Wer sich mit dem Schutz seiner Domain vor Spoofing oder Phishing befasst hat, ist wahrscheinlich auf drei Abkürzungen gestoßen, die überall auftauchen: SPF, DKIM und DMARC.
Auf den ersten Blick klingen sie ähnlich - alle drei sind DNS-basierte E-Mail-Authentifizierungsstandards -, doch jeder löst ein anderes Problem. Zu verstehen, wie sie sich unterscheiden und wie sie zusammenwirken, ist grundlegend für den Schutz der eigenen Domain und eine zuverlässige E-Mail-Zustellung.
Im Folgenden werden die drei Standards einzeln erklärt und anschließend gezeigt, wie sie gemeinsam eine vollständige Schutzschicht gegen betrügerische E-Mails bilden.
E-Mail wurde vor Jahrzehnten entwickelt, lange bevor Cyberkriminalität oder Phishing alltägliche Bedrohungen waren. Standardmäßig gibt es nichts, das jemanden daran hindert, eine E-Mail zu versenden, die scheinbar von Ihrer Domain stammt.
Authentifizierungsstandards wurden eingeführt, um Mailservern eine Möglichkeit zu geben, die Legitimität des Absenders zu überprüfen. SPF, DKIM und DMARC sind die wichtigsten davon.
Man kann sie sich wie Ausweiskontrollen an verschiedenen Stellen vorstellen:
SPF (Sender Policy Framework) ermöglicht es Ihnen, eine Liste von Servern zu veröffentlichen, die berechtigt sind, E-Mails für Ihre Domain zu versenden. Wenn jemand eine Nachricht unter Verwendung Ihrer Domain versendet, vergleicht der Mailserver des Empfängers die sendende IP-Adresse mit dieser Liste.
Steht die IP auf der Liste, besteht die Nachricht den SPF-Check. Steht sie nicht darauf, schlägt er fehl.
Ein typischer SPF-Eintrag sieht so aus:
v=spf1 include:_spf.google.com include:servers.mcsv.net -all-all am Ende weist Mailserver an, jede andere Quelle abzulehnen.SPF ist einfach einzurichten und bietet eine solide erste Verteidigungsschicht. Es gibt jedoch zwei wesentliche Schwachstellen:
Mit anderen Worten: SPF bestätigt woher eine E-Mail stammt - aber nicht unbedingt von wem.
DKIM (DomainKeys Identified Mail) verwendet kryptografische Signaturen, um zu bestätigen, dass eine E-Mail auf dem Übertragungsweg nicht verändert wurde und tatsächlich von Ihrer Domain stammt.
So funktioniert das Verfahren:
Stimmt die Signatur überein, gilt die E-Mail als authentisch.
Ein typischer DKIM-Eintrag sieht so aus:
v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFA...DKIM stellt sicher, dass eine Nachricht nicht manipuliert wurde - ein entscheidender Vorteil für die Integrität. Allerdings legt DKIM allein nicht fest, was mit E-Mails geschehen soll, die die Überprüfung nicht bestehen. Es verhindert auch nicht, dass Angreifer Nachrichten von Ihrer Domain ohne gültige Signatur versenden.
Genau diese fehlende Richtlinienebene liefert DMARC.
DMARC baut auf SPF und DKIM auf und gibt Domain-Inhabern echte Kontrolle. Es erfüllt drei Aufgaben:
Abgleich - Es prüft, ob die Domain im sichtbaren "From"-Header mit der durch SPF oder DKIM authentifizierten Domain übereinstimmt.
Richtlinie - Es teilt Mailservern mit, was mit nicht authentifizierten Nachrichten zu tun ist (nichts unternehmen, in den Spam verschieben oder ablehnen).
Reporting - Es liefert über XML-Berichte (RUA und RUF) Rückmeldungen darüber, wie Ihre Domain genutzt wird.
Ein Beispiel für einen DMARC-Eintrag:
v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@yourdomain.com; pct=100Dieser Eintrag weist Empfänger an, E-Mails, die den DMARC-Check nicht bestehen, in Quarantäne zu verschieben, aggregierte Berichte an die angegebene Adresse zu senden und die Regel auf 100 % der Nachrichten anzuwenden.
