{"id":9878,"date":"2025-10-09T12:34:57","date_gmt":"2025-10-09T10:34:57","guid":{"rendered":"https:\/\/hansesecure.de\/?p=9878"},"modified":"2025-10-09T12:34:58","modified_gmt":"2025-10-09T10:34:58","slug":"gegen-spoofing-phishing-so-sichern-spf-dkim-und-dmarc-deine-domain","status":"publish","type":"post","link":"https:\/\/hansesecure.de\/en\/2025\/10\/gegen-spoofing-phishing-so-sichern-spf-dkim-und-dmarc-deine-domain\/","title":{"rendered":"Gegen Spoofing & Phishing: So sichern SPF, DKIM und DMARC deine Domain"},"content":{"rendered":"\n
\n
\n

E-Mails geh\u00f6ren nach wie vor zu den wichtigsten Kommunikationsmitteln \u2013 sowohl im privaten als auch im gesch\u00e4ftlichen Umfeld. Gleichzeitig sind sie eines der beliebtesten Ziele f\u00fcr Phishing, Spam und andere Betrugsversuche. Eine besonders h\u00e4ufige Methode ist das sogenannte Spoofing (= Vort\u00e4uschung oder F\u00e4lschung einer Identit\u00e4t im digitalen Raum<\/em>):
Dabei wird die Absenderadresse einer E-Mail gef\u00e4lscht, sodass die Nachricht scheinbar von einer vertrauensw\u00fcrdigen Quelle stammt. Auf diese Weise versuchen Angreifer, Empf\u00e4nger zu t\u00e4uschen und beispielsweise sensible Informationen zu erlangen oder Schadsoftware zu verbreiten.
Um solche Manipulationen zu verhindern, wurden verschiedene Authentifizierungsmechanismen entwickelt.<\/p>\n<\/div>\n\n\n\n

\n
\"\"<\/a><\/figure>\n<\/div>\n<\/div>\n\n\n\n

Die drei zentralen Technologien in diesem Zusammenhang hei\u00dfen:
SPF, DKIM und DMARC.<\/strong><\/p>\n\n\n\n

Sie erg\u00e4nzen sich gegenseitig und sorgen daf\u00fcr, dass Empf\u00e4nger \u00fcberpr\u00fcfen k\u00f6nnen, ob eine E-Mail tats\u00e4chlich von der angegebenen Domain stammt und ob sie auf dem \u00dcbertragungsweg ver\u00e4ndert wurde.
In diesem Beitrag wird erl\u00e4utert, wie diese Verfahren funktionieren, welche Unterschiede zwischen ihnen bestehen und warum ihre korrekte Implementierung ein entscheidender Faktor f\u00fcr die Sicherheit und Vertrauensw\u00fcrdigkeit der eigenen Domain ist.<\/strong><\/p>\n\n\n\n

SPF: Wer darf f\u00fcr meine Domain E-Mails senden?<\/h2>\n\n\n\n

SPF steht f\u00fcr Sender Policy Framework <\/em>und legt fest, welche Server berechtigt sind, E-Mails im Namen einer Domain zu versenden. <\/strong>In einem sogenannten DNS-Eintrag wird eine Liste autorisierter Mailserver hinterlegt. Wenn eine E-Mail eingeht, pr\u00fcft der empfangende Mailserver, ob der sendende Server auf dieser Liste steht. Ist das nicht der Fall, kann die Nachricht als verd\u00e4chtig markiert oder abgewiesen werden.
So l\u00e4sst sich verhindern, dass Angreifer von fremden Servern E-Mails mit gef\u00e4lschter Absenderadresse verschicken. Folgende Mechanismen zum \u00dcberpr\u00fcfen der eingehenden E-Mails stehen zur Verf\u00fcgung:<\/p>\n\n\n\n

all<\/td>Trifft immer zu \u2013 dieser Mechanismus passt auf jede eingehende E-Mail.<\/td><\/tr>
A<\/td>Gilt, wenn die IP-Adresse des sendenden Servers im A- oder AAAA-Record der (ggf. explizit angegebenen) Domain enthalten ist.<\/td><\/tr>
mx<\/td>Passt, wenn die IP-Adresse des Absenders im MX-Record der Domain aufgef\u00fchrt ist.<\/td><\/tr>
ip4<\/td>Erlaubt explizit eine bestimmte IPv4-Adresse oder ein IPv4-Subnetz als autorisierten Absender.<\/td><\/tr>
ip6<\/td>Erlaubt explizit eine bestimmte IPv6-Adresse oder ein IPv6-Subnetz als autorisierten Absender.<\/td><\/tr>
Redirect<\/td>Leitet die SPF-Pr\u00fcfung an den SPF-Record einer anderen Domain weiter.<\/td><\/tr>
Include<\/td>F\u00fchrt eine zus\u00e4tzliche SPF-Pr\u00fcfung bei der im Include-Statement angegebenen Domain durch.<\/td><\/tr>
exists<\/td>Erlaubt den Versand, wenn die IP-Adresse des Senders anhand bestimmter Kriterien (z. B. durch DNS-Abfragen, wie in RFC 7208 definiert) als autorisiert gilt.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Dar\u00fcber hinaus l\u00e4sst sich \u00fcber den SPF-Eintrag festlegen, wie der empfangende Mailserver mit E-Mails umgehen soll, die nicht von einem autorisierten Server stammen. Hierf\u00fcr stehen vier Optionen zur Verf\u00fcgung:<\/p>\n\n\n\n

