Sicherheit⭐ Featuredguide

DMARC, DKIM und SPF einrichten – E-Mail-Sicherheit für Unternehmen

So schützen Sie Ihre Domain vor E-Mail-Spoofing und Phishing

S
SeeColors IT10. Juni 20265 Min. Lesezeit671 Aufrufe

Warum E-Mail-Authentifizierung unverzichtbar ist

Täglich werden Millionen gefälschter E-Mails versendet, die vorgeben, von bekannten Unternehmen oder Personen zu stammen. E-Mail-Spoofing ist eine der häufigsten Methoden bei Phishing-Angriffen, Business Email Compromise (BEC) und CEO-Fraud.

Drei DNS-Einträge können Ihre Domain wirksam davor schützen:

  • SPF – Wer darf E-Mails von Ihrer Domain senden?
  • DKIM – Sind die E-Mails tatsächlich von Ihnen signiert?
  • DMARC – Was soll mit E-Mails passieren, die SPF und DKIM nicht bestehen?

Für Unternehmen in Heidelberg, Mannheim und der Rhein-Neckar-Region ist die korrekte E-Mail-Authentifizierung auch aus DSGVO-Sicht relevant – sie verhindert, dass Ihre Domain für Spam missbraucht wird.

SPF – Sender Policy Framework

Was macht SPF?

Ein SPF-Eintrag ist ein TXT-Eintrag in Ihrem DNS, der festlegt, welche Mailserver berechtigt sind, E-Mails für Ihre Domain zu versenden. Empfangende Mailserver prüfen, ob die sendende IP-Adresse im SPF-Eintrag gelistet ist.

SPF-Eintrag erstellen

Melden Sie sich in der DNS-Verwaltung Ihrer Domain an und erstellen Sie einen neuen TXT-Eintrag:

Name/Host: @ (oder leer, steht für die Root-Domain)

Wert (Beispiel für Microsoft 365):
v=spf1 include:spf.protection.outlook.com -all

Wert (Beispiel für Google Workspace):
v=spf1 include:_spf.google.com -all

Wert (kombiniert, falls Sie mehrere Dienste nutzen):
v=spf1 include:spf.protection.outlook.com include:_spf.google.com ip4:203.0.113.5 -all

SPF-Mechanismen erklärt

  • include: Bezieht SPF-Eintrag eines anderen Anbieters ein
  • ip4: Einzelne IPv4-Adresse erlauben
  • ip6: Einzelne IPv6-Adresse erlauben
  • -all Alle anderen Absender ablehnen (empfohlen)
  • ~all Alle anderen als "SoftFail" markieren (für Tests)
  • ?all Neutral – nicht empfohlen für Produktion

Achtung: Ein SPF-Eintrag darf maximal 10 DNS-Lookups enthalten. Zu viele include: Einträge können zu SPF-Fehlern führen.

DKIM – DomainKeys Identified Mail

Was macht DKIM?

DKIM versieht jede ausgehende E-Mail mit einer kryptografischen Signatur. Der private Schlüssel liegt beim Mailserver, der öffentliche Schlüssel wird im DNS veröffentlicht. Empfangende Server können damit verifizieren, dass die E-Mail nicht manipuliert wurde.

DKIM für Microsoft 365 einrichten

  1. Öffnen Sie das Microsoft 365 Defender-Portal (security.microsoft.com)
  2. Navigieren Sie zu E-Mail & Zusammenarbeit → Richtlinien & Regeln → Bedrohungsrichtlinien → DKIM
  3. Wählen Sie Ihre Domain aus
  4. Klicken Sie auf DKIM-Schlüssel aktivieren
  5. Das Portal zeigt Ihnen zwei CNAME-Einträge, die Sie in Ihrem DNS anlegen müssen:

selector1._domainkey.ihredomain.de → selector1-ihredomain-de._domainkey.ihredomain.onmicrosoft.com
selector2._domainkey.ihredomain.de → selector2-ihredomain-de._domainkey.ihredomain.onmicrosoft.com

  1. Nachdem die DNS-Einträge aktiv sind, aktivieren Sie DKIM im Defender-Portal.

DKIM für Google Workspace einrichten

  1. Öffnen Sie die Google Admin-Konsole (admin.google.com)
  2. Apps → Google Workspace → Gmail → DKIM-Authentifizierung
  3. Klicken Sie auf Neuen Eintrag generieren
  4. Kopieren Sie den TXT-Eintrag und fügen Sie ihn in Ihrem DNS ein:

Name: google._domainkey.ihredomain.de
Wert: v=DKIM1; k=rsa; p=MIIBIjANBg... (langer Schlüssel)

  1. Klicken Sie auf DKIM aktivieren nachdem der DNS-Eintrag propagiert ist.

DMARC – Domain-based Message Authentication

Was macht DMARC?

