• So wählen Sie einen E-Mail-Dienstanbieter aus: Ein Bewertungsrahmen, bei dem Sicherheit an erster Stelle steht

So wählen Sie einen E-Mail-Dienstanbieter aus: Ein Bewertungsrahmen, bei dem Sicherheit an erster Stelle steht

von

Zuletzt aktualisiert:
8 Lesezeit: 8 Minuten
So wählen Sie einen E-Mail-Dienstanbieter aus: Ein Bewertungsrahmen, bei dem Sicherheit an erster Stelle steht

Wichtigste Erkenntnisse

  • Wählen Sie einen E-Mail-Dienstleister (ESP) nach Sicherheitskriterien aus, nicht nur nach Funktionen und Preis. Die E-Mail-Authentifizierung und die Infrastruktur wirken sich direkt auf die Sicherheitslage Ihres Unternehmens aus.
  • Bevorzugen Sie Anbieter mit umfassender Unterstützung für SPF, DKIM und DMARC. Die automatisierte Einrichtung der Authentifizierung, die Rotation von DKIM-Schlüsseln und die DMARC-Berichterstellung reduzieren Konfigurationsfehler und das Risiko von Spoofing.
  • Machen Sie sich mit den Vor- und Nachteilen von gemeinsam genutzten und dedizierten IP-Adressen vertraut. Absender mit hohem E-Mail-Aufkommen profitieren von dedizierten IP-Adressen, da diese eine bessere Absenderreputation und mehr Kontrolle über die Zustellbarkeit gewährleisten.
  • Bewerten Sie operative Sicherheitsfunktionen, die über die Authentifizierung hinausgehen. Zuverlässige Webhooks, die Bearbeitung von Bounce-Mails, die Datenlokalisierung und das IP-Reputationsmanagement sind für die langfristige E-Mail-Sicherheit von entscheidender Bedeutung.
  • Planen Sie Migrationen sorgfältig, um Authentifizierungslücken zu vermeiden. Korrekte DNS-Aktualisierungen, DKIM-Rotation, DMARC-Überwachung und IP-Warm-up tragen dazu bei, die Zustellbarkeit aufrechtzuerhalten und Spoofing während des Anbieterwechsels zu verhindern.

Die meisten Unternehmen wählen ihren E-Mail-Dienstleister genauso aus wie jedes andere SaaS-Tool auch – anhand der Preisliste, der Funktionsübersicht und der kostenlosen Testversion. Das Thema Sicherheit kommt selten zur Sprache, bis etwas schiefgeht: eine Phishing-Kampagne, die eine gemeinsam genutzte IP-Adresse ausnutzt, ein DMARC-Fehler, den niemand bemerkt hat, oder ein Rückgang der Zustellbarkeit, der auf die schlampige Bearbeitung von Bounce-Mails durch den Anbieter zurückzuführen ist.

Das ist eine kostspielige Schwachstelle. Laut dem „Verizon Data Breach Investigations Report 2023“ ist E-Mail nach wie vor der häufigste Übertragungsweg für Phishing und Business E-Mail Compromise. Ihr E-Mail-Dienstleister (ESP) spielt bei diesem Risiko keine untergeordnete Rolle – er ist ein Teil davon.

In diesem Leitfaden erfahren Sie, wie Sie E-Mail-Dienstleister unter dem Gesichtspunkt der Sicherheit bewerten können: Wie sieht die Unterstützung von Authentifizierungsverfahren in der Praxis konkret aus, wie schneiden die wichtigsten Plattformen im Vergleich ab und welche Fragen sollten Sie stellen, bevor Sie einen Vertrag abschließen?

Warum die Wahl eines E-Mail-Dienstanbieters eine Sicherheitsentscheidung ist

SPF, DKIM und DMARC bilden das Rückgrat der modernen E-Mail-Authentifizierung – doch ihre Wirksamkeit hängt vollständig davon ab, wie gut Ihr Anbieter sie umsetzt. Ein Anbieter, der die Einrichtung von SPF und DKIM automatisiert, die DMARC-Berichterstattung durchsetzt und Fehlkonfigurationen meldet, bevor sie zu Vorfällen führen, ist eine ganz andere Klasse von Sicherheitspartner als einer, der Ihnen lediglich einen DNS-Eintrag zur Verfügung stellt und den Rest Ihnen überlässt.

