Stellen Sie sich vor: Ein Mitarbeiter Ihrer Buchhaltung erhält eine E-Mail vom Geschäftsführer mit der dringenden Bitte, eine Überweisung auszulösen. Absenderadresse, Signatur, Tonfall – alles sieht authentisch aus. Doch die E-Mail stammt nicht vom Chef, sondern von Kriminellen, die seine Identität gefälscht haben. Solche CEO-Fraud-Angriffe verursachen allein in Deutschland jährlich Schäden in dreistelliger Millionenhöhe. Die gute Nachricht: Mit den richtigen E-Mail-Authentifizierungsprotokollen lässt sich das zuverlässig verhindern.
Warum E-Mail das Einfallstor Nr. 1 für Cyberangriffe ist
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigt es Jahr für Jahr: E-Mail ist und bleibt der häufigste Angriffsvektor für Cyberattacken auf Unternehmen. Der Grund liegt im Protokoll selbst: SMTP, das Simple Mail Transfer Protocol aus den 1980er-Jahren, wurde ohne jegliche Authentifizierung entworfen. Im Klartext bedeutet das: Jeder kann eine E-Mail versenden und dabei eine beliebige Absenderadresse angeben – genauso einfach, wie Sie einen falschen Absender auf einen Briefumschlag schreiben könnten.
- Phishing-Mails mit gefälschter Absenderadresse Ihrer Geschäftspartner
- CEO-Fraud: Betrüger geben sich als Geschäftsführung aus und fordern Überweisungen
- Domain-Spoofing: Ihre Firmendomain wird für Spam-Versand missbraucht
- Business Email Compromise (BEC): Übernahme oder Fälschung von Geschäfts-E-Mails
- Reputationsverlust: Ihre Domain landet auf Blacklists, weil Dritte sie missbrauchen
⚠️ Wichtig: Besonders betroffen sind kleine und mittlere Unternehmen: Laut einer Studie der Allianz haben nur 38 % der KMU in Deutschland SPF, DKIM und DMARC korrekt implementiert. Angreifer wissen das und nehmen gezielt den Mittelstand ins Visier.
Um diese Schwachstellen zu schließen, wurden drei Sicherheitsprotokolle entwickelt, die sich gegenseitig ergänzen: SPF, DKIM und DMARC. Gemeinsam bilden sie das Fundament moderner E-Mail-Sicherheit. Wir erklären alle drei Protokolle verständlich und zeigen, wie Sie sie für Ihr Unternehmen einrichten.
SPF – Sender Policy Framework: Wer darf in Ihrem Namen senden?
Das Sender Policy Framework (SPF) ist die erste Verteidigungslinie. Es funktioniert wie eine Gästeliste für Ihren E-Mail-Versand: Sie legen in einem DNS-Eintrag fest, welche Server berechtigt sind, E-Mails mit Ihrer Domain als Absender zu verschicken. Empfänger-Server prüfen beim Eingang einer E-Mail, ob der sendende Server auf dieser Liste steht.
So funktioniert SPF in der Praxis
Absender verschickt E-Mail
Ihr Mailserver (z. B. Microsoft 365) sendet eine E-Mail an einen Empfänger.
Empfänger-Server prüft DNS
Der empfangende Server schaut im DNS Ihrer Domain nach einem SPF-Record.
Abgleich der IP-Adresse
Die IP-Adresse des sendenden Servers wird mit den im SPF-Record erlaubten IPs verglichen.
Entscheidung: Pass oder Fail
Steht die IP auf der Liste, besteht die E-Mail die SPF-Prüfung. Andernfalls schlägt sie fehl.
v=spf1 include:spf.protection.outlook.com include:_spf.google.com ip4:203.0.113.50 -all
Dieser Eintrag erlaubt den E-Mail-Versand über Microsoft 365, Google Workspace und den Server mit der IP 203.0.113.50. Das '-all' am Ende bedeutet: Alle anderen Server werden abgelehnt (Hard Fail).
DKIM – DomainKeys Identified Mail: Die digitale Unterschrift
DKIM (DomainKeys Identified Mail) geht einen Schritt weiter als SPF. Während SPF nur prüft, ob ein Server senden darf, stellt DKIM sicher, dass die E-Mail auf dem Weg zum Empfänger nicht verändert wurde. Dafür wird jede ausgehende E-Mail mit einer kryptografischen Signatur versehen – vergleichbar mit einem Wachssiegel auf einem Brief.
