In welcher Reihenfolge sind SPF, DKIM und DMARC einzuführen?

1) Alle Dienste inventarisieren, die E-Mails von Ihrer Domain versenden (Mailserver, E-Mail-Marketing-Plattform, CRM, Rechnungswesen). 2) SPF mit allen autorisierten Diensten veröffentlichen, endend auf -all (Hardfail). 3) DKIM in jedem Dienst konfigurieren, der es erlaubt (M365, Google Workspace, SendGrid, Mailchimp). 4) DMARC mit p=none und Berichtsadresse (rua) veröffentlichen. 5) 2-4 Wochen analysieren, Falschpositive korrigieren. 6) Auf p=quarantine erhöhen. 7) Nach weiteren 2-4 Wochen auf p=reject erhöhen. Gesamt: 4-12 Wochen.

Was kostet die Einführung von SPF, DKIM und DMARC in einem KMU?

Technische Basiskonfiguration mit einem Anbieter: 1.500-3.500 € (4-6 Wochen). Vollständige Einführung mit Analyse der DMARC-Berichte, DMARC-Analyzer-Plattform (Postmark, Dmarcian, Valimail), BIMI und MTA-STS: 3.500-6.500 €. Jährliche Wartung (Berichtsprüfung, Anpassungen bei Anbieterwechsel): 800-1.500 €/Jahr. Teilweise förderbar über Kit Consulting Kategorie Cybersicherheit.

Was ist BIMI und warum lohnt sich die Konfiguration?

BIMI (Brand Indicators for Message Identification) ermöglicht, dass das Logo Ihres Unternehmens neben der E-Mail im Posteingang erscheint (Gmail, Yahoo, Apple Mail), wenn Sie DMARC auf p=quarantine oder p=reject haben. Es stärkt das Vertrauen des Empfängers, reduziert den Phishing-Erfolg durch Markenmissbrauch und verbessert leicht die Öffnungsraten. Es erfordert ein VMC (Verified Mark Certificate) von Entrust oder DigiCert (250-1.500 €/Jahr) nach Prüfung der eingetragenen Marke.

Welche Fehler sind bei der Konfiguration von SPF/DKIM/DMARC am häufigsten?

1) Vergessen, einen legitimen Dienst in SPF aufzunehmen (Mailchimp, ZohoCRM, Brevo), wodurch legitime E-Mails abgelehnt werden. 2) Das Limit von 10 DNS-Lookups in SPF überschreiten (Fehler PermError). 3) SPF mit +all veröffentlichen (autorisiert jeden Server, schlimmer als kein SPF). 4) DKIM mit 1024-Bit-Schlüsseln konfigurieren (2026 verwundbar, 2048 Bit verwenden). 5) Direkt zu DMARC p=reject springen, ohne über p=none zu überwachen. 6) Die XML-Berichte von DMARC nie prüfen.

E-Mail-Sicherheit · SPF, DKIM, DMARC gegen Phishing

Q: Was leisten SPF, DKIM und DMARC genau?

SPF (Sender Policy Framework) deklariert in einem DNS-TXT-Eintrag, welche Server berechtigt sind, E-Mails im Namen Ihrer Domain zu versenden. DKIM (DomainKeys Identified Mail) fügt jeder ausgehenden Nachricht eine kryptografische Signatur hinzu, die der Empfänger mit einem in Ihrem DNS veröffentlichten öffentlichen Schlüssel verifiziert. DMARC (Domain-based Message Authentication, Reporting and Conformance) verbindet SPF und DKIM, definiert die Richtlinie bei Fehlern (none, quarantine, reject) und liefert tägliche XML-Berichte.

Q: Ist es für eine Norm verpflichtend?

Direkt keine spezifische gesetzliche Pflicht, aber faktisch gefordert von: Google und Yahoo (seit Februar 2024 müssen Massenversender > 5.000 E-Mails/Tag SPF + DKIM + DMARC ausgerichtet haben); Ausschreibungsunterlagen der öffentlichen Verwaltung, die die Cybersicherheitsreife bewerten; Cyber-Versicherern als Policenbedingung; ISO 27001 Kontrolle A.13.2.3 (elektronische Nachrichtenübermittlung); ENS Dimension Authentizität (Königlicher Erlass 311/2022). Die DSGVO empfiehlt es implizit, indem sie angemessene technische Maßnahmen verlangt.

Cybersicherheit · E-Mail

SPF autorisiert Versandserver, DKIM signiert die Nachrichten und DMARC definiert die Richtlinie bei Fehlern. Die drei schützen die Domain vor Phishing und Identitätsmissbrauch.

