SPF, DKIM, DMARC: Was sie sind und warum sie wichtig sind

Blog

Was sind SPF, DKIM und DMARC? Erfahren Sie, wie diese E-Mail-Authentifizierungsprotokolle zusammenwirken, um Spoofing und Phishing zu verhindern und die Zustellbarkeit zu verbessern.

von Ahona Rudra

Zuletzt aktualisiert:
9 Lesezeit: 9 Minuten
SPF, DKIM, DMARC: Was sie sind und warum sie wichtig sind
Inhaltsverzeichnis-

Wichtigste Erkenntnisse

  • SPF, DKIM und DMARC dienen unterschiedlichen Zwecken, aber Sie benötigen alle drei, um Ihre Domain vollständig vor Spoofing und Phishing zu schützen.
  • SPF autorisiert sendende Server, DKIM signiert Nachrichten kryptografisch und DMARC setzt Richtlinien durch und erstellt Berichte.
  • DMARC ist das einzige Protokoll, das Posteingängen mitteilt, wie mit fehlgeschlagenen Nachrichten zu verfahren ist, und Ihnen durch Berichte Transparenz verschafft.
  • Google, Yahoo, Microsoft und Apple verlangen von Massenversendern SPF, DKIM und DMARC; die Nichteinhaltung dieser Anforderungen führt zu Spam oder Ablehnung.
  • Alle drei werden als DNS-TXT-Einträge in den Einstellungen Ihrer Domain veröffentlicht.
  • Ohne E-Mail-Authentifizierung ist Ihre Domain dem Risiko von Identitätsdiebstahl, geringerer Zustellbarkeit und Compliance-Verstößen ausgesetzt.

SPF, DKIM und DMARC sind drei E-Mail-Authentifizierungsprotokolle, die zusammenarbeiten, um die Legitimität Ihrer E-Mails zu überprüfen, Ihre Marke vor Identitätsdiebstahl zu schützen und zu kontrollieren, was passiert, wenn eine Nachricht die Überprüfung nicht besteht.

Dies ist heute wichtiger denn je. Google, Yahoo, Apple und nun auch Microsoft verlangen von Absendern mit hohem Versandvolumen die Verwendung von SPF, DKIM und DMARC. Seit dem 5. Mai 2025 lehnt Microsoft E-Mails von Domänen, die mehr als 5.000 Nachrichten pro Tag an Outlook senden, von Domänen, die mehr als 5.000 Nachrichten pro Tag an Outlook senden. Die E-Mail-Authentifizierung ist nicht mehr optional.

Dieser Leitfaden erklärt, wie SPF, DKIM und DMARC funktionieren, warum Sie alle drei benötigen und wie Sie sie richtig implementieren.

Was sind SPF, DKIM und DMARC?

SPF (Sender Policy Framework)

SPF (Sender Policy Framework) ist ein E-Mail-Validierungsprotokoll, mit dem Domaininhaber eine Liste autorisierter E-Mail-Server definieren können, die E-Mails im Namen ihrer Domain versenden dürfen.

Stellen Sie sich das wie eine Gästeliste für Ihre Domain vor. Wenn ein Server nicht auf der Liste steht, weiß der empfangende Mailserver, dass etwas nicht stimmt. Das hilft dabei, E-Mail-Spoofing und stellt sicher, dass nur autorisierte Server E-Mails über eine bestimmte Domain versenden können.

SPF allein hat jedoch seine Grenzen. Es überprüft nicht den Inhalt der E-Mail und teilt dem empfangenden Server nicht mit, was zu tun ist, wenn eine Überprüfung fehlschlägt.

Hier kommen DKIM und DMARC ins Spiel.

Empfohlene Lektüre: DMARC vs. DKIM | Was ist besser für Sie und warum?

DKIM

DKIM (DomainKeys Identified Mail) ist eine E-Mail-Authentifizierungsmethode, bei der ausgehende E-Mails mit einer digitalen Signatur versehen werden, um die Authentizität und Integrität der Nachricht sicherzustellen.

Während SPF bestätigt, wer zum Senden berechtigt ist, bestätigt DKIM, dass die Nachricht nach dem Verlassen des Servers des Absenders nicht verändert wurde.