Wie DKIM technisch funktioniert
- Beim Versand erzeugt Ihr Mailserver einen Hash-Wert über den E-Mail-Inhalt (Header und Body)
- Dieser Hash wird mit einem privaten Schlüssel verschlüsselt und als DKIM-Signatur in den E-Mail-Header eingefügt
- Der zugehörige öffentliche Schlüssel wird als DNS-Eintrag (TXT-Record) in Ihrer Domain veröffentlicht
- Der Empfänger-Server liest den öffentlichen Schlüssel aus dem DNS, entschlüsselt die Signatur und vergleicht den Hash
- Stimmen die Werte überein, ist nachgewiesen, dass die E-Mail authentisch und unverändert ist
DKIM schützt nicht nur vor Fälschung, sondern verhindert auch, dass E-Mails auf dem Transportweg manipuliert werden. Das ist besonders relevant, wenn Sie vertrauliche Angebote, Verträge oder Rechnungen per E-Mail versenden.
DMARC – Domain-based Message Authentication: Das Regelwerk
DMARC (Domain-based Message Authentication, Reporting and Conformance) baut auf SPF und DKIM auf und liefert das fehlende Puzzlestück: Es definiert, was passieren soll, wenn eine E-Mail die SPF- oder DKIM-Prüfung nicht besteht. Ohne DMARC entscheidet jeder Empfänger-Server selbst, wie er mit fehlgeschlagenen Prüfungen umgeht – mit DMARC geben Sie als Domaininhaber die Regeln vor.
Die drei DMARC-Policies
| Policy | DNS-Wert | Verhalten | Empfehlung |
|---|---|---|---|
| None (Monitoring) | p=none | E-Mails werden zugestellt, Berichte werden gesendet | Einstieg: Erst beobachten, welche Server senden |
| Quarantine | p=quarantine | Verdächtige E-Mails landen im Spam-Ordner | Übergangsphase: Schrittweise verschärfen |
| Reject | p=reject | Unautorisierte E-Mails werden komplett abgelehnt | Ziel: Maximaler Schutz nach sauberer Konfiguration |
v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@ihrefirma.de; ruf=mailto:dmarc-forensic@ihrefirma.de; pct=100
Dieser Eintrag setzt die Policy auf Quarantine (Spam-Ordner) für 100 % der fehlschlagenden E-Mails und sendet aggregierte Berichte sowie forensische Reports an die angegebenen Adressen.
Das Zusammenspiel: Wie SPF, DKIM und DMARC zusammenwirken
Die drei Protokolle bilden zusammen ein mehrstufiges Sicherheitssystem. Jedes übernimmt eine spezifische Aufgabe, und erst im Zusammenspiel entsteht ein lückenloser Schutz gegen E-Mail-basierte Angriffe.
SPF – Der Türsteher
Prüft, ob der sendende Server berechtigt ist, E-Mails für Ihre Domain zu versenden. Schützt gegen Spoofing des Absender-Servers.
DKIM – Der Notar
Garantiert durch kryptografische Signatur, dass der E-Mail-Inhalt authentisch und unverändert ist. Schützt gegen Manipulation.
DMARC – Der Richter
Legt fest, was mit E-Mails passiert, die SPF oder DKIM nicht bestehen. Liefert Berichte über Missbrauchsversuche.
| Prüfung | SPF-Ergebnis | DKIM-Ergebnis | DMARC-Entscheidung |
|---|---|---|---|
| Legitime E-Mail | Pass | Pass | Zustellung |
| Server nicht in SPF, aber DKIM gültig | Fail | Pass | Zustellung (DKIM reicht) |
| Gefälschte E-Mail ohne Signatur | Fail | Fail | Reject oder Quarantine |
| E-Mail über Weiterleitung | Fail (IP ändert sich) | Pass (Signatur bleibt) | Zustellung dank DKIM |
E-Mail-Weiterleitungen (z. B. info@ihrefirma.de weiterleiten an privat@gmail.com) brechen häufig die SPF-Prüfung, weil sich die sendende IP ändert. Genau deshalb ist DKIM so wichtig: Die Signatur bleibt auch bei Weiterleitungen erhalten.
Einrichtung Schritt für Schritt
Die Einrichtung von SPF, DKIM und DMARC erfolgt über DNS-Einträge bei Ihrem Domain-Registrar oder Hosting-Provider. Hier ist der empfohlene Ablauf für eine saubere Implementierung:
Bestandsaufnahme machen
Listen Sie alle Dienste auf, die E-Mails über Ihre Domain versenden: Mailserver, Newsletter-Tools, CRM-System, Ticketsystem, Webformulare, Drucker mit Scan-to-Mail usw.