Jede Domain, von der aus Sie E-Mails versenden, stellt eine Angriffsfläche dar. Jeder falsch konfigurierte Eintrag ist eine offene Tür für Spoofing. Bei einem SaaS-Unternehmen, das Transaktions-E-Mails über fünf Produkt-Subdomains hinweg verwaltet – ohne zentralisierte DMARC-Berichterstattung und automatisierte DKIM-Rotation –, könnte ein Problem mit einer einzigen Subdomain wochenlang unentdeckt bleiben, wodurch gefälschte Nachrichten unbemerkt an Kunden gelangen könnten.

Fragen, die Sie jedem Anbieter stellen sollten, bevor Sie sich festlegen:

  • Automatisiert die Plattform die Einrichtung von SPF/DKIM, oder erfolgt die DNS-Konfiguration vollständig manuell?
  • Werden DMARC-Aggregatberichte (RUA) und forensische Berichte (RUF) nativ unterstützt?
  • Werden fehlerhafte Authentifizierungsdatensätze in Echtzeit gekennzeichnet?
  • Können DKIM-Schlüssel ohne Unterbrechung des Dienstes rotiert werden?

Vergleich von E-Mail-Dienstanbietern: Die besten Plattformen im Test

Hier sehen Sie, wie die wichtigsten Anbieter bei den Kriterien abschneiden, die für sicherheitsbewusste Absender am wichtigsten sind.

Vergleich von E-Mail-Dienstanbietern – Die besten Plattformen im Test –

1. SendGrid (Twilio)

SendGrid ist die erste Wahl für Unternehmen: umfangreicher Funktionsumfang, bewährte Skalierbarkeit bei Millionen von E-Mails pro Monat und solide Compliance-Zertifizierungen (SOC 2, ISO 27001, HIPAA). Im Bereich der Authentifizierung unterstützt es vollständige SPF-, DKIM- und DMARC-Unterstützung, erzwingt TLS und MTA-STS und bietet 2048-Bit-DKIM mit Schlüsselrotation – eine der stärksten Basiskonfigurationen in dieser Liste. Dedizierte IP-Adressen stehen ab etwa 50.000 E-Mails pro Monat zur Verfügung.

Was die Behandlung von Bounce-Meldungen und Beschwerden angeht, führt SendGrid die Unterdrückung auf Kontoebene durch. Dies ist von Bedeutung, wenn Sie mehrere Produkte oder Teams über dasselbe Versandkonto betreiben. Webhooks sind bei Tarifen höherer Stufen zuverlässig, obwohl einige Nutzer niedrigerer Tarife gelegentliche Zustellungsverzögerungen melden. Der Datenspeicherort ist standardmäßig auf die Infrastruktur in den USA festgelegt, wobei auch die EU als Speicherort wählbar ist.

Der größte Nachteil ist die gemeinsame IP-Reputation bei Tarifen mit geringerem Versandvolumen: Das Verhalten anderer Nutzer desselben Servers kann die Zustellung in den Posteingang beeinflussen, und der Unterschied zwischen Standard- und Premium-Support ist deutlich spürbar. Beachten Sie außerdem, dass SendGrid seinen dauerhaft kostenlosen Tarif im Mai 2025 eingestellt hat. Am besten geeignet für Versender mit hohem Versandvolumen, die Transaktions- und Marketing-E-Mails unter einem Dach vereinen möchten und dabei die Compliance-Anforderungen für Unternehmen erfüllen müssen. Wenn das nicht das ist, wonach Sie suchen, sehen Sie sich Alternativen zu SendGrid an.

2. Mailgun

Mailgun ist entwicklerorientiert und stark API-basiert und bietet vollständige Unterstützung für SPF, DKIM und DMARC sowie eine herausragende Sicherheitsfunktion: die automatische DKIM-Schlüsselrotation alle 120 Tage. Bei den meisten Anbietern muss die Schlüsselrotation manuell durchgeführt werden – Mailgun erledigt dies automatisch, wodurch das Sicherheitsrisiko im Falle einer Kompromittierung eines Schlüssels minimiert wird. Außerdem unterstützt Mailgun eine native Return-Path-Domain, was eine einwandfreie SPF-Konformität ohne zusätzliche DNS-Konfiguration gewährleistet.

