Was die Bulk-Sender-Regeln von Gmail und Yahoo im Februar 2024 verändert haben

Am 1. Februar 2024 setzten Google und Yahoo zeitgleich neue Anforderungen für jeden Absender durch, der 5.000 Nachrichten pro Tag an die jeweilige Nutzerbasis überschreitet. Die beiden Ankündigungen sind nach wie vor die kanonischen Referenzen — die „Email sender guidelines" von Google und die „Sender best practices" von Yahoo — und sie sind inhaltlich nahezu identisch geblieben. Die drei Forderungen:

1. Authentifizierung. SPF und DKIM sind verpflichtend; DMARC mindestens mit p=none ist verpflichtend. Nicht-ausgerichtete Mail landet im Spam oder wird abgelehnt.
2. One-Click-Abmeldung. Der Header List-Unsubscribe (RFC 2369, 1998) war immer schon verfügbar; was 2024 hinzukam, ist die One-Click-Anforderung — die Abmelde-URL muss eine einzelne POST-Anfrage akzeptieren und ohne Bestätigungsschritt verarbeiten (RFC 8058, 2017). Der Nutzer klickt einmal im Mailclient und ist abgemeldet.
3. Obergrenze für die Beschwerdequote. Bulk-Absender müssen ihre Spam-Beschwerderate dauerhaft unter 0,3 % halten. Anhaltend höhere Raten lösen eine automatisierte Abstufung in den Spam-Ordner aus.

Vor 2024 fuhren die meisten Self-Hosted-Betreiber ausschließlich SPF + DKIM und ließen DMARC weg. Das Argument: DMARC sei lediglich eine Policy über den anderen beiden, und das Auswerten der Reports sei operativ lästig. Dieses Argument zieht nicht mehr.

Konkret verlangt die Regel von 2024, dass DMARC existiert — und sei es nur als p=none — und dass es ausgerichtet ist. „Ausrichten" bedeutet bei DMARC, dass entweder die SPF-From-Domain oder die DKIM-Signierdomain mit dem sichtbaren From:-Header übereinstimmt, im strikten oder im entspannten Ausrichtungsmodus. Ein häufiger Fehler: Ein Absender nutzt marketing@ihrunternehmen.de als sichtbares From, leitet aber über ein Drittanbieter-CRM, das DKIM mit der Domain des CRMs signiert — die Ausrichtung schlägt fehl, DMARC schlägt fehl, und Gmail / Yahoo verschieben die Nachricht stillschweigend in den Spam.

Die Lösung ist das standardmäßige DMARC-Rollout: p=none mit RUA-Reporting veröffentlichen, die täglichen Aggregate zwei bis vier Wochen beobachten, nicht-ausgerichtete Streams identifizieren und beheben, über p=quarantine hochfahren, auf p=reject einpendeln. Eine Abkürzung gibt es nicht.

Die technische Latte sind zwei Header, beide gemäß RFC 8058:

Der Mailclient (Gmail, Yahoo, Apple Mail) rendert dies als One-Click-„Abmelden"-Link im Nachrichten-Header. Klickt der Nutzer, sendet der Client per POST List-Unsubscribe=One-Click an die URL. Ihr Server verarbeitet die Abmeldung und gibt 200 OK zurück. Keine Bestätigungsseite, kein Captcha, kein Login.

AcelleMail emittiert beide Header standardmäßig für jede Kampagnenliste, bei der Abmelde-Handling aktiviert ist. Wo Betreiber stolpern, sind individuelle Integrationen — transaktionale Flows, die die Kampagnen-Engine umgehen, Drittanbieter-SMTP-Relays, die die Header entfernen, oder Abmelde-URLs, die über eine CMS-Bestätigungsseite weiterleiten. Jedes davon ist ein Zustellbarkeits-Treffer.

Die einfachste Prüfung: Senden Sie sich selbst einen Test, klicken Sie in Gmail auf „Original anzeigen", suchen Sie nach List-Unsubscribe-Post. Fehlt der Header oder steht dort nicht One-Click, sind Sie nicht konform. Beheben Sie das, bevor das Volumen bei einem der Anbieter 5.000/Tag überschreitet.

Die Beschwerdequote ist der Anteil der Empfänger, die Ihre Nachricht als Spam markiert haben, berechnet pro Tag über ein gleitendes Fenster. Die Ankündigung von Google forderte dauerhaft „unter 0,3 %", mit „wir möchten Ihre Rate konsistent unter 0,1 % sehen" als Arbeitsmarge.

Zwei Implementierungshinweise:

1. Sie ist pro Domain, nicht pro Account. Wenn Sie Marketing auf eine Subdomain auslagern (z. B. news.ihrunternehmen.de), wird die Beschwerdequote nur gegen diese Subdomain berechnet. Eine Subdomain, die 0,3 % überschreitet, stuft Ihren transaktionalen Traffic auf der Apex-Domain nicht automatisch ab — das ist einer der Gründe, weshalb es Standardpraxis ist, Marketing auf einer Subdomain zu isolieren. (Siehe /glossary/email-deliverability.)
2. Gmail und Yahoo messen unterschiedlich. Gmail nutzt die Klickrate auf den Spam-Button unter den Empfängern, die geöffnet haben. Yahoo verwendet eine ähnliche Metrik in seiner Oberfläche. Beide Zahlen sollten innerhalb von ~0,05 % zueinander liegen; größere Abweichungen deuten eher auf Audience-Skew als auf ein Absenderproblem hin.

