E-Mail-Authentifizierung und Domain-Spoofing verstehen: SPF, DKIM und DMARC

Dein Unternehmen ist ein Ziel für Phishing- und Spoofing-Angriffe. Wenn deine E-Mail nicht authentifiziert ist, können Angreifer deine Domain ganz einfach imitieren. Ohne Authentifizierung kann jeder im Internet eine E-Mail senden und sich als du ausgeben.

Teste Proton Mail 14 Tage lang kostenlos Demo anfordern

Was bedeutet E-Mail-Authentifizierung?

Die E-Mail-Authentifizierung ist eine Reihe von technischen Standards, die verifizieren, dass der Absender einer E-Mail auch derjenige ist, der er zu sein vorgibt. Sie wurde entwickelt, weil das ursprüngliche E-Mail-Protokoll (Simple Mail Transfer Protocol oder SMTP) keine integrierte Funktion hat, um eine gefälschte Absenderadresse zu verhindern.

Um die Authentifizierung zu verstehen, ist es hilfreich zu wissen, dass eine E-Mail zwei Absenderadressen hat:

1. Der Envelope-Sender (RFC 5321)

Diese auch als „MAIL FROM“-Adresse, P1-Absender oder Return-Path bekannte technische Adresse wird von Mailservern im Hintergrund für das Routing und die Zustellung verwendet.

Zweck: Sie teilt dem empfangenden Server mit, wohin automatisierte Nachrichten wie Bounce-Benachrichtigungen oder Unzustellbarkeitsberichte (NDRs) gesendet werden sollen.
Sichtbarkeit: Empfänger sehen diese Adresse normalerweise nie in ihrem E-Mail-Client; sie ist Teil des verborgenen "Umschlags" (Envelope) der Nachricht.
Sicherheitsrolle: Dies ist die von SPF verifizierte Adresse.

2. Der Header-Absender (RFC 5322)

Diese auch als „Von:“-Adresse oder P2-Absender bekannte Adresse ist die in deinem Posteingang sichtbare Adresse (z. B. Von: deine-bank@example.com).

Zweck: Dies ist die "lesbare" Adresse, die für die menschliche Interaktion gedacht ist und dem Empfänger mitteilt, von wem die Nachricht scheinbar stammt.
Sichtbarkeit: Dies ist die einzige Adresse, die die meisten Benutzer sehen, wenn sie ihren Posteingang öffnen.
Sicherheitsrolle: Diese Adresse wird von Angreifern am häufigsten gefälscht und steht im Mittelpunkt von DMARC-Abgleichsprüfungen.

Dieses Design macht E-Mail-Spoofing (das Fälschen der „Von:“-Adresse) einfach. Ein Angreifer kann einen gültigen Envelope-Sender nutzen, den er selbst kontrolliert, um grundlegende Serverprüfungen zu bestehen, während er einen gefälschten Header-Absender verwendet, um den Empfänger zu täuschen. E-Mail-Authentifizierungsprotokolle wie DMARC lösen dieses Problem, indem sie vorschreiben, dass die Domains dieser beiden Absender übereinstimmen müssen.

Warum ist E-Mail-Authentifizierung für Unternehmen unverzichtbar?

Für Unternehmen ist die Implementierung der E-Mail-Authentifizierung eine unumgängliche Verteidigungsmaßnahme. Sie:

Stoppt Spoofing und Phishing: Verhindert, dass Angreifer gefälschte E-Mails von deiner Domain senden.

Schützt deinen Markenruf: Verhindert, dass deine Marke mit Spam und Phishing-Betrug in Verbindung gebracht wird.

Verbessert die E-Mail-Zustellbarkeit: Signalisiert anderen Mail-Anbietern, dass du ein legitimer Absender bist, wodurch deine E-Mails nicht im Spam-Ordner landen.

Die 3 wichtigsten E-Mail-Authentifizierungsmethoden

Eine starke Verteidigung basiert auf dem Zusammenspiel von drei Standards: SPF, DKIM und DMARC. Jeder davon baut auf dem vorherigen auf, um eine mehrschichtige Verteidigung zu schaffen.

1. Sender Policy Framework (SPF)

Das Sender Policy Framework (SPF) ist eine öffentliche Liste aller Server (nach IP-Adresse), die berechtigt sind, E-Mails für deine Domain zu senden.

