E-Mail-Sicherheit: SPF, DKIM und DMARC für KMU einrichten

E-Mail ist der häufigste Angriffsweg in Unternehmen – und einer der einfachsten für Angreifer. Wer Ihre Domain kennt, kann theoretisch E-Mails in Ihrem Namen versenden, ohne jemals Zugriff auf Ihre Systeme gehabt zu haben. SPF, DKIM und DMARC sind die drei DNS-Einträge, die das verhindern – und die erstaunlich viele KMU noch immer nicht korrekt konfiguriert haben.

Warum E-Mail-Spoofing auch KMU betrifft

Beim E-Mail-Spoofing versenden Angreifer Nachrichten, die scheinbar von Ihrer Domain stammen. Ihre Kunden bekommen eine E-Mail von „rechnungen@ihrefirma.de” – mit einer gefälschten IBAN. Ihr Lieferant erhält eine Bestellbestätigung mit manipulierten Kontoverbindungen. Das FBI erfasst unter dem Begriff Business E-Mail Compromise (BEC) jährlich Schäden im zweistelligen Milliardenbereich weltweit.

Für ostdeutsche KMU gilt dasselbe wie überall: Die Domain ist ein vertrauenswürdiges Aushängeschild. Ohne technische Schutzmaßnahmen kann jeder diese Identität missbrauchen – und Ihre Kunden und Partner wären machtlos dagegen.

Das Gute: Die Gegenmaßnahmen sind rein technisch, kostenlos und in ein bis zwei Stunden umzusetzen.

Die drei Protokolle im Überblick

E-Mail-Sicherheit auf DNS-Ebene basiert auf drei sich ergänzenden Standards, die ineinandergreifen.

SPF – Sender Policy Framework

SPF ist ein DNS-TXT-Record, der festlegt, welche Mail-Server E-Mails im Namen Ihrer Domain versenden dürfen. Empfangende Mail-Server prüfen, ob die sendende IP-Adresse in diesem Record steht.

Wenn Ihre Firma Google Workspace nutzt, erlaubt der SPF-Record genau Googles Server – und kennzeichnet alle anderen als verdächtig.

Beispiel SPF-Record:

v=spf1 include:_spf.google.com ~all

Die wichtigsten Parameter:

• include: – delegiert die Prüfung an den Anbieter (Google, Microsoft etc.)
• ~all – Soft Fail: E-Mails von nicht gelisteten Servern werden als verdächtig markiert, aber zugestellt (gut für den Einstieg)
• -all – Hard Fail: Hartes Ablehnen aller anderen Server (strengste Variante)

Häufiger Fehler: Mehrere SPF-Records für dieselbe Domain anlegen. Es darf nur einen geben – mehrere Anbieter werden per include: in einem einzigen Record kombiniert.

DKIM – DomainKeys Identified Mail

DKIM fügt jeder ausgehenden E-Mail eine kryptografische Signatur hinzu. Der öffentliche Schlüssel liegt als DNS-Record auf Ihrer Domain. Empfangende Server prüfen damit, ob die E-Mail tatsächlich von Ihrem Mail-Server signiert wurde und ob der Inhalt unverändert übertragen wurde.

DKIM schützt also nicht nur vor Spoofing, sondern auch vor nachträglicher Manipulation von E-Mails auf dem Transportweg.

Den DKIM-Schlüssel generiert und im DNS einrichtet in der Regel Ihr Mail-Anbieter. Der DNS-Record sieht so aus:

selector1._domainkey.ihrefirma.de  TXT  "v=DKIM1; k=rsa; p=MIIBIjANBg..."

selector1 ist ein frei wählbares Präfix – Sie können mehrere DKIM-Schlüssel parallel für verschiedene Dienste haben.

DMARC – Domain-based Message Authentication, Reporting & Conformance

DMARC baut auf SPF und DKIM auf und definiert, was mit E-Mails passieren soll, die beide Prüfungen nicht bestehen. Gleichzeitig liefert DMARC tägliche XML-Berichte: Welche Server haben im Namen Ihrer Domain E-Mails versendet? Das ist für KMU oft eine Überraschung.

Die drei DMARC-Policies:

Beispiel DMARC-Record:

_dmarc.ihrefirma.de  TXT  "v=DMARC1; p=none; rua=mailto:dmarc@ihrefirma.de; fo=1"

Schritt-für-Schritt: So richten KMU SPF, DKIM und DMARC ein

Die empfohlene Reihenfolge – nicht überspringen, sonst riskieren Sie, legitime E-Mails zu blockieren:

Schritt 1: SPF einrichten

1. Loggen Sie sich in Ihr DNS-Panel ein (Hetzner, STRATO, all-inkl., IONOS etc.)
2. Fügen Sie einen TXT-Record für @ (Root-Domain) hinzu
3. Inhalt: v=spf1 include:[ihr-anbieter] ~all
4. Testen Sie das Ergebnis mit MXToolbox (mxtoolbox.com/spf.aspx)

Nutzen Sie mehrere E-Mail-Dienste (z.B. Google Workspace für interne Post und Mailchimp für Newsletter), müssen alle im selben Record stehen:

v=spf1 include:_spf.google.com include:servers.mcsv.net ~all

Schritt 2: DKIM aktivieren

Bei Google Workspace: Admin Console → Apps → Google Workspace → Gmail → E-Mail-Authentifizierung → DKIM-Schlüssel generieren → Angezeigten DNS-Record setzen → 24–48 Stunden warten → Authentifizierung aktivieren

Bei eigenem Postfix-Server (typisch bei Rexoma-betreuten Linux-Servern in Dresden): OpenDKIM installieren (apt install opendkim opendkim-tools), Schlüsselpaar generieren, Konfiguration in /etc/opendkim.conf und Postfix-Integration über /etc/postfix/main.cf.

