21.05.2026 · 35 Min Lesezeit · Nils Lappenbusch

Weiterleiten oder umleiten? Was mit deiner Mail wirklich passiert (für Menschen erklärt)

Der Unterschied zwischen Forward und Redirect — mit Briefträger-Analogie, animierter Mail-Reise und Bastelkasten zum Selber-Ausprobieren. Plus die 5 Heimtücken, an denen Helpdesks regelmässig verzweifeln.

#forwarding #redirect #spf #dkim #dmarc #support-wissen #basics

In einem Satz

Weiterleiten macht aus deiner Mail eine neue Mail (mit dir als Absender). Umleiten schickt die gleiche Mail einfach an eine andere Adresse durch (Original-Absender bleibt). Und genau dieser kleine Unterschied entscheidet, ob Mails ankommen oder im Nirvana verschwinden.

Eine kleine Geschichte zum Start

Stell dir vor: Alice schickt Bob einen Brief. Bob ist gerade im Urlaub und will, dass die Post zu ihm nach Hause kommt.

Möglichkeit 1 — Bob leitet weiter: Bob holt den Brief aus dem Briefkasten, packt ihn in einen neuen Umschlag, schreibt seinen Namen oben drauf ("von: Bob") und seine Heimadresse als Absender, und schickt das ab. Beim Empfänger steht jetzt Bob als Absender, nicht Alice.

Möglichkeit 2 — Bob leitet um: Bob nimmt den gleichen Brief (mit Alice's Absender vorne drauf), streicht seine Adresse durch, schreibt seine Heimadresse drüber und wirft den Brief so wieder ein. Der Postbote schaut: "Absender Alice, neuer Empfänger." Beim Empfänger steht immer noch Alice als Absender.

Die Post (= dein Mailserver) macht in beiden Fällen unterschiedliche Sicherheits-Checks. Und das ist, wo's spannend wird.

Bevor wir reingehen: jede Mail hat ZWEI Absender

Das verwirrt am Anfang, ist aber das wichtigste Konzept hier.

📨 Eine Mail = Briefumschlag + Brief

🟡 Aussen: der Briefumschlag

Sieht nur der Briefträger (Mailserver). Du als Empfänger siehst das nie.

Absender: alice@firma-a.ch

Empfänger: bob@firma-b.ch

🔵 Drinnen: der Brief selbst

Das siehst du in Outlook / Gmail.

Von: Alice Schmid <alice@firma-a.ch>

An: bob@firma-b.ch

Betreff: Rechnung März

Hi Bob, anbei die Rechnung. ...

Im Alltag steht in beiden dasselbe — Alice ist sowohl außen als auch innen der Absender. Wenn beide auseinanderlaufen, fängt das DMARC-Drama an.

Die drei Wächter: SPF, DKIM, DMARC

Jede Mail wird beim Empfänger (Gmail, Microsoft 365, …) durch drei Sicherheits-Schleusen geschickt. Stell sie dir wie drei Türsteher vor:

🛡️ SPF — der Türsteher mit der Gästeliste

Schaut auf den Briefumschlag. Prüft: "Darf dieser Mailserver überhaupt im Namen dieser Firma Briefe verschicken?" Wenn nein → SPF-Fail.

🔏 DKIM — der Türsteher mit der Lupe

Schaut auf den Brief selbst. Prüft: "Ist der Brief unterwegs verändert worden?" Beim Versenden wird ein kryptografisches Siegel draufgepappt — wenn jemand was ändert, ist das Siegel kaputt.

🏛️ DMARC — der Chef-Türsteher

Schaut, ob Briefumschlag und Brief zusammenpassen (gleiche Firma außen wie innen) — und ob mindestens einer der beiden Vor-Türsteher (SPF oder DKIM) ein "OK" gegeben hat.

Merksatz für Helpdesk: SPF schaut auf den Umschlag, DKIM schaut in den Brief, DMARC schaut auf beides zusammen.

Und jetzt mal ehrlich: wie sieht das technisch aus?

Genug Analogien — jetzt der echte Code. Aber Zeile für Zeile erklärt. Du musst nichts auswendig lernen, aber wenn du das einmal gesehen hast, fluchst du beim nächsten Helpdesk-Ticket weniger.

