SPF, DKIM, DMARC: Die 3 Saulen der E-Mail-Sicherheit erklart

Verstehen Sie endlich die 3 E-Mail-Authentifizierungsprotokolle. Was sie sind, wie sie funktionieren, wie Sie sie fur Ihre Domain konfigurieren.

Dernière mise à jour : 25. April 2026
← Zuruck zum Blog
Technisch 🕑 10 Min. 📅 25. April 2026 ✍️ Das technische Fiabli-Team
SPF, DKIM, DMARC. Drei Akronyme, die jeder Admin kennt, aber wenige wirklich verstehen. Sie sind die drei Saulen der modernen E-Mail-Sicherheit. Zu verstehen, wie sie funktionieren, ermoglicht es, Ihre Domain vor Spoofing zu schutzen und Phishing leichter zu erkennen. Vollstandiges Tutorial mit echten DNS-Beispielen.

Das Problem: E-Mail wurde ohne Authentifizierung geboren

Als das SMTP-Protokoll in den 80ern erstellt wurde, dachte niemand an Phishing. Jeder konnte eine E-Mail senden mit "Von: bundeskanzler@bundesregierung.de" ohne Verifikation. Vierzig Jahre spater bleibt das Problem: Ohne Schutz kann Ihre Domain in 30 Sekunden von jedem usurpiert werden, der einen SMTP-Server konfigurieren kann.

SPF, DKIM und DMARC sind die 3 aufeinanderfolgenden Antworten auf dieses Problem. Sie erganzen sich: SPF sagt "wer senden darf", DKIM sagt "diese Nachricht wurde nicht verandert", DMARC sagt "was zu tun ist, wenn beide scheitern".

SPF: Wer ist autorisiert zu senden?

SPF (Sender Policy Framework) ist ein DNS-Eintrag, der die Server auflistet, die berechtigt sind, E-Mails fur Ihre Domain zu senden.

Beispiel fur firma.de:

v=spf1 include:_spf.google.com include:mailjet.com -all

Bedeutung: "Nur Google Workspace und Mailjet durfen E-Mails von @firma.de senden. Alle anderen (-all) sind abzulehnen." Wenn ein Empfanger eine E-Mail erhalt, die angeblich von @firma.de kommt, pruft er die IP des Sendeservers. Wenn sie nicht in der Liste ist, ist SPF fail.

DKIM: Die kryptografische Signatur

DKIM (DomainKeys Identified Mail) signiert jede E-Mail mit einem privaten Schlussel. Der Empfanger verifiziert die Signatur mit dem offentlichen Schlussel, der in Ihrem DNS veroffentlicht ist.

Vorteil gegenuber SPF: DKIM garantiert, dass der Inhalt der Nachricht wahrend des Transits nicht verandert wurde. Selbst wenn ein Zwischenserver die E-Mail modifiziert, schlagt die Signatur fehl und wird erkannt.

Typische Konfiguration: Ihr E-Mail-Anbieter (Google, Microsoft 365, Mailjet) generiert ein Schlusselpaar und bittet Sie, den offentlichen Schlussel in einem TXT-Eintrag wie default._domainkey.firma.de zu veroffentlichen.

DMARC: Die entscheidende Richtlinie

DMARC (Domain-based Message Authentication, Reporting & Conformance) koordiniert SPF und DKIM und sagt den Empfangern: "Wenn SPF UND DKIM beide scheitern, hier ist, was zu tun ist."

3 mogliche Richtlinien:

  • p=none — nichts tun, nur Berichte senden (Beobachtungsmodus, am Anfang empfohlen)
  • p=quarantine — in Quarantane (Spam-Ordner)
  • p=reject — direkt ablehnen

Beispiel: v=DMARC1; p=reject; rua=mailto:dmarc@firma.de

Wie Fiabli SPF/DKIM/DMARC nutzt

Wenn Fiabli eine eingehende E-Mail analysiert, ist der erste Schritt, die Authentifizierungsergebnisse aus den Headern (Authentication-Results) zu extrahieren. Die drei Status (pass, fail, none) fliessen in den Risiko-Score ein:

  • SPF fail + DKIM fail + DMARC reject → +0,4 auf den Risiko-Score (starker Verdacht)
  • SPF pass + DKIM pass + DMARC pass → -0,2 (beruhigend)
  • Alles auf none → +0,15 (schlecht konfigurierte Domain, typisch fur kleine Domains oder Usurpation)

Fur Ihre Firmendomain empfehlen wir: SPF strict (-all), DKIM 2048 bit, DMARC reject nach 30 Tagen Beobachtung p=none.

Zum Mitnehmen

SPF, DKIM, DMARC: drei unverzichtbare Schichten. Ohne diese kann Ihre Domain in 30 Sekunden usurpiert werden. Mit diesen wird Phishing, das vorgibt, von Ihrer Domain zu kommen, automatisch von den Empfangern abgelehnt.

Um die Konfiguration Ihrer Domain kostenlos zu uberprufen: MXToolbox DMARC checker. Und um eingehende E-Mails, die diese Prufungen nicht bestehen, automatisch zu analysieren, probieren Sie Fiabli.

Bereit, Ihr Postfach zu schutzen?

Erstellen Sie kostenlos ein Fiabli-Konto. 50 Analysen/Monat ohne Kreditkarte.

Kostenlos starten

Ahnliche Artikel

Leitfaden 🕑 6 Min.

Wie man eine Phishing-Mail in 30 Sekunden erkennt

Der praktische Leitfaden, um Phishing-Versuche zu erkennen, bevor es zu spat ist. 7 unwiderlegbare Anzeichen, die jeder uberprufen kann.
Aktuelles 🕑 8 Min.

Die 5 haufigsten E-Mail-Betrugsmaschen 2026

Falsche Steuerruckerstattung, gefalschtes Paket, falscher Amazon, Sextortion, CEO-Betrug: Die Maschen, die dieses Jahr die meisten Opfer fordern.
KI & Produkt 🕑 7 Min.

Warum Fiabli Claude von Anthropic zur Phishing-Erkennung nutzt

Die technischen Grunde fur die Wahl von Claude Haiku 4.5 + Sonnet 4.6 vs andere Optionen (GPT-4, lokale Modelle). Performance, Kosten, Sicherheit.