← Zurück zum Blog Sicherheit

SPF, DKIM und DMARC: Schutzen Sie Ihr Unternehmen vor Email-Spoofing

Envestis Team 15 Min. Lesezeit

Email-Spoofing: Das Problem, uber das Niemand Spricht

Hier ist etwas, das die meisten Unternehmer nicht wissen: Jeder kann eine Email senden, die von Ihrer Domain zu kommen scheint. Gerade jetzt kann ein Angreifer ohne technische Kenntnisse eine Email senden, die aussieht, als kame sie von ceo@ihrefirma.ch. Der Email-Client des Empfangers zeigt Ihren Firmennamen, Ihre Domain und nichts, was darauf hinweist, dass die Nachricht gefalsch ist.

Das ist kein Bug. So wurde Email konzipiert. Das Simple Mail Transfer Protocol (SMTP), 1982 erstellt, enthalt keinen eingebauten Mechanismus zur Verifizierung der Absenderidentitat.

Die Folgen sind gravierend. Das FBI IC3 berichtete, dass Business Email Compromise (BEC) allein 2023 Verluste von uber 2,9 Milliarden Dollar verursachte. Diese Zahl erfasst nur gemeldete Vorfalle in den USA.

Drei Protokolle wurden entwickelt, um diese Lucke zu schliessen: SPF, DKIM und DMARC. Zusammen bilden sie ein geschichtetes Authentifizierungssystem. Wenn Sie ein Unternehmen in Lugano oder anderswo in der Schweiz fuhren und diese drei Records nicht konfiguriert haben, ist Ihre Domain ein offenes Ziel.

Wie Email-Zustellung Tatsachlich Funktioniert

  1. Erstellung: Der Absender schreibt die Email im Mail-Client.
  2. Ubermittlung: Der Client verbindet sich mit dem ausgehenden SMTP-Server.
  3. Routing: Der sendende Server sucht die MX-Records der Empfanger-Domain im DNS.
  4. Zustellung: Der sendende Server verbindet sich mit dem empfangenden Server und ubertragt die Nachricht.
  5. Empfang: Der empfangende Server speichert die Nachricht im Postfach.

Der kritische Punkt ist Schritt 4. Wahrend der SMTP-Konversation gibt der sendende Server eine "MAIL FROM"-Adresse an, und die Nachricht selbst enthalt einen "From:"-Header. Diese beiden Werte konnen vollig unterschiedlich sein, und keiner wird standardmassig verifiziert.

SPF: Sender Policy Framework

Was SPF Macht

SPF beantwortet eine Frage: "Ist dieser Server berechtigt, Email fur diese Domain zu senden?" Sie veroffentlichen einen DNS-TXT-Record, der jede autorisierte IP-Adresse und jeden Mailserver auflistet.

v=spf1 ip4:203.0.113.0/24 include:_spf.google.com include:sendgrid.net -all

Der -all-Mechanismus ist entscheidend. Viele Konfigurationen verwenden ~all (Soft Fail), was schwacher ist und nur wahrend der Testphase verwendet werden sollte.

SPF-Einschrankungen

  • Validiert nur den Envelope-Absender, nicht den From:-Header
  • Funktioniert nicht bei Email-Weiterleitung
  • 10 DNS-Lookup-Limit

DKIM: DomainKeys Identified Mail

Was DKIM Macht

DKIM fugt jeder ausgehenden Email eine kryptographische Signatur hinzu. Der sendende Server signiert die Nachricht mit einem privaten Schlussel. Der zugehorige offentliche Schlussel wird als DNS-TXT-Record veroffentlicht.

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
  d=ihrefirma.ch; s=selector1;
  h=from:to:subject:date:message-id;
  bh=base64encodedBodyHash;
  b=base64encodedSignature

DKIM uberlebt Email-Weiterleitung, da die Signatur mit der Nachricht reist. Es validiert auch den Inhalt der Email, nicht nur den sendenden Server.

DMARC: Domain-based Message Authentication, Reporting & Conformance

Was DMARC Macht

DMARC verbindet SPF und DKIM und fugt eine Policy-Schicht hinzu. Es fuhrt das Konzept des "Alignments" ein: Die Domain im From:-Header muss mit der von SPF oder DKIM validierten Domain ubereinstimmen.

v=DMARC1; p=reject; rua=mailto:dmarc-reports@ihrefirma.ch; adkim=s; aspf=s; pct=100

Der DMARC-Deployment-Pfad

  1. Uberwachung (p=none): Beginnen Sie hier. Sammeln Sie 2-4 Wochen lang Berichte.
  2. Audit: Uberprufen Sie die Berichte. Fugen Sie SPF-Includes und DKIM-Signaturen fur alle legitimen Quellen hinzu.
  3. Quarantane (p=quarantine): Fehlgeschlagene Emails gehen in den Spam-Ordner.
  4. Ablehnung (p=reject): Fehlgeschlagene Emails werden komplett verworfen.

