E-Mail-Authentifizierung mit SPF, DKIM, DMARC: Sorgen Sie für eine sichere E-Mail-Kommunikation mit Ihren Kunden

Bereits Anfang 2024 haben große Mailprovider Ihre Sicherheitsrichtlinien angepasst und ihre Prüfmechanismen für eingehende E-Mails verändert. Ziel ist, Mailempfänger vor Angriffen und Bedrohungen zu schützen. Im kommenden Jahr sollen die Maßnahmen verschärft werden. Handeln Sie, damit Sie mit Ihren Kunden in Kontakt bleiben.

E-Mail-Authentifizierung mit SPF, DKIM und DMARC für einen sicheren E-Mail-Verkehr

SPF, DKIM, DMARC – was ist zu tun?

Sicherlich ist Ihnen in den letzten Monaten mindestens einer der 3 Begriffe begegnet: SPF, DKIM oder DMARC. Bereits Anfang dieses Jahres hatten wir in unserem Blog-Beitrag zur sicheren Erreichbarkeit von Kunden per E-Mail-Authentifizierung auf eine Änderung der großen Mailprovider hingewiesen, die eine Anpassung der Domains bei vielen Firmen notwendig gemacht hat.

Die Mailanbieter wie Googlemail, Yahoo, Outlook.com (ehemals Hotmail), t-online.de haben nun angekündigt, DMARC ab 2025 verpflichtend umzusetzen. Auch die Domains web.de und gmx.de werden sich anschließen. Darüber hinaus werden die Mailanbieter die anderen beiden Authentifizierungsmechanismen SPF und DKIM stärker kontrollieren. Firmen, deren Domain nicht korrekt authentifiziert ist, werden zunehmend Probleme mit der Zustellung Ihrer E-Mails bekommen.

Unseren Recherchen nach haben immer noch einige Firmen Handlungsbedarf, weil sie diese Anpassungen noch nicht durchgeführt haben und weiterhin keine DKIM-signierten E-Mails versenden. SPF (Sender Policy Framework) setzen die meisten bereits ein, aber DKIM und DMARC fehlen bei vielen Absendern.  

Dies könnte in der nahen Zukunft dazu führen, dass die großen Mailplattformbetreiber – wie z. B. Googlemail, Yahoo oder Hotmail/Outlook.com – Ihre E-Mails nicht mehr annehmen. Auch E-Mails, die an Kunden gesendet werden, die ihre Mailboxen in die Microsoft Cloud (Exchange Online) verlagert haben, werden davon betroffen sein. Das heißt konkret, dass Sie bei Nichtumsetzung der E-Mail-Authentifizierung Ihre Kunden per E-Mail nicht mehr erreichen werden, weil Sie als Absender als nicht vertrauenswürdig und Ihre E-Mails somit als nicht sicher eingestuft und blockiert werden.

Dabei ist es gerade in Exchange Online einfach, diese Vorgaben zu erfüllen.

Mechanismen zur E‑Mail-Authentifizierung

Bei DKIM, DMARC und SPF handelt es sich um Authentifizierungsmechanismen, die helfen, E-Mails vor Missbrauch wie Phishing oder Spam zu schützen. Sie funktionieren am besten zusammen und bilden eine Art Schutzschicht für den E-Mail-Verkehr.

SPF (Sender Policy Framework) 

SPF ist ein Verfahren, das definiert, welche IP-Adressen oder Server autorisiert sind, E-Mails für eine bestimmte Domain zu versenden. Der Besitzer einer Domain legt dazu einen SPF-Record in den DNS-Einstellungen seiner Domain fest. 

  • Funktionsweise: Im SPF-Record wird festgelegt, welche IPs oder Server E-Mails von dieser Domain verschicken dürfen. Beim Empfang einer E-Mail überprüft der empfangende Mail-Server, ob die sendende IP mit den im SPF-Record definierten IP-Adressen übereinstimmt. 
  • Ziel: Verhindern, dass Dritte (z. B. Spammer) E-Mails im Namen einer bestimmten Domain verschicken.

Beispiel Ein SPF-Record könnte so aussehen: 

v=spf1 ip4:192.0.2.0/24 include:spf.protection.com -all

DKIM (DomainKeys Identified Mail)

DKIM ist ein Authentifizierungsverfahren, bei dem eine E-Mail mit einer digitalen Signatur versehen wird, die sicherstellt, dass die E-Mail tatsächlich vom angezeigten Absender stammt und unterwegs nicht manipuliert wurde. 

  • Funktionsweise: Der versendende Server versieht die E-Mail mit einer Signatur, die auf einem privaten Schlüssel basiert. Der zugehörige öffentliche Schlüssel wird im DNS hinterlegt. Der empfangende Server kann mithilfe des öffentlichen Schlüssels die Signatur prüfen und sicherstellen, dass der Inhalt unverändert ist und die E-Mail wirklich vom angegebenen Server stammt. 
  • Ziel: Schutz vor Manipulationen und sicherstellen, dass der Absender tatsächlich autorisiert ist.

