IT-Sicherheit

SPF, DKIM und DMARC einrichten – E-Mail-Sicherheit für KMU

Von Christopher Schütz · Juni 2026 · 6 Min. Lesezeit
Wer als Unternehmen im Nordwesten täglich per E-Mail kommuniziert, riskiert ohne die richtigen Schutzmaßnahmen, dass Kriminelle die eigene Domain für gefälschte Nachrichten missbrauchen. SPF, DKIM und DMARC einzurichten ist kein Hexenwerk – aber ein entscheidender Schritt, um die Reputation Ihrer Domain zu schützen und die Zustellbarkeit Ihrer E-Mails dauerhaft zu sichern.

Was sind SPF, DKIM und DMARC?

E-Mail-Protokolle wurden historisch ohne Authentifizierungsmechanismen entwickelt. Das bedeutet: Technisch kann heute jeder behaupten, eine Nachricht käme von Ihrer Domain – ein Angriffsmuster, das als E-Mail-Spoofing bezeichnet wird. Drei ergänzende Standards schließen diese Lücke.

**SPF (Sender Policy Framework)** ist ein DNS-basierter Standard, der festlegt, welche Mailserver berechtigt sind, E-Mails im Namen Ihrer Domain zu versenden. Empfangende Server prüfen diesen Eintrag und können nicht autorisierte Absender ablehnen. SPF ist in RFC 7208 definiert.

**DKIM (DomainKeys Identified Mail)** ergänzt SPF durch eine kryptografische Signatur, die jeder ausgehenden E-Mail beigefügt wird. Der empfangende Server prüft anhand eines im DNS hinterlegten öffentlichen Schlüssels, ob die Nachricht tatsächlich von Ihrer Domain stammt und auf dem Transportweg unverändert blieb. DKIM ist in RFC 6376 definiert.

**DMARC (Domain-based Message Authentication, Reporting and Conformance)** kombiniert beide Protokolle und legt fest, was mit E-Mails passieren soll, die keine der Prüfungen bestehen – etwa ablehnen, in den Spam-Ordner verschieben oder zustellen. Zusätzlich liefert DMARC Berichte, mit denen Sie den gesamten Mailverkehr über Ihre Domain überwachen können. DMARC ist in RFC 7489 definiert.

Warum diese Protokolle für KMU unverzichtbar sind

Für viele kleine und mittlere Unternehmen klingt E-Mail-Authentifizierung nach einem Thema für Konzern-IT-Abteilungen. Das Gegenteil ist der Fall: Gerade KMU sind häufige Ziele von Phishing-Angriffen, bei denen Angreifer die Domain eines lokalen Unternehmens imitieren, um Kunden, Lieferanten oder Mitarbeiter zu täuschen.

Seit Februar 2024 verlangen Google und Yahoo von Bulk-Sendern (ab 5.000 E-Mails täglich) zwingend eine DMARC-Richtlinie. Auch unterhalb dieser Schwelle bewerten Mailserver das Fehlen dieser Einträge zunehmend als Negativsignal – mit der Folge schlechterer Zustellraten oder direkter Ablehnung.

Für Unternehmen in Friesland, Ostfriesland, dem Oldenburger Land und der gesamten Nordwestregion gilt dasselbe wie überall: Vertrauen ist das wichtigste Kapital in Geschäftsbeziehungen. Eine gefälschte E-Mail, die scheinbar von Ihrer Domain kommt, kann dieses Vertrauen nachhaltig beschädigen – und das, bevor Sie überhaupt davon erfahren.

SPF einrichten: Den richtigen DNS-Eintrag erstellen

SPF wird als TXT-Eintrag in der DNS-Zone Ihrer Domain hinterlegt. Der Eintrag listet alle Mailserver-IP-Adressen und Dienste auf, die berechtigt sind, in Ihrem Namen E-Mails zu versenden.

Ein typischer SPF-Eintrag sieht so aus: `v=spf1 include:_spf.google.com include:mailanbieter.de ip4:203.0.113.10 ~all`

Die wichtigsten Bestandteile: `v=spf1` kennzeichnet den Eintrag als SPF-Version 1. `include:` verweist auf SPF-Einträge externer Dienste wie Ihr Newsletter-Tool. `ip4:` erlaubt eine konkrete IPv4-Adresse. `~all` am Ende bedeutet: Alle anderen Quellen werden als SoftFail behandelt – die E-Mail wird zugestellt, aber als verdächtig markiert. Mit `-all` (HardFail) werden sie abgelehnt.

Wichtig: Pro Domain darf nur ein SPF-Eintrag existieren. Wenn Sie mehrere Dienste nutzen, müssen Sie alle in einem einzigen Eintrag zusammenfassen. Maximal zehn DNS-Lookups sind erlaubt – dieses Limit zu überschreiten ist einer der häufigsten SPF-Fehler.

DKIM einrichten: E-Mails digital signieren

DKIM erfordert ein kryptografisches Schlüsselpaar: Der private Schlüssel verbleibt auf Ihrem Mailserver und signiert jede ausgehende Nachricht. Der öffentliche Schlüssel wird als TXT-Eintrag in Ihrer DNS-Zone veröffentlicht, typisch unter einem sogenannten Selektor:

`selektor._domainkey.ihredomain.de IN TXT "v=DKIM1; k=rsa; p=<öffentlicher Schlüssel>"`

Die meisten Mailprovider und E-Mail-Marketing-Dienste generieren dieses Schlüsselpaar für Sie und liefern den fertigen DNS-Eintrag – Sie müssen ihn lediglich im DNS Ihrer Domain eintragen.

