E-Mail-Authentifizierung: SPF, DKIM und DMARC richtig konfigurieren
8 Min. Lesezeit
Die Mails Ihres Unternehmens landen seit Wochen im Spam-Ordner der Kunden. Der IT-Admin hat alles geprüft, der Mailserver läuft sauber, aber Google sortiert trotzdem aus. Der Grund ist fast immer derselbe: fehlende oder falsch konfigurierte E-Mail-Authentifizierung. Seit Februar 2024 verlangen Google und Yahoo DMARC für alle Bulk-Sender. Seit November 2025 lehnt Gmail nicht-konforme Mails kategorisch ab. Wer SPF, DKIM und DMARC nicht korrekt eingerichtet hat, verliert nicht nur Zustellbarkeit, sondern macht seine Domain zum Phishing-Werkzeug für Angreifer.
Das Wichtigste in Kürze
- Google und Yahoo verlangen seit Februar 2024 DMARC für Bulk-Sender. Gmail lehnt seit November 2025 nicht-konforme Mails ab. Microsoft folgte im Mai 2025.
- SPF-Adoption liegt 2026 bei 93 Prozent, DKIM bei 90 Prozent. DMARC stagniert bei 64 Prozent, nur 4 Prozent aller Top-Domains setzen die strikteste Policy (reject) ein.
- Die drei Protokolle bauen aufeinander auf: SPF prüft den sendenden Server, DKIM signiert den Inhalt kryptographisch, DMARC verbindet beides mit einer Policy und Reporting.
- Die durchschnittlichen Kosten eines Phishing-Breaches lagen 2025 bei 4,88 Millionen US-Dollar. Korrekt konfigurierte E-Mail-Authentifizierung ist die wirksamste Einzelmaßnahme gegen Domain-Spoofing.
- Die Einrichtung aller drei Protokolle dauert für ein mittelständisches Unternehmen drei bis fünf Arbeitstage, erfordert aber sorgfältige Vorbereitung und schrittweises Verschärfen der Policy.
Drei Protokolle, ein Ziel: Wer darf in Ihrem Namen mailen?
E-Mail-Authentifizierung beantwortet eine einfache Frage: Ist der Server, der diese Mail versendet, berechtigt, im Namen dieser Domain zu senden? Ohne Authentifizierung kann jeder beliebige Mailserver Mails mit Ihrer Absenderdomain verschicken. Phishing-Mails, gefälschte Rechnungen, CEO-Fraud-Anweisungen – alles möglich, weil das SMTP-Protokoll keine eingebaute Absenderverifizierung hat.
Die drei Protokolle SPF, DKIM und DMARC lösen dieses Problem auf unterschiedlichen Ebenen. Sie ergänzen sich gegenseitig und sind nur in Kombination wirklich wirksam. Ein Unternehmen, das nur SPF ohne DKIM und DMARC einsetzt, hat den Job zur Hälfte erledigt und profitiert kaum von der Investition.
SPF (Sender Policy Framework): Wer darf senden?
SPF definiert in einem DNS-TXT-Record, welche IP-Adressen und Server berechtigt sind, E-Mails für Ihre Domain zu versenden. Der empfangende Mailserver prüft bei jeder eingehenden Mail, ob die IP des sendenden Servers im SPF-Record der Absenderdomain gelistet ist. Ist sie es nicht, kann die Mail als verdächtig markiert oder abgelehnt werden. Wichtig: SPF hat ein Limit von maximal 10 DNS-Lookups. Unternehmen mit vielen Drittanbietern (CRM, Newsletter, Ticketsystem) stoßen schnell an dieses Limit. Die Lösung sind SPF-Flattening-Tools oder die Konsolidierung der Sendeinfrastruktur.
DKIM (DomainKeys Identified Mail): Ist der Inhalt unverändert?
DKIM fügt jeder ausgehenden Mail eine kryptographische Signatur hinzu. Der sendende Server signiert definierte Header-Felder und den Body mit einem privaten Schlüssel. Der öffentliche Schlüssel wird als DNS-Record publiziert. Der empfangende Server prüft die Signatur gegen den öffentlichen Schlüssel und kann so feststellen, ob die Mail auf dem Transportweg verändert wurde. DKIM schützt damit nicht nur die Absenderidentität, sondern auch die Integrität des Inhalts. Das ist besonders relevant für Branchen mit Compliance-Anforderungen, in denen die Unveränderlichkeit geschäftlicher Kommunikation nachgewiesen werden muss.
