-Eintrag zu erstellen, können Sie den kostenlosen DMARC-Eintragsgenerator von PowerDMARC nutzen.

1. Rufen Sie das Tool „DMARC Record Generator“ auf:

11 DMARC-Eintrag-Generator

Die neuen Tags haben folgende Bedeutung:

np (Richtlinie für nicht vorhandene Subdomains)

Das „np“-Tag zielt auf Subdomains ab, die eine DNS-NXDOMAIN-Antwort zurückgeben (d. h., die nicht existieren).

t (Testmodus)

Das „t“-Tag ersetzt nun das „pct“-Tag (Prozentangabe) und erleichtert Ihnen das Testen strenger Richtlinien. Vor allem deaktiviert „t=y“ Ihre DMARC-Richtlinie nicht.

psd (Public Suffix Domain)

psd wird bei der DMARC-Auswertung für die Organisationsdomäne verwendet, vor allem für Domänen mit öffentlichem Suffix und benutzerdefinierte Domänenhierarchien.

2. Wählen Sie die Richtlinie „p=none“ (d. h. nur Überwachung) aus, damit Sie Ihren E-Mail-Verkehr überprüfen können, bevor Sie zu „p=quarantine“ (sanfte Durchsetzung) oder „p=reject“ (strenge Durchsetzung) übergehen.

Hinweis

Springen Sie nicht sofort zu „p=reject“, da dies dazu führen kann, dass Ihre eigenen legitimen geschäftlichen E-Mails blockiert werden. Beginnen Sie stattdessen immer mit „p=none “. Erst nachdem Sie überprüft und sichergestellt haben, dass alle legitimen Absender korrekt konfiguriert sind, können Sie zu strengeren Richtlinien übergehen.

3. Geben Sie Ihre E-Mail-Adresse in das Feld „Reporting“ ein, an die Sie Ihre DMARC-RUA-Gesamtberichte erhalten möchten.

4. Kopieren Sie den DNS-TXT-Eintrag und fügen Sie ihn anschließend in Ihre DNS-Verwaltungskonsole ein.

5. Rufen Sie Ihre DNS-Verwaltungskonsole auf. Fügen Sie den kopierten Eintrag hinzu:

  • Typ: TXT
  • Host/Name: _dmarc (oder _dmarc.yourdomain.com)
  • Wert: [Fügen Sie den generierten DMARC-TXT-Wert ein]

6. Speichern Sie den Datensatz.

Hinweis von Cloudflare: Wenn Ihr DNS über Cloudflare läuft, ändern Sie den Proxy-Status für diese Einträge von „Proxied“ (orangefarbene Wolke) auf „DNS Only“ (graue Wolke). Beehiiv kann Einträge, die durch einen Proxy-Schutz verdeckt sind, nicht lesen.

Schritt 7: Überprüfung der Ausbreitung

Nach dem Speichern können Sie den PowerDMARC DMARC Checker verwenden, um zu überprüfen, ob Ihr neuer Eintrag weltweit aktiv aufgelöst wird.

Ausbreitung überprüfen

Die schrittweise Einführung von DMARC

Führen Sie nicht sofort eine restriktive Durchsetzungsrichtlinie ein. Eine sinnvolle DMARC-Strategie sieht einen bewussten, schrittweisen Ansatz vor, um zu verhindern, dass legitime E-Mail-Ströme blockiert werden.

[Phase 1: Überwachen (p=keine)] ➔ [Phase 2: Quarantäne (p=Quarantäne)] ➔ [Phase 3: Ablehnen (p=Ablehnen)]

PhaseRichtlinien-TagAuswirkungen auf den Betrieb
Wochen 1–4p=keinÜberwachungsmodus: Erfassen Sie XML-Diagnosedaten. Überwachen Sie Ihre aggregierten Absender, stellen Sie sicher, dass Beehiiv einwandfrei funktioniert, und beheben Sie etwaige Anomalien auf der Quellseite, ohne die Zustellbarkeit zu beeinträchtigen.
Wochen 5–8p=QuarantäneWeiche Durchsetzung: E-Mails, die die Authentifizierungsprüfungen nicht bestehen, werden automatisch aus dem Posteingang in den Junk-/Spam-Ordner umgeleitet. Nutzen Sie diesen Zeitraum, um sicherzustellen, dass keine legitimen Tools beeinträchtigt sind.
Woche 9+p=ablehnenVollständige Durchsetzung: Böswillige, nicht authentifizierte oder gefälschte E-Mail-Versuche, die sich als von Ihrer Domain stammend ausgeben, werden bereits am Eingang des Empfangsservers sofort abgewehrt.

Hinweis: Rohdaten im DMARC-XML-Format sind strukturell komplex und lassen sich nur schwer manuell auswerten. Durch die Verarbeitung Ihrer Datenfeeds über unsere DMARC-Analyzer-Plattform werden die XML-Rohprotokolle in ein intuitives und für Menschen lesbares Dashboard umgewandelt, das übersichtliche Prozentangaben zu „Bestanden“ und „Nicht bestanden“ für Ihr gesamtes Absenderprofil anzeigt.