Der SPF-Record — eine Liste im DNS

Jede Domain hat (oder sollte haben) im DNS einen TXT-Record, der die Gästeliste ist:

firma-a.ch.    IN  TXT  "v=spf1 include:spf.protection.outlook.com ip4:185.12.7.42 -all"

v=spf1"Hallo, ich bin ein SPF-Record, Version 1."

include:spf.protection.outlook.com"Microsoft 365 darf in meinem Namen senden." Dahinter steckt eine weitere DNS-Abfrage — Microsoft hat dort wieder eine Liste mit IPs.

ip4:185.12.7.42"Dieser einzelne Server darf auch senden." (Z.B. dein eigener Mailserver)

-all"Alle anderen? Strikt ablehnen." (Die wichtigste Zeile! ~all wäre "Softfail = behandle als Spam". -all ist "Hardfail = ablehnen".)

🎯 Die 10-Lookup-Falle: SPF erlaubt maximal 10 DNS-Lookups pro Auflösung. Jedes include: ist ein Lookup. Microsoft braucht intern 1–2, Mailchimp 2, SendGrid 1 … schnell bist du bei 12. Dann wird der ganze SPF-Record ignoriert. Heimtückisch: es fällt nicht direkt auf.

Der DKIM-Header — die Signatur im Brief

Wenn Alice’s Mailserver eine Mail rausschickt, hängt er einen Header an die Mail an. Den siehst du normalerweise nicht, aber in jeder Mail steht das drin:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
    d=firma-a.ch; s=selector1; t=1716285600;
    h=From:To:Subject:Date:Message-ID;
    bh=47DEQpj8HBSa+/TImW+5JCeuQeRkm5NMpJWZG3hSuFU=;
    b=K7nB9fLpQ2xZ8...vY3wT8oN==

v=1Version 1 von DKIM.

a=rsa-sha256Welcher Krypto-Algorithmus benutzt wurde (RSA + SHA-256).

c=relaxed/relaxed"Canonicalization". relaxed = Whitespace darf sich ändern, simple = byte-genau. Erkläre ich gleich.

d=firma-a.chDie wichtigste Zeile. Mit welcher Domain wurde signiert. Genau das prüft DMARC später auf Alignment.

s=selector1Welcher öffentliche Schlüssel. Liegt unter selector1._domainkey.firma-a.ch im DNS.

h=From:To:Subject:Date:Message-IDWelche Header sind mitsigniert. Wenn unterwegs Subject oder From geändert werden → DKIM kaputt.

bh=47DEQp...Hash des Bodys. Wenn auch nur 1 Zeichen im Body geändert wird → Hash stimmt nicht mehr → DKIM kaputt.

b=K7nB9...Die eigentliche Signatur (über die in h= aufgeführten Header + den Body-Hash).

Der Empfänger zieht den öffentlichen Schlüssel aus dem DNS (selector1._domainkey.firma-a.ch) und prüft: passt die Signatur? Wenn ja: DKIM PASS. Wenn nein: FAIL.

🎯 Warum DKIM bei Forwarding rettet: Das Siegel ist kryptografisch — egal über wie viele Server die Mail wandert, solange der Inhalt nicht verändert wird, bleibt das Siegel gültig. Der Forwarder muss nichts tun, das Siegel reist mit.

Der DMARC-Record — die Policy

Genau wie SPF, ein TXT-Record im DNS, aber unter einer speziellen Subdomain:

_dmarc.firma-a.ch.   IN  TXT  "v=DMARC1; p=reject; rua=mailto:reports@firma-a.ch; adkim=r; aspf=r; pct=100"

v=DMARC1Version.

p=rejectDie Policy. Was soll passieren wenn was nicht passt? Drei Optionen: none (nur reporten, nichts tun), quarantine (Spam-Ordner), reject (ablehnen).

rua=mailto:reports@...Wohin sollen die täglichen XML-Reports geschickt werden? Hier kommen wir ins Spiel: jemand muss diese XML lesen.

adkim=rDKIM-Alignment: relaxed (Subdomain reicht) oder strict (exakt gleich). Gleich erklärt.

aspf=rSPF-Alignment: dito.

pct=100Auf wieviel Prozent der Mails soll die Policy angewendet werden? pct=10 bedeutet: nur 10% rejecten, 90% durchlassen — nützlich zum schrittweisen Hochziehen.

Das Wichtigste: Alignment

Das ist das Konzept, das fast niemand sauber erklärt kriegt — aber es ist der Knackpunkt. DMARC sagt: “SPF und DKIM müssen nicht nur passen, sie müssen auch zur richtigen Domain gehören.”

🎯 Was Alignment bedeutet — visualisiert

Wo schaut DMARC hin?