+<\/td>Pass<\/td>Legt fest, dass der angegebene Server autorisiert ist, E-Mails im Namen der Domain zu versenden. Dies ist der Standardwert \u2013 wird kein Qualifikator gesetzt, gilt automatisch \u201ePass\u201c.<\/td><\/tr>
–<\/td>Fail<\/td>Kennzeichnet, dass der Server nicht<\/strong> berechtigt ist, E-Mails f\u00fcr die Domain zu verschicken.<\/td><\/tr>
~<\/td>SoftFail<\/td>Zeigt an, dass der Server eigentlich nicht autorisiert ist, der empfangende Server diese E-Mails aber dennoch \u201egro\u00dfz\u00fcgig\u201c behandeln soll. Dieser Modus wird h\u00e4ufig f\u00fcr Testzwecke eingesetzt.<\/td><\/tr>
?<\/td>Neutral<\/td>Bedeutet, dass \u00fcber die Berechtigung des Servers keine Aussage getroffen wird. Die E-Mail wird vom empfangenden Server akzeptiert, ohne Wertung der Legitimit\u00e4t.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Beispiel: SPF Eintrag von Google<\/h3>\n\n\n\n
$ host -t TXT gmail.de \ngmail.com text \"v=spf1 ip4:212.164.64.0\/23 -all\"<\/code><\/pre>\n\n\n\n
Google definiert in seinem SPF-Record, dass alle Server im IP-Bereich von 213.165.64.0 bis 213.165.65.254 (ip4:213.165.64.0\/23) berechtigt sind, E-Mails im Namen der Domain gmail.com<\/strong> zu versenden. Alle anderen Server sind durch den Zusatz -all<\/strong> explizit von der Nutzung dieser Domain als Absenderadresse ausgeschlossen.<\/p>\n\n\n\n
DKIM: Wurde die Mail manipuliert?<\/h2>\n\n\n\n
\n
\n
\"\"<\/a><\/figure>\n<\/div>\n\n\n\n
\n
DKIM<\/strong> steht f\u00fcr DomainKeys Identified Mail<\/em> und ist ein weiterer Mechanismus zur \u00dcberpr\u00fcfung der Authentizit\u00e4t von E-Mails<\/strong>. DKIM arbeitet mit asymmetrischer Verschl\u00fcsselung, also einem privaten und einem \u00f6ffentlichen Schl\u00fcssel. Der private Schl\u00fcssel wird auf dem sendenden Mailserver hinterlegt, w\u00e4hrend der zugeh\u00f6rige \u00f6ffentliche Schl\u00fcssel als DNS-Eintrag f\u00fcr die Domain verf\u00fcgbar ist.<\/p>\n<\/div>\n<\/div>\n\n\n\n
Beim Versand einer E-Mail erstellt der Mailserver einen Hashwert aus bestimmten Teilen der Nachricht. Dieser Hash wird mit dem privaten Schl\u00fcssel verschl\u00fcsselt und als digitale Signatur im sogenannten DomainKey-Signature-Header<\/em> der E-Mail angeh\u00e4ngt.<\/p>\n\n\n\n
Der empfangende Mailserver kann \u00fcber den im DNS ver\u00f6ffentlichten \u00f6ffentlichen Schl\u00fcssel die Signatur entschl\u00fcsseln und den Hashwert \u00fcberpr\u00fcfen. Stimmen der berechnete und der mitgesendete Hashwert \u00fcberein, gilt die E-Mail als authentisch \u2013 und, noch wichtiger: Sie wurde auf dem Transportweg nicht ver\u00e4ndert, zum Beispiel durch eine Man-in-the-Middle<\/em>-Attacke.<\/p>\n\n\n\n
Wie der empfangende Mailserver anschlie\u00dfend mit der E-Mail verf\u00e4hrt (Zustellung, Ablehnung oder weitere \u00dcberpr\u00fcfung), h\u00e4ngt von der jeweiligen Serverkonfiguration ab. Voraussetzung f\u00fcr die Nutzung von DKIM ist, dass sowohl der Versand- als auch der Empfangsserver die notwendigen Funktionen unterst\u00fctzen \u2013 was bei allen g\u00e4ngigen Mailservern heute Standard ist.<\/p>\n\n\n\n
