Jeder kann theoretisch eine E-Mail verschicken, die aussieht als käme sie von Ihrer Domain – ohne Zugriff auf Ihr System, ohne Passwort. Das ist E-Mail-Spoofing, und es ist erschreckend einfach. SPF, DKIM und DMARC sind die drei DNS-Einträge, die das verhindern. Viele Unternehmen haben einen davon – aber selten alle drei richtig konfiguriert.
Das Grundprinzip: Drei Schlösser für eine Tür
Die drei Mechanismen ergänzen sich und schützen unterschiedliche Aspekte Ihrer ausgehenden E-Mails. Keiner allein ist ausreichend – erst zusammen bilden sie eine wirksame Absicherung.
SPF – Sender Policy Framework
SPF legt fest, welche Server überhaupt E-Mails im Namen Ihrer Domain versenden dürfen. Der Empfänger-Mailserver prüft: Kam diese E-Mail von einem Server, der in Ihrem SPF-Eintrag steht? Für Exchange Online lautet der Eintrag:
v=spf1 include:spf.protection.outlook.com -all
Das -all am Ende ist wichtig: Es weist fremde Server an, alle anderen Absender abzulehnen. Viele nutzen stattdessen ~all (Softfail) – das markiert unbekannte Absender nur als verdächtig, lehnt sie aber nicht ab.
DKIM – DomainKeys Identified Mail
DKIM fügt jeder ausgehenden E-Mail eine kryptografische Signatur hinzu. Der Empfänger kann damit prüfen, ob die E-Mail tatsächlich von Ihrer Domain stammt und ob sie auf dem Weg verändert wurde. In Exchange Online wird DKIM über das Defender-Portal aktiviert – Microsoft erstellt dabei automatisch das nötige Schlüsselpaar. Zwei CNAME-Einträge müssen anschließend in Ihren DNS-Einstellungen hinterlegt werden.
DMARC – Domain-based Message Authentication, Reporting & Conformance
DMARC baut auf SPF und DKIM auf und legt fest, was passieren soll, wenn eine E-Mail beide Prüfungen nicht besteht: nichts tun (none), in Spam verschieben (quarantine) oder ablehnen (reject). Zusätzlich liefert DMARC tägliche Berichte darüber, wer E-Mails in Ihrem Namen versendet. Ein sinnvoller Einstiegseintrag:
v=DMARC1; p=quarantine; rua=mailto:dmarc@ihredomain.de; pct=100
p=reject stellen. Wer sofort mit reject startet, blockiert unter Umständen legitime E-Mails, zum Beispiel von Newslettertools oder externen Versanddiensten.
Warum SPF allein nicht reicht
SPF prüft nur die technische Absenderadresse im Hintergrund (den sogenannten Envelope-Sender), nicht die angezeigte „Von:"-Adresse im E-Mail-Programm. Angreifer können eine E-Mail so gestalten, dass SPF besteht, aber dem Empfänger trotzdem Ihre Domain als Absender angezeigt wird. DKIM und DMARC schließen genau diese Lücke.
Was das mit dem Phishing-Risiko zu tun hat
Wenn Angreifer E-Mails im Namen Ihrer Domain versenden – zum Beispiel gefälschte Rechnungen an Ihre Kunden – landen diese ohne DMARC oft problemlos im Posteingang. Mit einem strikten DMARC-Eintrag (p=reject) werden solche E-Mails vom Empfänger-Mailserver abgelehnt, bevor sie zugestellt werden. Das schützt nicht nur Ihre Empfänger, sondern auch den Ruf Ihrer Domain.
Schnell-Checkliste für Exchange Online
Sind alle drei Einträge gesetzt?
- SPF-Eintrag im DNS vorhanden und auf
-allgesetzt - DKIM im Microsoft Defender-Portal aktiviert, beide CNAME-Einträge im DNS eingetragen
- DMARC-Eintrag vorhanden – zunächst
p=nonezum Beobachten, dann schrittweise aufp=rejecterhöhen - DMARC-Berichte an eine überwachte E-Mail-Adresse senden lassen
- Externe Versanddienste (Newsletter, CRM, Ticketsystem) im SPF-Eintrag ergänzt
Fazit
SPF, DKIM und DMARC sind keine Kür – sie gehören zur Grundausstattung jeder Domain, die geschäftliche E-Mails versendet. Die Einrichtung dauert für Exchange Online je nach DNS-Anbieter oft unter zwei Stunden. Was fehlt, ist oft nicht technisches Know-how, sondern der Anstoß, es endlich anzugehen.
E-Mail-Authentifizierung für Ihre Domain prüfen lassen
Wir überprüfen Ihre aktuellen DNS-Einträge, richten SPF, DKIM und DMARC korrekt ein und begleiten Sie beim schrittweisen Hochsetzen der DMARC-Richtlinie.
Unverbindlich anfragen