DMARC, SPF und DKIM erklärt: So schützen Sie Ihre Geschäfts-E-Mails und verhindern Spoofing
Wenn jemand eine E-Mail versenden kann, die so aussieht, als käme sie von Ihrer Domäne — Ihre Rechnungen, Ihre Support-Adresse, Ihr Geschäftsführer — und Ihre Empfänger den Unterschied nicht erkennen können, haben Sie ein ernstes Geschäftsproblem. Lieferantenbetrug, Phishing-Angriffe auf Ihre Kunden und Reputationsschäden sind reale Folgen.
SPF, DKIM und DMARC sind die drei DNS-basierten Kontrollen, die das verhindern.
Das Problem: E-Mail wurde nicht mit Authentifizierung entworfen
Das grundlegende E-Mail-Protokoll (SMTP) wurde in den Anfängen des Internets entwickelt und verfügt über keinen integrierten Mechanismus zur Überprüfung der Absenderidentität. Jeder Mail-Server kann so konfiguriert werden, dass er E-Mails verschickt, die behaupten, von einer beliebigen Domäne zu stammen.
SPF: Festlegen, welche Server von Ihrer Domäne senden dürfen
SPF ist ein DNS-TXT-Eintrag, der die autorisierten Mail-Server auflistet. Für Unternehmen, die ausschließlich Microsoft 365 nutzen:
v=spf1 include:spf.protection.outlook.com -allinclude:spf.protection.outlook.com— autorisiert Microsoft 365-Mail-Server-all— Hard Fail: alle anderen Server werden abgelehnt
Wenn Sie E-Mails über weitere Dienste versenden (Mailchimp, Rechnungstool usw.), muss jeder über eine zusätzliche include:-Anweisung hinzugefügt werden.
DKIM: Kryptografische Signatur Ihrer ausgehenden E-Mails
DKIM fügt jeder ausgehenden E-Mail eine kryptografische Signatur hinzu. Sie beweist: die E-Mail kam von einem autorisierten Server und der Inhalt wurde nicht verändert.
DKIM in Microsoft 365 einrichten
- Microsoft Defender-Portal → E-Mail & Zusammenarbeit → Richtlinien & Regeln → Bedrohungsrichtlinien → E-Mail-Authentifizierungseinstellungen → DKIM.
- Domäne auswählen und Aktivieren klicken.
- Zwei CNAME-Einträge bei Ihrem DNS-Anbieter (Hetzner, IONOS, Strato) hinzufügen.
- Nach DNS-Weitergabe (bis zu 48 Stunden) DKIM-Signierung aktivieren.
DMARC: Die Richtlinienebene
DMARC teilt empfangenden Servern mit, was bei fehlgeschlagener SPF- oder DKIM-Prüfung zu tun ist, und erstellt Berichte darüber.
Starter-DMARC-Eintrag (nur Überwachung)
v=DMARC1; p=none; rua=mailto:dmarc@ihredomaene.de; pct=100Dieser Eintrag geht als TXT-Eintrag auf _dmarc.ihredomaene.de.
Der Weg zur vollständigen Durchsetzung
- SPF und DKIM zuerst einrichten und bestätigen.
- Mit
p=nonebeginnen, 2–4 Wochen Berichte sammeln. - Berichte analysieren: legitime Quellen mit Authentifizierungsfehlern finden und beheben.
- Zu
p=quarantine; pct=10wechseln, schrittweise auf 100 % erhöhen. - Zu
p=rejectwechseln — fehlgeschlagene E-Mails werden vollständig abgelehnt.
Kurzreferenz: Was ins DNS gehört
| Eintrag | Typ | Host | Wert (M365) |
|---|---|---|---|
| SPF | TXT | @ | v=spf1 include:spf.protection.outlook.com -all |
| DKIM | CNAME | selector1._domainkey | Aus Defender-Portal (tenant-spezifisch) |
| DKIM | CNAME | selector2._domainkey | Aus Defender-Portal (tenant-spezifisch) |
| DMARC | TXT | _dmarc | v=DMARC1; p=none; rua=mailto:dmarc@ihredomaene.de |
Wenn Sie Hilfe bei der Überprüfung Ihrer aktuellen E-Mail-Authentifizierungseinrichtung benötigen, deckt unsere kostenlose IT-Analyse DNS-basierte E-Mail-Sicherheit, den DMARC-Richtlinienstatus und Ihren Microsoft Secure Score ab.
Kostenlos für Berliner KMU
Erfahren Sie, wo Ihre IT wirklich steht
Wir prüfen Ihre Sicherheitslage, Microsoft 365-Konfiguration, Netzwerkresilienz und Compliance-Lücken — und liefern Ihnen einen schriftlichen Bericht kostenlos.
Weiterführende Artikel