Beispiel — sauberer Versand

Beispiel — Spoofing

Header-From
Was du im Mail-Client siehst

alice@firma-a.ch

SPF-Domain
Aus dem Envelope (MAIL FROM)

bounce@firma-a.ch
✓ Gleich = aligned

noreply@boeser-server.tk
✗ Andere Domain = NICHT aligned

DKIM-Domain
Aus dem d=-Tag

d=firma-a.ch
✓ Gleich = aligned

d=boeser-server.tk
oder gar keine Signatur

DMARC-Verdikt

✅ PASS
Beide aligned

❌ FAIL
Weder noch — Reject!

relaxed (Standard): Subdomain reicht — mail.firma-a.ch ist aligned mit firma-a.ch.
strict: Muss exakt gleich sein. Sehr selten benutzt.

Warum das für Forwarding wichtig ist: Wenn Bob’s Mailserver eine Mail von Alice umleitet:

Header-From bleibt alice@firma-a.ch (außen sichtbar)
SPF-Domain wird bob@firma-b.ch (Bob’s Server schickt jetzt) — NICHT aligned
DKIM-Domain bleibt d=firma-a.ch (Alice’s Siegel ist noch dran) — aligned

→ SPF fail, aber DKIM passes Alignment-Check → DMARC PASS. Genau das ist der Mechanismus, der Forwarding rettet.

Die Mail-Reise: drück auf Play und schau zu

🎬 Was passiert Schritt für Schritt

👩‍💼

Alice alice@firma-a.ch
schreibt an Bob

→

📬

Bob bob@firma-b.ch
leitet weiter

→

📥

Gmail privat@gmail.com
prüft alles

✉️

Drück ▶ Play um zu sehen wie eine Mail durchwandert. Wechsle oben zwischen Weiterleiten und Umleiten um den Unterschied zu sehen.

🛡️ SPF wartet

Gästeliste-Check

🔏 DKIM wartet

Siegel-Check

🏛️ DMARC wartet

Chef-Entscheidung

Übersetzung in Mensch

Weiterleiten: Bob schreibt einen neuen Brief, schreibt sich selbst oben drauf, packt Alice’s Brief als Anhang rein und schickt los. Aus Sicht der Post bist du jetzt Bob — alle Sicherheits-Checks passen, aber bei Antworten antwortet Gmail an Bob, nicht an Alice.

Umleiten: Bob streicht nur die Adresse durch und schreibt eine neue drüber. Absender bleibt Alice. Aus Sicht des Empfängers ist das die Mail, die er eigentlich wollte — aber die Post wird misstrauisch: “Moment, das ist Alice’s Brief, aber er kommt aus Bob’s Briefkasten?” → SPF-Fail.

In Outlook / Exchange heisst das wörtlich: “Weiterleiten” = Forward (neue Mail), “Umleiten” = Redirect (gleiche Mail neu adressiert). In Outlook-Regeln stehen beide nebeneinander — und tun komplett verschiedene Dinge. Bei Gmail gibt es nur “Forward”, das technisch oft eher einem Redirect entspricht.

Bastelkasten: bau dein eigenes Setup zusammen

Drei Schritte: (1) Modus wählen oben, (2) anhaken was unterwegs passiert, (3) unten ablesen was die drei Türsteher dazu sagen — und warum.

🔧 Setup-Bastelkasten

1Wie gibt Bob die Mail weiter?

2Was passiert unterwegs?

Mein Mailserver hängt einen Footer/Disclaimer an

"Vertraulich. Falls Sie nicht der Empfänger..." / "[EXTERN]"-Tag im Subject / Anti-Spam-Stamp im Body

→ bricht DKIM

Es geht über eine Mailing-Liste

Mailman / Google Groups / GroupWise — Subject mit [Liste-XY]-Präfix, List-Unsubscribe-Footer im Body

→ bricht SPF + DKIM

SRS ist aktiv auf dem Forwarder

Bob's Server schreibt den Envelope-Sender um auf SRS0=...=alice=firma-a.ch@firma-b.ch damit SPF wieder passt

→ rettet SPF

Bob's Server signiert mit ARC

Hängt eine Vertrauenskette an: "Ich bestätige dass die Mail bei mir noch SPF+DKIM-konform war" — signiert mit ARC-Schlüssel

→ rettet DMARC (wenn Empfänger vertraut)

Alice hat p=reject in DMARC

Harte Policy: bei FAIL wird die Mail abgelehnt. Ohne Spam-Ordner. Ohne Warnung an den Endempfänger.

