SPF, DKIM, DMARC: Was sie sind und warum sie wichtig sind

Die E-Mail-Authentifizierung hilft empfangenden Mail-Servern dabei, legitime Nachrichten von gefälschten zu unterscheiden, und spielt eine zentrale Rolle beim Schutz von Unternehmen vor Spoofing-, Phishing- und Identitätsdiebstahl-Angriffen.

Authentifizierungsprotokolle dienen dazu, Vertrauen zwischen sendenden und empfangenden Servern herzustellen. Anstatt sich ausschließlich darauf zu verlassen, wie eine E-Mail für einen Benutzer aussieht, ermöglichen diese Protokolle den E-Mail-Anbietern, technische Signale im Hintergrund zu überprüfen und zu entscheiden, ob eine Nachricht zugestellt, markiert oder blockiert werden soll. Ohne Authentifizierung können Angreifer vertrauenswürdige Domainnamen leicht missbrauchen, um betrügerische E-Mails zu versenden, die legitim erscheinen.

Drei Protokolle bilden die Grundlage der modernen E-Mail-Authentifizierung: SPF, DKIM und DMARC. Sie helfen Unternehmen dabei, ihre Domains zu schützen, das Vertrauen in E-Mails zu stärken und das Risiko von E-Mail-basierten Angriffen zu verringern.

Was sind SPF, DKIM und DMARC?

SPF, DKIM und DMARC sind die drei wichtigsten E-Mail-Authentifizierungsprotokolle. Zusammen verhindern SPF, DMARC und DKIM, dass unbefugte Quellen Ihre Domain nutzen, um betrügerische E-Mails an Ihre potenziellen Kunden, Kunden, Mitarbeiter, Drittanbieter, Stakeholder usw. zu versenden. SPF und DKIM helfen dabei, die Legitimität der E-Mail nachzuweisen, während DMARC den E-Mail-Server des Empfängers anweist, wie mit E-Mails zu verfahren ist, die die Authentifizierungsprüfung nicht bestehen.

• Sender Policy Framework (SPF): Überprüft die IP-Adresse des Absenders, um sicherzustellen, dass dieser berechtigt ist, E-Mails im Namen Ihrer Domäne zu versenden.
• Domain Keys Identified Mail (DKIM): Fügt E-Mails eine digitale Signatur hinzu, um die Identität des Absenders zu überprüfen und Manipulationen der Nachrichten zu verhindern.
• Domänenbasierte Nachrichtenauthentifizierung, Berichterstattung und Konformität (DMARC): Bietet einen Richtlinienrahmen zur Durchsetzung von SPF- und DKIM-Prüfungen und zur Erstellung von Berichten über E-Mail-Authentifizierungsergebnisse.

Die Rolle von SPF, DKIM und DMARC

Die E-Mail-Authentifizierung ist wichtig für den Schutz Ihrer Marke vor E-Mail-basierten Cyberangriffen, die mit Phishing- und Impersonationstechniken versucht werden. Die E-Mail-Authentifizierung beruht in erster Linie auf den Protokollen SPF, DKIM und DMARC sowie auf zusätzlichen Protokollen wie MTA-STS, BIMI und ARC, die Ihre Sicherheit noch weiter verbessern können! Im Folgenden erfahren Sie, warum Sie diese implementieren sollten:

• Sie stellen sicher, dass Ihr Domänenname nicht gefälscht und missbraucht werden kann.
• Sie helfen Ihnen, Phishing-, Spamming-, Ransomware-Angriffe usw. zu verhindern, die im Namen Ihres Unternehmens geplant und durchgeführt werden.
• Sie verbessern die E-Mail-Zustellbarkeitsrate Ihrer Domain. Eine schlechte E-Mail-Zustellbarkeitsrate wirkt sich auf die interne Kommunikation sowie auf Marketing- und PR-Kampagnen aus, Kundenbindungsrateusw.

Vereinfachen Sie die E-Mail-Authentifizierung mit PowerDMARC!

Wo können Sie eine SPF-, DKIM- und DMARC-Prüfung durchführen?

SPF-, DKIM- und DMARC-Kontrollen können durchgeführt werden, indem überprüft wird, ob die Einträge in Ihrem Domain Name System (DNS) gespeichert sind. Das DNS wird gemeinhin als das Telefonbuch des Internets bezeichnet, das Domänennamen in die entsprechenden IP-Adressen umwandelt. Das DNS wird als Datenbank für die Speicherung der Informationen Ihrer Domäne in Form von DNS-Einträgen verwendet. 