Business Email Compromise: Reale Szenarien

Der CEO-Betrug

Ein Finanzmitarbeiter in einem mittelstandischen Unternehmen erhalt eine Email, die vom Geschaftsfuhrer zu kommen scheint. Die Email fordert eine dringende, vertrauliche Uberweisung. Die Email-Adresse zeigt den Namen des Geschaftsfuhrers und die Firmendomain. Der Mitarbeiter fuhrt die Uberweisung aus. Das Geld geht an ein vom Angreifer kontrolliertes Konto.

Der Bankdaten-Anderungsbetrug

Ein Angreifer sendet eine Email, die die Domain eines Lieferanten falscht: "Unsere Bankverbindung hat sich geandert." Wenn der Lieferant kein DMARC konfiguriert hat, kann das empfangende Unternehmen das Spoofing nicht erkennen.

Mehr uber Phishing-Angriffe auf Unternehmen erfahren Sie in unserem Artikel uber Business-Email-Phishing.

Haufige Konfigurationsfehler

Fehler 1: SPF mit ~all Statt -all

Soft Fail bietet kaum Schutz. Die meisten modernen Email-Provider ignorieren es.

Fehler 2: Uberschreitung des SPF-10-Lookup-Limits

Jedes include: lost einen DNS-Lookup aus. Uberschreitung des Limits bricht den gesamten SPF-Record.

Fehler 3: DMARC Dauerhaft auf p=none

Null Schutz gegen Spoofing. Nur Berichte.

Fehler 4: Drittanbieter-Absender Vergessen

Ihr Unternehmen sendet wahrscheinlich von mehr Stellen Email als Sie denken.

Fehler 5: DMARC-Berichte Nicht Uberwachen

Verwenden Sie einen DMARC-Reporting-Dienst zur Analyse der Daten.

Schritt-fur-Schritt-Konfigurationsanleitung

Schritt 1: Inventar Aller Email-Absender

Listen Sie jedes System auf, das Email uber Ihre Domain sendet.

Schritt 2: SPF Konfigurieren

v=spf1 include:_spf.google.com include:sendgrid.net ip4:IHR.SERVER.IP -all

Schritt 3: DKIM fur Jeden Absender Konfigurieren

Jeder Dienst stellt einen offentlichen Schlussel fur die DNS-Veroffentlichung bereit.

Schritt 4: DMARC im Uberwachungsmodus Bereitstellen

v=DMARC1; p=none; rua=mailto:dmarc@ihrefirma.ch; pct=100

Schritt 5: Authentifizierungsfehler Beheben

Schritt 6: Zu Quarantane, dann Ablehnung Wechseln

v=DMARC1; p=reject; rua=mailto:dmarc@ihrefirma.ch; adkim=s; aspf=s; pct=100

Fazit

Email-Authentifizierung ist 2025 nicht optional. Wenn Ihre Domain nicht SPF, DKIM und DMARC mit einer Durchsetzungs-Policy konfiguriert hat, ermoglichen Sie Angreifern aktiv, Ihr Unternehmen zu imitieren. Die Einrichtung dauert wenige Stunden und kostet nichts uber die investierte Zeit hinaus.

Wenn Sie sich uber den aktuellen Status Ihrer Email-Authentifizierung unsicher sind oder Hilfe bei der Konfiguration benotigen, kontaktieren Sie unser Team. Wir konnen Ihre DNS-Records prufen, Lucken identifizieren und eine vollstandige Authentifizierungskette implementieren.

Wollen Sie wissen, ob Ihre Website sicher ist?

Fordern Sie ein kostenloses Sicherheitsaudit an. In 48 Stunden erhalten Sie einen vollständigen Bericht.

Kostenloses Audit Anfordern

Verwandte Artikel

Sicherheit

WordPress-Schwachstellen 2025: Warum Ihre Website Immer Noch Gefahrdet Ist

WordPress betreibt uber 40% des Webs, aber seine Popularitat macht es zum grossten Ziel fur Angreifer. Wir analysieren die haufigsten Schwachstellenklassen, echte CVEs und konkrete Schritte zur Hartung Ihrer Installation.

· 18 Min. Lesezeit
Sicherheit

Exponierte Admin-Seiten: Ein Geschenk fur Hacker

Ihre /wp-admin, /admin oder /login-Seite ist fur das gesamte Internet sichtbar. Bots scannen sie gerade. CAPTCHA allein wird Sie nicht retten. So nutzen Angreifer exponierte Admin-Panels aus und was Sie dagegen tun sollten.

· 13 Min. Lesezeit
Sicherheit

SSL/TLS-Zertifikate erklaert: Was sie sind und warum sie wichtig sind

Ein umfassender Leitfaden zu SSL/TLS-Zertifikaten: Wie der TLS-Handshake funktioniert, Unterschiede zwischen DV, OV und EV, Automatisierung mit Let's Encrypt, haeufige Fehlkonfigurationen und die Auswirkungen auf SEO und Vertrauen.

· 12 Min. Lesezeit

Schnellkontakt