Ratgeber E-Mail-Sicherheit
SPF, DKIM und DMARC technisch erklärt
Drei DNS-Einträge entscheiden darüber, ob jemand in Ihrem Namen E-Mails fälschen kann und ob Ihre echten Mails zuverlässig ankommen. Hier steht, was SPF, DKIM und DMARC genau tun, wie sie zusammenspielen und wie Sie sie sauber einrichten. Vollständig, mit Record-Beispielen und den häufigsten Fehlern.
Das Problem: die sichtbare Absenderadresse ist fälschbar
Das klassische E-Mail-Protokoll prüft den Absender nicht. Wer eine Mail verschickt, kann als sichtbaren Absender (den sogenannten From-Header) praktisch jede beliebige Adresse eintragen, auch Ihre. Genau das nutzen Phishing und CEO-Betrug aus: Eine Mail sieht aus, als käme sie von Ihrer Domain, stammt aber von einem fremden Server.
SPF, DKIM und DMARC schließen diese Lücke. Sie sind keine Konkurrenten, sondern drei Bausteine, die aufeinander aufbauen. Vereinfacht:
- SPF legt fest, welche Server überhaupt im Namen Ihrer Domain senden dürfen.
- DKIM versieht jede Mail mit einer kryptografischen Unterschrift, die unterwegs nicht fälschbar ist.
- DMARC verbindet beides mit der sichtbaren Absenderadresse und legt fest, was passiert, wenn die Prüfung scheitert. Zusätzlich liefert es Berichte.
Alle drei werden als DNS-Einträge bei Ihrer Domain hinterlegt. Der empfangende Mailserver liest sie bei jeder eingehenden Nachricht aus und entscheidet danach.
SPF: wer darf in meinem Namen senden
SPF steht für Sender Policy Framework. Sie veröffentlichen als TXT-Eintrag eine Liste der Server, die für Ihre Domain senden dürfen. Empfängt ein Mailserver eine Nachricht, schaut er, ob die sendende IP-Adresse auf dieser Liste steht.
Beispiel: SPF-TXT-Eintrag auf der Domain
Gelesen heißt das: Erlaubt sind die Server hinter den beiden include-Verweisen (hier Microsoft 365 und Hornetsecurity), alles andere wird abgewiesen (-all). Manche Anbieter setzen statt der include-Liste ein redirect auf einen zentral gepflegten Eintrag, das Prinzip bleibt gleich.
Die Mechanismen und Qualifier
Ein SPF-Eintrag besteht aus Mechanismen (was wird geprüft) und einem Qualifier (was passiert bei Treffer). Der letzte Eintrag, meist all, fängt den Rest ab.
| Element | Bedeutung |
|---|---|
| ip4 / ip6 | Erlaubt eine konkrete IP-Adresse oder einen Adressbereich. |
| include | Bindet den SPF-Eintrag eines anderen Anbieters ein (z. B. des Mailproviders). |
| a / mx | Erlaubt die Server, die im A- bzw. MX-Eintrag der Domain stehen. |
| -all | Hard Fail: nicht gelistete Server werden abgewiesen. Die empfohlene Einstellung. |
| ~all | Soft Fail: nicht gelistete Server gelten als verdächtig, werden aber meist zugestellt. |
| ?all | Neutral: keine Aussage. Bietet praktisch keinen Schutz. |
Die zwei wichtigen Grenzen von SPF
- SPF prüft den Return-Path, nicht die sichtbare Absenderzeile. Geprüft wird die technische Absenderadresse aus dem Mail-Umschlag, nicht das, was im Postfach als Absender steht. Eine Mail kann SPF bestehen und trotzdem eine gefälschte sichtbare Adresse tragen. Diese Lücke schließt erst DMARC.
- SPF bricht beim Weiterleiten. Leitet ein Server eine Mail weiter, ändert sich die sendende IP, und SPF schlägt fehl. Deshalb darf man sich nie allein auf SPF verlassen.
- Das 10-Lookup-Limit. Ein SPF-Eintrag darf beim Auswerten höchstens zehn DNS-Abfragen auslösen. Jeder
includezählt mit. Wird das überschritten, endet die Prüfung mit einempermerror, und SPF wirkt nicht mehr. Darum nur die wirklich nötigen Dienste einbinden.
DKIM: die fälschungssichere Signatur
DKIM steht für DomainKeys Identified Mail. Ihr Mailserver unterschreibt jede ausgehende Nachricht mit einem geheimen Schlüssel. Der passende öffentliche Schlüssel liegt als DNS-Eintrag bei Ihrer Domain. Der Empfänger prüft mit dem öffentlichen Schlüssel, ob die Unterschrift gültig ist. Stimmt sie, ist zweierlei bewiesen: Die Mail stammt wirklich von Ihrer Domain, und sie wurde unterwegs nicht verändert.
