Optimale E-Mail-Sicherheit für kleine Unternehmen: SPF, DKIM und DMARC richtig konfigurieren

Warum E-Mail-Sicherheit für dein Unternehmen wichtig ist

E-Mails sind das Rückgrat der Geschäftskommunikation – aber auch ein beliebtes Ziel für Angreifer. Ohne Schutzmechanismen können Kriminelle deine Domain missbrauchen, um Phishing-Mails zu versenden oder deine Nachrichten abzufangen. Für kleine Unternehmen kann das verheerende Folgen haben: Vertrauensverlust, finanzielle Schäden und rechtliche Konsequenzen. Mit den richtigen E-Mail-Authentifizierungsstandards – SPF, DKIM und DMARC – schützt du deine Domain und erhöhst die Zustellbarkeit deiner E-Mails.

Was ist SPF (Sender Policy Framework)?

SPF legt fest, welche Server berechtigt sind, E-Mails in deinem Namen zu versenden. Du veröffentlichst einen DNS-Eintrag, der die IP-Adressen autorisierter Mailserver auflistet. Empfänger prüfen diesen Eintrag und lehnen Mails von nicht autorisierten Servern ab.

So konfigurierst du SPF

Erstelle einen TXT-Eintrag in deiner DNS-Zone. Ein Beispiel für einen einfachen SPF-Eintrag:

v=spf1 include:_spf.google.com ~all

Dies erlaubt Google Mail-Servern, E-Mails für deine Domain zu senden. Das ~all steht für „weiche Ablehnung“ – Mails von anderen Servern werden markiert, aber nicht blockiert. Verwende -all für eine strikte Ablehnung. Achte darauf, alle deine Mailserver (z. B. von deinem Webhosting-Anbieter) zu integrieren.

Was ist DKIM (DomainKeys Identified Mail)?

DKIM fügt jeder ausgehenden E-Mail eine digitale Signatur hinzu, die vom Empfänger mit einem öffentlichen Schlüssel in deinem DNS überprüft wird. So wird sichergestellt, dass die Nachricht nicht manipuliert wurde und tatsächlich von deiner Domain stammt.

DKIM einrichten

Dein E-Mail-Dienst (z. B. Google Workspace, Microsoft 365 oder dein Managed Hosting) generiert ein Schlüsselpaar. Den öffentlichen Schlüssel trägst du als TXT-Eintrag in deiner Domain ein. Ein typischer Eintrag sieht so aus:

default._domainkey IN TXT "v=DKIM1; h=sha256; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC..."

Nach der Aktivierung signiert dein Mailserver alle ausgehenden E-Mails automatisch.

Was ist DMARC (Domain-based Message Authentication, Reporting & Conformance)?

DMARC baut auf SPF und DKIM auf und gibt dir eine Richtlinie vor, wie Empfänger mit Mails umgehen sollen, die die Prüfungen nicht bestehen. Zudem erhältst du Berichte über Authentifizierungsfehler, sodass du Angriffe frühzeitig erkennst.

DMARC konfigurieren

Erstelle einen TXT-Eintrag mit dem Namen _dmarc. Ein Beispiel:

v=DMARC1; p=quarantine; rua=mailto:dmarc@deinedomain.de; ruf=mailto:dmarc-forensic@deinedomain.de; pct=100

• p: Richtlinie – none (nur überwachen), quarantine (in Spam verschieben) oder reject (ablehnen). Für den Start empfiehlt sich p=none, später p=quarantine oder p=reject.
• rua: Adresse für aggregierte Berichte.
• ruf: Adresse für forensische Berichte (optional).
• pct: Prozentsatz der Mails, auf die die Richtlinie angewendet wird.

Häufige Fehler vermeiden

• SPF zu viele Lookups: Maximal 10 DNS-Lookups erlaubt. Nutze include statt mehrerer ip4-Einträge.
• DKIM-Schlüssel zu kurz: Verwende mindestens 1024 Bit RSA.
• DMARC zu streng: Starte mit p=none, um keine legitimen Mails zu blockieren. Analysiere die Berichte, bevor du verschärfst.

Tools zur Überprüfung

Nutze kostenlose Online-Tools wie MXToolbox oder DMARC Analyzer, um deine Einträge zu testen. Auch unser Support hilft dir bei Fragen.

Fazit

SPF, DKIM und DMARC sind keine Option, sondern eine Notwendigkeit für jedes Unternehmen, das E-Mails verschickt. Die Einrichtung erfordert etwas Zeit, schützt aber nachhaltig vor Missbrauch und verbessert die Zustellbarkeit. Wenn du Hilfe bei der Konfiguration benötigst oder einen zuverlässigen Webhosting-Anbieter suchst, der diese Standards unterstützt, wirf einen Blick auf unsere Angebote.