E-Mail-Versand aus Web-Apps

Inhaltsverzeichnis

Technik & Infrastruktur

E-Mail-Versand aus Web-Apps: Warum Mails im Spam landen

Carola Schulte
25. Mai 2026
11 min

Die Bestellbestätigung kommt nie an. Das Passwort-Reset-Mail landet im Spam. Die Rechnung aus dem Portal erreicht den Kunden erst, wenn er im Junk-Ordner sucht. Kaum etwas frustriert mehr - und kaum etwas wird so unterschätzt wie der zuverlässige E-Mail-Versand aus einer Web-Anwendung.

„Wir verschicken doch nur eine Mail" klingt simpel. In Wahrheit ist Zustellbarkeit eines der trickreichsten Themen im Web - weil die ganze Welt sich gegen Spam wehrt und Ihre legitime Mail dabei ins Kreuzfeuer gerät. Nach über 25 Jahren mit eigenen Servern und Mailsystemen erkläre ich, warum das so ist und wie man es richtig macht.

TL;DR - Die Kurzfassung

  • Mails landen im Spam, weil die Absender-Echtheit nicht nachgewiesen ist - nicht wegen des Inhalts.
  • Drei DNS-Einträge entscheiden: SPF, DKIM und DMARC. Fehlen sie, ist Spam fast programmiert.
  • PHPs eingebautes mail() ist für ernsthaften Versand ungeeignet - es braucht echten SMTP-Versand.
  • Transaktionsmails (Bestätigung, Reset, Rechnung) sind kritisch: Sie müssen ankommen, sofort.
  • Eigener Mailserver oder Dienstleister? Beides geht - die Einrichtung muss in beiden Fällen sauber sein.

Warum landen Mails überhaupt im Spam?

Der häufigste Irrglaube: „Meine Mail landet im Spam wegen bestimmter Wörter im Text." Das spielt eine Rolle, ist aber selten der Hauptgrund. Der wahre Grund ist fast immer fehlende Echtheit: Der empfangende Mailserver kann nicht überprüfen, ob die Mail wirklich von dem stammt, der sie zu sein vorgibt.

Stellen Sie sich das wie einen Brief ohne nachprüfbaren Absender vor. Da E-Mail-Adressen sich trivial fälschen lassen, sind die Mailanbieter misstrauisch geworden: Wer seine Echtheit nicht technisch nachweist, wird im besten Fall in den Spam sortiert - im schlechtesten gar nicht erst angenommen. Dieser Nachweis läuft über drei DNS-Einträge.

Die drei Wächter: SPF, DKIM, DMARC

Diese drei Kürzel klingen technisch, aber das Prinzip ist einfach - sie beantworten je eine Frage des empfangenden Servers:

SPF - „Darf dieser Server für dich senden?"

SPF (Sender Policy Framework) ist ein DNS-Eintrag, der festlegt, welche Server Mails für Ihre Domain verschicken dürfen. Kommt eine Mail von einem Server, der nicht auf der Liste steht, ist das ein Warnsignal. SPF ist die Türliste: Wer nicht drauf steht, kommt nicht rein.

DKIM - „Ist die Mail unterwegs unverändert geblieben?"

DKIM (DomainKeys Identified Mail) versieht jede Mail mit einer digitalen Signatur. Der empfangende Server prüft sie gegen einen öffentlichen Schlüssel in Ihrem DNS. Stimmt sie, ist bewiesen: Die Mail stammt wirklich von Ihrer Domain und wurde unterwegs nicht manipuliert. DKIM ist das Siegel auf dem Umschlag.

DMARC - „Was tun, wenn die Prüfung fehlschlägt?"

DMARC (Domain-based Message Authentication) baut auf SPF und DKIM auf und sagt dem empfangenden Server, was er mit Mails tun soll, die durchfallen - ignorieren, in den Spam, oder ganz ablehnen. Außerdem bekommen Sie Berichte, wer in Ihrem Namen sendet. DMARC ist die Hausordnung samt Protokoll.

