Was ist SPF und warum brauche ich es?

SPF (Sender Policy Framework) ist ein DNS-Eintrag, der festlegt, welche Server E-Mails für Ihre Domain versenden dürfen. Ohne SPF können Betrüger E-Mails fälschen, die aussehen, als kämen sie von Ihrer Domain.

Was passiert ohne DMARC?

Ohne DMARC haben empfangende Server keine klare Anweisung, wie sie mit E-Mails umgehen sollen, die SPF- oder DKIM-Prüfungen nicht bestehen. Betrüger können Ihre Domain leichter für Phishing missbrauchen.

Ist TLS-Verschlüsselung ausreichend für E-Mail-Sicherheit?

TLS verschlüsselt den Transport der E-Mail zwischen Servern, schützt aber nicht den Inhalt auf dem Server selbst. Für hochsensible Kommunikation empfehlen wir zusätzlich Ende-zu-Ende-Verschlüsselung mit S/MIME oder PGP.

Wie erkenne ich eine Phishing-E-Mail?

Typische Merkmale: Dringender Handlungsbedarf, unbekannter Absender mit bekanntem Namen, verdächtige Links (Mouseover prüfen!), Rechtschreibfehler, Aufforderung zur Eingabe von Zugangsdaten und unerwartete Anhänge.

Richtet fokus it solutions SPF, DKIM und DMARC für mich ein?

Ja, bei allen E-Mail-Hosting-Paketen konfigurieren wir SPF, DKIM und DMARC kostenlos für Sie. So sind Ihre E-Mails von Anfang an optimal geschützt und landen zuverlässig im Posteingang.

E-Mail-Sicherheit 2025: SPF, DKIM, DMARC erklärt + Schutz vor Phishing

Über 90 % aller Cyberangriffe beginnen mit einer E-Mail. Phishing, Spam, Spoofing und Malware – die Bedrohungen sind vielfältig und werden immer raffinierter. Gleichzeitig ist E-Mail der wichtigste Kommunikationskanal im Geschäftsleben. Ein Widerspruch? Nicht, wenn Sie die richtigen Sicherheitsmaßnahmen kennen und umsetzen. In diesem Leitfaden erklären wir die wichtigsten Technologien und Best Practices für sichere E-Mail-Kommunikation – verständlich, praxisnah und mit konkreten Beispielen.

SPF – Sender Policy Framework: Wer darf in Ihrem Namen senden?

Das Sender Policy Framework (SPF) ist die erste Verteidigungslinie gegen E-Mail-Spoofing. Es beantwortet eine einfache Frage: Welche Server sind berechtigt, E-Mails für Ihre Domain zu versenden?

Wie funktioniert SPF?

SPF funktioniert über einen TXT-Eintrag in den DNS-Einstellungen Ihrer Domain. Dieser Eintrag listet alle IP-Adressen und Server auf, die E-Mails für Ihre Domain verschicken dürfen. Wenn ein empfangender Mailserver eine E-Mail erhält, prüft er den SPF-Eintrag der Absenderdomain und vergleicht ihn mit der IP-Adresse des sendenden Servers.

SPF-Eintrag Beispiel

v=spf1 ip4:192.168.1.100 include:_spf.google.com include:mail.ihrefirma.de -all

Dieses Beispiel erklärt sich wie folgt:

v=spf1 – Kennzeichnet dies als SPF-Eintrag (Version 1).
ip4:192.168.1.100 – Erlaubt dieser IP-Adresse das Senden.
include:_spf.google.com – Erlaubt auch den Google-Mailservern das Senden (falls Sie Google Workspace nutzen).
include:mail.ihrefirma.de – Erlaubt Ihrem Mailserver das Senden.
-all – Alle anderen Server werden abgelehnt (Hard Fail). Das ist die sicherste Einstellung.

💡 Wichtig: Der Unterschied zwischen -all (Hard Fail) und ~all (Soft Fail) ist entscheidend. Mit -all werden nicht autorisierte E-Mails abgelehnt. Mit ~all werden sie nur markiert, aber trotzdem zugestellt. Wir empfehlen immer -all für maximale Sicherheit.

