DMARC, DKIM, SPF: E-Mail-Authentifizierung einfach erklärt
Phishing-Angriffe, CEO-Fraud und gefälschte Rechnungen per E-Mail gehören heute zum Alltag vieler Unternehmen. Die gute Nachricht: Mit den drei E-Mail-Sicherheitsprotokollen DMARC, DKIM und SPF existieren bewährte technische Standards, die Ihre Domain vor Missbrauch schützen und die E-Mail-Sicherheit Ihres Unternehmens erheblich verbessern. Dieser Artikel erklärt verständlich, wie DMARC DKIM SPF E-Mail-Sicherheit erklärt werden kann – ohne tiefes IT-Fachwissen vorauszusetzen – und zeigt, welche konkreten Schritte Sie als Entscheidungsträger einleiten sollten.
Warum E-Mail-Authentifizierung heute unverzichtbar ist
E-Mail ist nach wie vor der meistgenutzte Kommunikationskanal im Geschäftsumfeld – und gleichzeitig der häufigste Angriffsvektor. Angreifer können E-Mails so gestalten, dass sie scheinbar von Ihrer eigenen Domain stammen. Empfänger sehen in ihrem Posteingang eine Nachricht von buchhaltung@ihr-unternehmen.de – obwohl der Absender in Wirklichkeit ein Krimineller ist.
Dieses Verfahren nennt sich E-Mail-Spoofing. Es wird unter anderem für Rechnungsbetrug eingesetzt, bei dem Mitarbeitende gefälschte Zahlungsaufforderungen erhalten. Unternehmen, die keine Authentifizierungsprotokolle einsetzen, bieten Angreifern eine breite Angriffsfläche – und gefährden gleichzeitig die Reputation ihrer eigenen Domain.
SPF: Der erste Schutzwall für Ihre Domain
SPF (Sender Policy Framework) ist das grundlegendste der drei Protokolle. Es legt fest, welche Mail-Server berechtigt sind, E-Mails im Namen Ihrer Domain zu versenden. Der Mechanismus funktioniert über einen DNS-Eintrag (TXT-Record), den Sie in den DNS-Einstellungen Ihrer Domain hinterlegen.
Ein einfaches Beispiel: Wenn Ihr Unternehmen E-Mails ausschließlich über Microsoft 365 verschickt, autorisiert Ihr SPF-Eintrag genau diesen Dienst. Empfängt ein fremder Mailserver eine Nachricht von Ihrer Domain, die jedoch über einen anderen Server verschickt wurde, schlägt die SPF-Prüfung fehl – ein klares Warnsignal.
Praktischer Tipp: Inventarisieren Sie zunächst alle legitimen E-Mail-Sendequellen Ihres Unternehmens (eigene Mailserver, CRM-Systeme, Newsletter-Dienste, ERP-Systeme). Nur wer alle Quellen kennt, kann einen vollständigen und korrekten SPF-Eintrag erstellen.
DKIM: Digitale Signatur für nachweisbare Echtheit
DKIM (DomainKeys Identified Mail) ergänzt SPF um eine kryptografische Komponente. Jede ausgehende E-Mail wird mit einer digitalen Signatur versehen, die auf einem privaten Schlüssel basiert, der nur Ihrem Mailserver bekannt ist. Der dazugehörige öffentliche Schlüssel liegt als DNS-Eintrag öffentlich bereit.
Empfängende Mailserver können anhand dieser Signatur prüfen, ob:
- Die E-Mail tatsächlich von Ihrem autorisierten Server stammt
- Der Inhalt der Nachricht auf dem Transportweg nicht verändert wurde
- Absender und Signatur zur selben Domain gehören
Das ist besonders relevant bei Rechnungen und Verträgen, die per E-Mail übermittelt werden. Eine DKIM-Signatur liefert einen zusätzlichen Nachweis für die Unversehrtheit des Dokuments. Ähnlich wie bei der Prüfung von Unternehmensidentitäten – etwa durch Dienste wie VAT Verifizierung im Bereich der Umsatzsteuer-ID-Prüfung – geht es letztlich darum, Echtheit und Herkunft zuverlässig zu verifizieren.
Praktischer Tipp: DKIM-Schlüssel sollten regelmäßig rotiert werden – empfohlen wird ein Turnus von 6 bis 12 Monaten. Beauftragen Sie Ihre IT-Abteilung oder Ihren Managed-Service-Provider mit der regelmäßigen Schlüsselerneuerung.
DMARC: Die übergeordnete Richtlinie und Berichtsfunktion
DMARC (Domain-based Message Authentication, Reporting and Conformance) baut auf SPF und DKIM auf und fügt eine entscheidende Komponente hinzu: eine Richtlinie, die vorschreibt, wie Empfänger mit E-Mails umgehen sollen, die SPF oder DKIM nicht bestehen.
DMARC kennt drei Richtlinienebenen:
- none: Keine Aktion, nur Berichterstattung – ideal zum Einstieg und zur Analyse
- quarantine: Verdächtige E-Mails werden in den Spam-Ordner verschoben
- reject: Gefälschte E-Mails werden vollständig abgewiesen – der stärkste Schutz
Ein weiterer zentraler Vorteil von DMARC ist die Reporting-Funktion: Sie erhalten automatisch aggregierte Berichte, die zeigen, wer im Namen Ihrer Domain E-Mails verschickt. Diese Transparenz ist für Compliance-Verantwortliche und CISOs äußerst wertvoll, da sie unautorisierte Versandquellen frühzeitig sichtbar macht.
Praktischer Tipp: Beginnen Sie immer mit der Richtlinie none, analysieren Sie die DMARC-Berichte über mehrere Wochen und wechseln Sie erst dann schrittweise zu quarantine und schließlich zu reject. Ein überhasteter Wechsel zu reject kann dazu führen, dass legitime E-Mails blockiert werden.
DMARC DKIM SPF E-Mail-Sicherheit erklärt: Das Zusammenspiel der drei Protokolle
Die drei Standards ergänzen sich gegenseitig und entfalten ihren vollen Schutz erst im Verbund. SPF prüft, ob der sendende Server autorisiert ist. DKIM stellt sicher, dass die Nachricht unverändert und authentisch ist. DMARC koordiniert die Ergebnisse beider Prüfungen und gibt vor, was im Fehlerfall zu tun ist.
Für eine E-Mail, die DMARC-konform ist, muss mindestens einer der beiden Checks (SPF oder DKIM) bestanden werden – und zusätzlich muss die sogenannte Alignment-Bedingung erfüllt sein: Die geprüfte Domain muss mit der im E-Mail-Header sichtbaren Absenderdomain übereinstimmen.
Wichtig für Entscheidungsträger: Seit Februar 2024 verlangen große E-Mail-Anbieter wie Google und Yahoo für Massen-E-Mail-Versender eine vollständige DMARC-Implementierung. Unternehmen ohne korrekte Konfiguration riskieren, dass ihre E-Mails nicht mehr zugestellt werden. Für B2B-Kommunikation, bei der Geschäftsbeziehungen und Lieferkettenprozesse über E-Mail laufen, ist das ein erhebliches operatives Risiko.
Auch im Kontext von Compliance-Anforderungen lohnt sich ein ganzheitlicher Blick: Wer Geschäftspartner sorgfältig verifiziert – etwa über VAT Verifizierung zur Prüfung von Umsatzsteuer-IDs – sollte denselben Anspruch an die Authentizität seiner digitalen Kommunikationskanäle stellen.
Fazit: Jetzt handeln, bevor der Schaden entsteht
DMARC DKIM