DMARC vs SPF vs DKIM: Was ist der Unterschied und warum ist es wichtig

Geschätzte Lesezeit: 6–7 Minuten

SPF, DKIM und DMARC sind drei E-Mail-Authentifizierungsprotokolle, die vor Domain-Spoofing und Phishing schützen.

• SPF prüft, ob der sendende Server berechtigt ist, E-Mails für Ihre Domain zu versenden.
• DKIM stellt sicher, dass die Nachricht während der Übertragung nicht manipuliert wurde.
• DMARC baut auf SPF und DKIM auf und weist empfangende Server an, wie sie mit Nachrichten umgehen sollen, die die Authentifizierung nicht bestehen.

Gemeinsam bilden sie eine mehrschichtige Verteidigung für den Ruf Ihrer Domain und die Zustellbarkeit Ihrer E-Mails.

Jeden Tag geben sich Angreifer als vertrauenswürdige Marken aus, um Daten zu stehlen oder Nutzer zu täuschen. Laut Branchenberichten beginnen über 90 % aller Cyberangriffe mit Phishing oder gefälschten E-Mails.

Mit der Implementierung von SPF, DKIM und DMARC stellen Sie sicher, dass nur autorisierte Absender Ihre Domain nutzen können – zum Schutz Ihrer Marke, Ihrer Kunden und Ihres Postfach-Rufs.

Diese Protokolle arbeiten auf DNS-Ebene (Domain Name System) und prüfen, ob eine E-Mail tatsächlich von dem Absender stammt, der sie vorgibt zu sein. Sind alle drei korrekt eingerichtet, verringert sich das Risiko von:

• Gefälschten „From“-Adressen
• Betrügerischen Rechnungen und Phishing
• Zustellbarkeitsproblemen und Spamfilter-Strafen

SPF (Sender Policy Framework) ermöglicht Domain-Inhabern festzulegen, welche Mailserver berechtigt sind, E-Mails im Namen ihrer Domain zu versenden.

So funktioniert es:

• Sie veröffentlichen einen SPF-Eintrag im DNS Ihrer Domain.
• Erhält ein empfangender Mailserver eine E-Mail, prüft er die Domain im Return-Path (envelope-from) anhand des SPF-Eintrags, um zu bestimmen, ob die sendende IP-Adresse autorisiert ist.
• Stimmt die sendende IP-Adresse überein, besteht die Nachricht die SPF-Prüfung; andernfalls schlägt sie fehl.

Beispiel für einen SPF-Eintrag:

v=spf1 include:_spf.google.com include:sendgrid.net ~all

Vorteile:

• Leicht zu implementieren.
• Wirksam beim Blockieren nicht autorisierter Absender.

Einschränkungen:

• Funktioniert nicht korrekt beim Weiterleiten von E-Mails (z. B. per Verteilerlisten).
• Überprüft nicht den Nachrichteninhalt.

Empfohlene Vorgehensweise: Kombinieren Sie SPF immer mit DKIM und DMARC für vollständigen Schutz.

DKIM fügt Ihren E-Mails eine kryptografische Signatur hinzu, um sicherzustellen, dass die Nachricht nach dem Versand nicht verändert wurde.

So funktioniert es:

• Ihr Mailserver fügt dem Header jeder E-Mail eine mit dem privaten Schlüssel signierte Signatur hinzu.
• Der empfangende Server verwendet Ihren öffentlichen Schlüssel (im DNS veröffentlicht), um die Signatur zu prüfen.
• Ist die Signatur gültig, besteht die E-Mail die DKIM-Authentifizierung.

DKIM authentifiziert die Domain, die im d=-Feld des DKIM-Signatur-Headers steht. Diese kann sich von der sichtbaren Absenderdomain (header From) unterscheiden. Diese Unterscheidung ist unter DMARC wichtig, das prüft, ob diese Domains übereinstimmen, um die Absenderauthentizität zu bestätigen.

Beispiel für einen DKIM-Eintrag:

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA...

Vorteile:

• Bestätigt die Integrität der Nachricht.
• Funktioniert auch bei weitergeleiteten E-Mails.

Einschränkungen:

• Aufwändige Einrichtung bei mehreren Drittanbietern.
• Die Schlüssel müssen regelmäßig erneuert werden.

Empfohlene Vorgehensweise: Verwenden Sie 2048-Bit-Schlüssel und überwachen Sie die DKIM-Ausrichtung in Ihren DMARC-Berichten.