Nutzen Sie für jeden Dienst, der E-Mails in Ihrem Namen versendet, einen eigenen DKIM-Selektor. Das ermöglicht eine saubere Trennung und erleichtert das Widerrufen einzelner Schlüssel, falls ein Dienst kompromittiert wird. Empfehlenswert ist eine Schlüssellänge von mindestens 2048 Bit – ältere 1024-Bit-Schlüssel gelten als nicht mehr ausreichend sicher.

DMARC einrichten: Die Richtlinie festlegen

Wenn SPF und DKIM aktiv sind, können Sie DMARC einrichten. Der Eintrag wird als TXT-Eintrag unter `_dmarc.ihredomain.de` gespeichert. Ein sinnvoller Einstieg:

`v=DMARC1; p=none; rua=mailto:dmarc-berichte@ihredomain.de`

Die drei Richtlinien im Überblick: `p=none` bedeutet keine Maßnahmen – E-Mails werden normal zugestellt, Sie erhalten nur Berichte. Ideal zum Einstieg. `p=quarantine` verschiebt nicht authentifizierte E-Mails in den Spam-Ordner des Empfängers. `p=reject` lehnt solche Nachrichten vollständig ab – das ist das Ziel, sollte aber erst nach sorgfältiger Auswertung der Berichte aktiviert werden.

Das Attribut `rua` legt die Adresse fest, an die Mailserver täglich Aggregatberichte senden. Beginnen Sie immer mit `p=none`, beobachten Sie die Berichte für einige Wochen und schalten Sie erst dann auf strengere Richtlinien um, wenn alle legitimen Mailquellen korrekt authentifiziert sind.

DMARC-Berichte verstehen und nutzen

Die Aggregatberichte liegen im XML-Format vor und sind auf den ersten Blick wenig lesbar. Kostenlose Auswertungsdienste wie dmarcian, Postmark DMARC oder MXToolbox DMARC bereiten die Daten übersichtlich auf.

In den Berichten sehen Sie, welche Mailserver E-Mails von Ihrer Domain versenden, wie viele Nachrichten die SPF- und DKIM-Prüfung bestanden haben, und von welchen IP-Adressen aus Ihre Domain möglicherweise missbraucht wird. Diese Informationen sind doppelt wertvoll: Sie decken Angriffe auf und zeigen gleichzeitig, ob alle legitimen Dienste – etwa ein vergessenes Newsletter-Tool oder ein ERP-System – korrekt eingebunden sind. Erst wenn die Berichte zeigen, dass ausschließlich autorisierte Quellen aktiv sind, sollten Sie die Richtlinie auf `reject` verschärfen.

Typische Fehler – und wie Sie sie vermeiden

**Mehrere SPF-Einträge:** Pro Domain darf nur ein SPF-TXT-Eintrag existieren. Zwei separate Einträge werden nicht zusammengeführt – einer davon wird ignoriert, SPF schlägt fehl.

**Zu früh auf `p=reject` wechseln:** Wer DMARC ohne ausreichende Vorbereitungszeit direkt auf `reject` setzt, riskiert, legitime E-Mails zu blockieren – etwa von einem CRM-System oder einer Buchhaltungssoftware, die noch nicht DKIM-signiert versendet.

**DKIM-Schlüssel nie erneuern:** Kryptografische Schlüssel sollten regelmäßig rotiert werden. Viele Unternehmen richten DKIM einmal ein und vergessen es danach jahrelang.

**Subdomains vergessen:** DMARC schützt standardmäßig auch Subdomains, aber nur wenn die Option `sp=` korrekt gesetzt ist. Prüfen Sie, ob `newsletter.ihredomain.de` oder `info.ihredomain.de` eigene Einträge benötigen.

**Keine laufende Überwachung:** Neue Dienste, IP-Wechsel oder Providerwechsel erfordern eine Aktualisierung der DNS-Einträge. SPF, DKIM und DMARC sind keine einmalige Aufgabe, sondern Teil der laufenden IT-Pflege.

Fazit: E-Mail-Sicherheit ist kein Luxus

SPF, DKIM und DMARC einzurichten ist heute keine optionale Maßnahme mehr – es ist eine Grundvoraussetzung für seriöse digitale Kommunikation. Die drei Protokolle ergänzen sich: SPF definiert, wer senden darf; DKIM beweist, dass die Nachricht unverändert übermittelt wurde; DMARC legt fest, was mit Fälschungen passiert, und verschafft Ihnen die nötige Transparenz über Ihren gesamten E-Mail-Verkehr.

Für KMU in Friesland, dem Oldenburger Land und dem gesamten Nordwesten lohnt sich die einmalige Investition: Sie schützen Ihren Ruf, verbessern die Zustellbarkeit Ihrer Geschäftsmails und erfüllen die wachsenden Anforderungen großer Mailprovider.

Sie möchten SPF, DKIM und DMARC professionell für Ihre Unternehmens-Domain einrichten lassen – ohne selbst in die DNS-Konfiguration einzutauchen? Die Webagentur TwoPixels aus Schortens unterstützt KMU in der Region von der technischen Einrichtung bis zur laufenden Überwachung. Sprechen Sie uns einfach an.