E-Mail-Spoofing und Phishing-Angriffe mit DMARC stoppen

E-Mail ist eines der wichtigsten Werkzeuge für die Unternehmenskommunikation - und gleichzeitig eines der am leichtesten ausnutzbaren. Angreifer nutzen Spoofing und Phishing-Kampagnen, um vertrauenswürdige Absender zu imitieren, Anmeldedaten zu stehlen und Schadsoftware zu verbreiten.

Gefälschte E-Mails können von echten nicht zu unterscheiden sein und verursachen finanzielle Schäden sowie Reputationsverluste. Die gute Nachricht: Sie können diese Angriffe an der Quelle stoppen - mit DMARC.

Was ist E-Mail-Spoofing?

E-Mail-Spoofing bezeichnet das Fälschen der "Von"-Adresse einer E-Mail, damit sie so aussieht, als käme sie von jemand anderem - häufig einem seriösen Unternehmen oder einem Kollegen. Spoofing kann Unternehmen in jeder Branche treffen.

Angreifer tun dies, um:

• Nutzer zur Preisgabe sensibler Daten zu verleiten (Zugangsdaten, Zahlungsinformationen usw.)
• Schädliche Anhänge oder Links zuzustellen
• Business Email Compromise (BEC)-Betrug durchzuführen

Ohne ordnungsgemäße Authentifizierung haben Mailserver keine Möglichkeit zu erkennen, ob die "Von"-Adresse echt oder gefälscht ist.

Was ist DMARC?

DMARC (Domain-based Message Authentication, Reporting, and Conformance) ist ein offener Standard, der unautorisierte Absender daran hindert, Ihre Domain zu verwenden.

Er baut auf zwei bestehenden Authentifizierungsmethoden auf:

• SPF (Sender Policy Framework) - Prüft, ob die IP-Adresse des Absenders berechtigt ist, E-Mails im Namen Ihrer Domain zu versenden.
• DKIM (DomainKeys Identified Mail) - Nutzt kryptografische Signaturen, um die Integrität und Authentizität von Nachrichten zu bestätigen.

DMARC fungiert als Richtlinienebene über diesen Mechanismen. Der Standard legt fest, was empfangende Server tun sollen, wenn eine E-Mail die SPF- oder DKIM-Prüfung nicht besteht - und liefert Berichte, damit Sie sehen können, wer E-Mails unter Ihrer Domain versendet.

So funktioniert DMARC (Schritt für Schritt)

1. SPF- und DKIM-Validierung
   Wenn eine E-Mail eingeht, prüft der Mailserver des Empfängers, ob die IP-Adresse des Absenders im SPF-Eintrag der Domain aufgeführt ist und ob die DKIM-Signatur mit einem gültigen, in DNS veröffentlichten Schlüssel übereinstimmt.
   
   
2. Abgleich-Prüfung
   DMARC prüft die "Ausrichtung" (Alignment): Die Domain im "Von:"-Header der E-Mail muss mit der Domain übereinstimmen, die durch SPF oder DKIM authentifiziert wurde. Genau das verhindert, dass Angreifer SPF oder DKIM mit fremden Domains bestehen.
   
   
3. Richtlinienanwendung
   Basierend auf Ihrer DMARC-Richtlinie (p=none, p=quarantine oder p=reject) entscheidet der empfangende Server, ob die E-Mail zugestellt, in den Spam-Ordner verschoben oder abgelehnt wird.
   
   
4. Berichterstattung und Transparenz
   DMARC liefert zwei Arten von Berichten:

• 1. RUA (Aggregat-Berichte): Tägliche Zusammenfassungen, die zeigen, welche IPs E-Mails für Ihre Domain versenden.
  2. RUF (Forensik-Berichte): Detaillierte Kopien einzelner fehlgeschlagener Nachrichten für eine tiefergehende Untersuchung.

Diese Berichte werden an die von Ihnen angegebenen Adressen in Ihrem DMARC-Eintrag gesendet und können mit Visualisierungstools ausgewertet werden.

Warum SPF und DKIM allein nicht ausreichen

SPF und DKIM sind unverzichtbar, schützen aber allein nicht vor direktem Domain-Spoofing.

Ein Beispiel:

• SPF prüft nur den Umschlagabsender (Return-Path:), nicht den sichtbaren "Von:"-Header.
• DKIM kann den Nachrichteninhalt authentifizieren, aber Angreifer können im "Von"-Feld weiterhin eine andere Domain verwenden.