DMARC vereint SPF und DKIM unter einer gemeinsamen Richtlinie und gibt Domain-Inhabern die Kontrolle darüber, was passiert, wenn eine E-Mail an einer der Überprüfungen scheitert.

So funktioniert es:

• Sie veröffentlichen einen DMARC-Eintrag im DNS, der festlegt, wie mit fehlgeschlagenen Authentifizierungen umzugehen ist.
• Die Richtlinie kann Mailserver anweisen:
• Nichts zu tun (p=none)
• Verdächtige Nachrichten zu isolieren (p=quarantine)
• Nicht bestandene Nachrichten direkt abzulehnen (p=reject) – am meisten empfohlen

DMARC prüft die Übereinstimmung zwischen der sichtbaren Absenderadresse (header From) und den durch SPF (Return-Path bzw. envelope-from) und DKIM (d=-Feld im DKIM-Signatur-Header) authentifizierten Domains. Nur wenn mindestens einer dieser Mechanismen besteht und übereinstimmt, gilt die Nachricht unter DMARC als authentifiziert.

Beispiel für einen DMARC-Eintrag:

v=DMARC1; p=reject; rua=mailto:dmarc-reports@yourdomain.com; ruf=mailto:dmarc-failures@yourdomain.com; adkim=s; aspf=s

Vorteile:

• Bietet Transparenz durch Berichte (rua- und ruf-Tags).
• Schützt Domains proaktiv vor Missbrauch.
• Verbessert das Vertrauen in E-Mails und stärkt den Markenschutz.

Einschränkungen:

• Erfordert eine Ausrichtung von SPF und DKIM.
• Eine vollständige Durchsetzung kann zu Beginn legitime Nachrichten blockieren, wenn die Konfiguration unvollständig ist.

Empfohlene Vorgehensweise: Starten Sie mit p=none, analysieren Sie die Berichte und gehen Sie schrittweise zu p=quarantine oder p=reject über.

Betrachten Sie SPF, DKIM und DMARC als Schutzschichten:

1. SPF prüft, wer senden darf.
2. DKIM bestätigt, dass der Inhalt unverändert blieb.
3. DMARC erzwingt, was geschieht, wenn etwas nicht passt.

Ohne DMARC arbeiten SPF und DKIM unabhängig voneinander und lassen sich umgehen. DMARC fügt richtlinienbasierte Logik hinzu – und schließt damit die Lücke bei der Absenderauthentifizierung.

• Gültige SPF-, DKIM- und DMARC-Einträge im DNS veröffentlichen.
• Versendete Domains für alle ausgehenden Systeme abstimmen (z. B. CRM, Marketing-Tools).
• Konfigurationen mit Red Sift’s OnDMARC Validator testen.
• Schrittweise von Überwachung (p=none) zu Durchsetzung (p=reject) wechseln.
• Aggregierte Berichte regelmäßig auf Auffälligkeiten prüfen.
• Alle internen Beteiligten über die Einführung informieren, um Zustellprobleme zu vermeiden.

• Zu breite SPF-Einträge: Zu viele „includes“ können das DNS-Überprüfungslimit (max. 10) überschreiten.
• Nicht abgestimmte DKIM-Selectoren: Führt zu Überprüfungsfehlern bei verschiedenen Anbietern.
• DMARC-Berichte ignorieren: Ohne Analyse verpassen Sie frühe Anzeichen von Missbrauch.
• Keine Durchsetzung: DMARC dauerhaft auf p=none zu lassen, bietet keinerlei echten Schutz.

• SPF autorisiert Absender.
• DKIM sichert die Nachrichtenintegrität.
• DMARC erzwingt Richtlinien und schafft Transparenz.
• Werden diese Standards gemeinsam eingesetzt, verhindern sie Spoofing, schützen das Markenvertrauen und verbessern die Zustellbarkeit.

• Kostenlos DMARC-, SPF- & DKIM-Konfiguration prüfen
• Was ist DMARC?
• Was ist BIMI?
• SPF & DKIM verstehen
• OnDMARC kostenlos testen

Dieser Artikel ist Teil der Email Security Guide-Serie von Red Sift, deren Ziel es ist, Sicherheits- und IT-Expert:innen mit Hilfe von Authentifizierung, Berichten und Frameworks zum Markenvertrauen die Domain-Sicherheit zu stärken.