DKIM – DomainKeys Identified Mail: Die digitale Unterschrift

DKIM geht einen Schritt weiter als SPF: Es signiert jede ausgehende E-Mail mit einer kryptografischen Signatur. Der empfangende Server kann diese Signatur anhand des öffentlichen Schlüssels in Ihren DNS-Einträgen verifizieren. So wird nicht nur der Absender bestätigt, sondern auch sichergestellt, dass der Inhalt der E-Mail unterwegs nicht verändert wurde.

Wie funktioniert DKIM?

Beim Versand einer E-Mail erstellt Ihr Mailserver einen Hash-Wert aus dem E-Mail-Header und -Body.
Dieser Hash wird mit dem privaten Schlüssel Ihres Servers verschlüsselt und als DKIM-Signatur in den E-Mail-Header eingefügt.
Der empfangende Server holt den öffentlichen Schlüssel aus Ihrem DNS-Eintrag.
Er entschlüsselt die Signatur und vergleicht den Hash-Wert. Stimmen sie überein, ist die E-Mail authentisch und unverändert.

DKIM-DNS-Eintrag Beispiel

default._domainkey.ihrefirma.de IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBA..."

Der Eintrag enthält den öffentlichen Schlüssel (p=...), den Algorithmus (k=rsa) und die Version (v=DKIM1). Der private Schlüssel bleibt sicher auf Ihrem Mailserver gespeichert.

DMARC – Domain-based Message Authentication: Die Richtlinie

DMARC baut auf SPF und DKIM auf und definiert, was passieren soll, wenn eine E-Mail die Authentifizierungsprüfungen nicht besteht. Außerdem ermöglicht DMARC das Monitoring: Sie erhalten regelmäßige Berichte darüber, wer E-Mails in Ihrem Namen versendet.

DMARC-Richtlinien

p=none – Nur Monitoring: E-Mails werden zugestellt, aber Sie erhalten Berichte über fehlgeschlagene Prüfungen. Ideal als Einstieg.
p=quarantine – Verdächtige E-Mails werden in den Spam-Ordner verschoben.
p=reject – E-Mails, die SPF und DKIM nicht bestehen, werden komplett abgelehnt. Die sicherste Option.

DMARC-Eintrag Beispiel

_dmarc.ihrefirma.de IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc@ihrefirma.de; ruf=mailto:dmarc@ihrefirma.de; pct=100"

p=reject – Nicht authentifizierte E-Mails werden abgelehnt.
rua= – Adresse für aggregierte Berichte (tägliche Zusammenfassung).
ruf= – Adresse für forensische Berichte (detaillierte Fehlermeldungen).
pct=100 – Die Richtlinie gilt für 100 % der E-Mails.

💡 Unser Vorgehen: Bei fokus it solutions implementieren wir DMARC schrittweise – erst mit p=none zum Monitoring, dann schrittweise verschärfen zu p=quarantine und schließlich p=reject. So stellen wir sicher, dass keine legitimen E-Mails verloren gehen.

TLS-Verschlüsselung: Sichere Übertragung

Transport Layer Security (TLS) verschlüsselt die E-Mail-Übertragung zwischen Mailservern. Ohne TLS werden E-Mails im Klartext über das Internet übertragen – vergleichbar mit einer Postkarte, die jeder lesen kann.

Mit TLS wird aus der Postkarte ein versiegelter Brief: Der Inhalt ist während der Übertragung vor Dritten geschützt. Alle modernen Mailserver unterstützen TLS, doch die Verschlüsselung ist nur dann wirksam, wenn beide Seiten – Sender und Empfänger – TLS unterstützen.

TLS-Versionen im Überblick

TLS 1.0 und 1.1 – Veraltet und unsicher. Sollten deaktiviert werden.
TLS 1.2 – Aktueller Standard. Sicher und weit verbreitet.
TLS 1.3 – Neueste Version. Schneller und noch sicherer durch vereinfachten Handshake.

Bei fokus it solutions unterstützen unsere Mailserver TLS 1.2 und TLS 1.3. Ältere, unsichere Versionen sind standardmäßig deaktiviert. So ist die Übertragung Ihrer E-Mails stets bestmöglich geschützt.