DMARC (Domain-based Message Authentication, Reporting and Conformance): Was passiert bei Verstößen?
DMARC verbindet SPF und DKIM mit einer Policy, die dem empfangenden Server sagt, was mit Mails passieren soll, die keine der beiden Prüfungen bestehen. Die drei Policy-Stufen sind: none (nur beobachten und reporten), quarantine (verdächtige Mails in den Spam-Ordner) und reject (Mails komplett ablehnen). Zusätzlich liefert DMARC Reporting: Tägliche Berichte zeigen, wer in Ihrem Namen Mails versendet, welche Mails SPF und DKIM bestehen und welche durchfallen. Diese Reports sind Gold wert für die Identifizierung von Shadow-IT und nicht autorisierten Drittanbietern.
SPF, DKIM und DMARC im Vergleich
| Kriterium | SPF | DKIM | DMARC |
|---|---|---|---|
| Was wird geprüft | IP des sendenden Servers | Kryptographische Signatur | SPF + DKIM Alignment |
| Schutz gegen | Unautorisierte Server | Inhaltsmanipulation | Domain-Spoofing |
| DNS-Record-Typ | TXT | TXT (CNAME bei Anbietern) | TXT |
| Einrichtungsaufwand | Gering (1 DNS-Record) | Mittel (Key-Paar + Config) | Mittel bis hoch (Policy-Tuning) |
| Häufigster Fehler | Mehr als 10 DNS-Lookups | Key-Rotation vergessen | Sofort auf reject statt schrittweise |
| Adoption 2026 | 93 % | 90 % | 64 % (nur 4 % reject) |
Warum DMARC der kritische Baustein ist
SPF und DKIM allein reichen nicht aus. Ohne DMARC gibt es keine Policy, die dem empfangenden Server sagt, was bei einem Authentifizierungsfehler passieren soll. Das bedeutet: Selbst wenn SPF und DKIM korrekt eingerichtet sind, kann ein Angreifer immer noch Mails mit einer gefälschten Absenderadresse senden, die weder SPF noch DKIM besteht, und der empfangende Server entscheidet nach eigenem Ermessen, was damit passiert.
64 %
der E-Mail-Domains haben 2026 einen DMARC-Record. Aber nur 4 Prozent setzen die strikteste Policy (reject) ein. Der Rest beobachtet nur.
4,88 Mio. US-Dollar
durchschnittliche Kosten eines Phishing-Breaches 2025. E-Mail bleibt der primäre Angriffsvektor für Phishing und CEO-Fraud.
41 %
der Banken haben keinen DMARC-Schutz. Gerade in regulierten Branchen klafft eine gefährliche Lücke.
Quellen: EasyDMARC Adoption Report 2026, IBM Cost of a Data Breach 2025, PowerDMARC Security Trends 2026
Die Enforcement-Welle der großen E-Mail-Provider hat die Dringlichkeit massiv erhöht. Google und Yahoo machten DMARC im Februar 2024 zur Pflicht für Bulk-Sender. Gmail ging im November 2025 noch einen Schritt weiter und begann, nicht-konforme Mails direkt abzulehnen statt nur zu markieren. Microsoft zog im Mai 2025 mit Outlook.com und Microsoft 365 nach. Wer keinen gültigen DMARC-Record hat, riskiert, dass seine geschäftlichen Mails schlicht nicht mehr ankommen.
Für Unternehmen in Deutschland kommt ein weiterer Aspekt hinzu: Domain-Spoofing ist ein bevorzugtes Werkzeug für CEO-Fraud und Rechnungsbetrug. Ein Angreifer, der Mails im Namen Ihrer Domain versenden kann, weil kein DMARC reject aktiv ist, kann Ihre Kunden mit gefälschten Rechnungen oder Zahlungsanweisungen erreichen. Der Reputationsschaden einer solchen Attacke übersteigt die Kosten der DMARC-Einrichtung um ein Vielfaches. Und der Schaden trifft nicht nur das eigene Unternehmen: Auch Kunden und Partner, die auf die gefälschten Mails hereinfallen, erleiden finanzielle Verluste und verlieren das Vertrauen in Ihre Marke.
Die häufigsten Fehler bei der Einrichtung
Die Protokolle sind nicht komplex, aber die Umsetzung hat Fallstricke. Die folgenden fünf Fehler verursachen die meisten Probleme im Mittelstand.