Für Sichtbarkeit melden Sie sich bei Google Postmaster Tools (kostenlos, erfordert DNS-Verifizierung Ihrer Domain) und beim Yahoo Complaint Feedback Loop an. Beide liefern tägliche Beschwerdequoten. AcelleMail konsumiert den Beschwerde-Feed auf SES-Ebene über SNS-Webhooks (app/SendingServers/Webhooks/ComplaintReceived.php), was die Quelle der Wahrheit auf Sending-Server-Ebene ist. Die Gmail- / Yahoo-Raten sind Post-Delivery; die SES-Rate ist At-Acceptance.

Streng genommen gelten die Regeln von 2024 nur für Bulk-Absender — >5.000/Tag an Gmail oder Yahoo. Unterhalb dieser Schwelle gelten die Anforderungen als „Best Practice" und sind nicht erzwungen.

In der Praxis ist das bedeutungslos. Auch Sub-5.000-Absender landen wegen fehlendem DMARC, fehlender One-Click-Abmeldung oder hoher Beschwerdequote im Spam. Die Heuristik der Anbieter ist weitgehend dieselbe; der Unterschied ist, dass die Anbieter Sie oberhalb von 5.000 in eine „Bulk-Sender"-Warteschlange mit strikterer Automatisierung schieben, während Sie unterhalb davon in einen Manual-Review-/ Engagement-getriebenen Pfad fallen. So oder so erzeugt das Ignorieren der Regeln unterhalb von 5.000 messbaren Zustellbarkeits-Verlust.

Die richtige Einordnung: Die Regeln von 2024 haben kodifiziert, was bei den großen Anbietern bereits De-facto-Standard war. Sie haben keine neuen Anforderungen erfunden; sie haben die bestehenden Anforderungen explizit gemacht und durchgesetzt. Self-Hosted-Betreiber unterhalb von 5.000/Tag sollten die Regeln unabhängig davon als Arbeitslatte behandeln.

Drei Muster sind im Februar-März 2024 in großem Maßstab gebrochen und verursachen bis heute messbaren Zustellbarkeits-Verlust:

1. Forwarder-DMARC-Fail. Betreiber mit Mailing-Listen, die Mails an die persönlichen Adressen der Abonnenten weitergeleitet haben (das klassische „List Service"-Muster), sahen ihre weitergeleitete Mail in Masse abgelehnt. Die Lösung ist, den From-Header der weitergeleiteten Mail umzuschreiben (der ARC-Ansatz) oder die Listen auf direktes Senden von der Listendomain umzustellen. Mailman 3 und das Listen-Modul von Postal unterstützen beides.
2. Drittanbieter-CRM-Absender. Das Senden über ein CRM-angebundenes SMTP-Relay, das mit der Domain des CRMs signiert, bricht die DMARC-Ausrichtung — es sei denn, das CRM veröffentlicht zusätzlich sein eigenes DKIM unter Ihrer Subdomain. Amazon SES, Mailgun, SparkPost und SendGrid unterstützen dies; ältere oder weniger verbreitete Relays möglicherweise nicht.
3. Nicht-authentifizierte transaktionale Flows. „Wir verschicken Passwort-Resets über Postfix auf derselben Box, auf der die App läuft, ohne DKIM" funktionierte bei nennenswertem Volumen nicht mehr. Die Lösung ist, DKIM-Schlüssel für die Apex-Domain zu veröffentlichen und OpenDKIM auf der Postfix-Installation zu konfigurieren — einmalige Arbeit, die sich über den gesamten transaktionalen Traffic auszahlt.

Die Regeln von 2024 erwiesen sich als wirkmächtiger, als sie auf den ersten Blick wirkten. Sie haben nicht nur die Latte angehoben — sie haben die Latte konkret und prüfbar gemacht. Sender Score, Talos, GlockApps, Postmark und die diversen Zustellbarkeits-Monitoring-Anbieter haben die drei Säulen innerhalb von Monaten in ihre Checks aufgenommen. Bis Mitte 2025 setzte das gesamte kommerzielle Zustellbarkeits-Tooling-Ökosystem DMARC + One-Click-Abmeldung + Beschwerdequote als Voraussetzungen voraus; die älteren „Wir helfen Ihnen beim Debuggen Ihres SPF"-Dienste haben sich entweder aktualisiert oder still verabschiedet.

Speziell für Self-Hosted-Betreiber haben die Regeln von 2024 einen Wandel beschleunigt, der bereits im Gange war: weg von „alles von überall senden" (die Self-Hosted-Norm der 2010er Jahre) hin zu „nur authentifizierte, ausgerichtete, einfach abmeldbare Mail aus einer Domain senden, deren Reputation Sie aktiv steuern". Das ist eine höhere operative Latte, aber ein risikoärmerer Dauerzustand. Das Tooling von AcelleMail für den Dauerzustand — WarmupStrategy, BounceHandler, Suppression-Liste, NeverBounce / ZeroBounce-Verifizierungsadapter — war bereits vor 2024 im Codebase; was sich geändert hat, ist, dass diese Bausteine notwendig statt optional geworden sind.

Wenn Sie in den letzten sechs Monaten keine 2024er-Compliance-Prüfung Ihrer Absenderdomain durchgeführt haben, ist heute ein guter Tag, damit zu beginnen. Die Fünf-Minuten-Variante: Senden Sie sich selbst einen Test, „Original anzeigen" in Gmail, prüfen Sie drei pass-Verdikte sowie den Header List-Unsubscribe-Post: List-Unsubscribe=One-Click. Wenn alles stimmt, sind Sie gut. Wenn nicht, ist der Weg dorthin gut beschrieben.