Die Bearbeitung von Bounce-Meldungen erfolgt auf Kontoebene, und die SLA von Mailgun mit einer Verfügbarkeit von 99,99 % umfasst auch Webhooks, sodass Ihre Überwachungspipeline für die Echtzeit-Reaktion auf Vorfälle stets aktiv bleibt. Die Daten sind sowohl in US-amerikanischen als auch in EU-Regionen verfügbar. Dedizierte IP-Adressen sind auf Anfrage erhältlich.

Der Nachteil ist, dass Mailgun technische Teams bevorzugt. Nicht-technische Nutzer werden im Vergleich zu SendGrid oder Brevo weniger Unterstützung erhalten – die Plattform geht davon aus, dass Sie sich mit DNS auskennen. Am besten geeignet für technisch orientierte Unternehmen, die eine detaillierte API-Kontrolle wünschen und großen Wert auf Datenhygiene legen.

3. Poststempel

Postmark wurde speziell für Transaktions-E-Mails entwickelt – Passwort-Zurücksetzungen, Bestellbestätigungen, Quittungen – und seine Architektur spiegelt diesen Schwerpunkt wider. Das entscheidende Sicherheitsmerkmal ist die „Message Streams“-Funktion: Transaktions- und Massen-E-Mails werden auf einer vollständig getrennten Infrastruktur ausgeführt. Eine Marketingkampagne, die zu einem Anstieg der Spam-Beschwerden führt, kann somit Ihre Zustellraten für Transaktions-E-Mails nicht beeinträchtigen. Vollständige Unterstützung für SPF, DKIM und DMARC ist gegeben, wobei Optionen für dedizierte IP-Adressen verfügbar sind.

Was die Behandlung von Bounce-Mails angeht, unterdrückt Postmark diese auf Kontoebene und speichert E-Mail-Protokolle 45 Tage lang – länger als die bei SendGrid standardmäßig festgelegten 30 Tage, was bei der Untersuchung eines verspäteten Vorfalls von Bedeutung ist. Webhooks sind dank Echtzeit-Ereignis-Hooks zuverlässig. Die Datenspeicherung erfolgt ausschließlich in den USA, was für europäische Betreiber ein wichtiger Aspekt ist.

Die Einschränkung liegt im Anwendungsbereich: Postmark unterstützt weder Marketing- noch Massen-E-Mails. Wenn Sie beides aus einer Hand benötigen, benötigen Sie einen zweiten Anbieter. Am besten geeignet für SaaS-Produkte, bei denen die Zuverlässigkeit von Transaktions-E-Mails und die Zustellung in den Posteingang unverzichtbar sind.

4. Amazon SES

Amazon SES ist mit etwa 0,10 US-Dollar pro tausend E-Mails der Preisführer und unterstützt den gesamten Authentifizierungs-Stack: SPF, DKIM, DMARC sowie eine IAM-basierte Zugriffskontrolle mit CloudTrail-Audit-Protokollierung. Wenn Sie bereits eine Infrastruktur auf AWS betreiben, ist die Integration hervorragend und die Compliance-Situation (SOC 2, ISO 27001, HIPAA, DSGVO) gut dokumentiert. Die Datenspeicherung erstreckt sich über die Regionen USA, EU und Asien-Pazifik.

Allerdings erfordert SES technische Investitionen, um die Authentifizierung korrekt zu gestalten. Die SPF-Ausrichtung erfordert insbesondere eine benutzerdefinierte „MAIL FROM“-Konfiguration. Ohne diese erfolgt die SPF-Authentifizierung gegenüber „amazonses.com“ statt gegenüber Ihrer Domain, wodurch die DMARC-Ausrichtung unterbrochen wird – und Ihre DMARC-Richtlinie stützt sich dann vollständig auf DKIM als Single Point of Failure. Die Bearbeitung von Bounces erfolgt über das Benachrichtigungs- und Feedback-Loop-System von AWS, das zwar funktioniert, aber eine manuelle Integration in Ihren Überwachungsstack erfordert. Webhooks werden über CloudWatch abgewickelt, nicht über ein natives Ereignissystem.

