Der umfassende Leitfaden von Red Sift zur E-Mail-Sicherheit
Letzte Aktualisierung: November 2025
Kurzfassung
Dieser umfassende Leitfaden behandelt E-Mail-Authentifizierungsprotokolle (SPF, DKIM, DMARC, MTA-STS), die für den Schutz von Domains vor Spoofing und Phishing im Jahr 2026 unerlässlich sind.
Die wichtigsten Erkenntnisse:
- E-Mail bleibt verwundbar: Täglich werden 3,4 Milliarden Phishing-E-Mails verschickt, E-Mail ist weiterhin der wichtigste Angriffsweg für Cyberkriminelle
- SPF und DKIM allein reichen nicht aus: Sie authentifizieren Absender, verhindern jedoch keine direkte Imitation der Domain
- DMARC ist jetzt verpflichtend: Von Google, Yahoo und Microsoft für Massensender (über 5.000 E-Mails/Tag) seit 2024–2025 vorgeschrieben, 2026 neuer Standard
- Umsetzungszeitplan: Red Sift OnDMARC unterstützt Organisationen dabei, innerhalb von 6–8 Wochen die Richtlinie „p=reject“ zu erreichen (branchenweit am schnellsten)
- Geschäftliche Vorteile: Stoppt Phishing, schützt den Markenruf, verbessert die Zustellbarkeit, ermöglicht BIMI, unterstützt Compliance (NIS2, DORA, PCI DSS, DSGVO)
- Technische Herausforderungen gelöst: Dynamisches SPF hebt das 10-Lookup-Limit auf, automatisierte Tools beschleunigen die Fehlersuche
- MTA-STS erhöht Transportsicherheit: Verschlüsselt E-Mails beim Transfer zwischen Mailservern
Fazit: E-Mail-Authentifizierung ist 2026 von optional zu verpflichtend geworden. Organisationen benötigen DMARC mit p=reject für vollständigen Schutz – moderne Plattformen ermöglichen eine schnelle und sichere Implementierung.
Was ist dieser E-Mail-Sicherheitsleitfaden & warum ist E-Mail-Sicherheit wichtig?
E-Mail ist ein unverzichtbares Kommunikationsmittel für Unternehmen auf der ganzen Welt. Sie ist so essenziell für den täglichen Betrieb von Organisationen aller Größen, dass viele sagen würden, sie sei genauso wichtig wie Strom oder Wasser.
Doch gerade aufgrund dieser Bedeutung ist E-Mail aus Sicht der Cybersicherheit so anfällig. Auch 2026 verfeinern Angreifer ihre Methoden weiter. Bei täglich 3,4 Milliarden versendeten Phishing-E-Mails zeigt sich: E-Mail-Systeme sind das Hauptziel von Cyberkriminellen, die Zugriff auf Ihr Unternehmen erlangen wollen. Es genügt schon, wenn nur ein einziger Mitarbeiter auf einen geschickt gestalteten Betrugsversuch hereinfällt, auf einen infizierten Link klickt oder einen schädlichen Anhang herunterlädt – und der gesamte Betrieb könnte zum Stillstand kommen.
Da es so wichtig ist, die eigene E-Mail zu sichern, haben wir diesen umfassenden Leitfaden entwickelt. Er soll sowohl Einsteigern als auch Einkäufern bei ihren Fragen zur E-Mail-Sicherheit helfen. In den folgenden Kapiteln finden Sie ausführliche Informationen zu:
- Wie Angreifer schwache Gateways, falsch konfigurierte DNS-Einträge und unüberwachte Domains ausnutzen
- Warum SPF, DKIM und DMARC am besten gemeinsam funktionieren und wie MTA-STS die Transportsicherheit stärkt
- Die Checkliste für Einkäufer: Reporting-Tiefe, Automatisierung, Richtliniendurchsetzung, ROI und Time-to-Value
Viel Spaß beim Lesen!