Executive Summary · TL;DR

90 % der Cyberangriffe beginnen per E-Mail. Die Kombination SPF + DKIM + DMARC ist die einzige standardisierte Methode, um zu verhindern, dass Dritte Ihre Domain in betrügerischen E-Mails missbrauchen. SPF deklariert, welche Server im Namen der Domain versenden dürfen (DNS-TXT-Eintrag). DKIM signiert jede Nachricht kryptografisch (Schlüssel im DNS). DMARC definiert die Richtlinie bei Fehlern (none → quarantine → reject) und liefert tägliche Berichte. Die Einführung erfolgt in 4 Phasen über 4-12 Wochen, mit KMU-Kosten von 2.500-6.500 € je nach Komplexität. Zusätzlich empfehlenswert sind BIMI (verifiziertes Logo im Posteingang) und MTA-STS (striktes TLS). Dieser Leitfaden behandelt den Schritt-für-Schritt-Plan, eine vollständige technische Tabelle, ein reales Beispiel bei einem Weingut der DO Ribera del Duero und 6 FAQ.

Die E-Mail ist der Angriffsvektor Nummer eins: 90 % der Cyberangriffe beginnen mit einer bösartigen E-Mail. Phishing, Spear-Phishing, Business Email Compromise (BEC), Anhänge mit Schadsoftware und Links zu Credential-Harvesting-Seiten sind tägliche Bedrohungen, denen Ihr Team mit jedem geöffneten Posteingang begegnet. Die gute Nachricht: Die Kombination dreier E-Mail-Authentifizierungstechnologien (SPF, DKIM, DMARC) mit organisatorischen Maßnahmen kann das Risiko drastisch reduzieren. Dieser Leitfaden erklärt Ihnen die Implementierung Schritt für Schritt.

Warum ist die E-Mail der bevorzugte Angriffsvektor?

Die E-Mail ist aus mehreren Gründen ideal für Cyberkriminelle. Sie erreicht direkt den Endbenutzer und umgeht die Perimeterkontrollen. Sie ermöglicht Identitätsmissbrauch (eine E-Mail versenden, die scheinbar von Ihrer Bank, Ihrem Chef oder einem Lieferanten kommt). Sie kann bösartige Anhänge oder Links zu betrügerischen Seiten enthalten. Und sie nutzt Vertrauen und Dringlichkeit aus, die wirksamsten psychologischen Hebel des Social Engineering.

Die häufigsten E-Mail-Angriffsarten sind das Massen-Phishing (Versand an Tausende Empfänger mit generischen Nachrichten), das Spear-Phishing (personalisierte Angriffe auf bestimmte Personen mit recherchierten Informationen), der Business Email Compromise oder BEC (Missbrauch der Identität des CEO, der Finanzleitung oder eines Lieferanten zur Anforderung von Überweisungen) und die Schadsoftware per Anhang (Dokumente mit bösartigen Makros, PDFs mit Exploits, komprimierte Dateien mit ausführbaren Programmen).

SPF: prüfen, wer von Ihrer Domain versenden darf

SPF (Sender Policy Framework, RFC 7208) ist ein DNS-TXT-Eintrag, der angibt, welche Mailserver berechtigt sind, E-Mails im Namen Ihrer Domain zu versenden. Wenn ein empfangender Server eine E-Mail erhält, die angeblich von Ihrer Domain stammt, fragt er den SPF-Eintrag ab, um zu prüfen, ob der sendende Server in der Liste der autorisierten Server steht. Ist er es nicht, wird die E-Mail als verdächtig markiert oder abgelehnt.

Zur Konfiguration von SPF identifizieren Sie alle Server und Dienste, die legitim E-Mails von Ihrer Domain versenden (Mailserver, E-Mail-Marketing-Anbieter, CRM, Rechnungssystem). Erstellen Sie einen TXT-Eintrag im DNS Ihrer Domain, der alle diese autorisierten Server auflistet. Und prüfen Sie die korrekte Funktion mit Werkzeugen wie MXToolbox, dmarcian oder dem SPF Checker von Google.

Beispiel-SPF für ein typisches spanisches KMU, das Microsoft 365 + Mailchimp + Brevo nutzt:

v=spf1 include:spf.protection.outlook.com include:servers.mcsv.net include:spf.sendinblue.com -all

Der häufigste Fehler ist, einen Dienst zu vergessen, der legitime E-Mails versendet, wodurch Ihre eigenen E-Mails abgelehnt werden. Erstellen Sie vor der Veröffentlichung des Eintrags ein erschöpfendes Inventar. Achten Sie auch auf das Limit von 10 DNS-Lookups (bei Überschreitung geben die Empfänger PermError zurück und SPF funktioniert nicht mehr).