Für den Support ist ein kostenpflichtiger AWS-Tarif erforderlich, und die Reaktionszeiten können erheblich variieren. Am besten geeignet für technisch versierte Teams, die große Datenmengen innerhalb von AWS verarbeiten und den Konfigurationsaufwand bewältigen können.

5. Brevo

Brevo (ehemals Sendinblue) vereint E-Mail, SMS und CRM auf einer einzigen Plattform und ist damit eine praktische Lösung für KMU, die Multi-Channel-Kampagnen durchführen, ohne über ein eigenes Team für die E-Mail-Infrastruktur zu verfügen. Im Bereich der Authentifizierung unterstützt die Plattform SPF, DKIM und DMARC in vollem Umfang, wobei die DKIM-Einrichtung entweder über einen TXT- oder einen CNAME-Eintrag möglich ist – eine kleine, aber nützliche Flexibilität für Teams mit eingeschränktem DNS-Zugriff. Dedizierte IP-Adressen sind in den höheren Tarifen verfügbar. Die Daten werden sowohl in der EU als auch in den USA gespeichert.

Die Behandlung von Fehlern erfolgt auf Kontoebene. Webhooks stehen zur Verfügung, allerdings wird berichtet, dass die Zuverlässigkeit je nach Tarifstufe schwankt. Dies sollten Sie berücksichtigen, wenn die Echtzeit-Ereignisüberwachung Teil Ihres Sicherheits-Workflows ist.

Brevo ist in keiner einzelnen Kategorie die umfassendste Plattform. Die DMARC-Berichterstellung und die Transparenz bei der Authentifizierung auf Enterprise-Ebene sind eingeschränkter als bei SendGrid oder Mailgun. Am besten geeignet für kleinere Unternehmen, die Multi-Channel-Marketing-Funktionen nutzen möchten, ohne separate Tools verwalten zu müssen, und bei denen die Tiefe der E-Mail-Authentifizierung keine vorrangige Anforderung darstellt.

6. Mailtrap

Mailtrap zeichnet sich durch seine Vorgehensweise bei der Authentifizierungsbereitstellung aus: SPF-Einträge, DKIM-Signatur und eine DMARC-Richtlinie werden automatisch auf der Absenderdomain eingerichtet, ohne dass vom Absender eine DNS-Konfiguration erforderlich ist. Für Teams, die keine speziellen E-Mail-Infrastruktur-Experten beschäftigen, verringert dies das Risiko von Fehlkonfigurationen erheblich. Zu den dedizierten IP-Adressen gehört eine automatisierte Warmup-Sequenz, wodurch eine weitere häufige Ursache für Zustellungsfehler beseitigt wird.

Die Bearbeitung von Bounces erfolgt auf Kontoebene, und es stehen Webhooks zur Verfügung. Die Daten werden in den USA gespeichert. Die Plattform ist im Bereich des produktiven E-Mail-Versands noch jünger als SendGrid oder Mailgun, was ein kleineres Ökosystem und weniger vorgefertigte Integrationen von Drittanbietern bedeutet.

Ideal für SaaS-Entwicklungs- und Produktteams, die eine hohe Zustellbarkeit bei minimalem DNS-Aufwand anstreben – besonders nützlich für Teams, die neue Versanddomains einrichten und bereits vom ersten Tag an eine Authentifizierung wünschen.

Direkter Vergleich

Hier finden Sie eine Übersicht darüber, wie die sechs Anbieter in Bezug auf die wichtigsten Sicherheits- und Betriebskriterien im Vergleich abschneiden:

AnbieterAuth-UnterstützungDedizierte IP-AdresseUmgang mit BouncesDatenaufbewahrungsortWebhooksAm besten geeignet für
SendGrid2048-Bit-DKIM + Rotation, MTA-STS, vollständiges DMARCAb ca. 50.000/MonatUnterdrückung auf KontoebeneUS-Standard; EU wählbarZuverlässig; auf den unteren Ebenen werden Verzögerungen gemeldetTransaktions- und Marketingaktivitäten mit hohem Volumen
MailgunVollständig; automatische DKIM-Rotation alle 120 Tage, nativer Return-PathVerfügbarUnterdrückung auf KontoebeneRegionen in den USA und der EUZuverlässig; SLA mit einer Verfügbarkeit von 99,99 %Entwicklergesteuerte API-Übermittlung
PoststempelVollständig; separate Nachrichten-Streams pro TypVerfügbarAuf Kontoebene; 45-tägige Speicherung der ProtokolleNur in den USAZuverlässig; Ereignis-Hooks in EchtzeitZeitkritische Transaktions-E-Mails
Amazon SESVollständig; benutzerdefiniertes „MAIL FROM“ für die SPF-Konformität erforderlichVerfügbarBounce-Benachrichtigungen + Feedback-SchleifenRegionen USA, EU und Asien-PazifikCloudWatch-Integration; manuelle EinrichtungHohe Volumina zu niedrigen Kosten (AWS-Teams)
BrevoVollständig; DKIM über TXT oder CNAMEHöhere PläneUnterdrückung auf KontoebeneEU und USAVerfügbar; die Zuverlässigkeit hängt vom jeweiligen Tarif abMulti-Channel-Lösung für KMU (E-Mail + SMS + CRM)
MailtrapAutomatische SPF-/DKIM-/DMARC-Einrichtung; Warm-up der dedizierten IP-AdresseVerfügbar + automatisches AufwärmenUnterdrückung auf Kontoebenemit Sitz in den USAVerfügbarSaaS-Entwicklungsteams; Produktionsversand mit geringem Konfigurationsaufwand

Das Problem mit gemeinsam genutzten IP-Adressen

Das Problem der gemeinsam genutzten IP-Adresse –

Gemeinsam genutzte IP-Pools sind bei E-Mail-Dienstanbietern (ESPs) gängige Praxis. Die Kosteneffizienz ist unbestritten, doch ebenso unbestritten ist das Risiko: Ihre Absenderreputation hängt teilweise von jedem anderen Nutzer dieser Infrastruktur ab. Untersuchungen von Return Path und Validity haben immer wieder gezeigt, dass die Qualität der IP-Nachbarschaft bei den großen E-Mail-Anbietern zu Schwankungen der Zustellraten in den Posteingängen von 10 bis 15 Prozentpunkten führen kann.

Für Absender, die monatlich zwischen 50.000 und 100.000 E-Mails versenden, ist eine dedizierte IP-Adresse sowohl eine Investition in die Zustellbarkeit als auch in die Sicherheit. Sie beseitigt die Abhängigkeit der Reputation von unbekannten Mitnutzern und bietet Ihrem Team eine einzige IP-Adresse, die es überwachen muss. Unterhalb dieser Schwelle sind gemeinsam genutzte IP-Pools bei einem Anbieter, der diese aktiv verwaltet, in der Regel die bessere Wahl.

Rahmenwerk zur Sicherheitsbewertung

Verwenden Sie dies beim Vergleich von Anbietern:

KriterienWas man fragen sollteWarum es wichtig istWarnsignale
IP-RufWie werden missbräuchliche Absender aus den gemeinsamen Pools entfernt?Ob Ihre Sendungen zugestellt werden, hängt von Ihren Nachbarn abVage SLAs; keine Transparenz hinsichtlich des Zustands des Pools
Unterstützung für die AuthentifizierungErfolgt die DKIM/SPF/DMARC-Verifizierung automatisch oder manuell? Wird die DKIM-Rotation unterstützt?Die manuelle DNS-Konfiguration führt in großem Maßstab zu menschlichen FehlernKeine DMARC-Berichterstattung; keine DKIM-Rotation
Rücksendungen und BeschwerdebearbeitungWerden Hard Bounces auf Kontoebene unterdrückt?Schützt den Ruf der Domain über alle Versandkanäle hinwegNur manuelle Sperrlisten
DatenaufbewahrungsortWo werden E-Mail-Protokolle und Empfängerdaten gespeichert?DSGVO und Compliance-VerpflichtungenKeine Option zur regionalen Datenspeicherung
Zuverlässigkeit von WebhooksWie lautet die SLA für die Verfügbarkeit? Gibt es eine Wiederholungslogik?Ermöglicht die Reaktion auf Vorfälle in EchtzeitNur Abfrage oder unzuverlässige Ereignisübermittlung

Was ein Anbieterwechsel konkret bedeutet

Die Migration von E-Mail-Anbietern ist aus Sicht der Authentifizierung kein trivialer Vorgang. DNS-Einträge müssen aktualisiert, DKIM-Schlüssel rotiert, DMARC-Berichte umgeleitet und neue IP-Adressen einer strukturierten Warm-up-Sequenz unterzogen werden. Unternehmen, die eine strukturierte DMARC-Implementierung aufgebaut haben, müssen vor der Umstellung überprüfen, ob der neue Anbieter dasselbe Richtlinienniveau und dieselbe Berichtsgranularität unterstützt.