Eine SPF-, DKIM- und DMARC-Prüfung dient der Überprüfung vorhandener DNS-Einträge, die Sie veröffentlichen und in Ihrem DNS speichern können. Bei der Überprüfung der E-Mail-Authentifizierung fragen die empfangenden MTAs Ihr DNS ab, um diese Einträge zu prüfen und auf der Grundlage der darin definierten Anweisungen oder Informationen Maßnahmen zu ergreifen. Mit dem kostenlosen SPF-Record-Checker, DKIM-Record-Checker und DMARC-Record-Checker von PowerDMARC können Sie sofort feststellen, ob Ihr DNS diese Einträge enthält!

Wie richtet man SPF, DKIM und DMARC ein?

Befolgen Sie diese Anweisungen, um SPF, DKIM und DMARC zum Schutz Ihrer Domain und Ihrer E-Mails einzurichten.

1. Erstellen Sie einen SPF DNS-Eintrag.
2. Erstellen Sie Ihren öffentlichen DKIM-Schlüssel.
3. Erstellen Sie Ihre DMARC-Richtlinie DMARC-Berichte erfassen und aktivieren
4. Richten Sie eine spezielle Mailbox ein, um Ihre DMARC-Berichte zu erhalten, oder verwenden Sie eine Plattform zur Analyse von DMARC-Berichten.
5. Veröffentlichen Sie Ihre SPF-, DKIM- und DMARC-Einträge im DNS.

Was ist SPF?

Sender Policy Framework oder SPF ist ein E-Mail-Authentifizierungsprotokoll, bei dem Domänenbesitzer alle Server eintragen, die E-Mails über ihre Domäne versenden dürfen. Dies geschieht durch die Erstellung eines TXT SPF-Eintrag der im DNS veröffentlicht wird. Wenn die IP-Adresse eines Absenders nicht auf der Liste steht, schlägt die Authentifizierung fehl, und die E-Mail wird möglicherweise als Spam oder verdächtig eingestuft. SPF hat jedoch einige Beschränkungen: Es bricht zusammen, wenn eine Nachricht weitergeleitet wird oder das Limit von 10 DNS-Lookups überschritten wird.

Wenn Sie bereits einen SPF-Eintrag haben, können Sie unseren SPF-Datensatz-Prüfung verwenden, um sicherzustellen, dass er fehlerfrei ist.

Einrichten von SPF 

1. Identifizieren Sie alle Ihre E-Mail-Versandquellen (einschließlich Drittanbieter).
2. Erstellen Sie einen SPF-Eintrag mit einem kostenlosen SPF-Generator Werkzeug. Der Eintrag sollte alle Ihre Sendequellen autorisieren.
3. Kopieren Sie die Satzsyntax.
4. Melden Sie sich bei Ihrer DNS-Verwaltungskonsole an.
5. .fügen Sie den Eintrag in Ihren DNS-Eintragsbereich unter dem Ressourcentyp "TXT" ein.

Warten Sie ein paar Stunden, bis die Änderungen umgesetzt sind. Sobald dies geschehen ist, können Sie unsere SPF-Eintrag nachschlagen Werkzeug verwenden, um einen fehlerfreien Datensatz sicherzustellen.

Häufige Herausforderungen mit SPF

Wenn man sich mit den Herausforderungen von SPF, DKIM und DMARC befasst, sollte man wissen, dass es einige allgemeine Herausforderungen gibt, denen sich Domaininhaber speziell bei der Implementierung von SPF gegenübersehen. Diese sind wie folgt: 

• Das Überschreiten des DNS-Lookup-Limits von 10 bricht SPF
• Das Überschreiten des Limits von 2 ungültigen Lookups kann SPF zerstören.
• SPF-Datensätze sind auf eine Länge von 255 Zeichen begrenzt. 
• SPF schlägt bei weitergeleiteten Nachrichten fehl 

Um diese Fehler zu beheben, sollten die SPF-Datensätze mit Makros optimiert werden, um unter den festgelegten Grenzen zu bleiben. Die Kombination von SPF mit DKIM und DMARC gewährleistet außerdem eine reibungslosere Authentifizierung und Zustellbarkeit.

Was ist DKIM?

DomainKeys Identified Mail oder DKIM ermöglicht es Domänenbesitzern, E-Mails, die von ihrer Domäne gesendet werden, automatisch zu signieren. DKIM funktioniert ähnlich wie die Unterzeichnung von Bankschecks, um deren Echtheit zu bestätigen. DKIM-Signaturen sorgen dafür, dass der Inhalt Ihrer E-Mails sicher und während des Zustellungsvorgangs unverändert bleibt.

