IT-Sicherheit 08.02.2026 10 Min.

E-Mail-Sicherheit für Unternehmen: SPF, DKIM & DMARC erklärt

SPF, DKIM, DMARC — was klingt wie ein Alphabet-Salat, ist Ihr wichtigster Schutz gegen E-Mail-Betrug. Einfach erklärt mit Einrichtungs-Anleitung.

Felix Burwitz

Felix Burwitz

IT-Systemelektroniker & Webentwickler

Warum E-Mail-Sicherheit jedes Unternehmen betrifft

91 % aller Cyberangriffe beginnen mit einer E-Mail. Phishing, CEO-Fraud, gefälschte Rechnungen — die Methoden werden immer raffinierter. Und das Schlimmste: Angreifer können E-Mails versenden, die aussehen, als kämen sie von Ihrer Domain.

Die Lösung: Drei Sicherheitsprotokolle, die zusammen einen nahezu lückenlosen Schutz bieten — SPF, DKIM und DMARC. In diesem Artikel erklären wir, was sie tun und wie Sie sie einrichten.

Das Problem: E-Mail-Spoofing

Das grundlegende Problem: Das E-Mail-Protokoll (SMTP) wurde in den 1980ern entwickelt — ohne jegliche Authentifizierung. Jeder kann eine E-Mail senden und als Absender [email protected] angeben. Ohne Schutzmaßnahmen kann der empfangende Server nicht prüfen, ob die E-Mail wirklich von Ihnen kommt.

Typische Angriffsszenarien:

CEO-Fraud — „Hallo Frau Müller, bitte überweisen Sie sofort 15.000 € an folgendes Konto." Absender: [email protected] (gefälscht).
Phishing — Kunden erhalten E-Mails „von Ihnen" mit Schadlinks oder gefälschten Rechnungen.
Reputationsschaden — Ihre Domain landet auf Blacklists, Ihre echten E-Mails kommen nicht mehr an.

SPF: Wer darf in Ihrem Namen senden?

SPF (Sender Policy Framework) ist ein DNS-Eintrag, der festlegt, welche Server E-Mails von Ihrer Domain versenden dürfen. Empfangende Mailserver prüfen: „Kommt diese E-Mail von einem autorisierten Server?"

Beispiel DNS TXT-Eintrag:

v=spf1 include:_spf.google.com include:mail.ihrehoster.de -all
v=spf1SPF-Version 1
include:Erlaubt E-Mails von diesen Servern
-allAlle anderen Server: E-Mail ablehnen (hard fail)
~allAlle anderen Server: als verdächtig markieren (soft fail)

DKIM: Digitale Signatur für Ihre E-Mails

DKIM (DomainKeys Identified Mail) versieht jede ausgehende E-Mail mit einer kryptografischen Signatur. Der empfangende Server prüft die Signatur über einen öffentlichen Schlüssel in Ihrem DNS — und weiß so, dass die E-Mail nicht manipuliert wurde.

Privater Schlüssel

Auf Ihrem Mailserver. Signiert jede ausgehende E-Mail.

Öffentlicher Schlüssel

Als DNS TXT-Eintrag veröffentlicht. Empfänger prüft die Signatur damit.

DKIM schützt vor Manipulation des E-Mail-Inhalts auf dem Transportweg. Wenn auch nur ein Zeichen verändert wird, schlägt die Signaturprüfung fehl.

DMARC: SPF + DKIM zusammenführen

DMARC (Domain-based Message Authentication, Reporting & Conformance) baut auf SPF und DKIM auf. Es definiert, was mit E-Mails passieren soll, die beide Prüfungen nicht bestehen — und liefert Ihnen Berichte über Missbrauchsversuche.

Beispiel DNS TXT-Eintrag (_dmarc.ihrefirma.de):

v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=100
p=noneNur beobachten, nichts blockieren (Start)
p=quarantineVerdächtige E-Mails in Spam sortieren
p=rejectGefälschte E-Mails komplett ablehnen (Ziel)
rua=mailto:Adresse für aggregierte DMARC-Berichte

Einrichtung: Schritt für Schritt

1
SPF einrichten — DNS-TXT-Eintrag anlegen, der alle Ihre Mailserver autorisiert (Google Workspace, Microsoft 365, Hoster etc.).
2
DKIM aktivieren — Bei Ihrem E-Mail-Provider DKIM-Signing aktivieren und den öffentlichen Schlüssel als DNS-TXT-Eintrag hinterlegen.
3
DMARC mit p=none starten — Erst beobachten: Wer sendet alles in Ihrem Namen? Reports auswerten.
4
Schrittweise verschärfen — Nach 2–4 Wochen: p=quarantine. Wenn alles sauber: p=reject. Das ist das Ziel.
5
DMARC-Reports regelmäßig prüfen — Tools wie dmarcian, DMARC Analyzer oder Postmark helfen bei der Auswertung.

Weitere E-Mail-Sicherheits-Basics

Zwei-Faktor-Authentifizierung (2FA) — Für alle E-Mail-Konten aktivieren. Der wichtigste Schutz gegen gehackte Passwörter.
Starke, einzigartige Passwörter — Passwort-Manager wie Bitwarden oder 1Password nutzen.
Mitarbeiter schulen — Regelmäßige Sensibilisierung für Phishing-Erkennung. Der Mensch bleibt das schwächste Glied.
Verdächtige E-Mails melden — Klare Prozesse etablieren: An wen wende ich mich bei einer verdächtigen E-Mail?

E-Mail-Sicherheit ist IT-Sicherheit

SPF, DKIM und DMARC einzurichten dauert keine Stunde — schützt Sie aber vor Betrug, Datenverlust und Reputationsschäden. Bei Burwitz-IT prüfen und konfigurieren wir Ihre E-Mail-Sicherheit als Teil unserer IT-Beratung. Jetzt Sicherheitscheck anfragen.

Passende Leistungen

Professionelle Umsetzung gesucht?

Sie möchten die Tipps aus diesem Artikel umsetzen lassen? Burwitz-IT unterstützt Sie als erfahrener Partner aus Norderstedt.

Weitere Artikel aus der Wissensdatenbank

Unterstützung bei Ihrem Webprojekt?

Lassen Sie uns in einem kostenlosen Erstgespräch herausfinden, wie wir Ihnen helfen können.

Anrufen WhatsApp