E-Mail-Sicherheit: DMARC, SPF und DKIM verständlich erklärt

E-Mail-Spoofing: Das unterschätzte Risiko

Stellen Sie sich vor, Ihre Geschäftspartner erhalten E-Mails, die scheinbar von Ihrer Firmenadresse stammen – mit der Bitte um dringende Überweisung oder mit einem Anhang voller Schadsoftware. Sie haben diese E-Mails nie versendet. Jemand hat Ihre Domain missbraucht.

E-Mail-Spoofing ist technisch einfach, weil das E-Mail-Protokoll (SMTP) aus den 1980er Jahren stammt und keinerlei Absenderauthentifizierung vorsieht. Jeder kann technisch eine E-Mail mit einer beliebigen Absenderadresse verschicken.

Genau hier setzen SPF, DKIM und DMARC an – drei DNS-basierte Standards, die gemeinsam ein solides Fundament für die E-Mail-Authentifizierung bilden.

Was SPF macht

SPF (Sender Policy Framework) beantwortet die Frage: Ist dieser Mailserver autorisiert, E-Mails für meine Domain zu versenden?

Dazu trägt der Domain-Inhaber in seinem DNS einen SPF-Record ein, der listet, welche Mailserver berechtigt sind, E-Mails von dieser Domain zu senden. Wenn ein Empfangsserver eine E-Mail von Ihrer Domain erhält, prüft er, ob der sendende Server in Ihrer SPF-Liste steht. Steht er dort nicht, ist das ein Hinweis auf Spoofing.

SPF schützt vor dem einfachsten Angriffsszenario, hat aber eine Schwäche: Es schützt die Envelope-Absenderadresse, nicht die sichtbare „From”-Adresse im E-Mail-Header.

Was DKIM macht

DKIM (DomainKeys Identified Mail) nutzt kryptografische Signaturen. Der sendende Mailserver fügt jeder ausgehenden E-Mail eine digitale Signatur hinzu. Der öffentliche Schlüssel dazu liegt im DNS der sendenden Domain.

Der Empfangsserver kann mit diesem öffentlichen Schlüssel prüfen: Wurde diese E-Mail tatsächlich von einer Stelle signiert, die den privaten Schlüssel besitzt – also vom autorisierten Mailserver der Domain? Außerdem erkennt DKIM, ob die E-Mail nach dem Versand verändert wurde.

DKIM schützt die Integrität und Herkunft der Nachricht, sagt aber noch nichts darüber aus, was bei einem Prüfungsfehler passieren soll.

Was DMARC macht

DMARC (Domain-based Message Authentication, Reporting and Conformance) verbindet SPF und DKIM und legt fest, was mit E-Mails passieren soll, die beide Prüfungen nicht bestehen:

• none: Nichts tun, aber berichten (Monitoring-Modus)
• quarantine: E-Mail in den Spam-Ordner verschieben
• reject: E-Mail vollständig ablehnen

DMARC ermöglicht außerdem Reporting: Sie erhalten regelmäßig Berichte, welche Server E-Mails in Ihrem Namen versenden – legitime und illegitime. Das ist eine wichtige Sichtbarkeit auf die tatsächliche E-Mail-Aktivität rund um Ihre Domain.

Wie Sie den Status Ihrer Domain prüfen

Mehrere kostenlose Online-Tools prüfen, ob SPF, DKIM und DMARC für Ihre Domain korrekt konfiguriert sind – beispielsweise MXToolbox oder dmarcian. Die Abfrage dauert wenige Sekunden.

Erfahrungsgemäß haben viele KMU zwar SPF eingerichtet, aber kein DMARC – oder DMARC steht noch im none-Modus und schützt damit effektiv nicht.

Schritt-für-Schritt zur sicheren E-Mail-Domain

1. SPF-Record prüfen und einrichten: Alle legitimen Mailserver (Microsoft 365, eigene Server, Newsletter-Tools) eintragen
2. DKIM aktivieren: In Microsoft 365 über das Admin-Center, bei anderen Providern ähnlich
3. DMARC im Monitoring-Modus starten: p=none mit Reporting-Adresse eintragen, Berichte analysieren
4. DMARC schrittweise verschärfen: Nach Analyse von p=none auf p=quarantine, dann auf p=reject wechseln

Die technische Einrichtung dauert wenige Stunden. Wichtig ist, keine legitimen Mailservices versehentlich auszusperren – deshalb der schrittweise Ansatz.

Ihre E-Mail-Domain noch ungeschützt? VIOCOM richtet SPF, DKIM und DMARC für Ihr Unternehmen ein und überwacht die Konfiguration dauerhaft.