Häufige Probleme bei der E-Mail-Authentifizierung bei Beehiiv

DKIM zeigt direkt nach der Einrichtung „Nicht gefunden“ an

  • Symptom: Ihre SPF- und DMARC-Einträge werden mit grünen Häkchen angezeigt, doch in der Benutzeroberfläche von Beehiiv wird DKIM als fehlend oder nicht verifiziert gemeldet.
  • Grund: Statische DNS-Schlüssel werden sofort gelesen, doch die interne Plattform von Beehiiv überprüft DKIM-Signaturen dynamisch, indem sie den signierten E-Mail-Umschlag während der Übertragung analysiert. Wenn Ihre neue benutzerdefinierte Domain noch keine Ausgangsdaten aufweist, gibt es keine Informationen, die ausgewertet werden könnten.
  • Lösung: Senden Sie eine Test-E-Mail oder richten Sie eine automatische Begrüßungs-E-Mail an Ihr eigenes Konto ein. Sobald das E-Mail-System eine aktive Transaktion erkennt, wird der Status in der Benutzeroberfläche auf „aktiv“ aktualisiert.

Die Domain lässt sich nach dem Hinzufügen von Einträgen in Cloudflare nicht verifizieren

  • Symptom: Jeder Datensatz entspricht exakt den Datenelementen in Beehiiv, dennoch laufen die Validierungsprüfungen immer wieder in die Zeitüberschreitung oder schlagen fehl.
  • Grund: Die Standard-Proxy-Konfiguration von Cloudflare verbirgt strukturelle DNS-Daten hinter dem eigenen Edge-Optimierungsnetzwerk.
  • Lösung: Rufen Sie Ihre Cloudflare-DNS-Konsole auf, klicken Sie bei jedem der drei auf Beehiiv verweisenden CNAME-Einträge auf „Bearbeiten“ und stellen Sie den Schalter von „Proxied“ (orangefarbene Wolke) auf „DNS Only“ (graue Wolke) um.

Die Überprüfung dauert bereits länger als 72 Stunden

  • Symptom: Der Verarbeitungsstatus der Domäne bleibt weit über das erwartete Zeitfenster hinaus im Status „Pending Loop“ hängen.
  • Ursache: Dies tritt in der Regel auf, wenn Sie Datensätze während des anfänglichen Synchronisierungsfensters löschen und erneut hinzufügen, was Sicherheits-Ratenbegrenzungen beim automatisierten SSL-Backend-Anbieter von Beehiiv auslöst.
  • Lösung: Lassen Sie alle Einträge vollständig unverändert. Sollte die Validierung nach 72 Stunden immer noch blockiert sein, nutzen Sie den In-App-Chatbot-Helfer von Beehiiv, um den technischen Support zu benachrichtigen.

Konflikt bei der privaten E-Mail-Adresse bei Namecheap

  • Symptom: Ihre primären E-Mail-Workflows funktionieren nicht mehr oder die Domain-Einrichtung führt ausschließlich bei von Namecheap gehosteten Domains zu systematischen Totalausfällen.
  • Ursache: Die Wahl des Begriffs „mail“ als strukturelle Subdomain für den Versand (z. B. mail.yourdomain.com) führt zu einem architektonischen Konflikt mit den Routing-Regeln des Private-E-Mail-Servers von Namecheap.
  • Lösung: Wählen Sie eine andere Variante für das Präfix Ihrer Subdomain zum Versenden des Newsletters (z. B. „news“, „letters“ oder „send“). Das Validierungssystem von Beehiiv weist automatisch auf dieses spezielle Problem hin, während Sie die Ersteinrichtung vornehmen.

DMARC schlägt fehl, obwohl SPF und DKIM einzeln bestanden werden

  • Symptom: Eine eingehende Analyse des Nachrichtenheaders zeigt einzelne „spf=pass“- und „dkim=pass“-Einträge, doch das System meldet insgesamt einen „dmarc=fail“-Fehler.
  • Ursache: Abweichung. DMARC schreibt vor, dass die Domain, die die SPF-/DKIM-Authentifizierung durchführt, mit der Root-Domain übereinstimmen muss, die im sichtbaren Feld „Von:“ angegeben ist.
  • Lösung: Vergewissern Sie sich, dass die Konfiguration Ihrer Absenderdomain in Beehiiv mit der Domain-Identität übereinstimmt, die in den öffentlichen „Von“-Adressen Ihrer Kampagnen angezeigt wird.

