Jeder kann theoretisch eine E-Mail verschicken, die aussieht als käme sie von Ihrer Domain – ohne Zugriff auf Ihr System, ohne Passwort. Das ist E-Mail-Spoofing, und es ist erschreckend einfach. SPF, DKIM und DMARC sind die drei DNS-Einträge, die das verhindern. Viele Unternehmen haben einen davon – aber selten alle drei richtig konfiguriert.

Das Grundprinzip: Drei Schlösser für eine Tür

Die drei Mechanismen ergänzen sich und schützen unterschiedliche Aspekte Ihrer ausgehenden E-Mails. Keiner allein ist ausreichend – erst zusammen bilden sie eine wirksame Absicherung.

SPF – Sender Policy Framework

SPF legt fest, welche Server überhaupt E-Mails im Namen Ihrer Domain versenden dürfen. Der Empfänger-Mailserver prüft: Kam diese E-Mail von einem Server, der in Ihrem SPF-Eintrag steht? Für Exchange Online lautet der Eintrag:

v=spf1 include:spf.protection.outlook.com -all

Das -all am Ende ist wichtig: Es weist fremde Server an, alle anderen Absender abzulehnen. Viele nutzen stattdessen ~all (Softfail) – das markiert unbekannte Absender nur als verdächtig, lehnt sie aber nicht ab.

DKIM – DomainKeys Identified Mail

DKIM fügt jeder ausgehenden E-Mail eine kryptografische Signatur hinzu. Der Empfänger kann damit prüfen, ob die E-Mail tatsächlich von Ihrer Domain stammt und ob sie auf dem Weg verändert wurde. In Exchange Online wird DKIM über das Defender-Portal aktiviert – Microsoft erstellt dabei automatisch das nötige Schlüsselpaar. Zwei CNAME-Einträge müssen anschließend in Ihren DNS-Einstellungen hinterlegt werden.

DMARC – Domain-based Message Authentication, Reporting & Conformance

DMARC baut auf SPF und DKIM auf und legt fest, was passieren soll, wenn eine E-Mail beide Prüfungen nicht besteht: nichts tun (none), in Spam verschieben (quarantine) oder ablehnen (reject). Zusätzlich liefert DMARC tägliche Berichte darüber, wer E-Mails in Ihrem Namen versendet. Ein sinnvoller Einstiegseintrag:

v=DMARC1; p=quarantine; rua=mailto:dmarc@ihredomain.de; pct=100

Die richtige Reihenfolge: SPF und DKIM zuerst einrichten und einige Wochen im Betrieb beobachten – dann erst DMARC auf p=reject stellen. Wer sofort mit reject startet, blockiert unter Umständen legitime E-Mails, zum Beispiel von Newslettertools oder externen Versanddiensten.

Warum SPF allein nicht reicht

SPF prüft nur die technische Absenderadresse im Hintergrund (den sogenannten Envelope-Sender), nicht die angezeigte „Von:"-Adresse im E-Mail-Programm. Angreifer können eine E-Mail so gestalten, dass SPF besteht, aber dem Empfänger trotzdem Ihre Domain als Absender angezeigt wird. DKIM und DMARC schließen genau diese Lücke.

Typischer Fehler: Nur SPF konfiguriert, kein DKIM, kein DMARC. Das reicht aus, damit Exchange Online E-Mails versendet – schützt aber nicht davor, dass andere Ihre Domain für Phishing-Mails missbrauchen.

Was das mit dem Phishing-Risiko zu tun hat

Wenn Angreifer E-Mails im Namen Ihrer Domain versenden – zum Beispiel gefälschte Rechnungen an Ihre Kunden – landen diese ohne DMARC oft problemlos im Posteingang. Mit einem strikten DMARC-Eintrag (p=reject) werden solche E-Mails vom Empfänger-Mailserver abgelehnt, bevor sie zugestellt werden. Das schützt nicht nur Ihre Empfänger, sondern auch den Ruf Ihrer Domain.

Schnell-Checkliste für Exchange Online

Sind alle drei Einträge gesetzt?

  • SPF-Eintrag im DNS vorhanden und auf -all gesetzt
  • DKIM im Microsoft Defender-Portal aktiviert, beide CNAME-Einträge im DNS eingetragen
  • DMARC-Eintrag vorhanden – zunächst p=none zum Beobachten, dann schrittweise auf p=reject erhöhen
  • DMARC-Berichte an eine überwachte E-Mail-Adresse senden lassen
  • Externe Versanddienste (Newsletter, CRM, Ticketsystem) im SPF-Eintrag ergänzt

Fazit

SPF, DKIM und DMARC sind keine Kür – sie gehören zur Grundausstattung jeder Domain, die geschäftliche E-Mails versendet. Die Einrichtung dauert für Exchange Online je nach DNS-Anbieter oft unter zwei Stunden. Was fehlt, ist oft nicht technisches Know-how, sondern der Anstoß, es endlich anzugehen.

E-Mail-Authentifizierung für Ihre Domain prüfen lassen

Wir überprüfen Ihre aktuellen DNS-Einträge, richten SPF, DKIM und DMARC korrekt ein und begleiten Sie beim schrittweisen Hochsetzen der DMARC-Richtlinie.

Unverbindlich anfragen
Manuel Eilert
Manuel Eilert Geschäftsführer, digital73 it service gmbh Manuel berät Berliner Unternehmen und Kanzleien seit über 15 Jahren in IT-Sicherheit und Microsoft-365-Infrastrukturen.