E-Mail ist nach wie vor der meistgenutzte Angriffsvektor für Phishing, Spoofing und Business-E-Mail-Compromise (BEC). Cyberkriminelle fälschen täglich Absenderadressen bekannter Unternehmen, um Kunden, Partner und Mitarbeitende zu täuschen. Die gute Nachricht: Mit fünf konkreten Maßnahmen können Organisationen jeder Größe ihre E-Mail-Domain wirksam absichern. Dieser Leitfaden zeigt, was hinter jedem Schritt steckt und wie Sie die Umsetzung systematisch angehen.

Tipp 1: SPF-Record veröffentlichen und pflegen

Sender Policy Framework (SPF) ist der erste Schutzwall gegen E-Mail-Spoofing. Ein SPF-Record ist ein DNS-TXT-Eintrag, in dem Sie festlegen, welche Mailserver berechtigt sind, E-Mails im Namen Ihrer Domain zu versenden. Empfangende Mailserver prüfen diesen Eintrag und können unautorisierte Nachrichten ablehnen oder markieren.

Ein typischer SPF-Record sieht so aus:

v=spf1 include:_spf.google.com include:mailgun.org ip4:203.0.113.10 ~all

Wichtig ist nicht nur das einmalige Veröffentlichen des Records, sondern auch die laufende Pflege. Wenn Sie einen neuen E-Mail-Dienstleister hinzufügen – etwa für Transaktions-E-Mails, Newsletter oder CRM-Benachrichtigungen – muss dieser sofort in Ihren SPF-Record aufgenommen werden. Veraltete oder unvollständige SPF-Records sind eine der häufigsten Ursachen für fehlerhafte DMARC-Auswertungen.

  • Behalten Sie die 10-DNS-Lookup-Grenze im Blick: Zu viele include-Direktiven können dazu führen, dass der SPF-Record ungültig wird (permerror).
  • Verwenden Sie am Ende des Records -all statt ~all, sobald Sie sicher sind, alle legitimen Absender erfasst zu haben. -all weist empfangende Server an, unautorisierte E-Mails abzulehnen, während ~all nur eine weiche Warnung darstellt.
  • Entfernen Sie nicht mehr verwendete Dienste aus dem Record – jeder überflüssige Eintrag erhöht die Angriffsfläche und die Anzahl der DNS-Lookups.

Prüfen Sie Ihren aktuellen SPF-Record mit dem SPF Prüfer von DMARCFlow und sehen Sie sofort, ob alle autorisierten Absender korrekt erfasst sind.

Tipp 2: DKIM-Signierung implementieren

DomainKeys Identified Mail (DKIM) ergänzt SPF durch eine kryptografische Signatur, die an jede ausgehende E-Mail angehängt wird. Der empfangende Mailserver kann diese Signatur anhand des öffentlichen Schlüssels in Ihrem DNS-Record verifizieren. Das beweist zweierlei: Die E-Mail stammt tatsächlich von Ihrer Domain, und der Inhalt wurde während der Übertragung nicht manipuliert.

DKIM ist besonders wichtig, weil SPF bei E-Mail-Weiterleitungen versagt. Wenn eine Nachricht weitergeleitet wird, ändert sich der Envelope-Sender, und SPF schlägt fehl. DKIM hingegen bleibt erhalten, da die Signatur an den Nachrichtenheadern und dem Body hängt. Für eine funktionierende DMARC-Richtlinie sollten beide Mechanismen aktiviert sein.

Bewährte Praxis bei der DKIM-Implementierung:

  • Key-Rotation: Wechseln Sie Ihre DKIM-Schlüssel regelmäßig, mindestens einmal pro Jahr. Verwenden Sie dabei zwei Selektoren parallel – den neuen Schlüssel aktivieren, bevor der alte deaktiviert wird – um einen nahtlosen Übergang zu gewährleisten.
  • Schlüssellänge: Setzen Sie auf RSA mit mindestens 2048 Bit oder Ed25519. 1024-Bit-Schlüssel gelten als unsicher und werden von einigen Empfängerservern bereits abgelehnt.
  • Alle sendenden Systeme abdecken: Stellen Sie sicher, dass nicht nur Ihr primärer Mailserver, sondern auch alle ESP-Dienste (E-Mail-Service-Provider), CRM-Systeme und automatisierten Versandlösungen DKIM-signierte Nachrichten senden.

Überprüfen Sie, ob Ihre DKIM-Konfiguration korrekt ist, mit dem DKIM Prüfer von DMARCFlow.

Tipp 3: DMARC-Richtlinie einrichten

DMARC (Domain-based Message Authentication, Reporting and Conformance) ist die übergeordnete Steuerungsebene für SPF und DKIM. Ein DMARC-Record legt fest, was mit E-Mails passieren soll, die weder SPF noch DKIM bestehen, und veranlasst empfangende Server, Berichte über alle Authentifizierungsergebnisse an Sie zurückzusenden.

