Technischer Hinweis zur E-Mail-Authentifizierung und DMARC-Zustellungsfehlern (Fehler 550 5.7.509)

Wenn eingehende E-Mails von unseren Systemen mit dem Fehler „550 5.7.509 Access denied / DMARC verification failed“ abgewiesen werden, führen unsere Server an dieser Stelle exakt die restriktive Sicherheitsanweisung („reject“) aus, die der Inhaber der Absender-Domain selbst weltweit für seine Domain hinterlegt hat. Unsere E-Mail-Infrastruktur arbeitet standardkonform nach den weltweit gültigen Richtlinien der IETF (RFC 7208, RFC 6376 und RFC 7489).

Wir haben auf diesen automatisierten Ablauf keinen Einfluss. Wenn eine Domain im globalen Sicherheitsstandard DMARC den Status p=reject definiert, ist dies ein striktes Mandat an alle Empfangsserver weltweit, Nachrichten bei unvollständigen Authentifizierungen sofort abzuweisen.


Das technische Zusammenspiel: SPF, DKIM und DMARC

Der moderne, sichere E-Mail-Verkehr basiert auf einem dreistufigen Validierungssystem. Jede eingehende E-Mail durchläuft vollautomatisch diese Prüfungen:

  • SPF (Sender Policy Framework): Ein Eintrag im DNS der Absender-Domain. Er definiert autoritativ, welche Server und IP-Adressen berechtigt sind, E-Mails im Namen dieser Domain zu versenden.

  • DKIM (DomainKeys Identified Mail): Eine kryptografische Signatur im Header der E-Mail. Sie stellt sicher, dass die Nachricht auf dem Transportweg unverändert blieb und zweifelsfrei der Domain zugeordnet werden kann.

  • DMARC (Domain-based Message Authentication, Reporting, and Conformance): Dies ist das übergeordnete Regelwerk. Hier bestimmt der Domaininhaber, wie Empfängerserver weltweit mit einer E-Mail verfahren sollen, wenn die SPF- oder DKIM-Prüfung fehlschlägt.


Erforderliche Maßnahmen zur Behebung 

Sollten Sie von diesem Zustellungsfehler betroffen sein, leiten Sie diesen Hinweis sowie die erhaltene Fehlermeldung (Bounce Message) bitte an Ihren internen IT-Support weiter.

Da die Konfiguration dieser Parameter ausschließlich über die DNS-Zone der Absender-Domain gesteuert wird, kann die Behebung durch einen IT-Verantwortlichen des Absenders notwendig sein. 

  • Herstellung des SPF- oder DKIM-Alignments:
    Damit die DMARC-Prüfung bei einer aktiven reject-Richtlinie erfolgreich ist, muss mindestens eines der beiden Verfahren (SPF oder DKIM) technisch fehlerfrei mit der sichtbaren Absenderadresse (Header-From) übereinstimmen. Alle genutzten Sende-Systeme – wie externe Dienstleister, automatisierte ERP-Software (z. B. für den Rechnungsversand), CRM-Tools oder Website-Kontaktformulare – müssen daher entweder vollständig im SPF-Datensatz (TXT-Record) hinterlegt sein oder die Nachrichten mit einer für die Absender-Domain gültigen DKIM-Signatur versehen.

  • Temporäre Anpassung der Richtlinie (Alternative):
    Sofern die vollständige Validierung oder Signierung aller Sende-Systeme kurzfristig nicht möglich ist, besteht die Möglichkeit, die eigene DMARC-Richtlinie im DNS temporär von p=reject auf p=none (oder p=quarantine) herabzustufen. Dies verhindert die harte Abweisung geschäftskritischer E-Mails bei weltweiten Empfängern während der laufenden Konfigurationsphase.
Logo Fränkisches SeenlandLogo Naturpark AltmühltalLogo Tourismusverband Franken 2024Logo Erlebe.BayernLogo Deutsche Limes-Straße