→ entscheidet was bei FAIL passiert

3Was die drei Türsteher sagen — live

🛡️ SPF—

—

🔏 DKIM—

—

🏛️ DMARC—

—

Die 5 Heimtücken, an denen Helpdesks verzweifeln

Jede mit einem “in einem Satz für DAUs” Vorspann.

1. Outlook leitet auf Gmail um, Mails verschwinden Hoch

💡 In einem Satz: Wenn du in Outlook eine Regel hast "alle Mails an mein Gmail umleiten", verlierst du irgendwann Mails — und kriegst nicht mit, dass du sie verloren hast.

Was technisch läuft: Outlook-Regel "an Gmail umleiten" (= Redirect). Manche Kunden senden aus Domains mit harter p=reject DMARC-Policy. Deren SPF erlaubt nur den eigenen Mailserver, nicht den der Firma. Outlook leitet weiter — Envelope-From bleibt der Original-Absender — SPF crasht — aber DKIM hält die Mail noch zusammen.

Bis irgendeine Mail kommt, die kein DKIM hat (passiert noch bei vielen kleinen Firmen). Dann bricht auch das. Gmail rejected. Die Mail kommt nicht an. Es gibt keine Fehlermeldung beim Endempfänger, weil der Bounce zum Original-Absender geht — und der wusste ja nicht, dass die Mail eigentlich an Gmail sollte.

Helpdesk-Trick: Frag nicht "kommt sie nicht an?", frag "kommen alle nicht an oder nur manche?" — "nur manche" zeigt dir den DKIM/SPF-Forward-Bug.

2. Mailing-Listen brechen DMARC seit 2014 systematisch Hoch

💡 In einem Satz: Wenn du auf einer Mailing-Liste antwortest und dein Mail-Provider hat strenge DMARC, kickt die Liste dich raus — weil deine eigenen Mails als "Fälschung" gelten.

Was technisch läuft: Die Mailing-Liste (Mailman, Google Groups, GroupWise) macht das hier mit deiner Mail:

Setzt [Liste-Name] vor das Subject → DKIM kaputt (Subject ist mitsigniert)
Hängt einen List-Unsubscribe-Footer an den Body → DKIM nochmal kaputt
Versendet als List-Server, behält aber Header-From = dich

→ SPF kaputt (anderer Server), DKIM kaputt (Inhalt geändert), DMARC fail. Wenn dein Provider p=reject hat (Google, Microsoft, Yahoo seit 2024 fast Pflicht), bouncen alle Listenmitglieder. Mailman erkennt zu viele Bounces — kickt sie raus.

Lösung: Moderne Listen-Software macht "From-Munging" — schreibt den Header-From um auf "Alice via Liste" <liste@server.ch>. Hässlich, aber funktioniert. Oder: ARC.

3. SRS — der unsichtbare Patch im Briefumschlag Mittel

💡 In einem Satz: SRS ist ein Trick, bei dem dein Mailserver beim Weiterleiten die Absender-Adresse auf dem Umschlag fälscht — auf eine gute Weise, damit der nächste Türsteher zufrieden ist.

Was es genau ist: SRS ist eine Technik, bei der der weiterleitende Mailserver den Envelope-Sender (MAIL FROM) umschreibt — aus alice@firma-a.ch wird sowas wie SRS0=abc=xy=firma-a.ch=alice@firma-b.ch.

Effekt: SPF passt jetzt wieder (firma-b.ch sendet im Namen von firma-b.ch). Bounces kommen bei firma-b.ch an und werden zurück übersetzt zu firma-a.ch.

Heimtücke: SRS muss aktiviert sein. Viele Mailserver können es theoretisch, haben es aber nicht eingeschaltet. Postfix? Geht. Exchange On-Prem? Über Connector möglich. Exchange Online? Aktiviert es seit 2020 automatisch beim Forward an externe Adressen — nur beim Forward, nicht beim Redirect. Genau hier wird's heimtückisch: "Umleiten" ohne SRS = SPF bricht. "Weiterleiten" mit SRS = SPF passt.

Helpdesk-Tipp: Bei "meine umgeleitete Mail kommt nicht an" zuerst prüfen ob die Outlook-Regel auf "Weiterleiten" oder "Umleiten" steht. Umstellen löst das Problem in ~70% der Fälle.

4. ARC — die neue Hoffnung für Forwarder Niedrig (aber Pflichtwissen)

💡 In einem Satz: ARC ist wie ein Notarstempel — dein Mailserver bestätigt: "Ich hab die Mail vorher gesehen, sie war ok". Wenn der Empfänger dir vertraut, akzeptiert er die Mail, auch wenn unterwegs was kaputt gegangen ist.