DMARC baut auf SPF und DKIM auf und definiert eine Richtlinie: Was soll mit E-Mails passieren, die SPF und DKIM nicht bestehen? Zusätzlich können Sie Berichte empfangen, wer E-Mails in Ihrem Namen versendet.

DMARC-Eintrag erstellen

Name: _dmarc.ihredomain.de
Typ: TXT

Richtlinie Schritt 1 – Monitoring (empfohlen zum Start):
v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1

Richtlinie Schritt 2 – Quarantäne:
v=DMARC1; p=quarantine; pct=50; rua=mailto:[email protected]

Richtlinie Schritt 3 – Ablehnen (Ziel):
v=DMARC1; p=reject; rua=mailto:[email protected]

DMARC-Tags erklärt

  • p=none – Keine Aktion, nur Berichte (Monitoring)
  • p=quarantine – Verdächtige E-Mails in Spam
  • p=reject – Verdächtige E-Mails ablehnen
  • pct= – Prozentsatz der E-Mails, auf die die Richtlinie angewendet wird
  • rua= – E-Mail-Adresse für Aggregate-Berichte (täglich, XML)
  • ruf= – E-Mail-Adresse für Forensic-Berichte
  • adkim=s – Strenge DKIM-Ausrichtung
  • aspf=s – Strenge SPF-Ausrichtung

Empfohlene Implementierungsreihenfolge

Phase 1: Analyse (Woche 1–2)

Beginnen Sie mit p=none und einer rua E-Mail-Adresse. Analysieren Sie die eingehenden DMARC-Berichte. Tools wie Google Postmaster Tools, dmarcanalyzer.com oder mxtoolbox.com helfen bei der Auswertung.

Prüfen Sie: Welche Server senden E-Mails in Ihrem Namen? Sind alle legitimierten Server im SPF erfasst? Ist DKIM korrekt konfiguriert?

Phase 2: Quarantäne (Woche 3–4)

Wechseln Sie zu p=quarantine; pct=10 und erhöhen Sie den Prozentsatz schrittweise. Überwachen Sie ob legitime E-Mails im Spam landen.

Phase 3: Ablehnen (Ab Woche 5)

Wechseln Sie zu p=reject. Jetzt werden gefälschte E-Mails von Ihrer Domain vollständig abgelehnt.

Einstellungen überprüfen

Testen Sie Ihre Konfiguration mit:

  • MXToolbox: mxtoolbox.com/SuperTool.aspx
  • Mail Tester: mail-tester.com
  • DMARC Analyzer: dmarcanalyzer.com

Führen Sie auf einem Mailserver folgenden Befehl aus (ersetzen Sie die Domain):
nslookup -type=TXT ihredomain.de

FAQ

Müssen SPF, DKIM und DMARC alle eingerichtet sein?
Ja, für maximale Schutzwirkung sollten alle drei konfiguriert sein. DMARC allein ohne SPF und DKIM hat keine Schutzwirkung.

Was ist, wenn ich mehrere E-Mail-Anbieter nutze (z. B. M365 + Mailchimp)?
Alle legitimen Versender müssen im SPF-Eintrag erfasst und DKIM-Signaturen für alle konfiguriert sein. DMARC-Berichte zeigen Ihnen schnell, wenn Sie einen Anbieter vergessen haben.

Kann DMARC legitime E-Mails blockieren?
Ja, wenn die Konfiguration unvollständig ist. Deshalb immer mit p=none starten und schrittweise verschärfen.

Fazit

SPF, DKIM und DMARC sind grundlegende Sicherheitsmaßnahmen, die jedes Unternehmen implementieren sollte. Sie schützen Ihre Reputation, Ihre Kunden und verhindern, dass Ihre Domain für Phishing missbraucht wird.

Als IT-Sicherheitsdienstleister in Heidelberg konfigurieren wir DMARC, DKIM und SPF für Unternehmen in Mannheim, Ludwigshafen und der gesamten Rhein-Neckar-Region. Jetzt Kontakt aufnehmen – wir analysieren Ihre aktuelle E-Mail-Sicherheitslage kostenlos.

Artikel teilen

LinkedIn X / Twitter Facebook WhatsApp

War dieser Artikel hilfreich?

Dein Feedback hilft uns, bessere Inhalte zu erstellen.

Kommentar hinterlassen

#E-Mail-Sicherheit#DMARC#SPF#DKIM#Anti-Phishing

Verwandte Artikel

Authentik – Self-hosted SSO und Identity Provider 2025

4 Min.

WireGuard VPN Server – moderne VPN-Lösung 2025

4 Min.

Let's Encrypt Wildcard-Zertifikat mit DNS-Challenge 2025

4 Min.