Damit Passwort-Reset-E-Mails nicht im Spam landen, müssen drei Dinge zusammenkommen: technische Authentifizierung, inhaltliche Disziplin und eine Sender-Reputation, die Provider tatsächlich anerkennen. Jede Schicht zählt — eine fehlt und die Zustellung leidet.
Warum es schwierig ist: Reset-E-Mails enthalten einen frischen Link — genau das Muster, auf das Filter trainiert sind. Authentifizierung sagt: « das ist echt, kein Phishing ».
Schicht 1: jeder Versand authentifiziert
- SPF — listet IPs, die für Ihre Domain senden dürfen.
- DKIM — kryptographische Signatur jeder Nachricht.
- DMARC — sagt, was bei Fehlschlägen passieren soll, mit Reports.
Schicht 2: die E-Mail selbst
- Versand von Ihrer echten Domain ([email protected]).
- Klarer, markenverankerter Betreff, kein Clickbait.
- Eine primäre CTA, Link oberhalb des Falzes.
- Keine Anhänge, kein versteckter Text.
- Ablaufzeit und Hinweis « falls nicht angefordert, ignorieren ».
Keine URL-Shortener: bit.ly & Co. werden massiv für Phishing missbraucht. Nutzen Sie eigene Brand-Kurzlinks oder die volle URL.
Schicht 3: Reputation pflegen
- Subdomains für Transaktion und Marketing trennen.
- Adressen bei der Anmeldung validieren.
- Postmaster Tools und SNDS überwachen.
- Missbrauch limitieren, echte Nutzer nicht.
Absender jetzt authentifizieren
Konfigurieren Sie SPF, DKIM und DMARC — und prüfen Sie den Inhalt der Passwort-Reset-E-Mail.