Domain-Sicherheit (SPF, DKIM, DMARC) – Warum deine E-Mails sonst im Off landen
Zino Birger28.4.2026
SPF, DKIM & DMARC: Warum Standard-Setups nicht reichen und wie du deine Domain effektiv vor Missbrauch schützt
Inhalt
- Warum E-Mail per se unsicher ist
- Die Grundpfeiler der Mail-Sicherheit
- Warum Google, Microsoft und Co. so streng sind
- Schritt-für-Schritt-Setup und die größte Stolperfalle
- Monitoring: DMARC-Reports verstehen
- Die wichtigsten Tools für deine Domain-Sicherheit
- Fazit und Checkliste: Dein Fahrplan für eine sichere Domain
Das Wichtigste in Kürze
- Standard-Setups von Google oder Microsoft garantieren keine Domain-Sicherheit und müssen manuell durch SPF, DKIM und DMARC ergänzt werden.
- Das Trio aus SPF (Erlaubnisliste), DKIM (digitales Siegel) und DMARC (Handlungsanweisung) schützt effektiv vor Spoofing und schlechter Zustellbarkeit.
- Eine häufige Stolperfalle ist das Vergessen von Drittanbietern wie Newsletter-Tools oder CRMs bei der Konfiguration der Sicherheits-Einträge.
- Die DMARC-Einführung sollte immer im Monitoring-Modus ("p=none") beginnen, um legitime Mails nicht versehentlich zu blockieren.
- Spezielle Tools zur Auswertung der kryptischen XML-DMARC-Berichte sind für eine langfristige Kontrolle der Domain-Reputation unerlässlich.
Wissen von den Besten: Dieser Artikel stammt von sorgfältig ausgewählten Branchen-Expert*innen. Unser Anspruch: fundierte Insights und praxiserprobte Tipps, die dich und dein Projekt wirklich weiterbringen. Erfahre hier mehr über die Autor*innen.
Warum E-Mail per se unsicher ist
Viele Unternehmen leben in einer gefährlichen Illusion: "Wir nutzen Google Workspace oder Microsoft 365, da ist unsere Domain automatisch sicher."
Leider ist das nicht der Fall. Weder Google Workspace noch Microsoft 365 nehmen dir die Absicherung deiner Domain ab, das musst du selbst tun. Wer hier blind auf Standard-Setups vertraut, riskiert die eigene Domain-Sicherheit. Das Fatale daran ist: Ich erlebe in der Praxis oft, dass selbst erfahrene IT-Admins dieses Thema schlichtweg nicht auf dem Schirm haben.
Um das Problem zu verstehen, werfe ich gerne einen Blick in die Vergangenheit. Das zugrunde liegende Protokoll für den E-Mail-Versand stammt aus den 1980er-Jahren. In dieser Zeit war das Internet ein kleiner Kreis vertrauenswürdiger Universitäten und Forscher*innen. Sicherheit und Authentifizierung waren schlichtweg nicht vorgesehen, jede*r konnte behaupten, jede*r zu sein. Das Mail-Protokoll ist in seiner Grundform also extrem unsicher und absolut nicht auf die heutige Bedrohungslage ausgerichtet.
Die Konsequenzen mangelnder Domain-Sicherheit sind heute allerdings oft geschäftsschädigend. Im besten Fall landen deine eigenen, teuer bezahlten Newsletter und wichtigen Rechnungen plötzlich ungesehen im Spam-Ordner deiner Kund*innen. Im schlimmsten Fall betreiben Angreifer sogenanntes Spoofing: Sie nutzen genau diese historische Schwachstelle des Mail-Protokolls aus und verschicken im Namen deiner Domain Phishing-Mails an deine Kundinnen und Partner*innen. Die Folge ist ein massiver Vertrauensverlust und eine ruinierte Reputation, die sich nur schwer wieder aufbauen lässt. Um dieses veraltete System abzusichern, wurden über die Jahre drei Mechanismen entwickelt, die heute absolute Pflicht sind.
Die Grundpfeiler der Mail-Sicherheit
- SPF – Die öffentliche Allowlist: Stell dir SPF wie eine Art Erlaubnisliste für deine Domain vor. Es ist ein öffentlich zugänglicher Eintrag im System deiner Domain, auch als TXT-Record bekannt, in dem du genau festlegst, welche Mail-Server überhaupt die Erlaubnis haben, E-Mails im Namen deiner Domain zu verschicken. Der empfangende Server, zum Beispiel der deiner Kund*innen, prüft beim Eintreffen der Mail diese Liste und vergleicht, ob der Absender dort aufgelistet ist.
