Warum E-Mail-Sicherheit für Unternehmen kritisch ist
E-Mail ist nach wie vor der häufigste Angriffsvektor für Cyberkriminelle. Ohne die richtigen Schutzmaßnahmen kann jeder Ihre Domain für Phishing und Spam missbrauchen — und Ihre Empfänger sehen die E-Mails als legitime Nachrichten von Ihnen.
Die drei wichtigsten E-Mail-Authentifizierungsstandards sind:
- SPF (Sender Policy Framework): Legt fest, welche Server E-Mails in Ihrem Namen senden dürfen
- DKIM (DomainKeys Identified Mail): Digitale Signatur, die beweist, dass die E-Mail wirklich von Ihnen stammt
- DMARC (Domain-based Message Authentication, Reporting and Conformance): Verknüpft SPF und DKIM, definiert was mit nicht authentifizierten E-Mails passiert
Ohne diese Einträge kann jeder problemlos E-Mails mit Ihrer Domain als Absender versenden. Mit DMARC im Enforcement-Modus wird das unterbunden.
Wichtig für NIS2: Die korrekte Konfiguration von SPF, DKIM und DMARC ist Teil der technischen Mindestanforderungen unter NIS2. Lesen Sie auch unsere NIS2-Compliance Checkliste.
Voraussetzungen
Bevor Sie beginnen:
- Zugang zum DNS-Management Ihrer Domain (bei Ihrem Domain-Registrar oder Hosting-Anbieter)
- Zugang zum Admin-Panel Ihres E-Mail-Dienstes (Google Workspace, Microsoft 365, eigener Mailserver etc.)
- Grundkenntnisse in DNS-Einträgen (wir erklären jeden Schritt)
- Ca. 1–2 Stunden Zeit
DNS-Propagierung: Änderungen an DNS-Einträgen können bis zu 48 Stunden dauern, bis sie überall sichtbar sind. Planen Sie das ein.
Teil 1: SPF einrichten
Was ist SPF?
SPF (Sender Policy Framework) ist ein DNS-Eintrag (TXT-Record), der definiert, welche IP-Adressen und Server berechtigt sind, E-Mails für Ihre Domain zu versenden. Empfangende Mailserver prüfen diesen Eintrag und können E-Mails ablehnen, die nicht von autorisierten Servern kommen.
SPF-Eintrag erstellen
Schritt 1: Ermitteln Sie alle E-Mail-Quellen
Bevor Sie den SPF-Eintrag erstellen, müssen Sie alle Server kennen, die in Ihrem Namen E-Mails versenden:
- Ihr primärer Mailserver (eigener Server oder Hosted Exchange)
- Google Workspace / Microsoft 365
- Newsletter-Tools (Mailchimp, Brevo, etc.)
- CRM-Systeme mit E-Mail-Funktion
- Monitoring-Systeme, die Alerts versenden
- Transaktionale E-Mail-Dienste (SendGrid, Postmark, etc.)
Schritt 2: SPF-Eintrag formulieren
Ein SPF-Eintrag ist ein TXT-Record in Ihrer DNS-Zone. Beispiele:
Für Google Workspace:
v=spf1 include:_spf.google.com ~all
Für Microsoft 365:
v=spf1 include:spf.protection.outlook.com ~all
Für einen eigenen Mailserver + externe Dienste:
v=spf1 ip4:203.0.113.10 include:_spf.google.com include:sendgrid.net ~all
Die wichtigsten SPF-Mechanismen:
| Mechanismus | Bedeutung |
|---|---|
ip4:x.x.x.x |
Einzelne IPv4-Adresse autorisiert |
ip4:x.x.x.x/24 |
IP-Bereich autorisiert |
include:domain.com |
Importiert SPF-Regeln einer anderen Domain |
a |
A-Record der Domain autorisiert |
mx |
MX-Server der Domain autorisiert |
~all |
Soft Fail: nicht autorisierte Server markieren |
-all |
Hard Fail: nicht autorisierte Server ablehnen |
Empfehlung: Beginnen Sie mit ~all (Soft Fail) und wechseln Sie zu -all (Hard Fail) sobald Sie sicher sind, dass alle legitimen Quellen erfasst sind.
Schritt 3: SPF-Eintrag in DNS eintragen
Gehen Sie zu Ihrem DNS-Provider und erstellen Sie einen neuen TXT-Record:
- Name/Host:
@(oder leer, je nach Provider — steht für Ihre Root-Domain) - Typ:
TXT - Wert: Ihr SPF-Eintrag (z.B.
v=spf1 include:_spf.google.com ~all) - TTL: 3600 (1 Stunde) oder das Standard-TTL Ihres Providers
Schritt 4: SPF überprüfen
Nach der DNS-Propagierung können Sie Ihren SPF-Eintrag prüfen mit:
nslookup -type=TXT ihre-domain.de
Oder online mit Tools wie MXToolbox SPF Checker.
