DMARC, DKIM und SPF bilden zusammen die Grundpfeiler moderner E-Mail-Sicherheit. Mit diesen Standards lassen sich nicht nur die eigenen E-Mails vor Missbrauch schützen – Unternehmen können ihre digitale Identität stärken und das Vertrauen der Empfänger gewinnen. Im Folgenden werden die drei Verfahren detailliert erklärt und mit praktischen Beispielen aus dem Alltag ergänzt.

Einführung: Die Bedrohung durch gefälschte E-Mails

E-Mail ist nach wie vor eines der wichtigsten Kommunikationsmittel. Gerade deshalb werden Angriffe auf E-Mail-Systeme immer raffinierter. Sogenanntes „Spoofing“ – also das Vortäuschen eines Absenders – und „Phishing“ bereiten weltweit Probleme. 2023 wurden laut Statista rund 70% aller Cyberangriffe mithilfe von E-Mails gestartet. Daher sollten auch kleine Unternehmen und Privatpersonen aktiv Maßnahmen ergreifen, um ihre Domain zu schützen.

SPF – Welche Server dürfen E-Mails versenden?

Das Sender Policy Framework ist oft der erste Schritt zur Absicherung:

• Der Administrator trägt im DNS einen SPF-Eintrag ein, z.B. v=spf1 include:example.com -all.

• Kommt eine E-Mail von einem nicht gelisteten Server, wird sie vom empfangenden Server markiert oder abgelehnt.

• Unternehmen mit mehreren Abteilungen und externen Tools (z.B. Newsletter-Dienstleister) müssen besonders darauf achten, alle legitimen Server einzutragen.

• Beispiel: Wer für sein Geschäft auch Mails über einen Webshop-Dienstleister verschickt, sollte dessen Serveradresse eintragen, damit die E-Mails zugestellt werden.

DKIM – E-Mails mit einer digitalen Signatur absichern

DKIM bringt eine weitere Sicherheitsebene:

• Jede ausgehende Nachricht erhält von einem privaten Schlüssel der Domain eine Signatur, die im DNS veröffentlicht wird.

• Der Empfänger kann im DNS der Domain den öffentlichen Schlüssel abfragen und die Signatur validieren.

• Die Integrität der Nachricht bleibt dabei garantiert – Manipulationen nach dem Versand werden erkannt.

• Tipp: Viele E-Mail-Plattformen, wie Google Workspace oder Microsoft 365, bieten einfache Assistenten für DKIM.

DMARC – Kontrolle und Transparenz für Domain-Eigentümer

DMARC ist das Regelwerk, das definiert, wie mit fehlgeschlagenen Prüfungen umgegangen wird:

• Im DNS wird der DMARC-Eintrag hinterlegt, beispielsweise: v=DMARC1; p=reject; rua=mailto:.

• Die Option p=quarantine sorgt dafür, dass fehlerhafte E-Mails im Spam-Ordner landen. Mit p=reject werden sie ganz abgelehnt.

• Domain-Inhaber erhalten Berichte über alle fehlgeschlagenen E-Mail-Versuche und können so Missbrauch frühzeitig erkennen.

• Tipp: Wer DMARC nutzt, sollte regelmäßig die Berichte auswerten und die Einstellungen anpassen.

Umsetzung und Monitoring im Unternehmen

Die Konfiguration sollte sorgfältig und regelmäßig überprüft werden:

• Nach jeder Änderung an DNS-Einträgen empfiehlt sich ein Test über kostenlose Online-Tools.

• Viele Hoster setzen SPF, DKIM und DMARC nicht automatisch korrekt – eine manuelle Kontrolle ist ratsam.

• Berichte und Logs helfen, Fehler im Versand schnell zu identifizieren.

Häufige Fehler und typische Stolperfallen

• Zu strenge oder fehlerhafte SPF- und DMARC-Regeln können legitime E-Mails blockieren.

• DKIM-Schlüssel müssen sicher verwahrt, aber regelmäßig erneuert werden.

• Externe Dienstleister (z.B. Google Forms, Newsletter-Tools) brauchen oft eigene Einträge, damit deren E-Mails zugestellt werden.

Fazit und Ausblick

Wer DMARC, DKIM und SPF für eigene Domains nutzt, senkt das Risiko von Betrug und Identitätsdiebstahl drastisch. Unternehmen sparen IT-Kosten, vermeiden Imageschäden und sorgen dafür, dass Kunden und Partner ihren E-Mails vertrauen können. Die Einrichtung ist auch für Laien möglich – viele Provider und öffentliche Leitfäden führen Schritt für Schritt durch die Einstellungen. Wer weiß, wie die Systeme funktionieren, kann nicht nur Schutz bieten, sondern bei Problemen viel schneller reagieren.