DMARC: Was geschieht mit verd\u00e4chtigen E-Mails?<\/h2>\n\n\n\n
DMARC<\/strong> steht f\u00fcr Domain-based Message Authentication, Reporting and Conformance<\/em> und baut auf den Verfahren SPF und DKIM auf. \u00dcber einen speziellen DNS-Eintrag k\u00f6nnen Domain-Inhaber festlegen, wie mit E-Mails umgegangen werden soll, die den SPF- oder DKIM-Check nicht bestehen<\/strong>. DMARC erm\u00f6glicht damit die Definition klarer Richtlinien f\u00fcr den Umgang mit potenziell gef\u00e4lschten Nachrichten.<\/p>\n\n\n\n
F\u00fcr die \u00dcberpr\u00fcfung k\u00f6nnen zwei Modi eingestellt werden: \u201estrict\u201c<\/strong> und \u201erelaxed\u201c<\/strong>. Diese lassen sich f\u00fcr SPF und DKIM unabh\u00e4ngig voneinander festlegen. Im Modus \u201estrict\u201c m\u00fcssen die Absender-Domain und die im SPF- bzw. DKIM-Check \u00fcberpr\u00fcfte Domain exakt \u00fcbereinstimmen. Im Modus \u201erelaxed\u201c reicht es aus, wenn die Absenderadresse eine Subdomain der gepr\u00fcften Domain ist, beispielsweise ist dann auch \u201email.example.com\u201c f\u00fcr \u201eexample.com\u201c zul\u00e4ssig.<\/p>\n\n\n\n
Ein DMARC-Eintrag besteht aus den folgenden Bestandteilen:<\/p>\n\n\n\n
Abk\u00fcrzung<\/strong><\/td>Bedeutung<\/strong><\/td>Angabe<\/strong><\/td>Erlaubte Werte<\/strong><\/td>Standardwert, wenn Angabe fehlt<\/strong><\/td><\/tr>
v<\/td>Protokollversion<\/td>notwendig<\/td>DMARC1<\/code><\/td>\u2013<\/td><\/tr>
pct<\/td>Prozentualer Anteil der zu filternden Mails<\/td>optional<\/td>ganze Zahl zwischen 0 und 100<\/td>100<\/td><\/tr>
fo<\/td>Fehlerberichtsoptionen<\/td>optional<\/td>0<\/code>, 1<\/code>, d<\/code>, s<\/code><\/td>0<\/code><\/td><\/tr>
ruf<\/td>Fehlerbericht wird versandt an:<\/td>optional<\/td>URIs<\/td>\u2013<\/td><\/tr>
rua<\/td>Aggregierter Bericht wird versandt an:<\/td>optional<\/td>URIs<\/td>\u2013<\/td><\/tr>
rf<\/td>Format der Fehlerberichte<\/td>optional<\/td>afrf<\/code><\/td>afrf<\/code><\/td><\/tr>
ri<\/td>Intervall zwischen den aggregierten Berichten (in Sekunden)<\/td>optional<\/td>ganze Zahl<\/td>86400<\/td><\/tr>
p<\/td>Anweisung, wie mit Mails der Hauptdom\u00e4ne zu verfahren ist.<\/td>notwendig<\/td>none<\/code>, quarantine<\/code>, reject<\/code><\/td>\u2013<\/td><\/tr>
sp<\/td>Anweisung, wie mit Mails der Subdom\u00e4ne zu verfahren ist.<\/td>optional<\/td>none<\/code>, quarantine<\/code>, reject<\/code><\/td>Anweisung der Hauptdom\u00e4ne<\/td><\/tr>
adkim<\/td>Abgleichmodus f\u00fcr DKIM<\/td>optional<\/td>r<\/code>, s<\/code><\/td>r<\/code><\/td><\/tr>
aspf<\/td>Abgleichmodus f\u00fcr SPF<\/td>optional<\/td>r<\/code>, s<\/code><\/td>r<\/code><\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
Beispiel<\/h3>\n\n\n\n
v=DMARC1; p=quarantine; pct=100; rua=mailto:postmaster@hansesecure.de; ruf=mailto:forensik@hansesecure.de; adkim=s; aspf=r<\/code><\/pre>\n\n\n\n
Hier wurde also festgelegt:<\/p>\n\n\n\n