Dabei wird ein öffentlicher Schlüssel in einem DKIM-DNS-Eintrag gespeichert. Der empfangende E-Mail-Server kann auf diesen Eintrag zugreifen, um den öffentlichen Schlüssel zu erhalten. Auf der anderen Seite gibt es einen privaten Schlüssel, der vom Absender geheim gehalten wird und mit dem er die Kopfzeile der E-Mail signiert. Die empfangenden Mailserver überprüfen den privaten Schlüssel des Absenders, indem sie ihn mit dem leicht zugänglichen öffentlichen Schlüssel vergleichen.

Einrichten von DKIM 

1. Sie können DKIM ganz einfach einrichten, indem Sie mit dem kostenlosen DKIM-Datensatzgenerator von PowerDMARC einen DKIM-Datensatz erstellen. DKIM-Datensatzgenerator. 
2. Geben Sie Ihren Domainnamen in die Toolbox ein und klicken Sie auf die Schaltfläche DKIM-Eintrag generieren Schaltfläche.
3. Sie erhalten ein Paar von privaten und öffentlichen DKIM-Schlüsseln. 
4. Veröffentlichen Sie den öffentlichen Schlüssel im DNS Ihrer Domäne.
5. Konfigurieren Sie Ihren E-Mail-Server so, dass er den privaten DKIM-Schlüssel verwendet, um die Kopfzeilen aller ausgehenden E-Mails zu signieren. Dieser Signierungsprozess fügt jeder E-Mail eine DKIM-Signatur hinzu, die von den Mailservern der Empfänger anhand des entsprechenden öffentlichen DKIM-Schlüssels, der in Ihrem DNS veröffentlicht ist, überprüft wird. Achten Sie darauf, Ihren privaten Schlüssel sicher aufzubewahren und ihn nicht zu veröffentlichen oder weiterzugeben. 

Überprüfen Sie schließlich Ihren öffentlichen DKIM-Schlüssel mit einer DKIM-Überprüfung Tool, um sicherzustellen, dass er korrekt ist.

Vorteile von DKIM

Bei der Hinzufügung der SPF-, DKIM- und DMARC-Authentifizierung bietet DKIM mehrere Vorteile für die E-Mail-Authentifizierung:

• DKIM authentifiziert weitergeleitete Nachrichten in den meisten Fällen ordnungsgemäß. 
• DKIM verhindert, dass Cyber-Angreifer den Inhalt von E-Mails verändern.
• Mit DKIM kann jede Domäne ihre eigenen Schlüsselpaare aus öffentlichem und privatem Schlüssel unabhängig voneinander verwalten, wodurch Unternehmen eine genauere Kontrolle über ihre E-Mail-Sicherheit erhalten.

Wie SPF, DKIM und DMARC zusammenwirken

SPF, DKIM und DMARC sind so konzipiert, dass sie als koordiniertes System (und nicht als eigenständige Schutzmaßnahmen) funktionieren. Während jedes Protokoll einen anderen Teil des E-Mail-Authentifizierungsprozesses abdeckt, bieten sie zusammen eine umfassendere und zuverlässigere Möglichkeit, legitime E-Mails zu überprüfen und Identitätsdiebstahlversuche zu blockieren.

SPF konzentriert sich auf die sendende Infrastruktur, indem es bestätigt, dass eine E-Mail von einem autorisierten Server stammt. DKIM schützt die Nachricht selbst, indem es überprüft, ob der Inhalt während der Zustellung nicht verändert wurde. DMARC führt diese Überprüfungen zusammen, indem es definiert, wie empfangende Mailserver SPF- und DKIM-Ergebnisse auswerten sollen und welche Maßnahmen bei einer fehlgeschlagenen Authentifizierung zu ergreifen sind. Außerdem sorgt es durch Berichterstellung für mehr Transparenz, sodass Domain-Inhaber die Authentifizierungsergebnisse ihres gesamten E-Mail-Verkehrs überwachen können.

Wenn alle drei Protokolle richtig aufeinander abgestimmt sind, arbeiten sie auf dasselbe Ziel hin: den Aufbau von Vertrauen zwischen sendenden und empfangenden Servern. Diese gemeinsame Grundlage schließt die Lücken, die Angreifer oft ausnutzen, wenn nur eine oder zwei Überprüfungen vorhanden sind, wodurch Spoofing und Phishing wesentlich schwieriger werden.

