E-Mail-Authentifizierung
Sammelbegriff für DNS-basierte Verfahren (SPF, DKIM, DMARC) zur Verifizierung der Absenderidentität von E-Mails.
E-Mail-Authentifizierung bezeichnet die Gesamtheit der DNS-basierten Verfahren, mit denen die Identität eines E-Mail-Absenders verifiziert wird. Die drei Kernprotokolle — SPF, DKIM und DMARC — arbeiten zusammen, um sicherzustellen, dass E-Mails tatsächlich von der angegebenen Domain stammen und nicht von Angreifern gefälscht wurden. Ohne diese Schutzmaßnahmen kann jeder Server E-Mails mit beliebiger Absenderadresse versenden, was Phishing und Spoofing erheblich erleichtert.
Die drei Säulen
Jedes der drei Verfahren erfüllt eine spezifische Aufgabe. Erst im Zusammenspiel bieten sie umfassenden Schutz:
| Verfahren | Prüft | Schützt vor |
|---|---|---|
| SPF | Ob der sendende Server autorisiert ist | Unautorisiertem E-Mail-Versand |
| DKIM | Ob die Nachricht unverändert ist | Manipulation auf dem Transportweg |
| DMARC | Alignment und definiert die Policy | Domain-Missbrauch (Spoofing) |
SPF allein prüft nur den Envelope-Absender, nicht den sichtbaren From:-Header. DKIM allein stellt die Integrität sicher, gibt dem Empfänger-Server aber keine Anweisung, was bei fehlgeschlagener Prüfung geschehen soll. Erst DMARC verbindet beide Verfahren durch die Alignment-Prüfung und definiert eine verbindliche Policy für den Umgang mit nicht authentifizierten E-Mails.
Warum alle drei Verfahren nötig sind
Es ist ein verbreiteter Irrtum, dass eines der Verfahren die anderen ersetzen kann. SPF versagt bei Weiterleitungen, weil sich die IP-Adresse des sendenden Servers ändert. DKIM kann brechen, wenn Mailing-Listen oder Weiterleitungsserver den E-Mail-Body modifizieren. Nur wenn beide Verfahren parallel konfiguriert sind, kann bei Ausfall des einen das andere einspringen. DMARC wiederum ist die Klammer, die festlegt, was passiert, wenn beide Prüfungen fehlschlagen — ohne DMARC bleibt die Entscheidung dem Empfänger-Server überlassen, und viele stellen verdächtige E-Mails trotzdem zu.
Große E-Mail-Provider haben die Anforderungen in den letzten Jahren deutlich verschärft. Google und Yahoo verlangen seit Februar 2024 von Massenversendern eine korrekte SPF-, DKIM- und DMARC-Konfiguration, Microsoft seit Mai 2025. E-Mails ohne diese Standards werden zunehmend als Spam eingestuft oder abgewiesen — auch wenn sie legitim sind.
Empfohlene Implementierungsreihenfolge
Die Einführung sollte schrittweise erfolgen, um den laufenden E-Mail-Verkehr nicht zu stören. Zunächst wird SPF konfiguriert, da dies das einfachste Verfahren ist und alle autorisierten Mailserver in einem einzigen DNS-Record zusammenfasst. Im zweiten Schritt wird DKIM für alle sendenden Systeme eingerichtet — das erfordert die Generierung von Schlüsselpaaren und die Konfiguration der Mailserver. Zuletzt kommt DMARC mit einer anfänglichen Policy von p=none hinzu, um Berichte zu sammeln, ohne den E-Mail-Fluss zu beeinflussen.
Die DMARC-Berichte zeigen dann über mehrere Wochen, welche Server E-Mails im Namen der Domain versenden und ob SPF und DKIM korrekt konfiguriert sind. Da die Reports als XML-Dateien vorliegen, empfiehlt sich für die Auswertung der DMARC Report Analyzer, der die Daten übersichtlich aufbereitet. Erst wenn alle legitimen Absender identifiziert und korrekt authentifiziert sind, wird die Policy schrittweise auf quarantine und schließlich reject verschärft.