SPF mit mehr als 10 DNS-Lookups: Jeder include-Eintrag im SPF-Record erzeugt DNS-Abfragen. Unternehmen, die Salesforce, HubSpot, Mailchimp und Microsoft 365 gleichzeitig nutzen, überschreiten schnell das Limit von 10 Lookups. Die Folge: Der SPF-Record wird komplett ignoriert. Die Lösung ist SPF-Flattening, bei dem verschachtelte Lookups in direkte IP-Bereiche aufgelöst werden.
DKIM-Schlüssel nie rotiert: DKIM-Schlüssel sollten alle sechs bis zwölf Monate gewechselt werden. Viele Unternehmen setzen DKIM einmal auf und vergessen die Rotation. Ein kompromittierter privater Schlüssel ermöglicht es Angreifern, gültig signierte Mails in Ihrem Namen zu versenden.
DMARC sofort auf reject: Wer DMARC direkt mit der reject-Policy startet, riskiert, dass legitime Mails von Drittanbietern blockiert werden. Der sichere Weg: Mit none starten, die Reports zwei bis vier Wochen analysieren, dann auf quarantine wechseln und nach weiteren zwei Wochen auf reject gehen.
Subdomains vergessen: DMARC gilt standardmäßig nur für die Hauptdomain. Subdomains wie mail.firma.de oder newsletter.firma.de brauchen entweder einen eigenen DMARC-Record oder die Hauptdomain-Policy muss den Parameter sp= (Subdomain Policy) setzen. Angreifer nutzen gezielt ungeschützte Subdomains für Spoofing.
Reports nicht auswerten: DMARC-Reports werden als XML an die im Record hinterlegte Adresse gesendet. Ohne ein Tool zur Auswertung sind sie praktisch nutzbar. Dienste wie dmarcian, EasyDMARC oder Valimail visualisieren die Daten und zeigen, welche Quellen Mails in Ihrem Namen versenden. Diese Transparenz ist der eigentliche Mehrwert von DMARC im Monitoring-Modus.
Checkliste: E-Mail-Authentifizierung in 5 Tagen einrichten
Tag 1: Bestandsaufnahme
- Alle E-Mail-sendenden Systeme inventarisieren: Mailserver, CRM, Newsletter-Tool, Ticketsystem, Marketing-Automation
- Bestehende SPF- und DKIM-Records prüfen: dig TXT firma.de und dig TXT selector._domainkey.firma.de
- Alle Subdomains auflisten, die Mails versenden
Tag 2: SPF konfigurieren
- Alle berechtigten Sender-IPs und include-Einträge in einen SPF-Record zusammenführen
- DNS-Lookup-Limit (max. 10) prüfen, bei Bedarf Flattening einsetzen
- SPF-Record als DNS-TXT-Record publizieren und Validierung durchführen
Tag 3: DKIM einrichten
- DKIM-Schlüsselpaar für den Hauptmailserver generieren (RSA 2048 Bit oder Ed25519)
- Öffentlichen Schlüssel als DNS-TXT-Record publizieren
- DKIM-Signierung im Mailserver aktivieren und Testmails senden
- DKIM für Drittanbieter aktivieren (die meisten SaaS-Tools bieten CNAME-basierte DKIM-Integration)
Tag 4: DMARC mit Monitoring starten
- DMARC-Record mit p=none und rua-Adresse für Reports publizieren
- Reporting-Empfänger einrichten (externe Adresse oder DMARC-Analyse-Tool)
- Erste Reports nach 24 Stunden prüfen: Welche Quellen bestehen SPF und DKIM, welche nicht?
Tag 5 bis Woche 6: Schrittweise verschärfen
- Nicht-autorisierte Quellen identifizieren und entweder legitimieren oder blockieren
- Nach 2 Wochen stabiler Reports: p=quarantine setzen
- Nach weiteren 2 Wochen: p=reject aktivieren
- Subdomain-Policy über sp= Parameter ergänzen
- DKIM-Schlüsselrotation alle 6 Monate einplanen
Fazit: Drei DNS-Records, die Ihre Domain schützen
E-Mail-Authentifizierung ist keine optionale Best Practice mehr, sie ist Pflicht. Wer keinen DMARC-Record mit Enforcement hat, riskiert sowohl Zustellprobleme bei Google, Yahoo und Microsoft als auch den Missbrauch seiner Domain für Phishing-Angriffe. Die Einrichtung erfordert keine teure Software und kein externes Beratungsprojekt. Sie erfordert Sorgfalt bei der Bestandsaufnahme, Geduld beim schrittweisen Verschärfen und die Disziplin, die Reports regelmäßig auszuwerten.
