E-MailSPFDKIMDMARCIT-Sicherheit

E-Mail-Server absichern: SPF, DKIM und DMARC richtig konfigurieren

So schützen KMU ihre Domain vor E-Mail-Spoofing: SPF, DKIM und DMARC verständlich erklärt, praktisch umgesetzt und sinnvoll getestet.

E-Mail ist noch immer einer der wichtigsten Kommunikationskanäle im Unternehmen – und gleichzeitig einer der am häufigsten missbrauchten. Besonders problematisch ist das sogenannte Spoofing: Angreifer verschicken Nachrichten mit Ihrer Domain im Absender, obwohl sie gar nicht von Ihren Systemen stammen. Für Empfänger sieht das oft täuschend echt aus. Das öffnet Tür und Tor für Rechnungsbetrug, CEO-Fraud und Phishing.

Die Ursache ist oft banal: SPF, DKIM und DMARC fehlen oder sind unvollständig konfiguriert. Genau diese drei Bausteine bilden heute das Grundgerüst einer sauberen E-Mail-Domain-Sicherheit.

SPF: Wer darf überhaupt senden?

SPF steht für Sender Policy Framework. Technisch ist das ein TXT-Eintrag im DNS. Darin legen Sie fest, welche Server berechtigt sind, E-Mails im Namen Ihrer Domain zu versenden.

Ein einfaches Prinzip: Der empfangende Mailserver prüft, ob die sendende Quelle in Ihrer SPF-Regel erlaubt ist. Ist sie es nicht, fällt die Prüfung negativ aus. SPF schützt damit vor einem Teil klassischer Fälschungen. Die Grenze: SPF allein reicht nicht, vor allem bei Weiterleitungen und komplexeren Versandwegen.

Wichtig ist deshalb eine vollständige Bestandsaufnahme. Viele KMU vergessen Newsletter-Dienste, Ticketsysteme, Scanner oder Cloud-Anwendungen, die ebenfalls E-Mails verschicken. Dann wirkt SPF „falsch“, obwohl nur ein Sender übersehen wurde.

DKIM: Die Nachricht bekommt eine Signatur

DKIM steht für DomainKeys Identified Mail. Hier signiert der sendende Server ausgehende Nachrichten kryptografisch. Der öffentliche Schlüssel liegt im DNS, der empfangende Server kann damit prüfen, ob die E-Mail unterwegs verändert wurde und ob sie tatsächlich von einem autorisierten System stammt.

Für Unternehmen ist DKIM deshalb so wertvoll, weil nicht nur der Absendername, sondern die Integrität der Nachricht eine Rolle spielt. Eine korrekt gesetzte DKIM-Signatur erhöht die Vertrauenswürdigkeit legitimer E-Mails deutlich – vorausgesetzt, der private Schlüssel wird sauber verwaltet.

DMARC: Die Richtlinie für den Ernstfall

DMARC verknüpft SPF und DKIM mit einer klaren Anweisung an empfangende Systeme. Sie definieren damit, was passieren soll, wenn eine Nachricht die Prüfungen nicht besteht: nur beobachten, in Quarantäne verschieben oder vollständig ablehnen.

Zusätzlich erlaubt DMARC Berichte. So sehen Sie, welche Systeme im Namen Ihrer Domain E-Mails verschicken und wo Prüfungen fehlschlagen. Gerade diese Transparenz ist in der Praxis enorm wertvoll, weil sie oft bisher unbekannte Versandquellen sichtbar macht.

E-Mail-Sicherheit und Domain-Schutz für Unternehmen

Die richtige Reihenfolge bei der Einführung

Viele Administratoren machen den Fehler, DMARC direkt auf „reject“ zu setzen. Das klingt entschlossen, kann aber legitimen Versand blockieren. Sinnvoller ist ein gestufter Ablauf:

  1. alle E-Mail-Quellen dokumentieren
  2. SPF vollständig aufbauen
  3. DKIM für alle relevanten Sender aktivieren
  4. DMARC zunächst auf Monitoring stellen
  5. Berichte auswerten und Lücken schließen
  6. erst dann schrittweise auf Quarantäne oder Ablehnung erhöhen

Dieses kontrollierte Vorgehen reduziert Betriebsrisiken. Gleichzeitig verbessert es Schutz vor Identitätsmissbrauch deutlich. Das BSI weist in mehreren Veröffentlichungen darauf hin, dass E-Mail weiterhin ein zentraler Angriffsvektor bleibt und technische Basisschutzmaßnahmen sauber umgesetzt werden müssen.

Typische DNS-Einträge in der Praxis

Die praktische Umsetzung läuft fast immer über DNS:

  • SPF als TXT-Eintrag der Domain
  • DKIM als TXT-Eintrag unter einem Selector
  • DMARC als TXT-Eintrag unter _dmarc.IhreDomain

Genau deshalb ist das Thema eng mit grundlegender DNS-Kompetenz verbunden. Wenn Ihnen Begriffe wie TTL, TXT-Record oder Resolver noch unklar sind, lohnt sich der ergänzende Artikel DNS verständlich erklärt: Wie das Telefonbuch des Internets funktioniert.

Wie Sie die Konfiguration testen

Nach dem Setzen der Einträge sollten Sie nicht raten, sondern prüfen. Sinnvoll sind drei Ebenen:

  • DNS-Einträge technisch auf korrekte Syntax prüfen
  • ausgehende Testmails mit Header-Analyse kontrollieren
  • DMARC-Berichte regelmäßig auswerten

Außerdem sollten Sie interne Awareness nicht vergessen. Selbst die beste Mail-Authentifizierung ersetzt keine Wachsamkeit im Team. Wer das Thema organisatorisch vertiefen möchte, findet in Phishing erkennen den passenden Anschluss.

Warum sich der Aufwand lohnt

SPF, DKIM und DMARC verhindern nicht jede bösartige E-Mail im Internet. Aber sie erschweren massiv, dass jemand glaubwürdig in Ihrem Namen auftritt. Genau das ist für Kunden, Partner und Mitarbeitende entscheidend. Eine korrekt abgesicherte Domain signalisiert: Diese Organisation betreibt ihre Kommunikationskanäle professionell.

Für KMU ist das keine Luxusmaßnahme, sondern digitale Hygiene. Wer heute E-Mail produktiv nutzt, sollte diese drei Protokolle nicht als optional betrachten. Sie sind der Unterschied zwischen „unsere Domain kann jeder nachbauen“ und „Missbrauch fällt auf und wird aktiv begrenzt“.

Ein zusätzlicher Vorteil wird oft unterschätzt: Sauber konfigurierte Mail-Domains verbessern nicht nur Schutz, sondern häufig auch Zustellbarkeit. Wenn legitime Nachrichten konsistent authentifiziert sind, sinkt das Risiko, dass wichtige Angebote, Rechnungen oder Antworten wegen Misstrauen im Spam landen. Sicherheit und Erreichbarkeit arbeiten hier also nicht gegeneinander, sondern miteinander.

Mehr to SERVICE