Donnerstag, 25. Juni 2026

SPF, DKIM und DMARC – Was steckt dahinter und warum lohnt sich die Auswertung?

E-Mail ist nach wie vor das wichtigste Kommunikationsmittel im Geschäftsalltag – und gleichzeitig eines der beliebtesten Angriffsziele. Phishing, Spam und Domain-Spoofing nehmen zu. Mit SPF, DKIM und DMARC stehen drei bewährte Mechanismen zur Verfügung, die zusammen einen wirksamen Schutz bilden. In diesem Beitrag erkläre ich, wie die drei Protokolle funktionieren, was Alignment bedeutet und welchen konkreten Nutzen die Auswertung von DMARC-Reports bringt.

Die drei Säulen der E-Mail-Authentifizierung

SPF (Sender Policy Framework) legt fest, welche Mailserver berechtigt sind, E-Mails im Namen einer Domain zu versenden. Der Eintrag wird als TXT-Record im DNS veröffentlicht. Exchange Online-Kunden verwenden typischerweise:

v=spf1 include:spf.protection.outlook.com -all

DKIM (DomainKeys Identified Mail) versieht ausgehende E-Mails mit einer digitalen Signatur. Der empfangende Mailserver kann anhand eines öffentlichen Schlüssels im DNS prüfen, ob die Nachricht unverändert ist und wirklich von der angegebenen Domain stammt.

DMARC (Domain-based Message Authentication, Reporting and Conformance) baut auf SPF und DKIM auf. Es legt fest, wie ein empfangender Mailserver mit Nachrichten umgehen soll, die die Prüfungen nicht bestehen – und liefert Reports darüber, was im Namen der eigenen Domain versendet wird.

Ein typischer DMARC-Eintrag sieht so aus:

_dmarc.firma.ch  TXT  "v=DMARC1; p=quarantine; rua=mailto:dmarc@firma.ch; pct=100"

Wie funktioniert DMARC? – Der Ablauf

Wenn eine E-Mail verschickt wird, prüft der empfangende Mailserver:

  1. Ist die sendende IP im SPF-Eintrag der Domain erlaubt?
  2. Ist eine gültige DKIM-Signatur vorhanden?
  3. Was sagt der DMARC-Eintrag der Absenderdomain?

Je nach Konfiguration wird die Mail dann zugestellt, in den Spam-Ordner verschoben oder komplett abgelehnt.

Policy Verhalten
none Mail wird zugestellt, nur Bericht erstellt
quarantine Mail wird in den Spam-Ordner verschoben
reject Mail wird abgelehnt und nicht zugestellt

Alignment – der entscheidende Unterschied

Ein häufig unterschätzter Aspekt: Es reicht nicht, dass SPF oder DKIM technisch bestehen (pass). Entscheidend ist zusätzlich das sogenannte Alignment – die Domain im SPF- oder DKIM-Check muss mit der sichtbaren From-Adresse übereinstimmen.

Dabei gibt es zwei verschiedene Absenderadressen, die oft verwechselt werden:

Envelope-From (Return-Path): Die technische Absenderadresse, die im SMTP-Dialog übermittelt wird. Der Empfänger sieht sie normalerweise nicht. SPF prüft gegen diese Domain.

Header-From: Die für den Empfänger sichtbare Absenderadresse im Feld „From:". DMARC bezieht sich immer auf diese Domain.

DMARC gilt als bestanden, wenn mindestens eine der beiden Methoden sowohl pass als auch aligned ist:

  • SPF passed und aligned → DMARC pass
  • DKIM passed und aligned → DMARC pass
  • Beide nicht aligned → DMARC fail (auch wenn beide technisch pass)

Praxisbeispiel: Ein Newsletterversender schickt E-Mails mit From: info@firma.com, aber der Return-Path lautet bounce@provider.com und die DKIM-Signatur trägt d=firma.com. In diesem Fall ist SPF nicht aligned (falsche Domain), aber DKIM ist aligned – DMARC besteht.

Was bringt die Auswertung der DMARC-Reports?

DMARC liefert zwei Arten von Reports:

  • Aggregate Reports (rua=): Tägliche XML-Reports über alle Mails, die im Namen der Domain versendet wurden
  • Forensic Reports (ruf=): Detaillierte Reports über einzelne fehlgeschlagene Mails

Die Auswertung dieser Reports bringt mehrere handfeste Vorteile:

Schutz vor Missbrauch: Die Reports zeigen sofort, ob Dritte versuchen, E-Mails im Namen der eigenen Domain zu versenden – Phishing, Spam oder Spoofing-Versuche werden sichtbar, bevor grösserer Schaden entsteht.

Vollständige Übersicht über Mailquellen: Welche Systeme versenden eigentlich E-Mails im Namen der Firma? Newsletter-Tools, CRM-Systeme, Cloud-Dienste – häufig tauchen hier vergessene oder falsch konfigurierte Dienste auf.

Bessere Zustellrate: Korrekt eingerichtete Absender-Authentifizierung sorgt dafür, dass seriöse E-Mails seltener im Spam landen. Die Reports zeigen, wo Konfigurationen angepasst werden müssen.

Markenschutz: Wenn nur noch verifizierte E-Mails im Namen der Firma verschickt werden, steigt das Vertrauen der Empfänger.

Compliance-Nachweis: Viele Branchenstandards (z. B. ISO 27001) und regulatorische Vorgaben verlangen Schutzmassnahmen gegen E-Mail-Spoofing. DMARC-Reports liefern den entsprechenden Nachweis.

Empfohlene Vorgehensweise

Die Einführung sollte schrittweise erfolgen, um keine legitimen E-Mails zu blockieren:

  1. SPF konfigurieren – Alle berechtigten Mailserver in den SPF-Eintrag aufnehmen
  2. DKIM aktivieren – In Exchange Online über das Admin Center
  3. DMARC mit p=none starten – Reports sammeln, ohne den Mailversand zu beeinflussen
  4. Reports auswerten – Prüfen, welche Dienste E-Mails im Namen der Domain versenden
  5. Policy verschärfen – Schrittweise auf p=quarantine, dann p=reject

Haben Sie Fragen zur Konfiguration von SPF, DKIM und DMARC in Ihrer Exchange-Umgebung? Kontaktieren Sie uns unter b.brunner@itrain.ch.

Eingestellt von um
Labels: , , , , ,

Keine Kommentare:

Kommentar veröffentlichen

Abonnieren Kommentare zum Post (Atom)