Der private Schlüssel bleibt immer auf dem Mailserver. Ohne ihn lässt sich keine gültige Unterschrift erzeugen, deshalb kann ein Angreifer DKIM nicht einfach nachbauen.
Öffentlicher DKIM-Schlüssel im DNS (über einen Selector adressiert)
Signatur-Kopfzeile in der gesendeten Mail
Die wichtigen Felder
| Feld | Bedeutung |
|---|---|
| d= | Die signierende Domain. Sie ist für DMARC entscheidend (siehe Alignment). |
| s= | Der Selector. Über ihn findet der Empfänger den passenden öffentlichen Schlüssel im DNS. Mehrere Selektoren erlauben getrennte Schlüssel je Dienst. |
| bh= | Prüfsumme des Mail-Inhalts. Wird der Text verändert, passt sie nicht mehr. |
| b= | Die eigentliche Signatur über Kopfzeilen und Inhalt. |
In der Praxis: Verwenden Sie Schlüssel mit 2048 Bit und rotieren Sie sie regelmäßig. Über den Selector lässt sich ein neuer Schlüssel veröffentlichen, bevor der alte abgeschaltet wird, ganz ohne Versandpause. Wichtig: DKIM allein sagt noch nichts darüber aus, ob die signierende Domain zur sichtbaren Absenderadresse passt. Auch das klärt erst DMARC.
DMARC: Regel und Berichte
DMARC steht für Domain-based Message Authentication, Reporting and Conformance. Es macht zwei Dinge. Erstens legt es fest, was ein Empfänger mit Mails tun soll, die die Prüfung nicht bestehen. Zweitens schickt es Ihnen Berichte darüber, wer im Namen Ihrer Domain sendet. Damit wird DMARC zum Bindeglied zwischen SPF, DKIM und der sichtbaren Absenderadresse.
DMARC-Eintrag (immer auf dem Namen _dmarc)
Die wichtigen Parameter
| Tag | Bedeutung |
|---|---|
| p= | Die Richtlinie: none (nur beobachten), quarantine (in den Spam) oder reject (abweisen). |
| sp= | Eigene Richtlinie für Subdomains. Fehlt sie, gilt p auch dort. Häufig vergessen. |
| rua= | Adresse für die täglichen Sammelberichte (wer hat in Ihrem Namen gesendet). |
| ruf= | Adresse für forensische Einzelberichte bei Fehlschlägen (nicht alle Empfänger senden sie). |
| adkim / aspf | Alignment-Modus für DKIM bzw. SPF: s (strict, exakt gleiche Domain) oder r (relaxed, gleiche Hauptdomain). |
| pct= | Anteil der Mails, auf den die Richtlinie angewendet wird. Nützlich beim stufenweisen Rollout. |
Der sichere Weg zu p=reject
Eine scharfe DMARC-Richtlinie schaltet man nicht sofort, sondern in Stufen. So weist man keine legitimen Mails ab, die man übersehen hat:
- p=none. Start. Es wird nichts abgewiesen, aber die Berichte zeigen, welche Dienste tatsächlich in Ihrem Namen senden.
- p=quarantine. Auffällige Mails landen im Spam. Optional zunächst mit
pct=für einen Teil der Mails. - p=reject. Das Ziel. Gefälschte Mails werden abgewiesen, bevor sie zugestellt werden. Erst hier schützt DMARC wirklich.
Wichtig: p=none ist nur die Startstufe zum Beobachten. Wer dauerhaft auf none stehen bleibt, hat Berichte, aber keinen Schutz. Gefälschte Mails werden weiterhin zugestellt.
Das Zusammenspiel: Alignment
Der Schlüsselbegriff bei DMARC heißt Alignment, zu Deutsch Übereinstimmung. DMARC besteht nur, wenn SPF oder DKIM nicht nur technisch bestehen, sondern die dabei bestätigte Domain auch zur sichtbaren Absenderadresse (dem From-Header) passt. Genau das verhindert die eingangs beschriebene Fälschung.
So läuft die Prüfung beim Empfänger ab:
| SPF | DKIM | Ergebnis DMARC |
|---|---|---|
| pass + aligned | beliebig | besteht |
| beliebig | pass + aligned | besteht |
| pass, nicht aligned | fehlt / fehlerhaft | scheitert, p greift |
| fehlt | fehlt | scheitert, p greift |
Es genügt also, dass einer der beiden Mechanismen besteht und ausgerichtet ist. Deshalb ist DKIM beim Weiterleiten so wertvoll: Selbst wenn SPF dabei bricht, trägt die DKIM-Signatur die Mail durch. Aus diesem Grund gehören immer alle drei zusammen, nie nur SPF allein.
Über die drei hinaus: MTA-STS, TLS-RPT und BIMI
SPF, DKIM und DMARC sichern die Echtheit. Drei weitere Standards ergänzen sie, und unser Domain-Check prüft sie gleich mit:
- MTA-STS erzwingt, dass Mails an Ihre Domain verschlüsselt übertragen werden, und verhindert ein heimliches Herabstufen der Verbindung.
