Ist Ihre Domain gegen E-Mail-Fälschung geschützt?

Definiert welche Server berechtigt sind, E-Mails für Ihre Domain zu versenden. Ohne SPF kann jeder in Ihrem Namen mailen. Kryptographische Signatur beweist: Die E-Mail stammt wirklich von Ihrem Server und wurde unterwegs nicht verändert. Regelt was passiert wenn SPF oder DKIM fehlschlagen (ignorieren / in Spam / blockieren) und liefert Reports zu Fälschungsversuchen.

E-Mail ist das Einfallstor Nummer eins für Cyberkriminelle. Phishing, CEO-Fraud und Business Email Compromise (BEC) verursachen jährlich Schäden in Milliardenhöhe. Das perfide daran: Angreifer müssen keine Lücken in Ihrer IT finden — sie brauchen nur eine gefälschte E-Mail, die authentisch aussieht. Ohne sauber konfigurierte SPF-, DKIM- und DMARC-Records kann jeder auf der Welt E-Mails unter Ihrer Domain versenden. Ein Angreifer schreibt im Namen Ihres Geschäftsführers an die Buchhaltung: "Bitte überweisen Sie schnell 45.000 € auf folgendes Konto…" — und die Zahlung geht raus. Das ist kein theoretisches Szenario, sondern Alltag. Microsoft, Google und andere große Anbieter filtern inzwischen aggressiv: E-Mails ohne korrekte Authentifizierung landen oft direkt im Spam — auch wenn sie legitim sind. Das heißt: fehlerhafte SPF/DKIM/DMARC-Konfiguration schadet nicht nur der Sicherheit, sondern auch der Zustellbarkeit Ihrer eigenen E-Mails. Gleichzeitig wird es zunehmend zur Compliance-Anforderung: Die EU NIS2-Richtlinie und branchenspezifische Vorgaben (z.B. TISAX, ISO 27001) erwarten nachweisbare E-Mail-Authentifizierung als Standard.

Schritt 1 — Bestandsaufnahme: Welche Dienste versenden E-Mails in Ihrem Namen? Microsoft 365, Newsletter-Tools (Mailchimp, Brevo), CRM-Systeme, Ticket-Systeme, Hosting-Provider — alle müssen in Ihrem SPF-Record stehen. Schritt 2 — SPF aufsetzen: Sammeln Sie alle legitimen Absender in einem einzelnen TXT-Record. Achtung: SPF erlaubt maximal 10 DNS-Lookups — zu viele include-Statements brechen die Validierung. Beenden Sie mit -all (Hard Fail) für maximalen Schutz. Schritt 3 — DKIM aktivieren: Bei Microsoft 365 über das Defender Portal, bei Google Workspace über die Admin-Konsole. Die Signatur-Schlüssel müssen per DNS (CNAME oder TXT) veröffentlicht werden. Wichtig: Beide Selektoren (selector1 und selector2 bei M365) müssen publiziert sein — sonst bricht die automatische Schlüsselrotation. Schritt 4 — DMARC einführen: Starten Sie mit p=none und einem rua-Report-Empfänger. Nach 2-4 Wochen Monitoring wechseln Sie auf p=quarantine, später auf p=reject. Parsen Sie die Reports mit einem Tool wie Postmark oder Valimail. Wenn das nach viel Arbeit klingt: Wir machen das für Sie. In der Regel haben wir SPF, DKIM und DMARC bei einem mittelständischen Unternehmen innerhalb von 1-2 Tagen sauber aufgesetzt.

Kostenlos für Sie. Entwickelt von arian IT Service. Wenn wir Ihnen helfen konnten – unterstützen Sie uns mit einer Bewertung.