SPF, DKIM und DMARC einfach erklärt — So schützen Sie Ihre E-Mail-Domain

SPF, DKIM und DMARC sind die drei Säulen der E-Mail-Sicherheit. Dieser Leitfaden erklärt sie in einfacher Sprache und zeigt, wie Sie E-Mail-Spoofing in 30 Minuten verhindern.

E-Mail-Spoofing ist die am weitesten verbreitete Cybercrime-Methode gegen kleine Unternehmen. Das Problem: SMTP, das Protokoll hinter E-Mail, wurde in einer Zeit ohne Sicherheitsbedenken entwickelt. Jeder Server kann E-Mails mit jeder beliebigen Absenderadresse verschicken. Die Lösung: SPF, DKIM und DMARC.

SPF: Wer darf E-Mails für meine Domain senden?

SPF (Sender Policy Framework) ist ein DNS-TXT-Eintrag, der festlegt, welche Mailserver E-Mails im Namen Ihrer Domain versenden dürfen.

Beispiel: `ihredomain.de. IN TXT "v=spf1 mx a include:spf.protection.outlook.com ~all"`

- mx: Ihr eigener Mailserver darf senden - a: Ihr Webserver darf senden - include:: Schließt weitere autorisierte Server ein - ~all (SoftFail): Alle anderen sind verdächtig, werden aber nicht blockiert - -all (HardFail): Alle nicht gelisteten Server werden abgelehnt

DKIM: Ist die E-Mail wirklich von mir und unverändert?

DKIM (DomainKeys Identified Mail) signiert jede ausgehende E-Mail kryptografisch. Der empfangende Server prüft die Signatur gegen einen öffentlichen Schlüssel in Ihrem DNS. Eine gültige Signatur beweist: Die E-Mail kommt wirklich von Ihrer Domain und wurde unterwegs nicht verändert.

Die Einrichtung erfolgt über Ihren E-Mail-Provider (Google Workspace, Microsoft 365, IONOS, STRATO etc.). Sie erhalten einen DKIM-Schlüssel, den Sie als DNS-Eintrag hinterlegen.

DMARC: Was passiert mit nicht authentifizierten E-Mails?

DMARC (Domain-based Message Authentication, Reporting and Conformance) verknüpft SPF und DKIM mit einer Richtlinie:

- p=none: Nur überwachen, keine Maßnahmen (Einstieg) - p=quarantine: Nicht authentifizierte E-Mails landen im Spam - p=reject: Nicht authentifizierte E-Mails werden blockiert (maximaler Schutz)

Beispiel: `_dmarc.ihredomain.de. IN TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc@ihredomain.de; pct=100"`

In 30 Minuten zum Schutz

1. SPF prüfen und ggf. einrichten (10 Minuten) 2. DKIM bei Ihrem E-Mail-Provider aktivieren (10 Minuten) 3. DMARC mit p=none starten und Berichte beobachten (10 Minuten) 4. Nach 2-4 Wochen auf p=quarantine erhöhen 5. Langfristig auf p=reject umstellen

Eine korrekte SPF/DKIM/DMARC-Konfiguration kostet nichts und schützt Ihre Kunden, Partner und Mitarbeiter vor gefälschten E-Mails mit Ihrer Absenderadresse.

SPF: Wer darf E-Mails für meine Domain senden?

SPF (Sender Policy Framework) ist ein DNS-TXT-Eintrag, der festlegt, welche Mailserver E-Mails im Namen Ihrer Domain versenden dürfen.

Beispiel: `ihredomain.de. IN TXT "v=spf1 mx a include:spf.protection.outlook.com ~all"`

DKIM: Ist die E-Mail wirklich von mir und unverändert?

Die Einrichtung erfolgt über Ihren E-Mail-Provider (Google Workspace, Microsoft 365, IONOS, STRATO etc.). Sie erhalten einen DKIM-Schlüssel, den Sie als DNS-Eintrag hinterlegen.

DMARC: Was passiert mit nicht authentifizierten E-Mails?

DMARC (Domain-based Message Authentication, Reporting and Conformance) verknüpft SPF und DKIM mit einer Richtlinie:

- p=none: Nur überwachen, keine Maßnahmen (Einstieg) - p=quarantine: Nicht authentifizierte E-Mails landen im Spam - p=reject: Nicht authentifizierte E-Mails werden blockiert (maximaler Schutz)

Beispiel: `_dmarc.ihredomain.de. IN TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc@ihredomain.de; pct=100"`

In 30 Minuten zum Schutz

Eine korrekte SPF/DKIM/DMARC-Konfiguration kostet nichts und schützt Ihre Kunden, Partner und Mitarbeiter vor gefälschten E-Mails mit Ihrer Absenderadresse.

SPF, DKIM und DMARC einfach erklärt — So schützen Sie Ihre E-Mail-Domain

SPF: Wer darf E-Mails für meine Domain senden?

DKIM: Ist die E-Mail wirklich von mir und unverändert?

DMARC: Was passiert mit nicht authentifizierten E-Mails?

In 30 Minuten zum Schutz

Website jetzt prüfen

SPF, DKIM und DMARC einfach erklärt — So schützen Sie Ihre E-Mail-Domain

SPF: Wer darf E-Mails für meine Domain senden?

DKIM: Ist die E-Mail wirklich von mir und unverändert?

DMARC: Was passiert mit nicht authentifizierten E-Mails?

In 30 Minuten zum Schutz

Website jetzt prüfen