Auswirkungen auf die Zustellbarkeit
Korrekt konfigurierte E-Mail-Authentifizierung verbessert nicht nur die Sicherheit, sondern auch die Zustellbarkeit legitimer E-Mails. Provider bewerten authentifizierte Absender als vertrauenswürdiger, was die Wahrscheinlichkeit verringert, im Spam-Ordner zu landen. Für Unternehmen, die auf E-Mail-Kommunikation mit Kunden und Partnern angewiesen sind, ist das ein handfester geschäftlicher Vorteil.
Typische Herausforderungen im Mittelstand
In der Praxis scheitert die vollständige Implementierung oft an der Komplexität der Absenderlandschaft. Viele Unternehmen wissen nicht genau, welche Systeme in ihrem Namen E-Mails versenden — neben dem primären Mailserver können das CRM-Systeme, Helpdesk-Software, Newsletter-Plattformen, ERP-Systeme, Monitoring-Tools und externe Dienstleister sein. Jedes dieser Systeme muss in SPF und DKIM berücksichtigt werden.
Wenn die Zahl der Include-Einträge das SPF-Lookup-Limit von zehn DNS-Abfragen überschreitet, hilft der SPF-Flattener, die verschachtelten Ketten in direkte IP-Adressen aufzulösen. Ein weiteres häufiges Problem ist die Zuständigkeit: DNS-Records werden oft von einem anderen Team oder externen Dienstleister verwaltet als der Mailserver. Die Koordination zwischen Mailserver-Administration, DNS-Verwaltung und den Fachabteilungen, die Drittanbieter-Dienste nutzen, erfordert klare Verantwortlichkeiten. Ohne einen systematischen Ansatz bleiben Lücken, die Angreifer für Spoofing ausnutzen können.
BIMI als Ergänzung
Brand Indicators for Message Identification (BIMI) ist ein aufbauender Standard, der es Domains mit einer strikten DMARC-Policy (p=quarantine oder p=reject) ermöglicht, ihr Firmenlogo im Posteingang des Empfängers anzuzeigen. BIMI setzt eine korrekt konfigurierte E-Mail-Authentifizierung voraus und bietet einen zusätzlichen Anreiz für Unternehmen, ihre DMARC-Policy zu verschärfen: Das sichtbare Markenlogo steigert die Wiedererkennbarkeit und das Vertrauen der Empfänger in legitime E-Mails. Ob Ihre Domain für BIMI bereit ist, zeigt der BIMI-Check.
Transportverschlüsselung absichern
Neben der Absenderauthentifizierung spielt auch die Transportverschlüsselung eine wichtige Rolle. MTA-STS und DANE verhindern, dass Angreifer die STARTTLS-Aushandlung zwischen Mailservern unterdrücken und E-Mails unverschlüsselt mitlesen. Während MTA-STS über eine HTTPS-basierte Policy funktioniert, verankert DANE das TLS-Zertifikat über TLSA-Records im DNS und setzt DNSSEC voraus. Beide Verfahren lassen sich mit dem SMTP-TLS-Check und dem MTA-STS-Check prüfen.
DNS-Integrität als Voraussetzung
Alle drei Verfahren der E-Mail-Authentifizierung basieren auf DNS-Records. Wenn ein Angreifer DNS-Antworten manipulieren kann, kann er auch SPF-, DKIM- und DMARC-Records fälschen. DNSSEC schützt davor, indem es DNS-Antworten kryptografisch signiert. Für Unternehmen, die ihre E-Mail-Authentifizierung ernsthaft absichern wollen, ist eine aktivierte DNSSEC-Konfiguration die logische Ergänzung — prüfbar mit dem DNSSEC-Check.
Jetzt prüfen
Der aktuelle Stand der E-Mail-Authentifizierung lässt sich in wenigen Sekunden prüfen. Der E-Mail Security Check analysiert SPF, DKIM und DMARC für jede beliebige Domain und zeigt übersichtlich, welche Verfahren korrekt konfiguriert sind und wo Handlungsbedarf besteht. Ergänzend zeigt der Blacklist-Check, ob die IP-Adresse Ihres Mailservers auf einer Sperrliste steht — denn selbst eine perfekte Authentifizierung nützt wenig, wenn E-Mails wegen eines DNSBL-Eintrags gar nicht erst zugestellt werden. Und bei konkretem Verdacht auf eine gefälschte E-Mail liefert die E-Mail Header Analyse die technischen Fakten zum tatsächlichen Absender.