Opportunistic vs. Enforced TLS

Standardmäßig verwenden Mailserver Opportunistic TLS: Sie versuchen, eine verschlüsselte Verbindung aufzubauen, fallen aber auf unverschlüsselte Übertragung zurück, wenn der Empfängerserver kein TLS unterstützt. Für sensible Kommunikation können wir Enforced TLS konfigurieren – dann werden E-Mails nur zugestellt, wenn eine verschlüsselte Verbindung möglich ist.

Spam-Abwehr: Mehrschichtiger Schutz

Spam macht nach wie vor über 45 % des weltweiten E-Mail-Verkehrs aus. Ein wirksamer Spam-Filter ist daher unverzichtbar. Bei fokus it solutions setzen wir auf einen mehrschichtigen Ansatz:

Unsere Spam-Abwehr-Technologien

Greylisting: Unbekannte Absender werden beim ersten Zustellversuch kurz abgewiesen. Seriöse Mailserver versuchen es erneut, Spam-Server in der Regel nicht.
Blacklists (RBL/DNSBL): Abgleich mit internationalen Datenbanken bekannter Spam-Server.
Bayes-Filter: Lernfähiger Filter, der auf Basis von Mustern und Schlüsselwörtern Spam erkennt.
SPF/DKIM/DMARC-Prüfung: Authentifizierungsprüfung wie oben beschrieben.
Content-Analyse: Untersuchung von Links, Anhängen und Textmustern auf bekannte Bedrohungen.
Rate Limiting: Begrenzung der E-Mails pro Zeiteinheit von einzelnen Absendern.

Durch die Kombination dieser Technologien erreichen wir eine Spam-Erkennungsrate von über 99 % bei minimaler Falsch-Positiv-Rate. Legitime E-Mails landen zuverlässig im Posteingang.

Phishing erkennen und abwehren

Phishing ist die gefährlichste Form von E-Mail-Betrug. Angreifer geben sich als vertrauenswürdige Absender aus – Ihre Bank, ein Paketdienst, ein Geschäftspartner – und versuchen, Sie zur Preisgabe von Zugangsdaten oder zur Überweisung von Geld zu bewegen.

Die 7 häufigsten Phishing-Merkmale

Dringender Handlungsbedarf: „Ihr Konto wird in 24 Stunden gesperrt!" – Seriöse Unternehmen setzen Sie nicht unter Zeitdruck.
Verdächtige Absenderadresse: Der angezeigte Name mag korrekt sein, aber die tatsächliche E-Mail-Adresse stimmt nicht überein. Prüfen Sie immer die vollständige Adresse.
Fehlerhafte Links: Fahren Sie mit der Maus über Links (ohne zu klicken!). Die angezeigte URL weicht oft von der tatsächlichen Zieladresse ab.
Rechtschreib- und Grammatikfehler: Professionelle Unternehmen versenden keine E-Mails mit offensichtlichen Fehlern.
Aufforderung zur Dateneingabe: Kein seriöses Unternehmen fragt per E-Mail nach Passwörtern oder Kreditkartendaten.
Unerwartete Anhänge: Öffnen Sie niemals Anhänge von unbekannten Absendern, insbesondere .exe-, .zip- oder .doc-Dateien mit Makros.
Generische Anrede: „Sehr geehrter Kunde" statt Ihres Namens kann ein Hinweis auf Massenversand sein.

⚠️ Im Zweifel: Klicken Sie nicht auf Links in verdächtigen E-Mails. Rufen Sie stattdessen die Website des angeblichen Absenders direkt im Browser auf oder kontaktieren Sie ihn telefonisch über eine bekannte Nummer.

Sichere Passwörter für E-Mail-Konten

Ein starkes Passwort ist die Basis jeder E-Mail-Sicherheit. Leider verwenden viele Nutzer nach wie vor einfache, leicht zu erratende Passwörter. Hier unsere Empfehlungen:

Regeln für sichere Passwörter

Mindestens 12 Zeichen – besser 16 oder mehr.
Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.
Keine persönlichen Daten – kein Geburtsdatum, kein Name, kein Firmenname.
Keine Wörterbuchwörter – auch nicht mit einfachen Substitutionen (P@ssw0rt ist NICHT sicher).
Einzigartig für jedes Konto – verwenden Sie nie dasselbe Passwort für mehrere Dienste.