DMARC schließt diese Lücke, indem es Domain-Ausrichtung durchsetzt und so sicherstellt, dass die Domain, die Ihre Kunden sehen, dieselbe ist, die durch SPF oder DKIM authentifiziert wurde.

DMARC implementieren: Eine Schritt-für-Schritt-Anleitung

DMARC einzurichten erfordert weder neue Hardware noch neue Software - nur DNS-Zugang, Planung und einige Wochen Beobachtung. Im Folgenden finden Sie eine konkrete, zuverlässige Vorgehensweise.

Schritt 1: Alle legitimen E-Mail-Quellen erfassen

Erstellen Sie vor der Veröffentlichung eines DMARC-Eintrags eine vollständige Liste aller Dienste, die E-Mails unter Ihrer Domain versenden. Dazu gehören in der Regel:

• Ihr primärer Mailserver (z. B. Microsoft 365, Google Workspace)
• Transaktionale Versender (z. B. SendGrid, Amazon SES)
• Marketing-Plattformen (z. B. HubSpot, Mailchimp)
• Helpdesk- und Ticketing-Systeme (z. B. Zendesk)
• Abrechnungs- oder ERP-Tools, die Rechnungen versenden

Tipp: Durchsuchen Sie Ihre Protokolle oder DMARC-Berichte nach allen "Von"-Adressen unter Ihrer Domain, um versteckte oder vergessene Quellen aufzuspüren.

Schritt 2: SPF und DKIM für jeden Absender konfigurieren

DMARC setzt voraus, dass SPF und DKIM korrekt konfiguriert sind.

Für SPF:

• Google Workspace: include:_spf.google.com
  
• Microsoft 365: include:spf.protection.outlook.com
  
• Mailchimp: include:servers.mcsv.net

Fassen Sie alle Einträge (wenn möglich) in einem einzigen SPF-Eintrag zusammen:

v=spf1 include:_spf.google.com include:servers.mcsv.net -all

Für DKIM:

Veröffentlichen Sie den öffentlichen DKIM-Schlüssel in DNS - in der Regel an einer Subdomain wie:

google._domainkey.yourdomain.com

Schritt 3: Einen grundlegenden DMARC-Eintrag veröffentlichen

Sobald SPF und DKIM funktionieren, fügen Sie Ihren ersten DMARC-Eintrag hinzu:

v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com; ruf=mailto:dmarc-forensic@yourdomain.com; fo=1

Dieser Eintrag:

• Aktiviert DMARC im "Monitor"-Modus (noch keine Durchsetzung)
• Sendet Aggregat- (RUA) und Forensik-Berichte (RUF) an die angegebenen Adressen
• Nutzt fo=1, um Forensik-Berichte für jeden Fehler anzufordern

Veröffentlichen Sie diesen als TXT-Eintrag unter:
_dmarc.yourdomain.com

Schritt 4: Berichte überwachen und auswerten

In den nächsten Wochen werden Sie XML-basierte DMARC-Berichte von Mailservern aus aller Welt erhalten.

Diese enthalten:

• Quell-IP-Adressen
• Versendende Domains
• Bestanden/Nicht-bestanden-Ergebnisse für SPF und DKIM
• Nachrichtenanzahl pro Absender

Sie können diese Berichte manuell auswerten oder - realistischer betrachtet - über ein DMARC-Reporting-Tool, das Absender, Volumina und Authentifizierungsergebnisse visualisiert.

Ziel: Identifizieren Sie alle legitimen Quellen, korrigieren Sie Fehlkonfigurationen und markieren Sie unbekannte Absender (wahrscheinlich Spoofer oder falsch konfigurierte Anbieter).