DKIM: Ihre E-Mails kryptografisch signieren

DKIM (DomainKeys Identified Mail, RFC 6376) fügt jeder versendeten E-Mail eine kryptografische Signatur hinzu. Der empfangende Server prüft diese Signatur gegen einen in Ihrem DNS veröffentlichten öffentlichen Schlüssel. Ist die Signatur gültig, hat der Empfänger die Gewissheit, dass die E-Mail nicht im Transit verändert wurde und tatsächlich von Ihrer Domain stammt.

Die Konfiguration von DKIM ist technischer als die von SPF, weil sie die Erzeugung eines kryptografischen Schlüsselpaars, die Veröffentlichung des öffentlichen Schlüssels im DNS und die Konfiguration des Mailservers zur Signatur ausgehender Nachrichten mit dem privaten Schlüssel erfordert. Die meisten Unternehmens-Maildienste (Microsoft 365, Google Workspace) vereinfachen diesen Prozess mit Konfigurationsassistenten. 2026 sollten Sie Schlüssel mit 2048 Bit verwenden (1024-Bit-Schlüssel gelten als verwundbar und veraltet).

DMARC: die Richtlinie, die alles verbindet

DMARC (Domain-based Message Authentication, Reporting and Conformance, RFC 7489) ist das Stück, das SPF und DKIM verbindet und Ihnen ermöglicht zu definieren, was mit E-Mails geschieht, die die Prüfungen nicht bestehen. Zusätzlich liefert es tägliche XML-Berichte, die Ihnen erlauben zu überwachen, wer E-Mails über Ihre Domain versendet.

Die Implementierung von DMARC sollte schrittweise erfolgen. In der ersten Phase konfigurieren Sie die Richtlinie als p=none (nur Überwachung, ohne Blockierung). Prüfen Sie die Berichte 2-4 Wochen lang, um legitime E-Mails zu identifizieren, die die Prüfungen nicht bestehen, und korrigieren Sie sie. In der zweiten Phase ändern Sie die Richtlinie auf p=quarantine (fehlschlagende E-Mails landen im Spam). Überwachen Sie weitere 2-4 Wochen, um sicherzustellen, dass keine Falschpositiven vorliegen. Und in der dritten Phase ändern Sie die Richtlinie auf p=reject (fehlschlagende E-Mails werden direkt abgelehnt). Dies ist die sicherste Richtlinie und sollte Ihr Endziel sein.

Beispiel-DMARC in der finalen Reject-Phase:

v=DMARC1; p=reject; sp=reject; pct=100; rua=mailto:dmarc-reports@ihredomain.com; ruf=mailto:dmarc-forensic@ihredomain.com; adkim=s; aspf=s; fo=1

Technische Tabelle · Vergleich SPF vs. DKIM vs. DMARC vs. BIMI vs. MTA-STS

Protokoll	Was es tut	Eintragstyp	Komplexität	2026 verpflichtend
SPF	Autorisiert sendende Server	DNS TXT	Niedrig	Ja (Google/Yahoo >5k Versand/Tag)
DKIM	Kryptografische Signatur der Nachricht	DNS TXT (selector._domainkey)	Mittel	Ja (Google/Yahoo >5k Versand/Tag)
DMARC	Richtlinie bei Fehlern + Berichte	DNS TXT (_dmarc)	Mittel-Hoch	Ja (Google/Yahoo >5k Versand/Tag, mind. p=none)
BIMI	Verifiziertes Logo im Posteingang	DNS TXT + VMC	Hoch	Empfohlen (Markenvertrauen)
MTA-STS	Verpflichtende TLS-Verschlüsselung zwischen Servern	DNS TXT + HTTPS-Richtlinie	Mittel	Empfohlen (Vertraulichkeit)
TLS-RPT	Berichte über TLS-Fehler	DNS TXT (_smtp._tls)	Niedrig	Empfohlen (Sichtbarkeit)
DNSSEC	Kryptografische Signatur der DNS-Antworten	DS / DNSKEY	Mittel	Empfohlen (Eintragsschutz)

Jenseits von SPF/DKIM/DMARC: Defense in Depth

Die E-Mail-Authentifizierung allein genügt nicht. Sie muss durch eine fortgeschrittene Anti-Phishing-Filterung ergänzt werden, die Inhalt, Anhänge und Links der E-Mails auf Angriffsindikatoren analysiert. Die wirksamsten Filter umfassen eine Sandbox zur Analyse von Anhängen in isolierter Umgebung vor der Zustellung, das Umschreiben von URLs zur Prüfung der Links zum Klickzeitpunkt (nicht nur bei der Zustellung), eine Impersonation-Analyse zur Erkennung ausgeklügelten Identitätsmissbrauchs und maschinelles Lernen zur Identifizierung von Phishing-Mustern, die statische Regeln umgehen.