Wie funktioniert das

Du veröffentlichst die Liste als DNS-TXT-Eintrag für deine Domain. Wenn ein empfangender Mailserver eine Nachricht erhält, gleicht er die IP des sendenden Servers mit dieser Liste ab. Wenn die IP auf der Liste steht, besteht die Nachricht die SPF-Prüfung; wenn nicht, schlägt sie fehl.

Die Schwachstelle

SPF verifiziert nur die technische Absenderadresse, die von Mailservern verwendet wird, nicht die sichtbare „Von:“-Adresse, die Empfänger in ihrem Posteingang sehen. Diese Lücke ermöglicht es Spoofern, SPF-Prüfungen zu bestehen. Da SPF ein pfadbasiertes Protokoll ist, schlägt es oft auch fehl, wenn eine E-Mail über eine Verteilerliste oder einen Partnerserver weitergeleitet wird. Da der weiterleitende Server nicht auf deiner autorisierten Liste steht, schlägt die Prüfung fehl.

2. DomainKeys Identified Mail (DKIM)

DomainKeys Identified Mail (DKIM) fügt dem Nachrichteninhalt, einschließlich der „Von:“-Kopfzeile, eine eindeutige, fälschungssichere digitale Signatur hinzu.

Wie funktioniert das

Diese Signatur wird mit einem privaten Schlüssel erstellt, den nur dein Server kennt. Der entsprechende öffentliche Schlüssel wird in deinem DNS veröffentlicht. Empfangende Server verwenden diesen öffentlichen Schlüssel, um die Signatur zu verifizieren. Wenn sie gültig ist, beweist dies, dass die E-Mail von deiner Domain stammt und ihr Inhalt während der Übertragung nicht verändert wurde.

Die Schwachstelle

Wie SPF verhindert auch DKIM Spoofing nicht von Natur aus. Die Signatur beweist, dass die Nachricht für die Domain, die sie gesendet hat, authentisch ist, und nicht unbedingt für die Domain, die in der „Von:“-Adresse angezeigt wird.

3. Domain-based Message Authentication, Reporting, and Conformance (DMARC)

Domain-based Message Authentication, Reporting, and Conformance (DMARC) ist die Richtlinie, die SPF und DKIM miteinander verbindet. DMARC ist die Regel, die Mailservern mitteilt, E-Mails nur dann zu vertrauen, wenn die „Von:“-Adresse, die du siehst, mit den Authentifizierungsprüfungen im Hintergrund übereinstimmt. Es schließt die Sicherheitslücke, die Angreifer bei der alleinigen Nutzung von SPF oder DKIM ausnutzen.

Wie funktioniert das

DMARC erfordert, dass die Domain in der sichtbaren „Von:“-Adresse mit der Domain übereinstimmt, die bei der erfolgreichen SPF- oder DKIM-Prüfung verwendet wurde. Dieser wichtige Schritt verbindet die sichtbare Absenderadresse mit der technischen Verifizierung.

Sie teilt Servern auch mit, was zu tun ist: Deine DMARC-Richtlinie (p) weist empfangende Server an, wie sie mit Fehlern umgehen sollen:

p=none (Monitor): Keine Maßnahmen ergreifen. Einfach Berichte an dich zurücksenden, wer E-Mails von deiner Domain sendet.
p=quarantine (Quarantäne): Fehlgeschlagene E-Mails in den Spam-Ordner senden.
p=reject (Reject): Fehlgeschlagene E-Mails vollständig blockieren.

Schütze dein Unternehmen vor Phishing und Domain-Spoofing

Über 90 % aller Datenlecks beginnen mit einem Phishing- oder Spoofing-Angriff. Die Implementierung von SPF, DKIM und DMARC ist deine erste Verteidigungslinie, aber sie muss mit einem E-Mail-Anbieter kombiniert werden, der standardmäßig sicher ist.

Proton Mail for Business ist so konzipiert, dass diese Bedrohungen blockiert werden, noch bevor sie dein Team erreichen. Unsere fortschrittliche Anti-Spoofing-Erkennung, die PhishGuard-Technologie und die Ende-zu-Ende-Verschlüsselung bieten einen umfassenden Schutz, der einfach zu verwalten ist.