Wenn Sie als E-Mail-Sicherheitsarchitekt oder Analyst eine technischere Anleitung suchen, besuchen Sie unseren Technischer Leitfaden zur E-Mail-Konfiguration. Dieses umfassende Handbuch behandelt SPF, DKIM, DMARC, MTA-STS und mehr und bietet Einblicke und praktische Tipps zur Verbesserung Ihrer E-Mail-Sicherheitslage.
Häufig gestellte Fragen: Leitfaden zur E-Mail-Sicherheit
Alle Maßnahmen zur E-Mail-Sicherheit (außer DMARC) sind unwirksam, wenn eine bösartige E-Mail scheinbar von einer legitimen Domain stammt. Grund dafür ist ein Konstruktionsfehler im Simple Mail Transfer Protocol (SMTP). Im Oktober 2008 erklärte die Network Working Group es offiziell als „grundsätzlich unsicher“ und stellte fest, dass jeder eine Domain imitieren und betrügerische E-Mails verschicken kann, die vorgeben, vom Domain-Inhaber zu stammen.
Jeder mit sehr grundlegenden Programmierkenntnissen kann sich die Schritte zum Imitieren einer E-Mail-Identität in einer einfachen Google-Suche aneignen. Das Ergebnis ist eine E-Mail, die legitim aussieht, ohne typische Phishing-Indikatoren. Da täglich 3,4 Milliarden Phishing-E-Mails verschickt werden, bleiben E-Mail-Systeme das Hauptziel von Cyberkriminellen.
SPF (Sender Policy Framework) prüft, ob eine E-Mail von einer IP-Adresse versendet wird, die durch den SPF-Eintrag der sendenden Domain per DNS-TXT-Eintrag autorisiert ist.
DKIM (DomainKeys Identified Mail) verwendet eine kryptografische Signatur, die über einen öffentlichen Schlüssel im DNS validiert wird, um zu bestätigen, dass der Inhalt der E-Mail nicht verändert wurde und von einer autorisierten Domain stammt. Beide sind essenziell für die E-Mail-Sicherheit, aber verhindern keine exakte Imitation.
Während die Protokolle dem Empfänger mitteilen, von wem die E-Mail stammt, fehlt dem Empfänger die Anweisung, was mit dieser Information zu tun ist. Große E-Mail-Anbieter verlangen ab 2026 SPF und DKIM für Massenversender von E-Mails.
DMARC steht für Domain-based Message Authentication, Reporting, and Conformance. Es ist ein ausgehendes E-Mail-Sicherheitsprotokoll, das Domain-Inhabern ermöglicht, empfangenden Postfächern mitzuteilen, dass sie gefälschte E-Mails ablehnen sollen. DMARC kombiniert die Ergebnisse von SPF und DKIM, um zu ermitteln, ob Ihre E-Mail authentisch und autorisiert ist.
Die DMARC-Richtlinie (festgelegt durch das "p="-Tag im DNS-Eintrag) gibt anschließend den empfangenden Servern Anweisungen, wie mit der E-Mail zu verfahren ist. DMARC verhindert exakte Domain-Imitationen, indem es den empfangenden Servern anweist, keine nicht authentifizierten E-Mails zu akzeptieren. Ab 2026 ist DMARC für Organisationen, die Massen-E-Mails senden, Standardvoraussetzung.
Die SPF-Spezifikation begrenzt DNS-Lookups auf zehn. Wenn Ihr SPF-Eintrag dies überschreitet, schlägt SPF fehl. Gezählt werden die Mechanismen: a, ptr, mx, include, redirect und exists. Tatsächlich reichen zehn Lookups nicht aus, denn die meisten Unternehmen nutzen mehrere E-Mail-Sende-Tools.
G Suite belegt allein vier DNS-Lookups, HubSpot für Marketing nutzt sieben – und schon ist das Limit überschritten. Sobald Sie mehr als zehn SPF-Lookups haben, beginnen Ihre E-Mails, zufällig die Validierung zu verfehlen. Deshalb steigen Unternehmen im Jahr 2026 auf dynamisches SPF-Management um, anstatt zu versuchen, ihre Records manuell zu pflegen.