DKIM bietet eine wichtige Vertrauensbasis, verhindert E-Mail-Spoofing und garantiert die Integrität von Nachrichten. Aber wie SPF allein sagen auch DKIM-Einträge dem Empfängerserver nicht, welche Maßnahmen zu ergreifen sind, wenn die Überprüfung fehlschlägt. Dafür benötigen Sie DMARC.

Vereinfachen Sie die E-Mail-Authentifizierung mit PowerDMARC!

Im Gegensatz zu anderen Lösungen bietet PowerDMARC:

  • Echtzeit-Bedrohungsinformationen und automatisierte Richtlinienempfehlungen
  • Rund um die Uhr verfügbarer Support durch Experten und praktische Unterstützung bei der Bereitstellung
  • Umfassende Berichterstattung mit umsetzbaren Erkenntnissen
  • Nahtlose Integration in die bestehende E-Mail-Infrastruktur

 

Kostenlose 15-Tage-Testversion starten Meine Demo anfordern

Keine Kreditkarte erforderlich.

DMARC

DMARC (Domain-based Message Authentication, Reporting, and Conformance) ermöglicht es Domain-Inhabern, E-Mail-Empfängern Anweisungen zum Umgang mit nicht authentifizierten E-Mails zu geben, die von ihrer Domain gesendet werden.

Es kombiniert die Funktionen von SPF und DKIM und fügt zwei wichtige Funktionen hinzu, die keines der beiden Protokolle für sich allein bietet: Durchsetzung von Richtlinien und Berichterstellung.

Es ist das einzige Protokoll, das Posteingängen mitteilt, wie mit fehlgeschlagenen E-Mail-Nachrichten zu verfahren ist, und Ihnen durch Berichte Transparenz verschafft.

SPF vs. DKIM vs. DMARC: Die wichtigsten Unterschiede

Alle drei Protokolle spielen eine Rolle bei der E-Mail-Authentifizierung, aber jedes befasst sich mit einem anderen Teil des Puzzles. Hier ist ein Vergleich nebeneinander.

MerkmalSPFDKIMDMARC
ZweckLegt fest, welche Server E-Mails für Ihre Domain versenden dürfen.Überprüft die Integrität der E-Mail und die Authentizität des Absenders mithilfe einer digitalen Signatur.Setzt Authentifizierungsrichtlinien durch und stellt Berichte bereit
Wie es funktioniertÜberprüft die sendende IP-Adresse anhand einer Liste autorisierter Absender im DNS.Verwendet asymmetrische Kryptografie, um ausgehende E-Mails mit einem privaten Schlüssel zu signieren; Empfänger überprüfen dies mit einem öffentlichen Schlüssel im DNS.Überprüft, ob SPF oder DKIM erfolgreich sind und mit der Absenderdomain übereinstimmen; wendet eine Richtlinie auf fehlgeschlagene E-Mails an.
DNS-EintragstypTXT-EintragTXT-Eintrag (öffentlicher Schlüssel)TXT-Eintrag
Was es überprüftReturn-Path-Domäne und IP-Adresse des sendenden ServersDKIM-Signatur-HeaderAus Adressabgleich mit SPF und/oder DKIM
Durchsetzung der PolitikNeinNeinJa (keine, Quarantäne, ablehnen)
BerichterstattungNeinNeinJa (Gesamt- und forensische Berichte)
Verhindert es allein Spoofing?TeilweiseTeilweiseJa, in Kombination mit SPF und DKIM

Sehen Sie sich dieses Video an, um mehr zu erfahren:

SPF, DKIM und DMARC-Protokolle erklärt

Wie SPF, DKIM und DMARC zusammenwirken

SPF, DKIM und DMARC dienen jeweils einem anderen Zweck, und Sie benötigen alle drei, um Ihre Domain vollständig vor Spoofing, Phishing und Identitätsdiebstahl zu schützen. So funktioniert der Authentifizierungsablauf, wenn eine E-Mail im Posteingang einer Person landet:

  1. SPF-Prüfung: Der empfangende Server überprüft die sendende IP-Adresse und gleicht sie mit den autorisierten Absendern ab, die im SPF-Eintrag der Domain aufgeführt sind. Wenn die IP-Adresse in der Liste enthalten ist, wird die SPF-Prüfung bestanden.
  2. DKIM-Prüfung: Der empfangende Server überprüft den DKIM-Signature-Header der E-Mail und ruft den öffentlichen Schlüssel aus dem DNS des Absenders ab. Wenn die Signatur gültig ist und die Nachricht nicht verändert wurde, ist die DKIM-Prüfung erfolgreich.
  3. DMARC-Bewertung: DMARC überprüft dann, ob mindestens eines dieser Protokolle (SPF oder DKIM) bestanden hat und ob die bei dieser Überprüfung verwendete Domain mit der Domain in der Absenderadresse übereinstimmt. Wenn die Übereinstimmung erfolgreich ist, wird die E-Mail normal zugestellt. Wenn sie fehlschlägt, wendet DMARC die vom Domaininhaber festgelegte Richtlinie an (none, quarantine oder reject).
  4. Berichterstattung: Unabhängig vom Ergebnis sendet DMARC Berichte mit Details zu Authentifizierungsergebnissen, Absenderquellen und etwaigen Spoofing-Versuchen an den Domaininhaber zurück.

Ohne DMARC könnte eine gefälschte E-Mail SPF passieren (wenn der Angreifer eine andere Return-Path-Domain verwendet) oder DKIM umgehen (wenn die Nachricht nicht signiert ist). DMARC schließt diese Lücken, indem es eine Übereinstimmung zwischen den Authentifizierungsergebnissen und der sichtbaren Absenderadresse verlangt.

Empfohlene Lektüre: Warum versagt DMARC? Häufige Ursachen und Lösungen

So richten Sie SPF, DKIM und DMARC ein

Die Einrichtung aller drei Protokolle mag technisch klingen, aber der Vorgang ist ganz einfach, sobald Sie wissen, was wo hingehört. Um SPF, DKIM und DMARC zu implementieren, benötigen Sie Zugriff auf die Einstellungen Ihres Domain-DNS-Anbieters.

Schritt 1: SPF einrichten

Ein SPF-Eintrag wird als TXT-Eintrag im DNS Ihrer Domain veröffentlicht. Ihr SPF-Eintrag teilt den empfangenden Servern mit, welche IP-Adressen und Mailserver berechtigt sind, E-Mails im Namen Ihrer Domain zu versenden.

So erstellen Sie Ihren SPF-Eintrag:

  1. Identifizieren Sie alle Server und Dienste, die E-Mails für Ihre Domain versenden (Ihren Mailserver, Marketingplattformen, CRM-Tools usw.).
  2. Erstellen Sie einen TXT-Eintrag in Ihrem DNS mit den autorisierten Absenderquellen.
  3. Veröffentlichen Sie den Datensatz und testen Sie ihn, um sicherzustellen, dass er die SPF-Prüfungen besteht.

Ein SPF-Eintrag sieht in etwa so aus:

v=spf1 include:_spf.google.com include:sendgrid.net -all

Dieses Beispiel autorisiert Google und SendGrid zum Versenden von E-Mails für die Domain und weist die Empfänger an, alle anderen Quellen abzulehnen.

Schritt 2: DKIM einrichten

DKIM erfordert die Veröffentlichung eines öffentlichen Schlüssels im DNS des Absenders, um die digitale Signatur in ausgehenden E-Mails zu überprüfen.

Um DKIM einrichten:

  1. Generieren Sie ein DKIM-Schlüsselpaar (öffentlicher und privater Schlüssel) über Ihren E-Mail-Dienstanbieter oder Mailserver.
  2. Fügen Sie den öffentlichen Schlüssel als TXT-Eintrag in die DNS Ihrer Domain ein.
  3. Konfigurieren Sie Ihren E-Mail-Server oder -Anbieter so, dass ausgehende Nachrichten mit dem privaten Schlüssel signiert werden.
  4. Testen Sie, indem Sie eine E-Mail senden und die Kopfzeilen überprüfen, um sicherzustellen, dass die DKIM-Signatur vorhanden und gültig ist.