- DKIM – Das fälschungssichere Siegel: Während SPF die Allowlist ist, fungiert DKIM wie ein digitales Wachssiegel auf deinem Briefumschlag. Es stellt durch eine verschlüsselte Signatur sicher, dass die E-Mail wirklich von deinem Server stammt und auf dem Weg zu den Empfänger*innen nicht heimlich manipuliert wurde. Diese gleichen die Signatur mit einem öffentlichen Schlüssel ab, welcher ebenfalls als TXT-Record in deiner Domain hinterlegt ist.
Aus der Praxis kann ich dir einen wichtigen Hinweis mitgeben. Im Gegensatz zu SPF, wo es ausreicht, den Eintrag einfach im DNS zu hinterlegen, musst du DKIM zuerst aktiv in deinem Mail-Server, beispielsweise in Google Workspace, aktivieren und den entsprechenden Record generieren. Erst die dort erzeugten spezifischen Schlüsselwerte trägst du anschließend in dein DNS ein. Eine weitere wichtige Sache, die oft vergessen wird, ist, dass dies natürlich für jeden deiner versendenden Mail-Server eingerichtet werden muss, also auch für Newsletter-Tools oder CRMs.
- DMARC – Die Handlungsanweisung: Hier liegt der eigentliche Mehrwert, den viele übersehen. SPF und DKIM sind ohne DMARC nämlich nahezu wertlos. Der Grund dafür ist, dass bei SPF und DKIM allein der empfangende Server entscheidet, was er mit einer Mail macht, die durch die Prüfung fällt. DMARC ist die Handlungsanweisung, die du den Empfänger*innen gibst. Du sagst ihnen explizit, was sie tun sollen, wenn eine Mail nicht SPF- oder DKIM-konform ist.
Du kannst dabei drei Dinge befehlen:
- Nichts tun ("none"): Lass die Mail durch, aber zeichne sie auf.
- In den Spam schieben ("quarantine").
- Komplett ablehnen ("reject"): Lass diese Mail gar nicht erst durch die Tür.
Darüber hinaus bietet DMARC ein weiteres wichtiges Feature, nämlich das Reporting. Du kannst eine E-Mail-Adresse hinterlegen, an die regelmäßige Berichte von den empfangenden Servern geschickt werden. So siehst du genau, welche Server versuchen, im Namen deiner Domain Mails zu verschicken, und wie die Empfänger*innen diese Mails verarbeiten. Ohne diese Berichte kannst du die Effektivität der Maßnahmen nicht wirklich abschätzen.
Warum Google, Microsoft und Co. so streng sind
Was in der Vergangenheit oft nur als Best Practice galt, ist mittlerweile der Standard. Besonders Google und Microsoft sind in letzter Zeit extrem streng geworden und setzen die Sicherheitsstandards konsequent durch, um ihre eigenen Nutzer*innen vor Phishing und Spam zu schützen.
Lesetipp: Wir zeigen dir, wie Cloud Hosting zu sicheren Servern für deine Website führt!
Erst vor Kurzem kam eine Anwaltskanzlei auf mich zu, bei der genau das passierte. Sie hatten ihre Domain schlecht eingerichtet, es gab also kein SPF, kein DKIM und kein DMARC. Das Resultat war, dass ihre wichtigen E-Mails bei Empfänger*innen, die beispielsweise Google Workspace nutzen, schlichtweg nicht mehr ankamen. Das ist kein kleines IT-Problem, sondern ein handfestes geschäftliches Problem. Wenn Verträge oder Fristen die Mandant*innen nicht erreichen, gehen Aufträge und am Ende Geld verloren. Wer die Standards heute ignoriert, schließt sich im schlimmsten Fall selbst vom digitalen Geschäftsverkehr aus.
Schritt-für-Schritt-Setup und die größte Stolperfalle
Die Theorie ist klar, aber wie sieht die Praxis aus? Wenn du direkt sehen willst, wie so ein Setup konkret aussieht, empfehle ich dir mein Video "Nie wieder E-Mail-Spoofing! So SCHÜTZT du deine Domain richtig!"
Was ich in der Praxis allerdings auch häufig sehe, ist, dass Unternehmen SPF, DKIM und DMARC vorbildlich für ihren Haupt-Mailserver einrichten, oft sogar mit einer strikten "reject"-Policy. Doch sie vergessen dabei, ihre Drittanbieter-Tools wie das CRM, die Newsletter-Software oder das Shop-System in den SPF-Record aufzunehmen und dort DKIM zu aktivieren. Das Resultat ist, dass der DMARC-Türsteher genau das macht, was ihm befohlen wurde, und diese legitimen Marketing- und System-Mails eiskalt abblockt. Plötzlich kommt der eigene Newsletter nicht mehr bei den Kund*innen an, weil du dich quasi selbst ausgesperrt hast.