So überprüfen Sie, ob alles funktioniert

Um zu überprüfen, ob Ihre E-Mail-Authentifizierung korrekt eingerichtet ist, führen Sie bitte die folgenden Überprüfungsschritte durch:

  • Testen Sie den Versand einer ausgehenden E-Mail: Versenden Sie eine Live-Testnachricht von Ihrem Beehiiv-Konto an einen externen Posteingang (z. B. eine persönliche Gmail-Adresse). Öffnen Sie die Rohansicht des Headers („Original anzeigen“ in Gmail) und vergewissern Sie sich, dass im Authentifizierungsblock deutlich „SPF: PASS“, „DKIM: PASS“ und „DMARC: PASS“ vermerkt sind.
  • Führen Sie eine SPF-Eintragssuche durch: Stellen Sie sicher, dass Ihre öffentlichen Schlüssel einwandfrei aufgelöst werden und keine Probleme mit der Syntaxformatierung vorliegen.
  • Führen Sie eine DKIM-Eintragssuche durch: Stellen Sie sicher, dass Ihre kryptografischen Schlüsselkonfigurationen korrekt auf den globalen Nameservern veröffentlicht werden.
  • Führen Sie einen DMARC-Record-Checker durch: Vergewissern Sie sich, dass Ihre strukturellen Richtlinien-Tags mit Ihren beabsichtigten Durchsetzungsparametern übereinstimmen.
  • Überprüfen Sie die Gesamtbewertung Ihrer Domain: Fügen Sie Ihre Root-Webadresse direkt in den umfassenden PowerDMARC Domain Analyzer ein, um eine umfassende Diagnose zu erhalten, die den gesamten Zustand Ihrer E-Mail-Sicherheit und -Authentifizierung abdeckt.

Bewährte Verfahren für die E-Mail-Authentifizierung bei Beehiiv

  • Vorausschauende Umsetzung: Konfigurieren Sie stets Ihre SPF- und DKIM-Einträge, bevor Sie Ihren ersten großen E-Mail-Versand planen, um Ihre anfängliche Absenderreputation zu schützen.
  • DMARC niemals überspringen: DMARC ist eine verbindliche Compliance-Anforderung für alle benutzerdefinierten Domains auf Beehiiv. Das Überspringen dieser Anforderung kann zu Zustellungsproblemen oder zur Nichteinhaltung der Compliance-Vorgaben für das Konto führen.
  • Vermeiden Sie eine überstürzte Umsetzung: Setzen Sie eine „p=reject“-Regel niemals gleich am ersten Tag ein. Führen Sie Ihre Richtlinien schrittweise im Rahmen einer überwachten, stufenweisen Einführung ein, um zu vermeiden, dass versehentlich Ihre eigenen legitimen E-Mails blockiert werden.
  • Zukünftige Änderungen am Versand überprüfen: Sollten Sie später Zusatzplattformen migrieren oder externe Transaktionssoftware in Ihre Domain integrieren, überprüfen Sie Ihre DNS-Einstellungen erneut, um sicherzustellen, dass diese Tools nicht mit Ihrer Beehiiv-Konfiguration in Konflikt geraten.

Häufig gestellte Fragen

Richtet Beehiiv SPF und DKIM automatisch ein?

Ja, aber nur, wenn Sie die Standard-Subdomain *.beehiiv.com verwenden. Wenn Sie Ihren Newsletter über eine eigene Domain betreiben, generiert Beehiiv automatisch benutzerdefinierte CNAME-Einträge, die Sie kopieren und im DNS-Bereich Ihrer Domain veröffentlichen müssen.

Ist DMARC bei Beehiiv erforderlich?

Ja. Seit Februar 2024 schreibt Beehiiv für alle benutzerdefinierten Domains die obligatorische Implementierung von DMARC vor, um die Sicherheitsstandards der E-Mail-Anbieter einzuhalten und vor Domain-Spoofing zu schützen.

Warum wird mein Beehiiv-DKIM-Eintrag als „Nicht gefunden“ angezeigt?

Im Gegensatz zu statischen Einträgen überprüft Beehiiv DKIM dynamisch, indem es echte E-Mails während der Übertragung überprüft. Senden Sie einfach eine kurze Test-E-Mail oder einen Newsletter von Ihrem Konto aus, um die Überprüfung auszulösen.

Wie lange dauert die Domain-Verifizierung bei Beehiiv?

Es dauert in der Regel zwischen einigen Minuten und 72 Stunden, bis sich globale DNS-Änderungen vollständig durchgesetzt haben. Vermeiden Sie es, Ihre Einträge während dieses Zeitraums zu ändern oder erneut hinzuzufügen, um Ratenbeschränkungen seitens des Sicherheitsanbieters zu vermeiden.

Kann ich Beehiiv mit Cloudflare-DNS nutzen?

Auf jeden Fall. Sie müssen jedoch den Proxy-Status für Ihre Beehiiv-Authentifizierungs-CNAME-Einträge von „Proxied“ (orangefarbene Wolke) auf „DNS Only“ (graue Wolke) ändern, da die Validierungsprüfungen sonst fehlschlagen.

Mit welcher DMARC-Richtlinie sollte ich bei Beehiiv beginnen?

Beginnen Sie stets mit einer Richtlinie, die ausschließlich der Überwachung dient (p=none). Auf diese Weise können Sie Zustellbarkeitsberichte erfassen und etwaige Abweichungen beheben, bevor Sie sicher zu strengeren Durchsetzungsrichtlinien wie Quarantäne oder Ablehnung übergehen.