Mail Transfer Agent Strict Transport Security (MTA-STS) ist ein Standard, der die Verschlüsselung von Nachrichten bei der Übertragung zwischen Mail-Servern ermöglicht. Er legt fest, dass E-Mails ausschließlich über eine mit Transport Layer Security (TLS) verschlüsselte Verbindung versendet werden dürfen, was Abfangen durch Cyberkriminelle verhindert. SMTP allein bietet keine Sicherheit, weshalb es anfällig für Man-in-the-Middle-Angriffe ist, bei denen die Kommunikation abgefangen und möglicherweise verändert wird.
Außerdem ist Verschlüsselung in SMTP optional, sodass E-Mails unverschlüsselt versendet werden können. Ohne MTA-STS kann ein Angreifer die Kommunikation abfangen und die Übertragung im Klartext erzwingen. Im Jahr 2026 ist MTA-STS eine Standard-Sicherheitsmaßnahme für Organisationen, die sensible Kommunikation handhaben.
Mit der Einführung von DMARC profitieren Sie davon, Phishing-Angriffe, die angeblich von Ihrem Unternehmen stammen, zu stoppen, das Kundenvertrauen zu stärken, das Cyberrisiko zu verringern und die Anforderungen für Bulk-Sender von Google, Yahoo und Microsoft zu erfüllen.
DMARC stärkt die Konformität mit PCI DSS 4.0 und verbessert die gesamte organisatorische Widerstandsfähigkeit gegenüber sich weiterentwickelnden Cyberbedrohungen. Ist DMARC einmal auf p=reject (Durchsetzung) gesetzt, blockiert es Lieferantenbetrug, Kontoübernahmen und E-Mail-Spoofing, indem es verhindert, dass böswillige Akteure Ihre Domain für das Versenden von Phishing-Mails oder Business Email Compromise (BEC) nutzen. Laut dem Data Breach Investigations Report von Verizon aus dem Jahr 2025 machen BEC-Angriffe mehr als 17–22 % aller Social-Engineering-Vorfälle aus.
Red Sift OnDMARC beschleunigt die DMARC-Einführung mit automatischer Sender-Erkennung, konkreten Empfehlungen, Anomalieerkennung und rollenbasierter Zugriffssteuerung für globale Teams. Bis 2026 ermöglichen führende Plattformen Unternehmen, innerhalb von 6–8 Wochen p=reject umzusetzen – statt der vormals üblichen sechs Monate.
Ein wesentlich genannter Vorteil von OnDMARC ist die durchschnittliche Zeit von 6–8 Wochen bis zur vollständigen Durchsetzung. Die leistungsfähige Automatisierung der Plattform analysiert laufend sämtliche Aktivitäten auf Ihrer Domain und zeigt Ihnen, wo und wie Sie Änderungen vornehmen müssen. Bereits 24 Stunden nach dem Hinzufügen Ihres individuellen DMARC-Eintrags ins DNS beginnt OnDMARC mit der Analyse und Darstellung der DMARC-Berichte in übersichtlichen Dashboards.
Wichtige E-Mail-Anbieter wie Microsoft, Google und Yahoo schreiben DMARC für Bulk-Sender (Organisationen mit mehr als 5.000 E-Mails pro Tag) seit 2024–2025 vor – diese Anforderungen sind 2026 zum Standard geworden.
Auch bestimmte Branchen- und Regierungsanforderungen zielen zunehmend auf verbindliches DMARC. US-Bundesbehörden sind ebenso dazu verpflichtet wie nach DORA regulierte Zahlungsabwickler. Zusätzlich stärkt die DMARC-Implementierung die Einhaltung weiterer Vorschriften wie PCI DSS 4.0, DSGVO und NIS2. Für Teams in Cybersicherheit, E-Mail-Sicherheit und IT ist es unerlässlich, dass die E-Mail-Sicherheit der Organisation internationalen Best Practices und Anforderungen entspricht.