Wie verhinderst du das? Mein Rat an dich ist, bei der DMARC-Policy immer mit "p=none", also dem bloßen Aufzeichnen ohne Blockieren, zu starten. Nutze die ersten Wochen ausschließlich für das Monitoring. Die DMARC-Reports zeigen dir genau, welche Mails noch abgelehnt würden. So spürst du vergessene Server und Newsletter-Tools auf und kannst sie in Ruhe deinem SPF-Record hinzufügen. Erst wenn du sicher bist, dass alle legitimen Absender abgedeckt sind, stellst du die Policy auf "reject".
Monitoring: DMARC-Reports verstehen
Wie du jetzt weißt, sendet dir DMARC regelmäßig Berichte. Der Haken in der Praxis ist, dass diese Berichte als kryptische XML-Dateien per E-Mail in dein Postfach kommen. Wenn du nicht gerade XML-Code fließend lesen kannst, sind diese Rohdaten meist nutzlos für dich, da jegliche Charts, Diagramme oder visuelle Aufbereitungen fehlen.
Mein Tipp an dich ist, dich nicht mit Textdateien herumzuquälen, sondern spezielle Auswertungs-Tools zu nutzen. Du lässt die Berichte einfach an eine von diesen Tools bereitgestellte Adresse schicken und die Software wandelt das XML-Chaos in übersichtliche Dashboards um. So siehst du auf einen Blick, wo es brennt.
Die wichtigsten Tools für deine Domain-Sicherheit
Diese Tools kann ich dir empfehlen, um deine Domain-Sicherheit zu verbessern:
Duo Security
Perimeter 81
CloudGuard
Splunk
Datadog
Atera
deeploi
DeelFazit und Checkliste: Dein Fahrplan für eine sichere Domain
Domain-Sicherheit ist kein Hexenwerk. Zwar ist das technische Setup oft relativ schnell erledigt, aber die Überwachung ist ein Marathon, kein Sprint. Warte nicht, bis deine erste wichtige E-Mail im Spam landet oder Betrüger deinen Namen missbrauchen.
Hier sind deine konkreten nächsten Schritte:
- Status Quo prüfen (kostenlos): Nutze dafür kostenfreie Online-Tools wie beispielsweise MxToolbox oder die Google Admin Toolbox, um deine Domain-Sicherheit auf Basis öffentlicher DNS-Einträge zu checken. Das dauert circa zwei Minuten und gibt dir sofort ein erstes Gefühl dafür, was bereits funktioniert und was nicht korrekt eingerichtet ist.
- Step-by-Step umsetzen (inkl. Video-Guide): Geh das Setup strategisch an, anstatt blind Einstellungen zu ändern. Als Tipp empfehle ich dir für die genaue technische Umsetzung, dir direkt mein Video "Nie wieder E-Mail-Spoofing! So SCHÜTZT du deine Domain richtig!" anzusehen.
- Schritt 1: Richte SPF sauber ein. (Vergiss deine Drittanbieter-Tools nicht!).
- Schritt 2: Aktiviere DKIM in deinem System und trage es ins DNS ein.
- Schritt 3: Richte DMARC ein – aber zwingend anfangs mit einer "none"-Policy (Monitoring-Modus).
- Auswerten und den Sack zumachen: Werte die DMARC-Reports mit einem passenden Tool über ein paar Wochen aus. Erst wenn du dir absolut sicher bist, dass alle legitimen Mails problemlos zugestellt werden, stellst du die DMARC-Policy auf den harten Türsteher um: "reject".
- Langfristiges Monitoring: Das Setup ist zwar einmalig, aber die Arbeit hört hier nicht auf. Behalte deine Zustellbarkeitsraten bei den großen Diensten wie Google oder Microsoft dauerhaft im Blick und werte deine DMARC-Reports auch langfristig aus. Sobald ein neues Tool wie zum Beispiel ein neues CRM- oder Marketing-Tool in deinem Unternehmen eingeführt wird, musst du sofort reagieren und die Einträge anpassen.
Domain-Sicherheit ist ein Thema, das auf den ersten Blick trocken und technisch wirkt, aber im Kern über den Erfolg deiner digitalen Kommunikation entscheidet. Wer hier spart, zahlt später drauf. Nimm dir also die Zeit, prüfe dein Setup und schütze deine Marke.
Werde Gastautor*in: Du hast in einem bestimmten Bereich richtig Ahnung und möchtest dein Wissen teilen? Dann schreibe uns einfach an reviews-experten@omr.com und bring deine Expertise ein. Wir freuen uns auf spannende Einblicke direkt aus der Praxis.
Autor*In
Zino Birger
Zino ist Mitgründer des IT-Beratungsunternehmens Arbeitswolke.de. Er hilft Kunden, ihre IT-Projekte in den Schlüsselbereichen Cloud, Infrastruktur und Security erfolgreich zu realisieren. Dabei verantwortet er die gesamte technische Umsetzung, um sicherzustellen, dass die Lösungen nicht nur technisch einwandfrei sind, sondern auch nachhaltigen Mehrwert bieten.