Die Schulung des Personals ist die unverzichtbare Ergänzung der Technologie. Regelmäßige Phishing-Simulationen (mindestens vierteljährlich) mit sofortiger Schulung für diejenigen, die darauf hereinfallen, sind das wirksamste Werkzeug zur Reduzierung der Klickrate bei echten bösartigen E-Mails.

Implementierungsplan in 30 Tagen

In der ersten Woche erstellen Sie ein Inventar aller Dienste, die E-Mails von Ihrer Domain versenden, und konfigurieren SPF. In der zweiten Woche konfigurieren Sie DKIM in Ihrem Haupt-Maildienst. In der dritten Woche veröffentlichen Sie DMARC im Modus p=none und beginnen, Berichte zu erhalten (nutzen Sie eine DMARC-Analyzer-Plattform wie Postmark, Dmarcian, Valimail oder EasyDMARC, um die XML zu verarbeiten). In der vierten Woche analysieren Sie die Berichte, korrigieren die Falschpositiven und planen die Migration auf p=quarantine. In den Folgemonaten gehen Sie von quarantine zu reject über, sobald Sie Vertrauen in die Konfiguration gewonnen haben. Verwandt: Cybersicherheitsberatung Unternehmen: Leistungen und Kosten.

Reales Beispiel: Weingut DO Ribera del Duero · 28 Beschäftigte · SPF/DKIM/DMARC in 3 Monaten

Ein historisches Weingut mit der DO Ribera del Duero, 28 Beschäftigten, Sitz in der Region Aranda (Burgos), Exporteur in 12 Länder, erlitt 2024 zwei ernste Versuche von CEO-Betrug (BEC): eine scheinbar vom Geschäftsführer stammende E-Mail, die die Verwaltungsverantwortliche um eine dringende Überweisung von 18.500 € an einen angeblichen portugiesischen Lieferanten bat. Der zweite Versuch zwei Monate später replizierte das Muster mit einem Betrag von 27.000 €. Beide wurden durch die telefonische Rückfrage der Verwaltungsverantwortlichen gestoppt, aber der Vorfall erzwang die Entscheidung, die E-Mail-Sicherheit zu professionalisieren.

Vorheriges Inventar: Die Domain versendete E-Mails über Microsoft 365 (Unternehmens-E-Mail), Mailjet (monatlicher Newsletter an 8.400 Abonnenten), Holded (Rechnungswesen) und ein HubSpot-Marketing-CRM. Es waren weder SPF noch DKIM noch DMARC veröffentlicht. Jeder Server der Welt konnte E-Mails versenden und die Domain missbrauchen.

Projekt umgesetzt in 3 Monaten mit Gesamtkosten von 4.500 € (Erstaudit 800 € + technische Einführung SPF/DKIM/DMARC 1.700 € + Jahresabonnement Dmarcian zur Berichtsanalyse 480 € + Anti-Phishing-Schulung für 28 Beschäftigte 600 € + 2 Simulationen 400 € + BIMI mit jährlichem VMC 520 €):

Monat 1: Inventar + SPF in Produktion mit allen Diensten + DKIM in Microsoft 365 und Mailjet + DMARC p=none.
Monat 2: Analyse der Dmarcian-Berichte: 312 Missbrauchsversuche von 47 verschiedenen IPs entdeckt (mehrheitlich aus Osteuropa und Asien). 2 legitime, nicht in SPF enthaltene Dienste identifiziert (korrigiert). DMARC auf p=quarantine erhöht.
Monat 3: DMARC auf p=reject mit pct=100 erhöht. BIMI mit verifiziertem Logo und VMC von Entrust veröffentlicht. MTA-STS eingeführt. Verpflichtende Anti-Phishing-Schulung für die 28 Beschäftigten mit vierteljährlich geplanter Simulation.