Passwort-Manager empfohlen

Ein Passwort-Manager wie Bitwarden, 1Password oder KeePass generiert und speichert sichere Passwörter für Sie. So müssen Sie sich nur ein einziges Master-Passwort merken. Wir empfehlen allen unseren Kunden den Einsatz eines Passwort-Managers – das ist die einzelne Maßnahme mit dem größten Sicherheitsgewinn.

Zwei-Faktor-Authentifizierung (2FA)

Die Zwei-Faktor-Authentifizierung fügt eine zusätzliche Sicherheitsebene hinzu: Neben dem Passwort benötigen Sie einen zweiten Faktor – etwa einen Code aus einer Authenticator-App oder einen Hardware-Token.

Selbst wenn ein Angreifer Ihr Passwort erbeutet (z. B. durch Phishing), kann er ohne den zweiten Faktor nicht auf Ihr E-Mail-Konto zugreifen. 2FA reduziert das Risiko eines erfolgreichen Kontozugriffs um über 99 %.

2FA-Methoden im Vergleich

Authenticator-App (Google Authenticator, Microsoft Authenticator, Authy) – Empfohlen. Generiert zeitbasierte Einmalcodes.
Hardware-Token (YubiKey, FIDO2) – Höchste Sicherheit. Physischer Schlüssel, der per USB oder NFC verbunden wird.
SMS-Codes – Besser als nichts, aber anfällig für SIM-Swapping-Angriffe. Nicht empfohlen für sensible Konten.

E-Mail-Backup: Datenverlust verhindern

Ein oft vernachlässigtes Thema: die Sicherung Ihrer E-Mail-Daten. Hardwareausfälle, versehentliches Löschen oder Ransomware-Angriffe können zum Verlust wichtiger Geschäftskorrespondenz führen.

Backup-Strategien

Serverseitiges Backup: Wir sichern alle E-Mail-Daten täglich automatisch auf redundanten Systemen. Bei Datenverlust können wir Ihre E-Mails schnell wiederherstellen.
Lokales Backup: Zusätzlich empfehlen wir, E-Mails regelmäßig lokal zu sichern. Outlook und Thunderbird bieten Export-Funktionen für PST- bzw. MBOX-Dateien.
Archivierung: Für Unternehmen mit gesetzlichen Aufbewahrungspflichten (z. B. nach GoBD) bieten wir E-Mail-Archivierung an, die alle ein- und ausgehenden Nachrichten revisionssicher speichert.

Bei fokus it solutions sind tägliche Backups in allen E-Mail-Hosting-Paketen enthalten. Die Backups werden auf separaten Systemen gespeichert, sodass sie auch bei einem Ausfall des Hauptsystems verfügbar sind.

Sicherheits-Checkliste für Ihre E-Mails

Nutzen Sie diese Checkliste, um den Sicherheitsstatus Ihrer E-Mail-Infrastruktur zu überprüfen:

☐ SPF-Eintrag konfiguriert und auf -all gesetzt
☐ DKIM aktiviert und DNS-Eintrag veröffentlicht
☐ DMARC mit Richtlinie p=reject eingerichtet
☐ TLS 1.2/1.3 für alle Verbindungen erzwungen
☐ Spam-Filter aktiv und regelmäßig aktualisiert
☐ Starke Passwörter (min. 12 Zeichen) für alle Konten
☐ 2FA für alle E-Mail-Konten aktiviert
☐ Regelmäßige Backups (serverseitig und lokal)
☐ Mitarbeiterschulung zu Phishing-Erkennung durchgeführt
☐ Veraltete Konten deaktiviert (ehemalige Mitarbeiter)

Fazit: E-Mail-Sicherheit ist kein Luxus

E-Mail-Sicherheit ist keine optionale Zusatzfunktion, sondern eine geschäftliche Notwendigkeit. Die Kombination aus SPF, DKIM und DMARC schützt Ihre Domain vor Missbrauch, TLS sichert die Übertragung, und starke Passwörter mit 2FA schützen Ihre Konten vor unbefugtem Zugriff.

Bei fokus it solutions konfigurieren wir all diese Sicherheitsmaßnahmen kostenlos für Sie – in jedem E-Mail-Hosting-Paket. Sie müssen sich nicht mit DNS-Einträgen und Kryptografie-Einstellungen auseinandersetzen. Wir kümmern uns darum, damit Sie sich auf Ihr Geschäft konzentrieren können.