Sie schicken eine Offerte an einen wichtigen Kunden, und sie kommt nie an. Keine Fehlermeldung, kein Hinweis, die E-Mail ist einfach im Spam-Ordner des Empfängers verschwunden. Oder schlimmer: Ein Betrüger verschickt Rechnungen im Namen Ihrer Firma, und Ihre Kunden fallen darauf herein.
Beide Probleme haben dieselbe Ursache: Es fehlen die drei Mechanismen, mit denen E-Mail-Server heute prüfen, ob eine Nachricht wirklich von Ihrer Domain stammt. Diese Mechanismen heissen SPF, DKIM und DMARC. Dieser Artikel erklärt, was sie tun und wie Sie sie korrekt einrichten.
Warum E-Mail von Natur aus ungeschützt ist
E-Mail wurde in den 1980er-Jahren entwickelt, lange bevor Spam und Phishing zum Problem wurden. Im ursprünglichen Protokoll kann jeder Server behaupten, eine E-Mail komme von einer beliebigen Adresse. Es gibt keine eingebaute Prüfung. So wie auf einem Briefumschlag jeder einen beliebigen Absender schreiben kann, lässt sich auch das “Von”-Feld einer E-Mail frei fälschen.
Genau das nutzen Betrüger aus. Sie verschicken E-Mails, die scheinbar von “rechnung@ihre-firma.ch” stammen, obwohl sie von einem ganz anderen Server kommen. Um das zu verhindern, wurden drei Standards entwickelt, die sich gegenseitig ergänzen. Alle drei werden als DNS-Einträge in Ihrer Domain hinterlegt. Wie DNS-Einträge grundsätzlich funktionieren, erklären wir im Artikel DNS-Einträge erklärt.
SPF: Wer darf für Ihre Domain senden?
SPF steht für “Sender Policy Framework”. Der Eintrag legt fest, welche Server berechtigt sind, E-Mails im Namen Ihrer Domain zu verschicken.
Sie hinterlegen in Ihrem DNS einen TXT-Eintrag mit der Liste der erlaubten Versand-Server. Wenn ein empfangender Server eine E-Mail von Ihrer Domain erhält, schaut er in diesem Eintrag nach: Steht der sendende Server auf der Liste? Wenn ja, gilt die SPF-Prüfung als bestanden. Wenn nein, ist das ein Warnsignal.
Ein SPF-Eintrag sieht zum Beispiel so aus:
v=spf1 include:_spf.ihr-hostinganbieter.ch include:_spf.google.com -allDie wichtigsten Bestandteile:
include: verweist auf die Server eines Dienstes, den Sie für den Versand nutzen, etwa Ihren Hosting-Anbieter, Google Workspace oder ein Newsletter-Tool.
-all am Ende bedeutet: Alle Server, die nicht aufgelistet sind, sind nicht berechtigt. Das ist die strikte und empfohlene Variante. Die mildere Form ~all markiert nicht aufgelistete Server nur als verdächtig, statt sie abzulehnen.
Der häufigste Fehler bei SPF: Sie nutzen mehrere Versanddienste, listen aber nicht alle auf. Wer zum Beispiel E-Mails über den Hosting-Anbieter verschickt, den Newsletter aber über ein externes Tool wie Mailchimp, muss beide im SPF-Eintrag aufführen. Sonst landen die Newsletter im Spam.
DKIM: Die digitale Unterschrift Ihrer E-Mails
DKIM steht für “DomainKeys Identified Mail”. Während SPF nur prüft, von welchem Server eine E-Mail kommt, fügt DKIM jeder einzelnen E-Mail eine fälschungssichere digitale Unterschrift hinzu.
Das funktioniert mit einem Schlüsselpaar. Ihr Versand-Server besitzt einen privaten Schlüssel und signiert damit jede ausgehende E-Mail. Den dazugehörigen öffentlichen Schlüssel hinterlegen Sie als DNS-Eintrag in Ihrer Domain. Der empfangende Server holt sich diesen öffentlichen Schlüssel und prüft damit, ob die Unterschrift echt ist und die E-Mail unterwegs nicht verändert wurde.
Der Vorteil gegenüber SPF: DKIM bleibt auch dann gültig, wenn eine E-Mail weitergeleitet wird. Bei einer Weiterleitung ändert sich der sendende Server, was die SPF-Prüfung brechen kann, die DKIM-Signatur bleibt aber erhalten.
In der Praxis müssen Sie DKIM meist nicht von Hand einrichten. Seriöse Hosting-Anbieter und E-Mail-Dienste generieren das Schlüsselpaar automatisch und geben Ihnen den DNS-Eintrag vor, den Sie nur noch hinterlegen müssen. Der Eintrag ist ein TXT-Record mit einem sogenannten Selektor im Namen, zum Beispiel selektor1._domainkey.ihre-firma.ch.