Schritt 3: DMARC einrichten

Die DMARC-Einträge werden ebenfalls als TXT-Einträge im DNS Ihrer Domain gespeichert. Um DMARC einzurichten, müssen Sie eine Richtlinie definieren, die den empfangenden Servern mitteilt, wie sie mit E-Mails umgehen sollen, die die SPF- und DKIM-Prüfungen nicht bestehen.

Um Erstellen Ihres DMARC-Eintrags:

  1. Beginnen Sie mit einer Richtlinie von p=none , um Ihren E-Mail-Verkehr zu überwachen, ohne die Zustellbarkeit zu beeinträchtigen.
  2. Fügen Sie eine Berichtsadresse hinzu, damit Sie Sammelberichte über Authentifizierungsergebnisse erhalten können.
  3. Veröffentlichen Sie den DMARC-Eintrag in Ihrem DNS.
  4. Überprüfen Sie Ihre Berichte regelmäßig, und sobald Sie sicher sind, dass Ihre legitimen E-Mails durchkommen, wechseln Sie zu p=Quarantäne und schließlich p=reject.

Ein grundlegender DMARC-Eintrag sieht wie folgt aus:

v=DMARC1; p=none; rua=mailto:[email protected];

Schritt 4: Überprüfen Sie Ihre Einrichtung

Sie können überprüfen, ob eine E-Mail die SPF-, DKIM- und DMARC-Prüfungen bestanden hat, indem Sie sich die E-Mail-Header ansehen. Senden Sie eine Test-E-Mail und überprüfen Sie den Authentication-Results-Header, um sicherzustellen, dass alle drei Protokolle bestanden wurden.

Die kostenlosen Tools von PowerDMARC machen dies noch einfacher. Sie können den DMARC Generator, SPF-Generatorund den DKIM Generator , um Ihre Datensätze mit einem Klick zu erstellen, und das Berichts-Dashboard der Plattform bietet Ihnen vollständige Transparenz über Ihren Authentifizierungsstatus.

Hier erfahren Sie, warum mehr als 10.000 Kunden der Plattform von PowerDMARC vertrauen

  • Deutlicher Rückgang von Spoofing-Versuchen und unerwünschten E-Mails durch KI-gestützte Bedrohungsinformationen
  • Schnellere Einarbeitung + automatisierte Authentifizierungsverwaltung, die IT-Teams viel Zeit spart
  • Echtzeit-Bedrohungsinformationen und PGP-verschlüsselte Berichterstattung domänenübergreifend
  • Bessere E-Mail-Zustellungsraten dank strikter DMARC-Durchsetzung unter fachkundiger Anleitung

Die ersten 15 Tage gehen auf unsere Kosten.

Kostenlose Testversion starten

Was passiert, wenn Sie SPF, DKIM und DMARC nicht implementieren?

Das Überspringen der E-Mail-Authentifizierung mag harmlos erscheinen, bis sich die Konsequenzen häufen. Hier erfahren Sie, was auf dem Spiel steht, wenn Sie Ihre Domain ungeschützt lassen.

Beschädigte Absenderreputation

Die Nichtimplementierung einer E-Mail-Authentifizierung kann aufgrund der erhöhten Anfälligkeit für Phishing-Angriffe zu einer Schädigung des Markenrufs führen.

Wenn Angreifer Ihre Domain fälschen und betrügerische E-Mails an Ihre Kunden, Partner oder Mitarbeiter senden, schwindet das Vertrauen, das Sie bei Ihrer Zielgruppe aufgebaut haben, schnell. Selbst wenn Sie für den Angriff nicht verantwortlich sind, bringen die Empfänger den Phishing-Versuch mit Ihrer Marke in Verbindung.

Geringere E-Mail-Zustellbarkeit

Ohne E-Mail-Authentifizierung können legitime E-Mails als Spam markiert werden, was zu einer geringeren Zustellrate führt.

Viele E-Mail-Dienstleister verlangen mittlerweile die Einrichtung von DKIM und DMARC, um eine erfolgreiche Zustellung von E-Mails zu gewährleisten. Wenn Ihre E-Mails regelmäßig im Spam-Ordner landen, sinken Ihre Öffnungsraten, Ihre Marketingbemühungen leiden darunter und wichtige Transaktions-E-Mails erreichen möglicherweise nie die vorgesehenen Empfänger.

