Ein Jahr Outlook-DMARC-Pflicht: aus Junk-Folder wird Hard-Reject

Redaktion · · 4 Min. Lesezeit

Am 5. Mai 2025 hat Microsoft Ernst gemacht: Wer mehr als 5.000 Mails pro Tag an Outlook.com-, Hotmail- oder Live.com-Adressen schickt und SPF, DKIM oder DMARC nicht sauber gesetzt hat, landet seitdem nicht mehr im Junk-Folder, sondern bekommt einen harten SMTP-Reject. Ein Jahr später lässt sich nüchtern bilanzieren: Das war kein Schuss vor den Bug. Das war der Schuss.

Was vorher galt

Bis Mai 2025 war Microsoft im Vergleich zu Google und Yahoo der nachsichtige Empfänger. Wer DMARC nicht hatte, kam trotzdem durch — landete vielleicht im Junk, aber kam an. Spam-Filter und Reputation entschieden, nicht Authentifizierung. Genau das hat dazu geführt, dass viele DACH-Mittelständler die Microsoft-Welt als „läuft schon irgendwie” abgehakt haben, während sie für Gmail seit Februar 2024 längst SPF/DKIM/DMARC sauber aufgesetzt hatten.

Was jetzt gilt

1. Reject ist nicht „kommt nachher schon an”. Anders als beim Spam-Ordner gibt es keinen zweiten Versuch und keine Wiedervorlage. Eine 550-Antwort heißt: Mail abgewiesen, Versandsystem muss als Bounce verbuchen, Empfängeradresse zählt für viele ESPs als hartes Bounce-Signal und wird unter Umständen aus der Liste genommen. Wer die Schwelle überschreitet und kein DMARC hat, verliert also nicht nur die heutige Mail, sondern langfristig Adressen.

2. Die 5.000er-Grenze ist domainbezogen. Microsoft zählt Mails pro 24 Stunden pro absendender Domain. Wer mit info@, newsletter@ und service@ von derselben Domain sendet, sammelt alles auf einen Topf. Subdomain-Trennung (news.example.de vs. mail.example.de) wird interessanter, weil sie das Volumen-Profil pro Auth-Setup steuerbar macht — vorausgesetzt, jede Subdomain hat ihre eigenen, sauberen Records.

3. Die DMARC-Policy darf weich bleiben — die Records müssen aber stimmen. Microsoft fordert aktuell nur p=none. Praktisch heißt das: DMARC-Reports laufen, harte Policy ist nicht Pflicht. Aber: SPF und DKIM müssen aligned zur From-Domain sein. Genau hier scheitern viele Aufsetzungen — das DKIM des Versand-Dienstleisters signiert mit mailgun.example-mail.net, die From-Adresse ist aber info@example.de. Ohne sauberes Alignment auf die From-Domain hilft das gültige DKIM-Signing nicht, der DMARC-Check failed.

Warum es kaum jemand mitbekommen hat

Microsoft hat den Termin im April 2025 angekündigt, aber außerhalb der Deliverability-Bubble kaum kommuniziert. Anders als bei Google/Yahoo 2024 gab es keine breite Presse-Welle und kaum Berichterstattung in deutschen Marketing-Medien. Dazu kommt: Wer keinen DMARC-Report-Empfänger eingerichtet hat, bekommt vom Reject nichts mit — der Bounce sieht in vielen ESPs aus wie eine fehlerhafte Empfängeradresse. In der Konsequenz wachen Sender oft erst auf, wenn größere B2B-Kontakte mit @outlook.com-Adressen anrufen und fragen, warum die Bestätigungsmail nicht ankommt.

Der zweite Punkt: Im DACH-Markt sind die Outlook-Adressanteile in B2B-Listen oft unterschätzt. Viele Selbstständige und Kleinunternehmen nutzen Outlook.com oder Hotmail-Adressen als Geschäftspostfach, dazu kommen @live.com- und @msn.com-Bestände. In typischen Newsletter-Listen liegen die zusammen schnell bei 10–20 % — wer hier ohne DMARC sendet, verbrennt einen relevanten Listenanteil unbemerkt.

Was du jetzt tun kannst

Prüfe deine DMARC-Aufstellung in zehn Minuten: Ein dig TXT _dmarc.deine-domain.de zeigt, ob ein Record existiert und wie die Policy aussieht. Tools wie dmarcian.com oder mxtoolbox.com machen dasselbe per Web-Form. Fehlt der Record komplett, ist das die akute Baustelle.

Aktiviere DMARC-Reporting, bevor du die Policy verschärfst: rua=mailto:dmarc-reports@deine-domain.de einbauen, ein paar Wochen Reports einsammeln, prüfen welche Versandwege wirklich aligned sind. Erst danach von p=none auf p=quarantine oder p=reject ziehen.

Trenne transactional und marketing auf Subdomains: Bestellbestätigungen über transactional.example.de, Newsletter über news.example.de. Damit ziehen schlechte Marketing-Reputation und gute Transactional-Reputation nicht aneinander, und du behältst Kontrolle über das Auth-Setup pro Strecke.

Entdecke mehr

Themenuebersicht