SPF und DKIM bieten Verifizierung, aber keine Durchsetzung. DMARC ergänzt die fehlende Verantwortlichkeitsebene, indem es Authentifizierungsergebnisse mit der sichtbaren Identität Ihrer Domain verknüpft - und festlegt, welche Maßnahme zu ergreifen ist, wenn etwas nicht übereinstimmt.
In der Praxis ist DMARC das, was Angreifer daran hindert, Ihre Domain zu missbrauchen und überzeugende Phishing-Nachrichten scheinbar "von Ihnen" zu versenden. Außerdem zeigt es Ihnen genau, wer E-Mails in Ihrem Namen versendet.
SPF, DKIM und DMARC lassen sich als dreiteiliges Sicherheitssystem verstehen, bei dem jeder Teil abdeckt, was die anderen nicht können.
Schlägt eine Nachricht den SPF-Check fehl, besteht aber den DKIM-Check, kann sie dennoch zugestellt werden - sofern DMARC bestätigt, dass die DKIM-Signatur mit der Domain in der "From"-Adresse übereinstimmt.
Schlagen beide fehl, wendet DMARC die gewählte Richtlinie an: überwachen, in Quarantäne verschieben oder ablehnen.
Dieser Abgleichmechanismus macht DMARC so wirkungsvoll. Er verbindet die technische Absenderidentität mit der Markenidentität, die Empfänger sehen.
Selbst bei erfahrenen Administratoren werden diese Protokolle manchmal verwechselt. Hier werden einige hartnäckige Irrtümer ausgeräumt:
SPF allein verhindert Spoofing.
Falsch. SPF überprüft nicht die sichtbare Absenderdomain, sondern nur den Server, der die Nachricht versendet hat. Angreifer können das From-Feld weiterhin fälschen.
DKIM ist optional, wenn SPF funktioniert.
Stimmt nicht. DKIM ist für die Sicherstellung der Integrität unverzichtbar und hilft Nachrichten, das Forwarding zu überstehen - bei dem SPF häufig versagt.
DMARC ist nur für große Organisationen.
Ebenfalls falsch. DMARC ist ein kostenloser, offener Standard. Jeder Domain-Inhaber, vom kleinen Unternehmen bis zur globalen Marke, kann einen Eintrag veröffentlichen und sofort Transparenz gewinnen.
Die Einrichtung aller drei ist kompliziert.
Es mag einschüchternd wirken, aber sobald SPF und DKIM konfiguriert sind, ist DMARC nur ein weiterer TXT-Eintrag. Die eigentliche Herausforderung ist die Überwachung der Berichte und die langfristige Aufrechterhaltung des Abgleichs - etwas, das Automatisierungstools heute erheblich erleichtern.
Falls Sie diese Standards noch nicht eingerichtet haben, folgen die meisten Organisationen diesem praktischen Weg:
SPF-Eintrag veröffentlichen. Identifizieren Sie jeden Dienst, der E-Mails für Ihre Domain versendet, und tragen Sie ihn in Ihren SPF-Eintrag ein. Beispiel:
v=spf1 include:_spf.google.com include:sendgrid.net -all
DKIM-Signierung aktivieren.
Die meisten E-Mail-Dienste (wie Google Workspace, Microsoft 365 oder SendGrid) bieten Einrichtungsassistenten für DKIM an, die den öffentlichen Schlüssel für Ihr DNS generieren.
DMARC-Eintrag hinzufügen.
Starten Sie im Überwachungsmodus, um Daten sicher zu sammeln:
v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com
Überwachen und anpassen.
Überprüfen Sie die Berichte einige Wochen lang, stellen Sie sicher, dass alle legitimen Quellen authentifiziert sind, und verschärfen Sie dann die Richtlinie auf quarantine und schließlich auf reject.
Der Prozess muss nicht über Nacht abgeschlossen werden. Eine schrittweise Einführung minimiert das Risiko und verbessert den Schutz kontinuierlich.