Für Mailbox-Anbieter vereinfacht diese Angleichung ebenfalls die Arbeit. Sie erhalten klarere, einheitlichere Signale darüber, welche Nachrichten legitim sind, was zu besseren Filterentscheidungen und einer zuverlässigeren Zustellung der vertrauenswürdigen E-Mails führt.

Die kombinierte Verwendung von SPF, DKIM und DMARC sorgt außerdem für eine bessere Platzierung im Posteingang. Authentifizierte E-Mails werden eher wie beabsichtigt zugestellt als markiert oder blockiert, was zu einer konsistenten Kommunikation mit Kunden, Mitarbeitern und Partnern beiträgt. Mit der Zeit stärkt diese Konsistenz das Vertrauen in die Marke, da die Empfänger weniger betrügerische Nachrichten sehen, die Ihre Domain missbrauchen, und mehr zuverlässige Zustellungen legitimer E-Mails.

Häufig zu vermeidende Fehler

Selbst gut gemeinte E-Mail-Authentifizierungskonfigurationen können versagen, wenn wichtige Details übersehen werden. Kleine Konfigurationsprobleme oder mangelnde Nachverfolgung können SPF, DKIM und DMARC mit der Zeit schwächen und Domains für Spoofing und Zustellungsprobleme anfällig machen. Wenn Sie sich dieser häufigen Fehler bewusst sind, können Sie sicherstellen, dass Ihre Authentifizierungsstrategie effektiv und widerstandsfähig bleibt.

Übermäßig lange SPF-Einträge

SPF-Einträge können mit der Zeit zu komplex werden, wenn Unternehmen immer mehr Versanddienste hinzufügen. Übermäßige Mechanismen und verschachtelte Include-Anweisungen erhöhen die Anzahl der DNS-Lookups und können die Protokollgrenzen überschreiten, wodurch legitime E-Mails die SPF-Prüfung nicht bestehen. 

Die regelmäßige Überprüfung der autorisierten Absender, das Löschen nicht mehr genutzter Dienste und die Straffung der Datensatzstruktur tragen dazu bei, dass SPF-Prüfungen langfristig konsistent und zuverlässig bleiben.

Fehlende DKIM-Einträge oder seltene Schlüsselrotation

Wenn DKIM-Einträge fehlen, haben empfangende Server keine Möglichkeit zu überprüfen, ob eine Nachricht verändert wurde, wodurch die Authentifizierung unvollständig bleibt, selbst wenn andere Prüfungen erfolgreich sind. Und wenn DKIM-Schlüssel nicht oft genug rotiert werden, wird die Sicherheit langsam geschwächt, wodurch sich die Lebensdauer der kryptografischen Schlüssel verlängert und Angreifern mehr Zeit bleibt, sie auszunutzen.

Durch die Aktivierung von DKIM für jede aktive Absenderdomain und die regelmäßige Rotation von Schlüsseln lassen sich diese Lücken schließen. Dies stärkt die Integrität der Nachrichten, verschärft die Authentifizierung und reduziert langfristige Risiken auf eine Weise, die leicht übersehen wird, bis etwas schiefgeht.

DMARC-Richtlinien zu lange auf „none“ belassen

Eine auf p=none festgelegte DMARC-Richtlinie überwacht lediglich den E-Mail-Verkehr und blockiert oder isoliert nicht authentifizierte Nachrichten nicht. Diese Richtlinie ist zwar während der ersten Bereitstellung nützlich, doch wenn sie unverändert bleibt, verzögert sich der tatsächliche Schutz. 

Durch die schrittweise Umstellung auf p=quarantine und anschließend p=reject können Domaininhaber Spoofing aktiv verhindern, sobald die Authentifizierungsdaten überprüft wurden.

Mangelnde Überwachung von Authentifizierungsberichten

Wenn DMARC-Berichte nicht überprüft werden, ist nur eingeschränkt ersichtlich, wie E-Mails authentifiziert werden und wo Fehler auftreten. Ohne Überwachung können Fehlkonfigurationen und nicht autorisierte Absender unbemerkt bleiben. 

Die regelmäßige Analyse von Berichten hilft dabei, Probleme frühzeitig zu erkennen und sicherzustellen, dass SPF, DKIM und DMARC mit den aktuellen E-Mail-Aktivitäten übereinstimmen.