- TLS-RPT liefert Berichte über fehlgeschlagene verschlüsselte Zustellungen, ein Frühwarnsystem für Transportprobleme.
- BIMI kann bei korrekt eingerichtetem DMARC (p=quarantine oder reject) Ihr Logo neben der Mail anzeigen, ein sichtbares Echtheitssignal.
- ARC hilft Mailinglisten und Weiterleitern, die ursprüngliche Authentifizierung zu erhalten, wenn SPF unterwegs bricht.
Die häufigsten Fehler in der Praxis
- Zwei SPF-Einträge auf einer Domain. Erlaubt ist genau einer. Ein zweiter führt zu einem
permerror, SPF fällt komplett aus. Mehrere Dienste werden überincludein einen Eintrag zusammengeführt. - Das 10-Lookup-Limit gerissen. Zu viele include-Verweise lassen SPF kippen, oft unbemerkt. Schlank halten und prüfen.
- DMARC dauerhaft auf p=none. Beliebter Trugschluss: Der Eintrag existiert, schützt aber nicht. Nur quarantine oder reject weisen Fälschungen ab.
- Subdomains vergessen. Ohne
sp=und ohne eigenen Schutz lassen sich Subdomains weiter fälschen. Auch ungenutzte Versand-Subdomains absichern. - DKIM nicht ausgerichtet. Ein Dienstleister signiert mit seiner eigenen Domain statt mit Ihrer. DKIM besteht technisch, ist aber nicht aligned, DMARC scheitert trotzdem.
- Schlüssel nie rotiert. Alte oder zu kurze DKIM-Schlüssel bleiben jahrelang stehen. 2048 Bit und regelmäßige Rotation sind Standard.
Selbst prüfen, kostenlos
Wie steht Ihre Domain da?
Theorie ist gut, der eigene Stand ist besser. Mit unseren beiden kostenlosen Werkzeugen sehen Sie in einer Minute, ob SPF, DKIM und DMARC bei Ihnen sauber gesetzt sind.
Domain- & E-Mail-Check
Liest die veröffentlichten Einträge Ihrer Domain: MX, SPF, DMARC, DKIM, MTA-STS, DNSSEC und mehr, mit Klartext-Bewertung.
Domain prüfenMail-Tester
Senden Sie eine echte Mail an eine Testadresse: DKIM wird kryptografisch verifiziert, dazu SPF, DMARC, Reverse DNS und Blacklists, mit Note.
Mail testenFAQ
Häufige Fragen zu SPF, DKIM und DMARC
Brauche ich SPF, DKIM und DMARC alle drei?+
Ja. SPF legt fest, welche Server senden dürfen, DKIM signiert die Mail fälschungssicher, und DMARC verbindet beide mit der sichtbaren Absenderadresse und legt fest, was bei einer fehlgeschlagenen Prüfung passiert. Erst zusammen schützen sie Ihre Domain wirksam vor Fälschung.
Was bedeutet DMARC-Alignment?+
Alignment heißt, dass die von SPF oder DKIM bestätigte Domain zur sichtbaren Absenderadresse (dem From-Header) passt. Ohne diese Übereinstimmung kann eine Mail SPF und DKIM bestehen und trotzdem gefälscht sein. Genau diese Lücke schließt DMARC.
Was ist das 10-Lookup-Limit bei SPF?+
Ein SPF-Eintrag darf beim Auswerten höchstens zehn DNS-Abfragen auslösen, etwa durch mehrere include-Verweise. Wird das überschritten, schlägt die Prüfung mit einem permerror fehl. Deshalb sollten nicht mehr Dienste als nötig eingebunden und der Eintrag schlank gehalten werden.
Warum sollte DMARC nicht dauerhaft auf p=none stehen?+
p=none überwacht nur und weist nichts ab, gefälschte Mails werden also weiterhin zugestellt. none ist die richtige Startstufe, um über die Berichte den echten Mailversand kennenzulernen. Das Ziel ist der schrittweise Weg über quarantine zu reject, dem eigentlichen Schutz.
Kann ich SPF, DKIM und DMARC selbst prüfen?+
Ja. Der kostenlose Domain-Check liest die veröffentlichten Einträge Ihrer Domain, der Mail-Tester prüft eine echte gesendete Mail inklusive kryptografischer DKIM-Verifikation. Beide zeigen im Klartext, wo etwas fehlt oder falsch gesetzt ist.
Lieber direkt sauber einrichten lassen?
Wir richten SPF, DKIM und DMARC für Ihre Domain korrekt ein und begleiten den Weg bis p=reject, ohne dass eine legitime Mail verloren geht. Kostenloses Erstgespräch, unverbindlich.