Teste Proton Mail 14 Tage lang kostenlos Demo anfordern

So richtest du die E-Mail-Authentifizierung ein (Schritt für Schritt)

Um deine Domain zu sichern, musst du einige Einträge in deinen Einstellungen für das Domain Name System (DNS) hinzufügen, das von deinem Domain-Registrar (wie GoDaddy, Namecheap oder Cloudflare) verwaltet wird.

Schritt 1

Erstelle deinen SPF-Eintrag

Ermittle zunächst alle Dienste, die du zum Senden von E-Mails nutzt (z. B. deinen E-Mail-Anbieter, einen Newsletter-Dienst wie Mailchimp oder ein CRM). Dein SPF-Eintrag muss sie alle enthalten. Der SPF-Eintrag von Proton Mail lautet beispielsweise v=spf1 include:_spf.proton.me mx ~all. Diesen würdest du als TXT-Eintrag in deinen DNS-Einstellungen hinzufügen.

Schritt 2

Konfiguriere deine DKIM-Signatur

Navigiere im Admin-Bereich deines Proton Mail-Kontos (oder dem eines anderen Anbieters) zu den Domain-Einstellungen. Das System generiert einen eindeutigen DKIM-Schlüssel für dich. Die Einrichtung von DKIM in Microsoft 365, Google Workspace oder Proton verläuft ähnlich: Du kopierst den generierten Schlüssel und erstellst wie angewiesen einen neuen TXT-Eintrag in deinem DNS.

Schritt 3

Implementiere deine DMARC-Richtlinie

Das Hinzufügen der DMARC-Richtlinie (p) ist der letzte Schritt. Sie sollte schrittweise eingeführt werden, um zu vermeiden, dass deine eigenen legitimen E-Mails blockiert werden:

Beginne mit p=none: Erstelle einen DMARC-Eintrag mit der Richtlinie p=none. Dieser Überwachungsmodus ermöglicht es dir, Berichte über fehlgeschlagene E-Mails zu erhalten, ohne dass sich dies auf deine E-Mail-Zustellung auswirkt.
Berichte analysieren: Nutze die DMARC-Berichte, um legitime Dienste zu finden, bei denen die Prüfungen fehlschlagen, und füge sie zu deinen SPF- und DKIM-Einträgen hinzu.
Wechsle zu p=quarantine: Sobald du dir sicher bist, ändere deine Richtlinie zu p=quarantine. Dadurch werden fehlgeschlagene E-Mails in den Spam-Ordner gesendet.
Wechsle zu p=reject: Wechsle nach weiterer Überwachung zu p=reject, um die Zustellung aller betrügerischen E-Mails zu blockieren.

Detaillierte Einrichtungsanweisungen, einschließlich Screenshots und Eintragswerten, findest du in Protons Support-Leitfaden.

Über die Grundlagen hinaus: ARC und BIMI

Sobald deine SPF-, DKIM- und DMARC-Einträge eingerichtet sind, gibt es zwei optionale Standards, die einen zusätzlichen Mehrwert bieten können:

Authenticated Received Chain (ARC)

Hält deine Authentifizierungsergebnisse intakt, wenn E-Mails weitergeleitet werden (wie durch Verteilerlisten), was SPF oder DKIM oft ungültig macht.

Brand Indicators for Message Identification (BIMI)

Ermöglicht es, dass dein offizielles Firmenlogo neben deinen E-Mails in unterstützten Posteingängen angezeigt wird. Betrachte es als eine Art „verifiziertes Häkchen“ für E-Mails. Um dich zu qualifizieren, benötigst du eine strenge DMARC-Richtlinie (quarantine oder reject).

Wie Proton Mail deine geschäftlichen E-Mails schützt

Die Einrichtung der E-Mail-Authentifizierung ist unerlässlich, aber sie ist nur ein Teil einer umfassenden Sicherheitsstrategie. Proton Mail bietet zusätzliche Schutzebenen, um dein Unternehmen vor fortschrittlichen Bedrohungen zu schützen.

