E-Mails gehören nach wie vor zu den wichtigsten Kommunikationsmitteln – sowohl im privaten als auch im geschäftlichen Umfeld. Gleichzeitig sind sie eines der beliebtesten Ziele für Phishing, Spam und andere Betrugsversuche. Eine besonders häufige Methode ist das sogenannte Spoofing (= Vortäuschung oder Fälschung einer Identität im digitalen Raum):
Dabei wird die Absenderadresse einer E-Mail gefälscht, sodass die Nachricht scheinbar von einer vertrauenswürdigen Quelle stammt. Auf diese Weise versuchen Angreifer, Empfänger zu täuschen und beispielsweise sensible Informationen zu erlangen oder Schadsoftware zu verbreiten.
Um solche Manipulationen zu verhindern, wurden verschiedene Authentifizierungsmechanismen entwickelt.
Die drei zentralen Technologien in diesem Zusammenhang heißen:
SPF, DKIM und DMARC.
Sie ergänzen sich gegenseitig und sorgen dafür, dass Empfänger überprüfen können, ob eine E-Mail tatsächlich von der angegebenen Domain stammt und ob sie auf dem Übertragungsweg verändert wurde.
In diesem Beitrag wird erläutert, wie diese Verfahren funktionieren, welche Unterschiede zwischen ihnen bestehen und warum ihre korrekte Implementierung ein entscheidender Faktor für die Sicherheit und Vertrauenswürdigkeit der eigenen Domain ist.
SPF: Wer darf für meine Domain E-Mails senden?
SPF steht für Sender Policy Framework und legt fest, welche Server berechtigt sind, E-Mails im Namen einer Domain zu versenden. In einem sogenannten DNS-Eintrag wird eine Liste autorisierter Mailserver hinterlegt. Wenn eine E-Mail eingeht, prüft der empfangende Mailserver, ob der sendende Server auf dieser Liste steht. Ist das nicht der Fall, kann die Nachricht als verdächtig markiert oder abgewiesen werden.
So lässt sich verhindern, dass Angreifer von fremden Servern E-Mails mit gefälschter Absenderadresse verschicken. Folgende Mechanismen zum Überprüfen der eingehenden E-Mails stehen zur Verfügung:
| all | Trifft immer zu – dieser Mechanismus passt auf jede eingehende E-Mail. |
| A | Gilt, wenn die IP-Adresse des sendenden Servers im A- oder AAAA-Record der (ggf. explizit angegebenen) Domain enthalten ist. |
| mx | Passt, wenn die IP-Adresse des Absenders im MX-Record der Domain aufgeführt ist. |
| ip4 | Erlaubt explizit eine bestimmte IPv4-Adresse oder ein IPv4-Subnetz als autorisierten Absender. |
| ip6 | Erlaubt explizit eine bestimmte IPv6-Adresse oder ein IPv6-Subnetz als autorisierten Absender. |
| Redirect | Leitet die SPF-Prüfung an den SPF-Record einer anderen Domain weiter. |
| Include | Führt eine zusätzliche SPF-Prüfung bei der im Include-Statement angegebenen Domain durch. |
| exists | Erlaubt den Versand, wenn die IP-Adresse des Senders anhand bestimmter Kriterien (z. B. durch DNS-Abfragen, wie in RFC 7208 definiert) als autorisiert gilt. |
Darüber hinaus lässt sich über den SPF-Eintrag festlegen, wie der empfangende Mailserver mit E-Mails umgehen soll, die nicht von einem autorisierten Server stammen. Hierfür stehen vier Optionen zur Verfügung:
| + | Pass | Legt fest, dass der angegebene Server autorisiert ist, E-Mails im Namen der Domain zu versenden. Dies ist der Standardwert – wird kein Qualifikator gesetzt, gilt automatisch „Pass“. |
| – | Fail | Kennzeichnet, dass der Server nicht berechtigt ist, E-Mails für die Domain zu verschicken. |
| ~ | SoftFail | Zeigt an, dass der Server eigentlich nicht autorisiert ist, der empfangende Server diese E-Mails aber dennoch „großzügig“ behandeln soll. Dieser Modus wird häufig für Testzwecke eingesetzt. |
| ? | Neutral | Bedeutet, dass über die Berechtigung des Servers keine Aussage getroffen wird. Die E-Mail wird vom empfangenden Server akzeptiert, ohne Wertung der Legitimität. |
Beispiel: SPF Eintrag von Google
$ host -t TXT gmail.de
gmail.com text "v=spf1 ip4:212.164.64.0/23 -all"Google definiert in seinem SPF-Record, dass alle Server im IP-Bereich von 213.165.64.0 bis 213.165.65.254 (ip4:213.165.64.0/23) berechtigt sind, E-Mails im Namen der Domain gmail.com zu versenden. Alle anderen Server sind durch den Zusatz -all explizit von der Nutzung dieser Domain als Absenderadresse ausgeschlossen.
DKIM: Wurde die Mail manipuliert?
DKIM steht für DomainKeys Identified Mail und ist ein weiterer Mechanismus zur Überprüfung der Authentizität von E-Mails. DKIM arbeitet mit asymmetrischer Verschlüsselung, also einem privaten und einem öffentlichen Schlüssel. Der private Schlüssel wird auf dem sendenden Mailserver hinterlegt, während der zugehörige öffentliche Schlüssel als DNS-Eintrag für die Domain verfügbar ist.