Der empfohlene Weg zur Einführung von DMARC folgt einem schrittweisen Ansatz:

  1. none – Beobachtungsphase: Beginnen Sie mit p=none, um zunächst nur Reports zu sammeln, ohne E-Mails zu beeinflussen. Diese Phase gibt Ihnen Einblick in alle sendenden Systeme und zeigt, welche E-Mails SPF oder DKIM bestehen. 
    v=DMARC1; p=none; rua=mailto:dmarc@ihredomain.de; ruf=mailto:dmarc@ihredomain.de
  2. quarantine – Übergangsphase: Sobald Sie alle legitimen E-Mail-Ströme identifiziert und korrekt konfiguriert haben, wechseln Sie zu p=quarantine. E-Mails, die DMARC nicht bestehen, landen im Spam-Ordner statt im Posteingang.
  3. reject – Vollständiger Schutz: Mit p=reject weisen empfangende Mailserver unautorisierte E-Mails vollständig ab. Dies ist der höchste Schutzgrad und das Ziel jeder ausgereiften E-Mail-Sicherheitsstrategie.

Überprüfen Sie Ihren bestehenden DMARC-Record und dessen Konfiguration mit dem DMARC Prüfer von DMARCFlow.

Tipp 4: DMARC-Reports überwachen

Ein DMARC-Record ohne Monitoring ist wie ein Alarmsystem ohne Benachrichtigung. DMARC-Reports werden täglich von empfangenden Mailservern an die in Ihrem Record angegebenen E-Mail-Adressen gesendet – im XML-Format, das für Menschen kaum lesbar ist. Ein einziger größerer E-Mail-Anbieter kann Hunderte solcher Reports pro Tag erzeugen.

Rohe DMARC-XML-Berichte enthalten Informationen über:

  • Alle sendenden IP-Adressen, die im Namen Ihrer Domain E-Mails verschickt haben
  • SPF- und DKIM-Auswertungsergebnisse je IP-Adresse
  • DMARC-Alignment-Status (aligned pass / aligned fail)
  • Die angewendete DMARC-Policy und die tatsächlich durchgeführte Aktion

Ohne geeignetes Werkzeug ist es praktisch unmöglich, aus dieser Datenmenge handlungsrelevante Erkenntnisse zu gewinnen. DMARCFlow verarbeitet Ihre DMARC-Reports automatisch und stellt die Ergebnisse in einem übersichtlichen Dashboard dar. Sie sehen auf einen Blick:

  • Welche IP-Adressen legitime E-Mails versenden und welche verdächtig sind
  • Wo SPF- oder DKIM-Fehler auftreten und bei welchen Providern
  • Wie sich Ihr DMARC-Reifegrad und Security Score im Zeitverlauf entwickeln
  • Welche konkreten Schritte als nächstes erforderlich sind, um zu reject zu gelangen

Regelmäßiges Monitoring ist keine einmalige Aufgabe, sondern ein laufender Prozess. Neue Dienste, Infrastrukturänderungen oder Angriffswellen spiegeln sich sofort in den Reports wider – und nur wer sie liest, kann rechtzeitig reagieren.

Tipp 5: BIMI hinzufügen für Markenvertrauen

Brand Indicators for Message Identification (BIMI) ist der nächste Schritt nach einem vollständig eingerichteten DMARC-Setup mit p=quarantine oder p=reject. BIMI ermöglicht es, Ihr Markenlogo direkt im Posteingang Ihrer Empfängerinnen und Empfänger anzuzeigen – in unterstützten E-Mail-Clients wie Gmail, Apple Mail und Yahoo Mail.

Das erreicht BIMI durch einen weiteren DNS-TXT-Eintrag, der auf eine SVG-Datei Ihres Logos verweist:

v=BIMI1; l=https://ihredomain.de/logo.svg; a=https://ihredomain.de/vmc.pem

Der optionale a-Parameter verweist auf ein Verified Mark Certificate (VMC) – ein von einer Zertifizierungsstelle ausgestelltes Zertifikat, das Ihre Marke authentifiziert. VMCs werden von Google und Yahoo für die Anzeige des blauen Häkchens und des Logos in Gmail vorausgesetzt.

Die Vorteile von BIMI sind nicht nur visueller Natur:

  • Höhere Öffnungsraten: E-Mails mit bekanntem Markenlogo werden häufiger geöffnet, weil Empfangende sie sofort als vertrauenswürdig erkennen.
  • Schutz vor Markenmissbrauch: Weil BIMI eine starke DMARC-Richtlinie voraussetzt, ist die Einführung von BIMI automatisch mit einer Härtung Ihrer E-Mail-Authentifizierung verbunden.
  • Wettbewerbsvorteil: Viele Unternehmen haben BIMI noch nicht implementiert. Wer es frühzeitig umsetzt, hebt sich im Posteingang sichtbar ab.

Prüfen Sie, ob Ihre Domain für BIMI bereit ist und ob Ihr BIMI-Record korrekt konfiguriert ist, mit dem BIMI Prüfer von DMARCFlow.

DMARC-Setup kostenlos prüfen
Analysieren Sie in Sekunden den Status Ihrer DMARC-, SPF- und DKIM-Konfiguration und sehen Sie, welche Schritte als nächstes erforderlich sind.
DMARC prüfen