Beginnen Sie heute mit einem SPF-Check Ihrer Hauptdomain. Prüfen Sie, ob ein DKIM-Schlüssel publiziert ist. Und wenn kein DMARC-Record existiert: Setzen Sie ihn mit p=none und einer Reporting-Adresse auf. Allein die Reports werden Ihnen zeigen, wer alles in Ihrem Namen Mails versendet. Das Ergebnis ist oft überraschend und fast immer handlungsrelevant.
Ein letzter Hinweis für Unternehmen, die bereits SPF und DKIM eingerichtet haben, aber bei DMARC zögern: Der Monitoring-Modus (p=none) hat keinerlei Auswirkung auf die Zustellung Ihrer Mails. Er sammelt ausschließlich Daten. Es gibt keinen Grund, diesen Schritt aufzuschieben. Die Transparenz, die DMARC-Reports liefern, ist für sich genommen bereits ein Sicherheitsgewinn, selbst bevor die erste Mail blockiert wird.
Häufige Fragen
Was passiert wenn ich kein DMARC einrichte?
Ohne DMARC können Angreifer Mails im Namen Ihrer Domain versenden, ohne dass empfangende Server eine Policy haben, diese Mails zu blockieren. Seit November 2025 lehnt Gmail nicht-konforme Bulk-Mails ab. Microsoft 365 folgte im Mai 2025. Ihre geschäftlichen Mails können im Spam landen oder komplett abgelehnt werden, während Phishing-Mails mit Ihrer Domain ungehindert durchkommen.
In welcher Reihenfolge richte ich SPF, DKIM und DMARC ein?
Zuerst SPF, dann DKIM, dann DMARC. SPF ist der einfachste Einstieg und erfordert nur einen DNS-Record. DKIM benötigt ein Schlüsselpaar und Konfiguration auf dem Mailserver. DMARC setzt voraus, dass mindestens eines der beiden anderen Protokolle funktioniert, am besten beide. Starten Sie DMARC immer mit p=none und verschärfen Sie schrittweise.
Was ist das SPF-Limit von 10 DNS-Lookups?
Der SPF-Standard erlaubt maximal 10 DNS-Lookups pro Prüfung. Jeder include-Eintrag in Ihrem SPF-Record erzeugt mindestens einen Lookup. Unternehmen, die viele Drittanbieter-Dienste zum Mailversand nutzen, überschreiten dieses Limit schnell. Wird das Limit überschritten, wird der gesamte SPF-Record ignoriert, was schlimmer ist als gar kein SPF. Die Lösung ist SPF-Flattening oder die Konsolidierung der Sendeinfrastruktur.
Wie lange dauert es bis DMARC wirksam ist?
Die technische Einrichtung dauert einen Tag. Bis die reject-Policy aktiv und sicher ist, vergehen vier bis sechs Wochen. In dieser Zeit läuft DMARC im Monitoring-Modus (p=none) und sammelt Reports darüber, wer Mails in Ihrem Namen versendet. Diese Phase ist entscheidend, um legitime Drittanbieter zu identifizieren und nicht versehentlich zu blockieren.
Brauche ich ein spezielles Tool für DMARC?
Für die Einrichtung nicht. SPF, DKIM und DMARC sind DNS-Records, die mit jedem DNS-Provider gesetzt werden können. Für die Auswertung der DMARC-Reports ist ein Analyse-Tool allerdings dringend empfohlen. Die Reports kommen als XML-Dateien und sind ohne Visualisierung kaum verwertbar. Dienste wie dmarcian, EasyDMARC, Valimail oder PowerDMARC bieten übersichtliche Dashboards ab rund 100 Euro pro Jahr für kleine Unternehmen.
Lesetipps der Redaktion
- Privileged Access Management: Warum Admin-Konten das größte Einfallstor für Angriffe sind (SecurityToday)
- Threat Intelligence für den Mittelstand: Bedrohungen erkennen bevor sie zuschlagen (SecurityToday)
- Cyber-Versicherung 2026: Was der Versicherer wirklich prüft und was CISOs vorbereiten müssen (SecurityToday)
Mehr aus dem MBF Media Netzwerk
Quelle Titelbild: Pexels / cottonbro studio (px:7439124)