Beim Versand einer E-Mail erstellt der Mailserver einen Hashwert aus bestimmten Teilen der Nachricht. Dieser Hash wird mit dem privaten Schlüssel verschlüsselt und als digitale Signatur im sogenannten DomainKey-Signature-Header der E-Mail angehängt.
Der empfangende Mailserver kann über den im DNS veröffentlichten öffentlichen Schlüssel die Signatur entschlüsseln und den Hashwert überprüfen. Stimmen der berechnete und der mitgesendete Hashwert überein, gilt die E-Mail als authentisch – und, noch wichtiger: Sie wurde auf dem Transportweg nicht verändert, zum Beispiel durch eine Man-in-the-Middle-Attacke.
Wie der empfangende Mailserver anschließend mit der E-Mail verfährt (Zustellung, Ablehnung oder weitere Überprüfung), hängt von der jeweiligen Serverkonfiguration ab. Voraussetzung für die Nutzung von DKIM ist, dass sowohl der Versand- als auch der Empfangsserver die notwendigen Funktionen unterstützen – was bei allen gängigen Mailservern heute Standard ist.
DMARC: Was geschieht mit verdächtigen E-Mails?
DMARC steht für Domain-based Message Authentication, Reporting and Conformance und baut auf den Verfahren SPF und DKIM auf. Über einen speziellen DNS-Eintrag können Domain-Inhaber festlegen, wie mit E-Mails umgegangen werden soll, die den SPF- oder DKIM-Check nicht bestehen. DMARC ermöglicht damit die Definition klarer Richtlinien für den Umgang mit potenziell gefälschten Nachrichten.
Für die Überprüfung können zwei Modi eingestellt werden: „strict“ und „relaxed“. Diese lassen sich für SPF und DKIM unabhängig voneinander festlegen. Im Modus „strict“ müssen die Absender-Domain und die im SPF- bzw. DKIM-Check überprüfte Domain exakt übereinstimmen. Im Modus „relaxed“ reicht es aus, wenn die Absenderadresse eine Subdomain der geprüften Domain ist, beispielsweise ist dann auch „mail.example.com“ für „example.com“ zulässig.
Ein DMARC-Eintrag besteht aus den folgenden Bestandteilen:
| Abkürzung | Bedeutung | Angabe | Erlaubte Werte | Standardwert, wenn Angabe fehlt |
| v | Protokollversion | notwendig | DMARC1 | – |
| pct | Prozentualer Anteil der zu filternden Mails | optional | ganze Zahl zwischen 0 und 100 | 100 |
| fo | Fehlerberichtsoptionen | optional | 0, 1, d, s | 0 |
| ruf | Fehlerbericht wird versandt an: | optional | URIs | – |
| rua | Aggregierter Bericht wird versandt an: | optional | URIs | – |
| rf | Format der Fehlerberichte | optional | afrf | afrf |
| ri | Intervall zwischen den aggregierten Berichten (in Sekunden) | optional | ganze Zahl | 86400 |
| p | Anweisung, wie mit Mails der Hauptdomäne zu verfahren ist. | notwendig | none, quarantine, reject | – |
| sp | Anweisung, wie mit Mails der Subdomäne zu verfahren ist. | optional | none, quarantine, reject | Anweisung der Hauptdomäne |
| adkim | Abgleichmodus für DKIM | optional | r, s | r |
| aspf | Abgleichmodus für SPF | optional | r, s | r |
Beispiel
v=DMARC1; p=quarantine; pct=100; rua=mailto:postmaster@hansesecure.de; ruf=mailto:forensik@hansesecure.de; adkim=s; aspf=rHier wurde also festgelegt:
- 100% der E-Mails, die die Prüfungen nicht bestehen, sollen im Spam Ordner landen
- der aggregierte Bericht geht an postmaster@hansesecure.de
- die Fehlerberichte gehen an forensik@hansesecure.de
- DKIM wird strict geprüft
- SPF wird relaxed geprüft
Tools
Um die SPF, DKIM oder DMARC Einträge zu prüfen oder neu zu generieren empfiehlt sich die folgende Webseite: https://mxtoolbox.com
SPF, DKIM & DMARC als Fundament sicherer Kommunikation
SPF, DKIM und DMARC bilden zusammen das Fundament einer sicheren und vertrauenswürdigen E-Mail-Kommunikation. Während SPF festlegt, wer E-Mails für eine Domain senden darf, überprüft DKIM, ob der Inhalt unverändert geblieben ist und ob sie von einem authentifizierten Absender stammt. DMARC schließlich vereint beide Verfahren, definiert konkrete Richtlinien für die E-Mail-Prüfung und liefert wertvolle Rückmeldungen über mögliche Missbrauchsversuche.
Nur in Kombination entfalten diese Mechanismen ihre volle Wirkung:
Sie schützen nicht nur Empfänger vor Phishing und Spoofing, sondern bewahren auch die Absender-Domain vor Reputationsverlust und Zustellproblemen.
Wer seine Domain mit SPF, DKIM und DMARC absichert, sendet ein klares Signal – Vertrauen und Sicherheit stehen an erster Stelle.
HanseSecure steht für technische Präzision, praxisnahe Umsetzung und überprüfbare Ergebnisse.
Während viele Anbieter nur theoretische Empfehlungen geben, setzen wir SPF, DKIM und DMARC strategisch und operativ um – von der Analyse über die korrekte DNS-Konfiguration bis zur laufenden Überwachung und Auswertung der DMARC-Reports.
Kurz gesagt:
HanseSecure sorgt nicht nur für technische Konformität, sondern für Vertrauen in Ihre E-Mail-Kommunikation – sichtbar, messbar und sicher.