Schritt 5: Richtlinie schrittweise verschärfen

Sobald Sie sicher sind, dass alle legitimen E-Mail-Flüsse authentifiziert und ausgerichtet sind, beginnen Sie mit der Durchsetzung Ihrer Richtlinie in Stufen:

Wechsel zu Quarantine

v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc-reports@yourdomain.com

• Verschiebt 25 % der fehlgeschlagenen Nachrichten in den Spam-Ordner
• Ermöglicht eine sichere Überwachung der Auswirkungen
• Erhöhen Sie pct schrittweise auf 100 %, sobald alles stabil läuft

Wechsel zu Reject

v=DMARC1; p=reject; rua=mailto:dmarc-reports@yourdomain.com

• Blockiert nicht authentifizierte E-Mails vollständig
• Bietet maximalen Schutz gegen Spoofing

Schritt 6: Pflegen und erweitern

DMARC ist keine "einmal einstellen und vergessen"-Lösung. Sie müssen:

• Berichte regelmäßig prüfen, um neue unautorisierte Quellen zu erkennen.
• Neue Anbieter zu SPF/DKIM hinzufügen, wenn sich Ihre Infrastruktur weiterentwickelt.
• DMARC auf Subdomains anwenden, wenn diese ebenfalls E-Mails versenden (admissions.yourdomain.com, news.yourdomain.com usw.).
• Einen BIMI-Eintrag in Betracht ziehen, um Ihr Markenlogo in Postfächern anzuzeigen - nur mit durchgesetztem DMARC verfügbar.

Beispielzeitplan für eine DMARC-Implementierung

Häufige Probleme und Lösungsansätze

• Problem: Legitime E-Mails landen nach der Durchsetzung im Spam-Ordner
  → Prüfen Sie DKIM-Ausrichtung und SPF-Includes für diesen Absender.
• Problem: SPF-Eintrag zu lang (>255 Zeichen)
  → Nutzen Sie Subdomains oder externe Flattening-Tools.
• Problem: Fehlende DMARC-Berichte
  → Stellen Sie sicher, dass Ihr rua-Postfach XML-Anhänge empfangen kann.

DMARC schützt vor Phishing

Phishing setzt auf Vertrauen. Angreifer geben sich als bekannte Marken oder Kollegen aus, um Opfer dazu zu bringen, auf schädliche Links zu klicken oder Informationen preiszugeben.

DMARC untergräbt diesen vertrauensbasierten Angriff, indem nicht authentifizierte E-Mails gar nicht erst den Posteingang erreichen. Wenn ein Angreifer versucht, eine E-Mail von "support@yourdomain.com" zu versenden, ohne dazu autorisiert zu sein, wird diese E-Mail abgelehnt, bevor sie jemand sieht.

Für Kunden, Partner und Mitarbeitende schafft das eine klare Trennlinie zwischen legitimer Kommunikation und Betrug.

Über DMARC hinaus: E-Mail-Sicherheit weiter stärken

DMARC ist ein wichtiger Schritt, aber keine vollständige Lösung. Für einen umfassenden Schutz empfiehlt sich:

• BIMI (Brand Indicators for Message Identification) einzusetzen, um verifizierte Markenlogos in Postfächern anzuzeigen.
• DMARC mit DNSSEC zu kombinieren, um eine manipulationssichere DNS-Authentifizierung zu gewährleisten.
• Mitarbeitende für Social Engineering und Phishing zu sensibilisieren.

Zusammen bilden diese Maßnahmen eine mehrschichtige Verteidigung, die technische und menschliche Sicherheitskontrollen verbindet.

Wie DMARCeye die DMARC-Implementierung und das Monitoring vereinfacht

DMARC manuell einzurichten ist möglich, aber die Daten zu interpretieren, Einträge über mehrere Dienste hinweg konsistent zu halten und die Durchsetzung bei einer wachsenden Infrastruktur aufrechtzuerhalten, kann schnell komplex werden.

DMARCeye ist eine Sichtbarkeits- und Reporting-Plattform, die DMARC-Management einfach, transparent und umsetzbar macht. Sie wandelt rohe XML-Berichte in klare, lesbare Dashboards um, damit Sie:

• Sofort sehen, welche Absender autorisiert sind und welche nicht
• Den SPF-, DKIM- und DMARC-Ausrichtungsstatus über alle Domains hinweg verfolgen
• Spoofing-Versuche in Echtzeit erkennen und blockieren
• Sicher vom Monitoring zur vollständigen Durchsetzung übergehen
• Die Zustellbarkeit sichern und gleichzeitig den Ruf Ihrer Marke schützen

Mit geführter Einrichtung, automatisierter Analyse und laufendem Monitoring gibt DMARCeye Unternehmen jeder Größe die Kontrolle und Klarheit, die sie brauchen, um ihre Domain vor E-Mail-Spoofing und Phishing zu schützen - ohne tiefes DNS-Fachwissen.

Testen Sie DMARCeye kostenlos und schützen Sie Ihre E-Mail-Domain noch heute.