Schritt 3: DMARC mit p=none starten

Setzen Sie zunächst einen TXT-Record für _dmarc.ihrefirma.de mit p=none. So sammeln Sie Berichte, ohne E-Mails zu blockieren.

Warten Sie mindestens zwei Wochen und werten Sie die eingehenden XML-Berichte aus. Tools wie DMARC Analyzer (dmarcian.com) visualisieren die Daten verständlich. Prüfen Sie: Welche Dienste senden noch außerhalb Ihrer SPF/DKIM-Konfiguration?

Schritt 4: Policy schrittweise verschärfen

Erst wenn alle legitimen Dienste korrekt konfiguriert sind:

• p=none → p=quarantine (Fehlversuche landen im Spam)
• Nach weiteren 2–4 Wochen: p=quarantine → p=reject

Wer direkt mit reject startet, riskiert, dass CRM-Systeme, ERP-Software oder externe Dienstleister ihre E-Mails nicht mehr zustellen können.

Warum das seit 2024 besonders dringlich ist

Google und Yahoo haben Anfang 2024 die Anforderungen für Massenversender erhöht: Wer mehr als 5.000 E-Mails pro Tag verschickt, muss SPF, DKIM und DMARC korrekt eingerichtet haben – sonst landen E-Mails im Spam oder werden abgewiesen. Für KMU in Sachsen, die Newsletter, Bestellbestätigungen oder Rechnungen per E-Mail versenden, ist das unmittelbar relevant.

Darüber hinaus ist DMARC-Compliance inzwischen ein allgemeines Qualitätsmerkmal für Spam-Filter. Domains ohne DMARC-Record werden tendenziell schlechter bewertet – unabhängig vom Sendevolumen.

Tools zum Testen der E-Mail-Sicherheit

• MXToolbox (mxtoolbox.com): SPF, DKIM und DMARC prüfen
• Mail-Tester (mail-tester.com): Test-Mail senden, Score erhalten
• dmarcian.com: DMARC-Reports auswerten und visualisieren
• Google Admin Toolbox: Für Google Workspace direkt im Admin-Bereich

Sie suchen Unterstützung bei der E-Mail-Sicherheit in Dresden? Rexoma IT hilft KMU aus Sachsen dabei, SPF, DKIM und DMARC korrekt einzurichten – inklusive Prüfung aller sendenden Systeme (CRM, ERP, Newsletter-Tools) und schrittweiser Verschärfung der DMARC-Policy. Jetzt Kontakt aufnehmen und E-Mail-Sicherheit dauerhaft absichern.

FAQ: E-Mail-Sicherheit mit SPF, DKIM und DMARC

Kann ich SPF, DKIM und DMARC als KMU selbst einrichten? Ja, wenn Sie Zugriff auf Ihr DNS-Panel haben und einen gängigen Mail-Anbieter wie Google Workspace oder Microsoft 365 nutzen, ist die Umsetzung in 1–2 Stunden machbar. Bei eigenen Mail-Servern (Postfix, Dovecot) ist die DKIM-Konfiguration etwas aufwändiger, aber für technisch versierte Admins gut dokumentiert.

Was passiert, wenn ich DMARC-Berichte ignoriere? Die Berichte zeigen, welche Server E-Mails in Ihrem Namen verschicken. Ohne Auswertung wissen Sie nicht, ob alle legitimen Systeme korrekt konfiguriert sind – und können die Policy nicht sinnvoll verschärfen. Außerdem entgehen Ihnen Hinweise auf laufende Spoofing-Versuche gegen Ihre Domain.

Schützen SPF, DKIM und DMARC meine Mitarbeiter vor Phishing? Nein – diese Protokolle schützen Ihre Domain davor, von Fremden missbraucht zu werden. Gegen Angriffe auf Ihre Mitarbeiter über täuschend ähnliche Domains (z.B. „rexoma-it.de” statt „rexoma.de”) helfen Awareness-Trainings und E-Mail-Filter auf dem Gateway.

Wie lange dauert die DNS-Propagation nach Änderungen? In der Regel 1–24 Stunden, je nach TTL-Einstellung Ihrer DNS-Einträge. Für produktive Umgebungen sollten Sie mindestens 24 Stunden warten, bevor Sie Konfigurationen als aktiv betrachten und die Policy verschärfen.

Mein Newsletter-Anbieter sendet auch für meine Domain – was tun? Fügen Sie den SPF-Include des Anbieters (z.B. include:servers.mcsv.net für Mailchimp oder include:sendgrid.net für SendGrid) in Ihren SPF-Record ein und richten Sie DKIM über die Anbieter-Plattform ein. Ohne das werden Newsletter nach DMARC-Aktivierung als verdächtig eingestuft oder abgewiesen.