In 12 Monaten nach der Einführung gemessene Ergebnisse: null erfolgreiches Phishing mit Domain-Missbrauch (die Versuche erreichen weiterhin die Empfänger, werden aber im Ursprung abgelehnt), Klickrate in der vierteljährlichen Simulation von anfänglich 26 % auf 3 % im vierten Quartal, BIMI-Logo sichtbar in Gmail- und Apple-Mail-Clients (11 % Anstieg der Newsletter-Öffnungsrate laut Mailjet-Metriken) und Verschwinden der BEC-Versuche, da die Angreifer die technische Möglichkeit verloren, die Domain zu missbrauchen.

Mini-Glossar zur E-Mail-Sicherheit

SPF: Sender Policy Framework · autorisiert sendende Server (RFC 7208).
DKIM: DomainKeys Identified Mail · kryptografische Signatur der Nachricht (RFC 6376).
DMARC: Domain-based Message Authentication, Reporting and Conformance · Richtlinie und Reporting (RFC 7489).
BIMI: Brand Indicators for Message Identification · verifiziertes Logo im Posteingang.
VMC: Verified Mark Certificate · Zertifikat der eingetragenen Marke für BIMI.
MTA-STS: Mail Transfer Agent Strict Transport Security · verpflichtendes TLS von Server zu Server.
TLS-RPT: TLS Reporting · Berichte über TLS-Fehler zur Diagnose.
BEC: Business Email Compromise · Betrug durch gezielten Identitätsmissbrauch (CEO-Fraud, Vendor-Fraud).
Spear-Phishing: gezieltes und personalisiertes Phishing auf bestimmte Personen oder Rollen.
Credential Harvesting: betrügerische Seite zum Abgreifen von Zugangsdaten.
DMARC-Analyzer: Plattform, die tägliche XML-Berichte verarbeitet und lesbar macht.

Müssen Sie die E-Mail Ihres Unternehmens absichern? Sprechen wir über eine professionelle Konfiguration von SPF, DKIM und DMARC sowie eine Bewertung Ihrer Anti-Phishing-Verteidigung.

Autor: Ángel Ortega Castro · unabhängiger Berater für Strategie, Qualität und Digitalisierung für KMU mit Sitz in Aranda de Duero (Burgos).

Häufig gestellte Fragen

Was leisten SPF, DKIM und DMARC genau?

SPF deklariert autorisierte Server (DNS TXT). DKIM signiert jede Nachricht kryptografisch (Schlüssel im DNS). DMARC verbindet SPF + DKIM, definiert die Richtlinie bei Fehlern (none/quarantine/reject) und liefert tägliche XML-Berichte.

In welcher Reihenfolge sind sie einzuführen?

Inventar der sendenden Dienste → SPF (-all) → DKIM in jedem Dienst → DMARC p=none + rua → 2-4 Wochen analysieren → p=quarantine → weitere 2-4 Wochen → p=reject. Gesamt: 4-12 Wochen.

Was kostet es in einem KMU?

Basiskonfiguration: 1.500-3.500 €. Vollständige Einführung mit DMARC-Analyzer + BIMI + MTA-STS: 3.500-6.500 €. Jährliche Wartung 800-1.500 €. Förderbar mit Kit Consulting Kategorie Cybersicherheit.

Was ist BIMI und wozu dient es?

BIMI zeigt das verifizierte Logo neben der E-Mail in Gmail, Yahoo, Apple Mail, wenn Sie DMARC auf p=quarantine oder reject haben. Es erfordert ein VMC (Verified Mark Certificate) von Entrust oder DigiCert (250-1.500 €/Jahr).

Welche Fehler sind am häufigsten?

Legitime Dienste in SPF vergessen, 10 DNS-Lookups überschreiten, +all veröffentlichen, DKIM mit 1024-Bit-Schlüssel, direkt zu p=reject springen ohne p=none, die XML-Berichte nie prüfen.

Ist es für eine Norm verpflichtend?

Google/Yahoo verlangen es seit Feb. 2024 von Versendern >5.000/Tag. ISO 27001 Kontrolle A.13.2.3, ENS Dimension Authentizität, Cyber-Versicherer und viele Ausschreibungen der öffentlichen Verwaltung bewerten es. Die DSGVO empfiehlt es implizit.

Brauchen Sie Unterstützung dabei?

Arbeiten Sie mit mir an der E-Mail-Sicherheit

Professionelle Einführung von SPF + DKIM + DMARC + BIMI + MTA-STS und Anti-Phishing-Schulung für KMU.

Termin vereinbaren →