DMARC: Die Regel, was bei Verstössen passiert
SPF und DKIM prüfen jeweils einen Teilaspekt. DMARC bringt beide zusammen und legt fest, was ein empfangender Server tun soll, wenn die Prüfungen fehlschlagen.
DMARC steht für “Domain-based Message Authentication, Reporting and Conformance”. Ohne DMARC entscheidet jeder empfangende Server selbst, wie er mit einer E-Mail umgeht, die SPF oder DKIM nicht besteht. Mit DMARC geben Sie eine klare Anweisung vor.
Ein DMARC-Eintrag ist ein TXT-Record unter _dmarc.ihre-firma.ch und sieht zum Beispiel so aus:
v=DMARC1; p=quarantine; rua=mailto:dmarc@ihre-firma.ch; pct=100Der wichtigste Teil ist die Richtlinie p=. Sie kennt drei Stufen:
p=none ist der Beobachtungsmodus. Es passiert nichts mit verdächtigen E-Mails, Sie erhalten aber Berichte darüber. Damit starten Sie, ohne den Versand zu riskieren.
p=quarantine weist den empfangenden Server an, verdächtige E-Mails in den Spam-Ordner zu verschieben.
p=reject lehnt verdächtige E-Mails komplett ab. Das ist der stärkste Schutz gegen Missbrauch Ihrer Domain.
Der Parameter rua= legt eine Adresse fest, an die Sie regelmässige Berichte erhalten. Diese Berichte zeigen Ihnen, wer in Ihrem Namen E-Mails verschickt, auch unberechtigte Absender. Das ist ein wertvolles Frühwarnsystem für Phishing-Versuche mit Ihrer Domain.
Die richtige Reihenfolge bei der Einrichtung
Wer alle drei Mechanismen gleichzeitig scharf stellt, riskiert, dass eigene legitime E-Mails plötzlich blockiert werden. Gehen Sie deshalb schrittweise vor.
Schritt 1: SPF einrichten. Tragen Sie alle Dienste ein, über die Sie E-Mails verschicken. Denken Sie an Newsletter-Tools, Buchungssysteme und Shop-Systeme, die Bestätigungsmails versenden.
Schritt 2: DKIM aktivieren. Lassen Sie sich von Ihrem Hosting-Anbieter oder E-Mail-Dienst den DKIM-Eintrag generieren und hinterlegen Sie ihn.
Schritt 3: DMARC mit p=none starten. Beobachten Sie die Berichte einige Wochen lang. So sehen Sie, ob alle Ihre legitimen Versandwege SPF und DKIM korrekt bestehen.
Schritt 4: DMARC verschärfen. Wenn die Berichte sauber sind, stellen Sie schrittweise auf p=quarantine und später auf p=reject um.
So prüfen Sie Ihre aktuelle Situation
Sie müssen nicht raten, ob Ihre Domain korrekt eingerichtet ist. Es gibt einfache Wege, das zu testen:
Senden Sie eine Test-E-Mail. Schicken Sie eine E-Mail von Ihrer Geschäftsadresse an ein Gmail-Konto. Öffnen Sie die E-Mail dort, klicken Sie auf die drei Punkte und wählen Sie “Original anzeigen”. Gmail zeigt für SPF, DKIM und DMARC jeweils an, ob die Prüfung bestanden wurde (PASS) oder nicht.
Nutzen Sie ein kostenloses Prüf-Tool. Dienste wie MXToolbox oder Mail-Tester.com analysieren Ihre Domain und zeigen, welche Einträge vorhanden sind und wo es Probleme gibt. Mail-Tester gibt Ihrer Konfiguration sogar eine Punktzahl.
Kontrollieren Sie nach jeder Änderung am Versand. Sobald Sie einen neuen Dienst hinzufügen, der in Ihrem Namen E-Mails versendet, müssen Sie den SPF-Eintrag anpassen. Sonst landen ausgerechnet diese neuen E-Mails im Spam.
Wo anfangen?
Der erste Schritt ist immer eine Bestandsaufnahme. Schicken Sie sich selbst eine Test-E-Mail an ein Gmail-Konto und prüfen Sie über “Original anzeigen”, welche der drei Prüfungen bereits bestanden werden. In den meisten Fällen ist SPF vorhanden, DKIM teilweise, und DMARC fehlt komplett.
Bei einem seriösen E-Mail-Anbieter sind SPF und DKIM für Ihre Domain in wenigen Minuten eingerichtet, oft sogar vorkonfiguriert. DMARC ergänzen Sie anschliessend selbst, beginnend im Beobachtungsmodus. Wenn Ihr aktueller Anbieter Ihnen bei diesen Einträgen nicht weiterhilft oder DKIM gar nicht anbietet, ist das ein deutliches Zeichen, über einen Wechsel nachzudenken.
Korrekt eingerichtete E-Mail-Authentifizierung sorgt dafür, dass Ihre wichtigen Nachrichten ankommen und dass niemand Ihre Domain für Betrug missbrauchen kann. Der Aufwand ist einmalig, der Nutzen dauerhaft.