Ein Jahr Outlook-DMARC-Pflicht: aus Junk-Folder wird Hard-Reject
Am 5. Mai 2025 hat Microsoft Ernst gemacht: Wer mehr als 5.000 Mails pro Tag an Outlook.com-, Hotmail- oder Live.com-Adressen schickt und SPF, DKIM oder DMARC nicht sauber gesetzt hat, landet seitdem nicht mehr im Junk-Folder, sondern bekommt einen harten SMTP-Reject. Ein Jahr später lässt sich nüchtern bilanzieren: Das war kein Schuss vor den Bug. Das war der Schuss.
Was sich konkret geändert hat
- 5.000 Mails / Tag / Domain ist die Schwelle — gemessen an Outlook-Empfängern, nicht am Gesamtversand. Newsletter mit großem DACH-B2C-Anteil rutschen schnell darüber.
- DMARC mindestens
p=nonemit alignment — die Policy darf weich bleiben, aber das Record muss existieren und SPF oder DKIM müssen aligned passen. - Reject statt Junk: Microsoft antwortet mit
550 5.7.515 Access denieddirekt im SMTP-Dialog. Die Mail kommt nicht durch, der Empfänger sieht nichts, kein Log im Outlook-Konto. - TLS auf der Transportstrecke wird vorausgesetzt. Sender ohne STARTTLS fallen schon vor der Authentication-Prüfung raus.
Was vorher galt
Bis Mai 2025 war Microsoft im Vergleich zu Google und Yahoo der nachsichtige Empfänger. Wer DMARC nicht hatte, kam trotzdem durch — landete vielleicht im Junk, aber kam an. Spam-Filter und Reputation entschieden, nicht Authentifizierung. Genau das hat dazu geführt, dass viele DACH-Mittelständler die Microsoft-Welt als „läuft schon irgendwie” abgehakt haben, während sie für Gmail seit Februar 2024 längst SPF/DKIM/DMARC sauber aufgesetzt hatten.
Was jetzt gilt
1. Reject ist nicht „kommt nachher schon an”. Anders als beim Spam-Ordner gibt es keinen zweiten Versuch und keine Wiedervorlage. Eine 550-Antwort heißt: Mail abgewiesen, Versandsystem muss als Bounce verbuchen, Empfängeradresse zählt für viele ESPs als hartes Bounce-Signal und wird unter Umständen aus der Liste genommen. Wer die Schwelle überschreitet und kein DMARC hat, verliert also nicht nur die heutige Mail, sondern langfristig Adressen.
2. Die 5.000er-Grenze ist domainbezogen. Microsoft zählt Mails pro 24 Stunden pro absendender Domain. Wer mit info@, newsletter@ und service@ von derselben Domain sendet, sammelt alles auf einen Topf. Subdomain-Trennung (news.example.de vs. mail.example.de) wird interessanter, weil sie das Volumen-Profil pro Auth-Setup steuerbar macht — vorausgesetzt, jede Subdomain hat ihre eigenen, sauberen Records.
3. Die DMARC-Policy darf weich bleiben — die Records müssen aber stimmen. Microsoft fordert aktuell nur p=none. Praktisch heißt das: DMARC-Reports laufen, harte Policy ist nicht Pflicht. Aber: SPF und DKIM müssen aligned zur From-Domain sein. Genau hier scheitern viele Aufsetzungen — das DKIM des Versand-Dienstleisters signiert mit mailgun.example-mail.net, die From-Adresse ist aber info@example.de. Ohne sauberes Alignment auf die From-Domain hilft das gültige DKIM-Signing nicht, der DMARC-Check failed.
Warum es kaum jemand mitbekommen hat
Microsoft hat den Termin im April 2025 angekündigt, aber außerhalb der Deliverability-Bubble kaum kommuniziert. Anders als bei Google/Yahoo 2024 gab es keine breite Presse-Welle und kaum Berichterstattung in deutschen Marketing-Medien. Dazu kommt: Wer keinen DMARC-Report-Empfänger eingerichtet hat, bekommt vom Reject nichts mit — der Bounce sieht in vielen ESPs aus wie eine fehlerhafte Empfängeradresse. In der Konsequenz wachen Sender oft erst auf, wenn größere B2B-Kontakte mit @outlook.com-Adressen anrufen und fragen, warum die Bestätigungsmail nicht ankommt.
Der zweite Punkt: Im DACH-Markt sind die Outlook-Adressanteile in B2B-Listen oft unterschätzt. Viele Selbstständige und Kleinunternehmen nutzen Outlook.com oder Hotmail-Adressen als Geschäftspostfach, dazu kommen @live.com- und @msn.com-Bestände. In typischen Newsletter-Listen liegen die zusammen schnell bei 10–20 % — wer hier ohne DMARC sendet, verbrennt einen relevanten Listenanteil unbemerkt.
Was du jetzt tun kannst
Prüfe deine DMARC-Aufstellung in zehn Minuten: Ein dig TXT _dmarc.deine-domain.de zeigt, ob ein Record existiert und wie die Policy aussieht. Tools wie dmarcian.com oder mxtoolbox.com machen dasselbe per Web-Form. Fehlt der Record komplett, ist das die akute Baustelle.
Aktiviere DMARC-Reporting, bevor du die Policy verschärfst: rua=mailto:dmarc-reports@deine-domain.de einbauen, ein paar Wochen Reports einsammeln, prüfen welche Versandwege wirklich aligned sind. Erst danach von p=none auf p=quarantine oder p=reject ziehen.
Trenne transactional und marketing auf Subdomains: Bestellbestätigungen über transactional.example.de, Newsletter über news.example.de. Damit ziehen schlechte Marketing-Reputation und gute Transactional-Reputation nicht aneinander, und du behältst Kontrolle über das Auth-Setup pro Strecke.
Hintergrund im Lexikon
Die saubere SPF/DKIM/DMARC-Aufstellung Schritt für Schritt erklärt: → E-Mail-Zustellbarkeit: SPF, DKIM, DMARC
Entdecke mehr
E-Mail-Zustellbarkeit verstehen — SPF, DKIM, DMARC und warum Mails im Spam landen
Wie SPF, DKIM, DMARC, BIMI und Sender Reputation zusammenspielen — und warum gute Mails trotzdem im Spam landen. Mit Setup-Reihenfolge und Praxisbeispielen.
LexikonDSGVO-konformes E-Mail-Marketing — Einwilligung, Double-Opt-In, Logging
Wann du E-Mails verschicken darfst, was Double-Opt-In, Opt-In-Logging und Soft-Opt-In bedeuten — und welche Risiken eine gekaufte Liste mit sich bringt.
GlossarMarketing
Unternehmerische Disziplin, die Nachfrage erzeugt, Kunden gewinnt und Beziehungen pflegt — von Markenaufbau und Content über bezahlte Kanäle und SEO bis zu CRM und Loyalty.