Häufige SPF-Fehler vermeiden
- Zu viele
include-Direktiven: SPF erlaubt maximal 10 DNS-Lookups. Bei mehr gibt es Fehler. - Mehrere SPF-Einträge: Es darf nur EINEN TXT-Eintrag mit
v=spf1geben. - Vergessene E-Mail-Quellen: Wenn Sie einen Newsletter-Dienst hinzufügen, müssen Sie den SPF-Eintrag aktualisieren.
Teil 2: DKIM einrichten
Was ist DKIM?
DKIM (DomainKeys Identified Mail) fügt jeder ausgehenden E-Mail eine kryptographische Signatur hinzu. Der private Schlüssel liegt auf Ihrem Mailserver, der öffentliche Schlüssel ist als DNS-Eintrag veröffentlicht. Empfangende Server können damit verifizieren, dass die E-Mail wirklich von Ihnen kommt und unterwegs nicht verändert wurde.
DKIM für Google Workspace einrichten
Schritt 1: DKIM in der Google Workspace Admin-Konsole aktivieren
- Gehen Sie zu admin.google.com
- Apps → Google Workspace → Gmail
- Authentifizierung → DKIM
- Wählen Sie Ihre Domain
- Klicken Sie "DKIM-Schlüssel generieren"
- Key-Länge: 2048 Bit (empfohlen)
- Prefix-Selektor:
google(Standard) - Kopieren Sie den angezeigten DNS-Wert
Schritt 2: DKIM DNS-Eintrag erstellen
- Name/Host:
google._domainkey.ihre-domain.de - Typ:
TXT - Wert: Der kopierte Wert (beginnt mit
v=DKIM1; k=rsa; p=...)
Schritt 3: DKIM in Google Workspace aktivieren
Nach der DNS-Propagierung: Zurück zur Google Admin-Konsole → DKIM → "Authentifizierung starten".
DKIM für Microsoft 365 einrichten
Schritt 1: DKIM im Microsoft 365 Security Center aktivieren
- Gehen Sie zu security.microsoft.com
- E-Mail & Zusammenarbeit → Richtlinien & Regeln → Bedrohungsrichtlinien
- E-Mail-Authentifizierungseinstellungen → DKIM
- Wählen Sie Ihre Domain → "Aktivieren"
- Microsoft zeigt Ihnen die erforderlichen CNAME-Einträge
Schritt 2: CNAME-Einträge in DNS erstellen
Microsoft 365 nutzt CNAME-Records für DKIM:
selector1._domainkey.ihre-domain.de CNAME selector1-ihre-domain-de._domainkey.ihre-domain.onmicrosoft.com
selector2._domainkey.ihre-domain.de CNAME selector2-ihre-domain-de._domainkey.ihre-domain.onmicrosoft.com
DKIM für eigene Mailserver (Postfix)
Wenn Sie einen eigenen Mailserver betreiben, empfehlen wir OpenDKIM:
Installation (Ubuntu/Debian):
sudo apt-get install opendkim opendkim-tools
Schlüssel generieren:
mkdir -p /etc/opendkim/keys/ihre-domain.de
opendkim-genkey -s mail -d ihre-domain.de -D /etc/opendkim/keys/ihre-domain.de/
chown opendkim:opendkim /etc/opendkim/keys/ihre-domain.de/mail.private
DNS-Eintrag anzeigen:
cat /etc/opendkim/keys/ihre-domain.de/mail.txt
Den angezeigten Wert tragen Sie als TXT-Record ein:
- Name: mail._domainkey.ihre-domain.de
- Wert: v=DKIM1; h=sha256; k=rsa; p=MIGfMA0...
DKIM überprüfen
Senden Sie eine Test-E-Mail an eine Gmail- oder Outlook-Adresse. Öffnen Sie die E-Mail und prüfen Sie die E-Mail-Header (in Gmail: Drei Punkte → "Original anzeigen"). Sie sollten sehen:
DKIM-Signature: ...
Authentication-Results: ...dkim=pass
Teil 3: DMARC einrichten
Was ist DMARC?
DMARC (Domain-based Message Authentication, Reporting and Conformance) baut auf SPF und DKIM auf. Es legt fest:
- Was soll mit E-Mails passieren, die weder SPF noch DKIM bestehen?
- An welche Adresse sollen Berichte über E-Mail-Authentifizierungsergebnisse gesendet werden?
DMARC ist das entscheidende Glied: Erst mit DMARC können Sie wirklich durchsetzen, dass gefälschte E-Mails mit Ihrer Domain abgelehnt werden.