Beispiel Ein DKIM-Record sieht etwa so aus: 

v=DKIM1; k=rsa; p=MIIBIjANBgkqh…

DMARC (Domain-based Message Authentication, Reporting and Conformance)

DMARC baut auf SPF und DKIM auf und gibt Domain-Besitzern eine Möglichkeit, Anweisungen für den Umgang mit fehlgeschlagenen SPF- und/oder DKIM-Überprüfungen zu geben. Außerdem erlaubt DMARC das Erstellen von Berichten, die zeigen, ob und wie oft eine Domain für Phishing- oder Spam-Zwecke missbraucht wird. 

  • Funktionsweise: Ein Domain-Besitzer erstellt einen DMARC-Record im DNS, in dem festgelegt wird, wie der empfangende Mail-Server mit E-Mails umgehen soll, die die SPF- und/oder DKIM-Prüfung nicht bestehen. Mögliche Anweisungen sind: „keine Maßnahme“, „in den Spam-Ordner verschieben“ oder „zurückweisen“. 
  • Ziel: Sicherstellen, dass nur E-Mails, die sowohl SPF als auch DKIM bestehen, als vertrauenswürdig gelten, und Angriffe wie Phishing verhindern.

Beispiel Ein DMARC-Record könnte so aussehen:

v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]

Zusammenspiel von SPF, DKIM und DMARC

Zusammen bieten SPF, DKIM und DMARC einen umfassenden Schutz: 

  1. SPF prüft, ob eine E-Mail von einem autorisierten Server gesendet wurde. 
  2. DKIM stellt sicher, dass die E-Mail nicht manipuliert wurde und authentifiziert den Absender. 
  3. DMARC überprüft, ob die SPF- und DKIM-Authentifizierungen erfolgreich sind und gibt Anweisungen, wie bei fehlgeschlagenen Prüfungen vorgegangen werden soll. 

SPF und DKIM sind die Authentifizierungsmechanismen und DMARC ist die übergeordnete Richtlinie, die definiert, wie mit nicht authentifizierten E-Mails umgegangen wird.

Warum ist das Einrichten von E-Mail-Authentifizierung so wichtig?

Zum einen geht es um die Einhaltung der von den Mailprovidern vorgegeben Richtlinien, um sicherzustellen, dass die E-Mails von autorisierten Absendern stammen. Zum anderen erhöhen Sie die Zustellrate Ihrer ausgehenden E-Mails und sorgen mit SPF-, DKIM- und DMARC-Signaturen für eine zuverlässige Reichweite Ihrer Kommunikation. Zusätzlich schützen Sie Ihre Domain vor Missbrauch und stellen sicher, dass ausschließlich legitime E-Mails gesendet werden.

Was passiert, wenn ich DKIM, DMARC und SPF nicht oder nur unzureichend konfiguriert habe? 

  • Geringere Vertrauenswürdigkeit: E-Mails ohne Authentifizierung werden vom empfangenden Mail-Server als weniger vertrauenswürdig eingestuft. 
  • Spam-Risiko: Ihre E-Mails könnten eher im Spam-Ordner landen, da viele E-Mail-Anbieter diese Methoden zur Authentifizierung als notwendig erachten. 
  • Ablehnen von E-Mails Ihrer Organisation: Bei nicht korrekter Einrichtung können E-Mails Ihrer Organisation abgelehnt werden, sollte der Empfänger die E-Mail-Authentifizierung entsprechend eingerichtet haben. 
  • Erhöhtes Missbrauchsrisiko: Ohne diese Schutzmaßnahmen ist es für Angreifer einfacher, Phishing-Mails zu senden, die vorgeben, von Ihrer Domain zu stammen. 

Jetzt E-Mail-Authentifizierung einrichten!

Lassen Sie den Kundenkontakt nicht abbrechen. Wir empfehlen Ihnen dringend, die Authentifizierungsmechanismen DKIM, DMARC und SPF in Ihrem DNS-Eintrag für Ihre Domain einzurichten. Gerne unterstützen wir Sie bei der Konfiguration und beantworten Ihre Fragen. Nehmen Sie Kontakt mit uns auf!

Mitarbeiterportrait: Dirk Theisen, Sales Manager Modern Collaboration

Ihr Ansprechpartner : Dirk Theisen

Aktuelle Beiträge

Aktuelle Veranstaltungen bei ORBIT

  • Online-Seminar | Dynamics 365 CRM – what’s new? ORBIT informiert! | 13.12.2024

    Die CRM-Lösungen von Microsoft werden immer leistungsfähiger. Welche Neuheiten sind für Unternehmen aus dem Mittelstand interessant? Was bringt die Integration von KI? Unsere CRM-Experten halten Sie auf dem Laufenden.

  • Online-Seminar | Digitalisierung im Vertrieb Maschinenbau | 04.02.2025

    Der Maschinenbau in Deutschland steht unter Druck – erfahren Sie in diesem Online-Seminar, wie Sie digitale Lösungen nutzen, um Ihre Unternehmensziele dennoch zu erreichen!