Finanzielle Verluste und Probleme mit dem Kundenvertrauen

Wenn Sie keine E-Mail-Authentifizierung implementieren, können Angreifer Ihre Domain missbrauchen, was zu finanziellen Verlusten und Vertrauensproblemen bei Ihren Kunden führen kann.

Bei Business Email Compromise (BEC)-Angriffen gibt sich ein Angreifer als Führungskraft oder Lieferant aus, was zu betrügerischen Überweisungen, gestohlenen Zugangsdaten und rechtlicher Haftung führen kann.

Sichtverlust

Wenn Sie keine E-Mail-Authentifizierung verwenden, kann dies zu einem Verlust der Transparenz hinsichtlich der E-Mail-Leistung und -Sicherheit führen, wodurch es schwierig wird, die unbefugte Nutzung Ihrer Domain zu erkennen.

Ohne DMARC-Berichte haben Sie keine Möglichkeit zu erfahren, wer in Ihrem Namen E-Mails versendet, ob Ihre legitime E-Mails korrekt authentifiziert werden oder ob Angreifer aktiv Ihre Domain fälschen.

SPF, DKIM und DMARC – Best Practices

Die Veröffentlichung Ihrer Datensätze ist nur der Anfang. Um SPF, DKIM und DMARC optimal zu nutzen, befolgen Sie diese Best Practices, damit Ihre E-Mail-Authentifizierung langfristig sicher bleibt.

Beginnen Sie mit DMARC bei p=none und steigern Sie sich schrittweise.

Wenn Sie DMARC zum ersten Mal implementieren, beginnen Sie mit einer Richtlinie von p=none , damit Sie Ihren E-Mail-Verkehr überwachen und alle legitimen Absender identifizieren können.

Sobald Sie sicher sind, dass alles ordnungsgemäß authentifiziert ist, fahren Sie mit p=quarantine und dann p=reject , um vollständigen Schutz zu gewährleisten.

Halten Sie Ihre SPF-Aufzeichnungen auf dem neuesten Stand

Jedes Mal, wenn Sie einen E-Mail-Dienst hinzufügen oder entfernen (eine neue Marketingplattform, ein CRM-System, ein Helpdesk-Tool usw.), aktualisieren Sie Ihren SPF-Eintrag, um die Änderung widerzuspiegeln.

Ein veralteter SPF-Eintrag kann dazu führen, dass legitime E-Mails die Authentifizierung nicht bestehen.

Drehen Sie Ihre DKIM-Schlüssel regelmäßig

Durch regelmäßiges Rotieren Ihrer DKIM-Schlüssel verringern Sie das Risiko einer Kompromittierung der Schlüssel. Die meisten Sicherheitsexperten empfehlen, die Schlüssel mindestens ein- bis zweimal pro Jahr zu rotieren.

Verwenden Sie eine Plattform, um die Verwaltung zu vereinfachen.

Die Verwaltung von SPF, DKIM und DMARC über mehrere Domänen und Absenderquellen hinweg kann schnell komplex werden.

Eine Plattform wie PowerDMARC konsolidiert alles in einem einzigen Dashboard mit gehostetem Datensatzmanagement, lesbaren Berichten und Echtzeit-Warnmeldungen, sodass Sie Ihre Authentifizierungsstatus ohne manuelle DNS-Bearbeitung im Blick behalten können.

Sichern Sie Ihre Domain zuverlässig mit PowerDMARC

Als Ihr vertrauenswürdiger Partner für E-Mail-Sicherheit empfehlen wir jedem Unternehmen die Implementierung von SPF, DKIM und DMARC. Diese Protokolle bilden das Rückgrat des modernen E-Mail-Schutzes und helfen Ihnen, Cyber-Bedrohungen einen Schritt voraus zu sein und das Vertrauen bei jeder versendeten Nachricht aufrechtzuerhalten.

Aufgrund unserer langjährigen Erfahrung in der Unterstützung von Unternehmen bei der Sicherung ihrer E-Mail-Infrastruktur empfiehlt unser Team bei PowerDMARC einen schrittweisen Ansatz für die Implementierung.

Beginnen Sie mit der Überwachung, analysieren Sie die Daten und setzen Sie dann nach und nach strengere Richtlinien durch, sobald Sie Vertrauen in Ihre Konfiguration gewonnen haben.