Was es genau ist: ARC ist eine Erweiterung, bei der ein weiterleitender Server an die Mail dranschreibt: "Ich habe diese Mail empfangen, als sie noch SPF/DKIM-konform war. Vertrau mir, das war legitim." — signiert mit einem eigenen ARC-Schlüssel.

Status 2026: Gmail und Microsoft 365 nutzen ARC und akzeptieren es vom jeweils anderen + von grossen Mailinglisten. Kleinere Mailserver: hit-and-miss. Es ist keine garantierte Rettung — aber für grosse Forwarder funktioniert es immer öfter.

Was du als Support wissen musst: Wenn ein DMARC-Report fail anzeigt, aber die Mail trotzdem zugestellt wurde — das war wahrscheinlich ARC. Nicht panisch werden. Aber: ARC ist kein Ersatz für richtiges Setup.

5. Catch-all + Forward — die Eskalation Hoch

💡 In einem Satz: Wenn du "alles, was an irgendeine Adresse meiner Firma kommt" an dein Gmail weiterleitest, leitest du auch den ganzen Spam, Phishing und Bot-Müll weiter — und Gmail schiebt am Ende dich in den Spam.

Was technisch läuft: Catch-all empfängt jede Mail an die Domain — inklusive massenhaft Spam, Phishing, Dictionary-Attacks. Wird alles brav weitergeleitet an Gmail. Gmail sieht: "firma-b.ch schickt mir ständig Spam und Phishing-Mails". Spam-Score deiner Domain crasht. Reputationsschaden ist nicht das Forward — das ist du als Forwarder.

Lösung: Catch-all sollte filtern bevor weitergeleitet wird. Oder: nur konkrete Adressen weiterleiten, kein Catch-all-Forward.

Mini-Quiz — bist du fit?

Klick auf die richtige Antwort. Ohne Druck, ist nur zum Spass.

🧪 Drei Szenarien

Szenario 1: Eine Kundin meldet sich: "Ihr habt mir was geschickt aber ich kriege nichts." Du checkst — sie hat in Outlook eine Regel "alle Mails von eurer Firma an meine private Gmail umleiten" eingestellt. Eure Firma hat DMARC p=reject.

Szenario 2: Ein Mitarbeiter beschwert sich: "Ich war auf einer Mailing-Liste, und plötzlich bin ich rausgeflogen — angeblich zu viele Bounces."

Szenario 3: "Ich will, dass mir wer auf einen alten Account immer noch alle Mails an mein neues Postfach weitergibt, aber so, dass ich sehe, von wem es ursprünglich kam und auch direkt antworten kann."

TL;DR — die Punkte für deine Wissensdatenbank

Weiterleiten ≠ Umleiten. Forward macht eine neue Mail (du als Absender), Redirect lässt die alte Mail durch (Original-Absender bleibt).
SPF bricht beim Umleiten fast immer. Weil der weiterleitende Server nicht im SPF-Record des Original-Absenders steht.
DKIM rettet das oft — aber nur wenn unterwegs nichts am Inhalt verändert wird. Footer-Disclaimer, Subject-Präfixe, Anti-Spam-Stamps brechen DKIM.
DMARC fail = Mail kann verschwinden. Bei p=reject ohne Bounce-Mail an den Empfänger. Heimtückisch.
SRS und ARC sind die modernen Pflaster. SRS für Envelope-Sender-Umschrift, ARC für vertrauenswürdige Forwarder-Kette. Beide müssen aktiv konfiguriert sein.
Mailing-Listen sind seit 2014 ein DMARC-Problem. Wenn der Listen-Provider nicht From-Munging oder ARC macht, fliegen Mitglieder mit p=reject-Domains raus.
Bei “Mail kam nicht an”: zuerst fragen “alle Mails oder nur manche?” — “nur manche” deutet auf Forward-Probleme.

Was als nächstes?

→ Mail-Health-Check für deine Domain — siehst in 5 Sekunden, wie dein SPF, DKIM und DMARC aktuell stehen und ob du Forward-Probleme zu erwarten hast.

→ Wozu eigentlich DMARC? — der Geschäftsführer-Einstieg ohne Tech-Jargon.

→ Du betreibst einen Mailserver und brauchst SRS/ARC-Setup? Schreib uns — wir machen das als Festpreis-Audit.

Brauchst du Hilfe bei der Umsetzung?

Wir machen DMARC, SPF, DKIM und BIMI komplett für dich — Festpreise, klare Pakete.

🔍 Erst deine Domain checken (gratis) 📅 Audit buchen (CHF 490)