SPF-Record erstellen
Tragen Sie alle ermittelten Versandserver in einen SPF-Record ein. Beginnen Sie mit '~all' (Soft Fail), um nichts zu blockieren, und wechseln Sie später auf '-all' (Hard Fail).
DKIM aktivieren
Aktivieren Sie DKIM in Ihrem E-Mail-System (z. B. Microsoft 365 Admin Center oder Google Admin Console) und veröffentlichen Sie den generierten öffentlichen Schlüssel als DNS-Eintrag.
DMARC mit p=none starten
Setzen Sie zunächst eine DMARC-Policy auf 'none' und konfigurieren Sie die Berichts-Adresse (rua). So erhalten Sie Einblick, ohne E-Mails zu blockieren.
DMARC-Berichte auswerten
Analysieren Sie die eingehenden DMARC-Reports über 2–4 Wochen. Identifizieren Sie legitime Versandquellen, die noch nicht in SPF/DKIM erfasst sind.
Policy schrittweise verschärfen
Erhöhen Sie die DMARC-Policy stufenweise: erst 'quarantine' mit pct=25, dann pct=50, pct=100, und schließlich 'reject'.
Regelmäßig überprüfen
Neue Dienste (Newsletter-Anbieter, Cloud-Apps) müssen in SPF und DKIM aufgenommen werden. Prüfen Sie die Konfiguration bei jeder Änderung.
Microsoft 365 und Exchange Online konfigurieren
Die meisten Unternehmen im Mittelstand setzen auf Microsoft 365 für ihre E-Mail-Kommunikation. Hier die spezifischen Schritte für die Konfiguration der drei Protokolle in Microsoft 365 und Exchange Online:
SPF für Microsoft 365
Erstellen Sie folgenden TXT-Record in Ihrem DNS:
v=spf1 include:spf.protection.outlook.com -all
Falls Sie weitere Dienste nutzen (z. B. einen Newsletter-Anbieter), ergänzen Sie entsprechende include-Einträge vor dem '-all'.
DKIM für Microsoft 365
- Öffnen Sie das Microsoft 365 Defender Portal (security.microsoft.com)
- Navigieren Sie zu E-Mail und Zusammenarbeit > Richtlinien > DKIM
- Wählen Sie Ihre Domain aus und aktivieren Sie die DKIM-Signierung
- Microsoft generiert automatisch zwei CNAME-Einträge (selector1 und selector2)
- Tragen Sie diese CNAME-Einträge bei Ihrem DNS-Provider ein
- Nach DNS-Propagation (bis zu 48 Stunden) aktivieren Sie DKIM im Portal
DMARC für Microsoft 365
DMARC wird ausschließlich über DNS konfiguriert und ist unabhängig von Ihrem E-Mail-Provider. Erstellen Sie einen TXT-Record für _dmarc.ihredomain.de mit der gewünschten Policy. Microsoft 365 wertet eingehende DMARC-Policies automatisch aus.
Spam-Filter und E-Mail-Gateway-Lösungen
SPF, DKIM und DMARC sind die Grundlage – aber nicht der einzige Baustein für E-Mail-Sicherheit. Moderne E-Mail-Security-Gateways ergänzen die Authentifizierung um weitere Schutzschichten:
Spam- und Phishing-Filter
KI-basierte Erkennung verdächtiger E-Mails anhand von Inhaltsanalyse, URL-Prüfung und Absender-Reputation.
Sandbox-Analyse
Verdächtige Anhänge werden in einer isolierten Umgebung geöffnet und auf Schadsoftware geprüft, bevor sie den Empfänger erreichen.
URL-Rewriting
Links in E-Mails werden umgeschrieben und beim Klick in Echtzeit auf Bedrohungen geprüft – auch Stunden nach Zustellung.
Data Loss Prevention (DLP)
Verhindert, dass sensible Daten wie Kundenlisten, Kreditkartennummern oder Verträge versehentlich per E-Mail das Unternehmen verlassen.
Für Unternehmen mit Microsoft 365 bietet Microsoft Defender for Office 365 (Plan 1 oder Plan 2) einen soliden Basisschutz. Für höhere Anforderungen lohnt sich der Blick auf dedizierte Gateway-Lösungen wie Hornetsecurity, NoSpamProxy oder Barracuda – Anbieter, die auch mit Rechenzentren in Deutschland punkten.