Um die Überwachung, Berichterstellung und kontinuierliche Optimierung zu vereinfachen, vereint PowerDMARC die Verwaltung von SPF, DKIM und DMARC auf einer einzigen Plattform. Dank Echtzeit-Transparenz, geführter Richtlinienumsetzung und automatisierten Einblicken entfällt ein Großteil des manuellen Aufwands, sodass Teams eine sichere und zuverlässige E-Mail-Authentifizierung einrichten können.

Starten Sie eine kostenlose 15-tägige Testversion , um Ihren Domainschutz zu stärken.

Häufig gestellte Fragen (FAQs)

1. Was ist der Unterschied zwischen SPF, DKIM und DMARC?

SPF überprüft, ob E-Mails von autorisierten IP-Adressen stammen, DKIM stellt mithilfe digitaler Signaturen sicher, dass der Inhalt der E-Mail nicht manipuliert wurde, und DMARC sorgt auf der Grundlage von SPF und DKIM für die Durchsetzung von Richtlinien und die Berichterstellung. Stellen Sie sich SPF als Überprüfung der Absenderadresse der E-Mail vor, DKIM als Überprüfung der Integrität der Nachricht und DMARC als die allgemeine Sicherheitsrichtlinie, die festlegt, was zu tun ist, wenn die Überprüfungen fehlschlagen.

2. Benötige ich sowohl SPF als auch DKIM für meine Domain?

Sie können SPF oder DKIM zwar einzeln implementieren, doch die kombinierte Verwendung beider Verfahren bietet einen deutlich stärkeren Schutz. SPF kann bei der Weiterleitung von E-Mails versagen, und DKIM allein überprüft nicht die Absendeinfrastruktur. Für maximale Sicherheit und DMARC-Konformität sollten Sie sowohl SPF als auch DKIM implementieren und dann DMARC für die Durchsetzung von Richtlinien und die Berichterstellung hinzufügen.

3. Wie kann ich überprüfen, ob meine SPF-, DKIM- und DMARC-Einträge funktionieren?

Verwenden Sie DNS-Lookup-Tools, um zu überprüfen, ob Datensätze vorhanden sind, senden Sie Test-E-Mails und überprüfen Sie die Header auf Ergebnisse der Domänenauthentifizierung, analysieren Sie DMARC-Berichte auf Fehler und verwenden Sie Online-Validatoren wie die kostenlosen Tools von PowerDMARC. Eine regelmäßige Überwachung durch DMARC-Berichte ist der umfassendste Weg, um einen kontinuierlichen Schutz zu gewährleisten.

4. Beeinflussen SPF, DKIM oder DMARC, wie meine E-Mails für die Empfänger aussehen?

Nein. Diese Protokolle arbeiten im Hintergrund und ändern weder das Erscheinungsbild noch den Inhalt oder das Layout Ihrer E-Mails. Die Empfänger sehen die SPF-, DKIM- oder DMARC-Ergebnisse nicht direkt. Ordnungsgemäß authentifizierte E-Mails werden jedoch seltener als Spam markiert, was die Platzierung im Posteingang und das allgemeine Vertrauen verbessert.

5. Wie oft sollte ich meine SPF-, DKIM- und DMARC-Einträge überprüfen oder aktualisieren?

Sie sollten Ihre Einträge immer dann überprüfen, wenn Sie E-Mail-Versanddienste hinzufügen oder entfernen, sowie im Rahmen der regelmäßigen Wartung. SPF-Einträge müssen häufig aktualisiert werden, wenn neue Tools oder Anbieter eingeführt werden. DKIM-Schlüssel sollten aus Sicherheitsgründen regelmäßig rotiert werden. DMARC-Berichte sollten regelmäßig überprüft werden, um Probleme frühzeitig zu erkennen und die Durchsetzung von Richtlinien zu steuern.

Neueste Beiträge von Ahona Rudra (alle anzeigen)
Zuletzt aktualisiert:
So richten Sie DKIM ein: Klare Schritte, die Sie noch heute befolgen könnendkim-setupSPF Permerror - SPF Zu viele DNS-LookupsSPF Permerror: So beheben Sie zu viele DNS-Lookups