Fortschrittliche Anti-Spoofing-Erkennung

Proton Mail prüft bei allen eingehenden Nachrichten automatisch SPF, DKIM und DMARC. E-Mails, bei denen diese Prüfungen fehlschlagen, werden deutlich markiert, was das Risiko von Identitätsmissbrauch verringert.

PhishGuard

PhishGuard erkennt verdächtige Links, Muster und andere Warnsignale, die einfache Filter oft übersehen, und hilft so, Phishing-Versuche zu blockieren, bevor sie die Mitarbeitenden erreichen.

Ende-zu-Ende- und Zero-Access-Verschlüsselung

E-Mails zwischen Proton-Benutzern werden automatisch Ende-zu-Ende-verschlüsselt. Alle deine Daten werden mit Zero-Access-Verschlüsselung gespeichert, was bedeutet, dass nicht einmal wir deine E-Mails lesen können.

Link-Bestätigung

Wenn Benutzer auf einen Link in einer E-Mail klicken, zeigt Proton Mail eine vollständige Vorschau der Ziel-URL an, um versehentliche Klicks auf schädliche Websites zu verhindern.

Teste Proton Mail 14 Tage lang kostenlos Demo anfordern

Sichere deine geschäftliche Kommunikation

Schütze dein Unternehmen vor Phishing, Spoofing und Datenlecks mit dem E-Mail-Dienst, bei dem Sicherheit und Privatsphäre an erster Stelle stehen. Implementiere eine starke E-Mail-Authentifizierung und profitiere von Ende-zu-Ende-Verschlüsselung und fortschrittlichem Phishing-Schutz – alles in einer einfachen, sicheren Lösung.

Teste Proton Mail for Business Demo anfordern

Häufig gestellte Fragen

Was ist der Unterschied zwischen SPF und DKIM?: SPF prüft, wer E-Mails für deine Domain senden darf, indem es den sendenden Server verifiziert.
DKIM prüft mithilfe einer digitalen Signatur, ob die Nachricht selbst nicht manipuliert wurde.
Sie lösen unterschiedliche Probleme. Du benötigst also beide (und zusätzlich DMARC) für eine lückenlose Abwehr.
Wie überprüfen E-Mail-Server die Authentifizierung?: Wenn ein Mailserver eine Nachricht empfängt, ruft er die SPF-, DKIM- und DMARC-Einträge des Absenders ab. Er zeichnet die Ergebnisse (wie spf=pass oder dkim=fail) in einer ausgeblendeten Kopfzeile namens „Authentication-Results“ auf. Dein E-Mail-Anbieter nutzt diese Informationen dann zusammen mit vielen anderen Signalen, um zu entscheiden, ob er die Nachricht in deinen Posteingang zustellt, sie als Spam markiert oder sie blockiert.
Wie lange dauert es, bis DMARC wirksam wird?: Der DNS-Eintrag ist in der Regel innerhalb weniger Stunden aktiv. Die sichere Einführung von DMARC braucht jedoch Zeit: Du beginnst mit einer reinen Überwachungsrichtlinie (p=none), analysierst die Berichte, korrigierst legitime Absender, bei denen die Prüfung fehlschlägt, und wechselst dann schrittweise zu strengeren Richtlinien (p=quarantine oder p=reject). Dieser Prozess dauert oft mehrere Wochen oder Monate.
Was passiert, wenn Scammer meine E-Mail fälschen?: DMARC enthält eine Berichtsfunktion, die dir mitteilt, wenn jemand versucht, sich als deine Domain auszugeben. Wenn du dies bemerkst, solltest du deine Mitarbeitenden alarmieren, deine Kunden informieren und den Betrug bei den Strafverfolgungsbehörden und Anti-Phishing-Organisationen wie der FTC oder der Anti-Phishing Working Group melden.
Kann dies alle Phishing-Angriffe stoppen?: Kein einzelnes Tool kann alles verhindern. SPF, DKIM und DMARC eignen sich hervorragend dazu, direktes Domain-Spoofing zu blockieren. Angreifer nutzen aber auch Tricks wie ähnlich aussehende Domains oder kompromittierte Konten. Deshalb sollte die Authentifizierung Teil einer mehrschichtigen Verteidigung sein, neben Benutzerschulungen und fortschrittlichen Schutzfunktionen wie PhishGuard von Proton.