Häufige Fehler bei der Einrichtung
In unserer Beratungspraxis sehen wir regelmäßig die gleichen Konfigurationsfehler. Vermeiden Sie diese typischen Stolperfallen:
- Mehr als 10 DNS-Lookups im SPF-Record (führt zu einem PermError und SPF-Fail)
- Fehlende include-Einträge für Drittanbieter wie Newsletter-Tools oder CRM-Systeme
- DKIM-Schlüssel nie rotiert – empfohlen ist eine Rotation alle 6–12 Monate
- DMARC-Berichte eingerichtet, aber nie ausgewertet – wertvolle Daten bleiben ungenutzt
- Kein DMARC-Record für Subdomains (z. B. mail.ihrefirma.de, marketing.ihrefirma.de)
- SPF-Record mit '+all' statt '-all' – erlaubt faktisch jedem Server den Versand
Checkliste: E-Mail-Sicherheit für Ihr Unternehmen
Nutzen Sie die folgende Checkliste, um den aktuellen Stand Ihrer E-Mail-Sicherheit zu prüfen und systematisch zu verbessern:
E-Mail-Sicherheit: Ihre Checkliste
- SPF-Record ist veröffentlicht und enthält alle autorisierten Versandserver
- SPF-Record hat maximal 10 DNS-Lookups (prüfen mit Online-SPF-Checker)
- DKIM ist für alle Domains und Subdomains aktiviert
- DKIM-Schlüssel verwenden mindestens 2048 Bit
- DMARC-Record ist veröffentlicht (mindestens p=none zum Start)
- DMARC-Reporting-Adresse (rua) ist konfiguriert und Berichte werden ausgewertet
- DMARC-Policy ist schrittweise auf quarantine oder reject verschärft
- Alle Drittanbieter-Dienste (Newsletter, CRM, Ticketsystem) sind in SPF und DKIM erfasst
- E-Mail-Security-Gateway oder Microsoft Defender ist aktiv
- Mitarbeiter sind für Phishing-Erkennung geschult
- Regelmäßige Überprüfung der DNS-Einträge bei Infrastruktur-Änderungen
- TLS-Verschlüsselung (STARTTLS) ist für den E-Mail-Transport aktiviert
- Notfallplan für den Fall eines erfolgreichen Phishing-Angriffs liegt vor
Kostenlose Tools zur Überprüfung Ihrer Konfiguration
Sie möchten wissen, wie es aktuell um die E-Mail-Sicherheit Ihrer Domain steht? Diese kostenlosen Online-Tools helfen bei der Analyse:
- MXToolbox (mxtoolbox.com) – Umfassende Prüfung von SPF, DKIM, DMARC und allgemeinem DNS-Setup
- DMARC Analyzer (dmarcanalyzer.com) – Auswertung und Visualisierung von DMARC-Berichten
- Mail-Tester (mail-tester.com) – Senden Sie eine Test-E-Mail und erhalten Sie eine detaillierte Bewertung Ihrer Konfiguration
- Google Admin Toolbox (toolbox.googleapps.com) – Check MX, SPF und weitere DNS-Records
- Hardenize (hardenize.com) – Prüft neben E-Mail-Sicherheit auch die gesamte Domain-Konfiguration
Fazit: E-Mail-Sicherheit ist kein Luxus, sondern Pflicht
E-Mail bleibt das wichtigste Kommunikationsmittel im Geschäftsalltag – und damit auch das attraktivste Ziel für Angreifer. Die Einrichtung von SPF, DKIM und DMARC ist keine optionale Kür, sondern gehört zum Pflichtprogramm jeder IT-Sicherheitsstrategie. Die drei Protokolle sind kostenlos, standardisiert und von allen großen E-Mail-Providern unterstützt.
Besonders für Unternehmen im Mittelstand – ob Maschinenbauer in Freiburg, Weingut am Kaiserstuhl oder Steuerkanzlei in Lörrach – ist der Schutz der eigenen E-Mail-Domain essenziell. Denn ein erfolgreicher Phishing-Angriff gefährdet nicht nur Ihre IT, sondern auch das Vertrauen Ihrer Kunden und Geschäftspartner.
Wer heute keine E-Mail-Authentifizierung einsetzt, lässt im übertragenen Sinne die Haustür offen und wundert sich, wenn jemand im Namen der Firma Briefe verschickt.
Die Einrichtung ist mit dem richtigen Fahrplan in wenigen Stunden erledigt – die Wirkung schützt Ihr Unternehmen dauerhaft. Wenn Sie Unterstützung bei der Konfiguration benötigen oder eine Analyse Ihrer bestehenden E-Mail-Sicherheit wünschen, sind wir als IT-Dienstleister in Südbaden gerne für Sie da.