DMARC in drei Phasen einrichten
Phase 1: Monitor-Modus (p=none)
Beginnen Sie immer im Monitor-Modus. So können Sie sehen, welche E-Mails durch DMARC fallen, ohne legitime Mails zu blockieren:
v=DMARC1; p=none; rua=mailto:dmarc@ihre-domain.de; ruf=mailto:dmarc@ihre-domain.de; fo=1
DNS-Eintrag:
- Name: _dmarc.ihre-domain.de
- Typ: TXT
- Wert: Obiger DMARC-String
Bedeutung der Parameter:
| Parameter | Wert | Bedeutung |
|---|---|---|
p |
none / quarantine / reject |
Policy: was mit fehlgeschlagenen E-Mails passiert |
rua |
E-Mail-Adresse | Wohin aggregierte Reports gesendet werden |
ruf |
E-Mail-Adresse | Wohin forensische Reports gesendet werden |
pct |
0–100 | Prozentsatz der Mails, auf die Policy angewendet wird |
sp |
none / quarantine / reject | Policy für Subdomains |
adkim |
r / s | DKIM-Alignment (relaxed/strict) |
aspf |
r / s | SPF-Alignment (relaxed/strict) |
fo |
0 / 1 / d / s | Wann forensische Reports erstellt werden |
Phase 2: Quarantäne (p=quarantine)
Nach 2–4 Wochen im Monitor-Modus, wenn Sie die Reports analysiert und alle legitimen E-Mail-Quellen konfiguriert haben:
v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@ihre-domain.de
Starten Sie mit pct=25 (25 % der E-Mails) und erhöhen Sie schrittweise.
Phase 3: Rejection (p=reject) — das Ziel
Der vollständige Schutz:
v=DMARC1; p=reject; rua=mailto:dmarc@ihre-domain.de; ruf=mailto:dmarc@ihre-domain.de; fo=1; sp=reject
Jetzt werden alle E-Mails, die SPF und DKIM nicht bestehen, direkt abgelehnt.
DMARC-Reports verstehen und auswerten
DMARC-Reports kommen als XML-Dateien per E-Mail. Sie sind schwer lesbar — nutzen Sie einen DMARC-Report-Parser wie:
- DMARC Analyzer
- Postmark DMARC (kostenlos)
- Google Postmaster Tools
Achten Sie auf: - E-Mails, die von nicht autorisierten Quellen kommen (potential spoofing) - Legitime E-Mails, die DKIM oder SPF-Checks nicht bestehen (Konfigurationsproblem) - Geografische Herkunft verdächtiger E-Mails
Teil 4: Überprüfung und Monitoring
Gesamte Konfiguration testen
Testen Sie Ihre Konfiguration mit:
# SPF prüfen
nslookup -type=TXT ihre-domain.de
# DKIM prüfen
nslookup -type=TXT mail._domainkey.ihre-domain.de
# DMARC prüfen
nslookup -type=TXT _dmarc.ihre-domain.de
Oder nutzen Sie Online-Tools: - MXToolbox Email Health - Mail-Tester — Senden Sie eine Test-E-Mail und erhalten Sie einen Score
Integration mit Nullbreach
Nullbreach überprüft automatisch Ihre E-Mail-Sicherheitskonfiguration als Teil des Domain-Scans. Sie sehen auf einen Blick:
- Ist SPF korrekt konfiguriert?
- Ist DKIM aktiv?
- Welche DMARC-Policy ist aktiv?
- Gibt es kompromittierte E-Mail-Zugangsdaten im Dark Web?
Zusammenfassung: Empfohlene finale Konfiguration
# SPF
ihre-domain.de. TXT "v=spf1 include:_spf.google.com -all"
# DKIM (Google Workspace Beispiel)
google._domainkey.ihre-domain.de. TXT "v=DKIM1; k=rsa; p=MIGfMA0..."
# DMARC
_dmarc.ihre-domain.de. TXT "v=DMARC1; p=reject; rua=mailto:dmarc@ihre-domain.de; ruf=mailto:dmarc@ihre-domain.de; fo=1; sp=reject; adkim=s; aspf=s"
Fazit
SPF, DKIM und DMARC sind keine optionalen Extras — sie sind die Basis-Hygiene für E-Mail-Sicherheit. Ohne diese Einträge ist Ihre Domain anfällig für Phishing-Angriffe in Ihrem Namen, die Ihre Kunden und Partner gefährden.
Die Einrichtung dauert ein paar Stunden, der Schutz gilt dauerhaft. Beginnen Sie heute — und überprüfen Sie gleichzeitig, ob Zugangsdaten Ihrer Mitarbeiter bereits kompromittiert sind.