Zusammenfassung

Sobald Sie diese Sicherheitsprotokolle für Ihre Domain eingerichtet haben, müssen Sie damit beginnen, Ihre Berichte zu überwachen, um verdächtige Aktivitäten zu erkennen. Wenn Sie diese Protokolle richtig konfigurieren und verwalten, können Sie die Sicherheit und Zustellbarkeit Ihrer Domäne erheblich verbessern. 

Denken Sie daran, dass diese Authentifizierungsprotokolle zusammen das Phishing-Risiko verringern können, aber sie schützen nicht vor jeglicher E-Mail-basierter Cyberkriminalität. Daher ist es wichtig, die Mitarbeiter entsprechend zu schulen und zu sensibilisieren.

Um die Überwachung, Berichterstellung und kontinuierliche Optimierung zu vereinfachen, vereint PowerDMARC die Verwaltung von SPF, DKIM und DMARC auf einer einzigen Plattform. Dank Echtzeit-Transparenz, geführter Richtlinienumsetzung und automatisierten Einblicken entfällt ein Großteil des manuellen Aufwands, sodass Teams eine sichere und zuverlässige E-Mail-Authentifizierung einrichten können.

Starten Sie eine kostenlose 15-tägige Testversion oder eine Demo buchen , um Ihren Domain-Schutz zu stärken und die Vertrauenswürdigkeit Ihrer E-Mail-Kommunikation zu gewährleisten.

Häufig gestellte Fragen (FAQs)

Was passiert, wenn ich nur SPF einrichte und DKIM oder DMARC überspringe?

Die Einrichtung von SPF allein reicht nicht aus. Damit lässt sich zwar überprüfen, ob ein sendender Server autorisiert ist, aber die sichtbare Absenderadresse wird dadurch nicht geschützt und es wird auch nicht verhindert, dass eine Nachricht während der Übertragung verändert wird. Ohne DKIM und DMARC können gefälschte E-Mails weiterhin in den Posteingang gelangen, und die empfangenden Server erhalten keine klaren Anweisungen, was zu tun ist, wenn die Authentifizierung fehlschlägt.

Deshalb sind diese Protokolle darauf ausgelegt, zusammenzuarbeiten. Wenn SPF, DKIM und DMARC aufeinander abgestimmt sind, erhalten Sie einen stärkeren und zuverlässigeren Schutz.

Beeinflussen SPF, DKIM oder DMARC, wie meine E-Mails für die Empfänger aussehen?

Nein. Diese Protokolle arbeiten im Hintergrund und ändern weder das Erscheinungsbild noch den Inhalt oder das Layout Ihrer E-Mails. Die Empfänger sehen die SPF-, DKIM- oder DMARC-Ergebnisse nicht direkt. Ordnungsgemäß authentifizierte E-Mails werden jedoch seltener als Spam markiert, was die Platzierung im Posteingang und das allgemeine Vertrauen verbessert.

Wie oft sollte ich meine SPF-, DKIM- und DMARC-Einträge überprüfen oder aktualisieren?

Sie sollten Ihre Einträge immer dann überprüfen, wenn Sie E-Mail-Versanddienste hinzufügen oder entfernen, sowie im Rahmen der regelmäßigen Wartung. SPF-Einträge müssen häufig aktualisiert werden, wenn neue Tools oder Anbieter eingeführt werden. DKIM-Schlüssel sollten aus Sicherheitsgründen regelmäßig rotiert werden. DMARC-Berichte sollten regelmäßig überprüft werden, um Probleme frühzeitig zu erkennen und die Durchsetzung von Richtlinien zu steuern.

• Über
• Neueste Beiträge

Ahona Rudra

Experte für Domain- und E-Mail-Sicherheit bei PowerDMARC

Ahona ist Marketing-Managerin bei PowerDMARC und verfügt über mehr als 5 Jahre Erfahrung im Schreiben über Cybersicherheitsthemen, insbesondere im Bereich Domain- und E-Mail-Sicherheit. Ahona hat einen Postgraduierten-Abschluss in Journalismus und Kommunikation und ist seit 2019 in der Sicherheitsbranche tätig.

Neueste Beiträge von Ahona Rudra (alle anzeigen)

• PowerDMARC Microsoft Sentinel Integration: Cloud-native SIEM-Transparenz für E-Mail-Sicherheit – 15. Januar 2026
• PowerDMARC Splunk-Integration: Einheitliche Transparenz für E-Mail-Sicherheit – 8. Januar 2026
• Was ist Doxxing? Ein umfassender Leitfaden zum Verständnis und zur Prävention – 6. Januar 2026