E-Mails sind nach wie vor eines der wichtigsten Kommunikationsmittel und gleichzeitig eines der größten Einfallstore für Cyberangriffe. Phishing, Spoofing und Spam verursachen jährlich immense Schäden. Genau hier kommen SPF, DKIM und DMARC ins Spiel: drei zentrale Standards, die E-Mail-Kommunikation sicherer und vertrauenswürdiger machen.
Da uns in letzter Zeit häufiger Meldungen von Kunden über abgelehnte E-Mails erreicht haben, wollen wir in diesem Beitrag erklären, was hinter diesen Technologien steckt und wie sie zusammenarbeiten. Denn die meisten E-Maildienste, besonders große wie Gmail oder GMX, nutzen diese Mittel, um ihre Nutzer zu schützen.
Das Problem: Gefälschte Absender und manipulierte E-Mails
Angreifer können relativ einfach E-Mails mit gefälschter Absenderadresse versenden – sogenannte Spoofing-Mails. Für den Empfänger sieht es dann so aus, als käme die Nachricht von einem bekannten oder vertrauten Absender.
Die Folgen:
- Phishing-Angriffe und Datenverlust
- Malware-Infektionen
- Imageschäden für Unternehmen
- Schlechte Zustellraten legitimer E-Mails
SPF, DKIM und DMARC setzen genau hier an.
SPF – Sender Policy Framework
SPF legt fest, welche Mailserver berechtigt sind, E-Mails im Namen einer Domain zu versenden.
Wie funktioniert SPF?
- Der Domaininhaber hinterlegt einen SPF-Eintrag im DNS.
- Dieser Eintrag enthält eine Liste erlaubter Mailserver.
- Der empfangende Mailserver prüft, ob die Absender-IP in dieser Liste steht.
Vorteile von SPF
- Verhindert Spoofing auf Server-Ebene
- Einfach zu implementieren
- Reduziert Spam deutlich
Einschränkung
SPF prüft nur den Mailserver, nicht den Inhalt der E-Mail, und kann bei Weiterleitungen problematisch sein.
DKIM – DomainKeys Identified Mail
DKIM stellt sicher, dass der Inhalt einer E-Mail nicht verändert wurde und tatsächlich von der angegebenen Domain stammt.
Wie funktioniert DKIM?
- Der sendende Server signiert die E-Mail kryptografisch.
- Der öffentliche Schlüssel liegt im DNS der Domain.
- Der empfangende Server prüft die Signatur.
Vorteile von DKIM
- Schutz vor Manipulation
- Stärkt die Authentizität von E-Mails
- Unabhängig vom Versandweg (funktioniert auch bei Weiterleitungen)
DMARC – Domain-based Message Authentication, Reporting & Conformance
DMARC verbindet SPF und DKIM zu einer klaren Sicherheitsrichtlinie und gibt dem Domaininhaber Kontrolle darüber, was mit nicht authentifizierten E-Mails passiert.
Was macht DMARC?
- Legt fest, ob SPF oder DKIM (oder beide) bestehen müssen
- Definiert Maßnahmen bei Fehlern:
- none – nur überwachen
- quarantine – in Spam verschieben
- reject – ablehnen
- Liefert detaillierte Berichte über E-Mail-Missbrauch
Vorteile von DMARC
- Maximale Kontrolle über die eigene Domain
- Schutz der Markenidentität
- Transparenz durch Reporting
Warum SPF, DKIM und DMARC nur gemeinsam richtig wirken
Man kann sich die drei Standards wie ein Sicherheitssystem vorstellen:
- SPF prüft: Darf dieser Server senden?
- DKIM prüft: Ist die Nachricht unverändert?
- DMARC entscheidet: Was tun, wenn etwas nicht stimmt?
Erst DMARC sorgt dafür, dass SPF und DKIM konsequent durchgesetzt werden. Ohne DMARC bleiben viele Sicherheitslücken offen.
Best Practices
- SPF-Einträge regelmäßig prüfen und aktuell halten
- DKIM für alle ausgehenden Mailstreams aktivieren
- DMARC zunächst mit p=none starten und Reports auswerten
- Schrittweise auf quarantine oder reject umstellen
- Auch Drittanbieter (Newsletter, CRM, Ticketsysteme) korrekt einbinden
Fazit: Mehr Sicherheit, bessere Zustellbarkeit, mehr Vertrauen
SPF, DKIM und DMARC sind keine optionalen Extras, sondern grundlegende Bausteine moderner E-Mail-Sicherheit. Sie schützen nicht nur Empfänger vor Betrug, sondern auch Unternehmen vor Reputationsverlust und technischen Problemen bei der Zustellung.
Wer heute noch ohne diese Standards E-Mails versendet, geht ein unnötiges Risiko ein.