Migrationen, bei denen diese Schritte übersprungen werden, führen nicht nur zu einem vorübergehenden Rückgang der Zustellbarkeit, sondern auch zu einer Authentifizierungslücke: einem Zeitraum, in dem die DMARC-Berichterstattung unvollständig ist und Spoofing-Versuche auf Ihre Domain schwerer zu erkennen sind.

Checkliste für die Migration:

  • Stellen Sie sicher, dass der neue Anbieter Ihre aktuelle DMARC-Richtlinienstufe unterstützt (p=none, p=quarantine, p=reject)
    Vergewissern Sie sich, dass die DMARC-Gesamtberichte ohne Unterbrechung weitergeleitet werden können
  • Planen Sie vor der vollständigen Umstellung eine parallele Einführungsphase mit Überwachung ein
  • Überprüfen Sie nach der Migration alle DNS-Einträge – nutzen Sie den PowerDMARC-Domain-Analyzer, um Fehlkonfigurationen bei SPF, DKIM und DMARC zu erkennen, bevor sie zu Vorfällen führen.
  • DKIM-Schlüssel rotieren und sicherstellen, dass die Signierung auf allen sendenden Domains aktiv ist
  • Aktualisierung der Sperrlisten und der Konfiguration zur Bearbeitung von Bounce-Mails auf der neuen Plattform

Ihr Anbieter ist Teil Ihrer Sicherheitsstrategie

Eine DMARC-Richtlinie mit dem Wert „p=reject“ hat kaum Bedeutung, wenn der Anbieter, der in Ihrem Namen E-Mails versendet, ein unzureichendes IP-Reputationsmanagement oder eine inkonsistente DKIM-Signierung aufweist. Aus diesem Grund sollte eine Bewertung eines E-Mail-Dienstanbieters (ESP) nicht nur die Zustellraten berücksichtigen, sondern auch, wie die Plattform mit DMARC-Berichten und der Verwaltung von SPF-Einträgen umgeht.

Der ausgereifteste Ansatz besteht darin, die Auswahl eines ESP als Teil einer umfassenden Überprüfung Ihrer Sicherheitsarchitektur zu betrachten – unter Einbeziehung der Sicherheitstechnik neben den Bereichen Marketing und Entwicklung, indem Sie von Anbietern Unterlagen zu ihren Verfahren zum IP-Reputationsmanagement anfordern und Migrationspläne erstellen, die nicht nur die Datenportabilität, sondern auch die Kontinuität der Authentifizierung berücksichtigen.

Schlusswort: Die langfristigen Kosten von Fehlentscheidungen

Sicherheitsmängel in der E-Mail-Infrastruktur treten selten sofort zutage. Eine kompromittierte gemeinsam genutzte IP-Adresse, eine DMARC-Lücke während der Migration oder ein Anbieter mit undurchsichtiger Bearbeitung von Bounce-Meldungen kommen meist erst Wochen oder Monate später ans Licht – etwa im Rahmen einer Untersuchung der Zustellbarkeit, einer Kundenbeschwerde über eine gefälschte Nachricht oder eines Compliance-Audits, bei dem Lücken in der Protokollierung aufgedeckt werden. Zu diesem Zeitpunkt ist die Ursache nur noch schwer nachzuverfolgen und die Behebung kostspielig.

Die versteckten Kosten beschränken sich nicht nur auf technische Schulden. Kunden, die Phishing-E-Mails erhalten, die scheinbar von Ihrer Domain stammen, verlieren das Vertrauen in Ihre Marke – ganz gleich, wo die Schuld liegt. Wenn die Auswahl eines E-Mail-Dienstleisters (ESP) als einmalige Beschaffungsentscheidung und nicht als fortlaufende Sicherheitsverpflichtung betrachtet wird, baut sich dieses Risiko unbemerkt auf.