SPF, DKIM und DMARC sind kein Nice-to-have mehr. Google und Microsoft haben seit Anfang 2024 konkrete Anforderungen: Wer in größerem Umfang versendet (bei Gmail ab rund 5.000 Mails pro Tag), muss SPF, DKIM und DMARC nachweisen - sonst wird abgelehnt. Aber auch unterhalb dieser Schwelle entscheiden dieselben Mechanismen über Spam oder Posteingang. Ohne sie ist zuverlässige Zustellung kaum noch möglich.

Warum PHPs mail() nicht reicht

Viele ältere Web-Apps verschicken Mails mit der eingebauten PHP-Funktion mail(). Das funktioniert im Test - und scheitert im Ernst. Warum:

  • Kein echtes SMTP: mail() übergibt die Nachricht lokal weiter, ohne saubere Authentifizierung. Das ist genau das, was Spamfilter argwöhnisch macht.
  • Keine Kontrolle über Zustellung: Ob die Mail wirklich rausging und angenommen wurde, erfährt man nicht. Sie verschwindet einfach.
  • Schwierige Signierung: DKIM und sauberes Header-Handling sind damit umständlich bis unmöglich.

Der richtige Weg ist echter SMTP-Versand über eine ausgereifte Bibliothek (in der PHP-Welt etwa PHPMailer oder Symfony Mailer). Diese verbinden sich authentifiziert mit einem Mailserver, signieren korrekt und melden zurück, ob der Versand geklappt hat. Das ist der Unterschied zwischen „abgeschickt und gehofft" und „zugestellt und bestätigt".

Transaktionsmails: wenn die Mail ankommen MUSS

Eine besondere Kategorie sind Transaktionsmails - die Mails, die eine Web-App als Reaktion auf eine Nutzeraktion verschickt:

  • Bestellbestätigung nach dem Kauf
  • Passwort-Reset-Link
  • Rechnung oder Lieferschein
  • Registrierungs-Bestätigung mit Aktivierungslink
  • Benachrichtigung über einen wichtigen Vorgang

Bei diesen Mails ist Zustellung nicht „schön", sondern geschäftskritisch. Kommt das Passwort-Reset nicht an, kann sich der Kunde nicht einloggen. Kommt die Bestätigung nicht, glaubt er, der Kauf sei fehlgeschlagen, und bestellt nochmal - oder gar nicht. Genau hier rächt sich ein schlampig aufgesetzter Versand am unmittelbarsten.

Wichtig ist auch die Trennung: Transaktionsmails (einzeln, ausgelöst durch eine Aktion) sind etwas anderes als Newsletter (viele Empfänger auf einmal). Wer beides über denselben Weg schickt, riskiert, dass ein Newsletter-Problem die kritischen Transaktionsmails mit in den Spam reißt. Sie gehören sauber getrennt.

Eigener Mailserver oder Versand-Dienstleister?

Für den Versand aus einer Web-App gibt es zwei Wege - beide legitim, mit unterschiedlichen Stärken:

AspektEigener MailserverVersand-Dienstleister
Kontrollevollständigeingeschränkt
Datenbleiben bei Ihnenlaufen über Dritte
Einrichtungeinmalig aufwendigerschneller
Zustellbarkeitgut, wenn sauber konfiguriertgut (etablierte Reputation)
Laufende Kostengeringvolumenabhängig

Ich setze seit Jahren auf eigene, sauber konfigurierte Mailserver - mit korrektem SPF, DKIM und DMARC. Das hält die Daten im Haus, vermeidet laufende Kosten pro Mail und gibt volle Kontrolle. Für manche Fälle (sehr hohe Volumina, kein eigener Server gewünscht) kann ein spezialisierter Dienstleister sinnvoll sein - entscheidend ist in beiden Fällen, dass die Echtheits-Einträge stimmen.