Anfang 2024 kündigten Google und Yahoo neue Absenderanforderungen an, um Spam und Phishing auf ihren Plattformen einzudämmen. Diese Regeln betreffen jede Domain, die große Mengen an E-Mails versendet, insbesondere Marketing-, Transaktions- oder Newsletter-Nachrichten.
Im Kern machen diese neuen Richtlinien die DMARC-Durchsetzung für Massenversender verpflichtend.
Eine Zusammenfassung von den Anforderungen der beiden Anbieter:
Gültigen SPF- und DKIM-Eintrag veröffentlichen. Jede Domain, die für den E-Mail-Versand verwendet wird, muss beide Authentifizierungsmechanismen eingerichtet haben - nicht nur einen.
DMARC mit mindestens einer "none"-Richtlinie einrichten. Google und Yahoo verlangen von allen Massenversendern (in der Regel definiert als 5.000+ Nachrichten pro Tag), einen DMARC-Eintrag auf Domain-Ebene zu veröffentlichen. Beispiel:
v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com
Auch eine reine Überwachungsrichtlinie (p=none) erfüllt die Mindestanforderung - beide Anbieter empfehlen jedoch, zu quarantine oder reject überzugehen, um vollständigen Schutz zu erreichen.
"From"-Domain und authentifizierte Domain abgleichen. Nachrichten müssen eine Domain im "From"-Header verwenden, die mit der durch SPF oder DKIM authentifizierten Domain übereinstimmt (oder ihr entspricht). Nicht übereinstimmende Domains werden mit höherer Wahrscheinlichkeit abgelehnt.
Einfache Abmeldemöglichkeit anbieten. Google und Yahoo schreiben außerdem einen Ein-Klick-Abmeldelink in kommerziellen Nachrichten vor und verlangen, dass Abmeldeanfragen innerhalb von zwei Tagen bearbeitet werden.
Niedrige Spam-Rate einhalten. Absender müssen die Spam-Beschwerderate laut Google Postmaster Tools unter 0,3 % halten.
Auch wenn Sie kein "Massenversender" sind: Wenn Ihre Nachrichten an Gmail oder Yahoo Mail gehen, sind diese Standards keine Option mehr, sondern Voraussetzung.
Wer die Anforderungen erfüllt, hat deutlich bessere Chancen, Posteingänge zuverlässig zu erreichen.
SPF, DKIM und DMARC sind keine konkurrierenden Technologien - sie sind sich ergänzende Teile eines Systems.
Gemeinsam verwandeln sie E-Mail von einem anfälligen, leicht zu fälschenden Kanal in eine der vertrauenswürdigsten Formen digitaler Kommunikation.
Und obwohl jeder Eintrag einfach zu veröffentlichen ist, kann die Pflege der Transparenz und das Auswerten der resultierenden Daten schnell komplex werden - besonders wenn mehrere Anbieter, Subdomains und externe Dienste im Spiel sind.
Genau hier machen Automatisierung und Analysen den Unterschied.
SPF, DKIM und DMARC korrekt einzurichten ist erst der Anfang. Die eigentliche Herausforderung kommt danach - DMARC-Berichte interpretieren, nicht autorisierte Quellen erkennen und den Abgleich aufrechterhalten, während sich die E-Mail-Infrastruktur weiterentwickelt.
DMARCeye ist darauf ausgelegt, diesen Prozess unkompliziert zu machen. Es übersetzt rohe XML-Berichte in übersichtliche Dashboards, die auf einen Blick zeigen, wer E-Mails in Ihrem Auftrag versendet und ob die Authentifizierung bestanden wird.
Mit DMARCeye können Sie:
Ob Sie eine einzelne Domain oder Hunderte verwalten - DMARCeye bietet Ihnen die Transparenz und Kontrolle, die Sie benötigen, um die E-Mail-Sicherheit Ihrer Organisation zu gewährleisten, ohne sich durch komplexe Rohdaten arbeiten zu müssen.
Testen Sie DMARCeye kostenlos und schützen Sie Ihre E-Mail-Domain noch heute.