Was sonst noch über Zustellung entscheidet

  • Reputation der IP/Domain: Ein Server, von dem nie Spam kam, genießt Vertrauen. Ein frisch aufgesetzter braucht etwas, um sich zu „beweisen".
  • Saubere Absenderadresse: Eine echte, antwortbare Absenderadresse (kein noreply von einer Wegwerf-Domain) wirkt vertrauenswürdiger.
  • Vernünftiges Verhältnis: Plötzlich tausende Mails von einem Server, der sonst zehn am Tag schickt, sieht verdächtig aus.
  • Korrektes Format: Saubere Header, Text- und HTML-Teil, kein kaputtes Markup - all das fließt in die Spam-Bewertung ein.
  • Abmelde-Möglichkeit bei Massenmails - Pflicht und Reputationsfaktor zugleich.

Wie ich E-Mail-Versand aufsetze

  1. Echtheit zuerst: SPF, DKIM und DMARC korrekt einrichten - das ist die Grundlage, ohne die alles andere wenig hilft.
  2. Echter SMTP-Versand: Keine mail()-Bastelei, sondern eine ausgereifte Versand-Bibliothek mit Authentifizierung und Rückmeldung.
  3. Transaktionsmails absichern: Kritische Mails getrennt behandeln, mit Protokoll, ob sie zugestellt wurden.
  4. Testen mit echten Postfächern: Nicht nur „kommt bei mir an", sondern bei Gmail, Outlook, GMX - die größten Anbieter prüfen unterschiedlich streng.
  5. Überwachen: DMARC-Berichte auswerten, Zustellraten im Blick behalten, bei Problemen früh gegensteuern.

Dieses Mailserver-Wissen ist eines meiner Spezialgebiete - ich betreibe eigene Mailinfrastruktur und weiß, wo die Zustellbarkeit wirklich entschieden wird. Ich richte den Versand für Ihre Web-App zum Festpreis sauber ein, sodass Ihre wichtigen Mails ankommen.

Checkliste: E-Mail-Versand prüfen

  • Sind SPF, DKIM und DMARC für Ihre Domain gesetzt und korrekt?
  • Verschickt Ihre App über echten SMTP - oder noch per mail()?
  • Wissen Sie, ob eine Mail tatsächlich zugestellt wurde?
  • Sind Transaktionsmails von Newslettern getrennt?
  • Wurde der Versand bei Gmail, Outlook & Co. getestet?
  • Ist die Absenderadresse echt und antwortbar?
  • Werten Sie DMARC-Berichte aus?

Fazit: Zustellbarkeit ist kein Zufall

Dass Mails im Spam landen, ist fast nie Pech und fast immer ein Konfigurationsproblem. Wer Absender-Echtheit (SPF, DKIM, DMARC) sauber nachweist, über echten SMTP versendet und Transaktionsmails ernst nimmt, bekommt seine Mails zuverlässig zugestellt.

Es ist ein Thema, das man einmal richtig aufsetzt - und dann läuft. Aber „einmal richtig" erfordert Wissen über die Mechanik dahinter. Genau das ist der Unterschied zwischen „wir verschicken eine Mail und hoffen" und „unsere Bestätigung kommt mit hoher Zuverlässigkeit an".

Kommen Ihre Mails aus dem Shop, Portal oder der Web-App nicht zuverlässig an? Schreiben Sie mir kurz, was verschickt wird und wohin - ich prüfe die Zustellbarkeit, richte SPF/DKIM/DMARC und sauberen Versand ein und nenne einen Festpreis-Rahmen.

Kostenloses Erstgespräch Impressum Datenschutz

Weitere interessante Artikel

Debian-Server-Setup

Eigene Server sauber und sicher aufsetzen.

PDF-Generierung

Rechnungen und Belege als PDF erzeugen - oft im Mail-Anhang.

Background-Jobs

Mailversand und andere Aufgaben zuverlässig im Hintergrund.