Der beste Leitfaden zur E-Mail-Sicherheit für Cybersicherheitsverantwortliche

DMARC steht für Domain-based Message Authentication, Reporting und Conformance. Es handelt sich um ein ausgehendes E-Mail-Sicherheitsprotokoll, das Domaininhabern ermöglicht, die Kontrolle über ihre E-Mail-Identität zurückzugewinnen, indem sie empfangenden Postfächern anweisen, gefälschte E-Mails abzulehnen. DMARC arbeitet mit SPF und DKIM zusammen, um zu überprüfen, ob eine E-Mail von einer autorisierten Quelle gesendet wurde und ob die sichtbare „From“-Adresse mit der authentifizierten Domain übereinstimmt.

DMARC unterbindet die exakte Nachahmung einer Domain, indem es Empfangsserver anweist, keine E-Mails zu akzeptieren, die nicht authentifiziert wurden. So können böswillige Akteure Ihre Domain nicht für Phishing-Angriffe oder Business Email Compromise (BEC) missbrauchen. Ab 2026 ist DMARC für Organisationen, die Massen-E-Mails versenden, zum Standard geworden.

DMARC ist außerdem unerlässlich für die Implementierung von BIMI (Brand Indicators for Message Identification) und erfordert eine Richtlinie von mindestens p=quarantine, idealerweise p=reject. Prüfen Sie mit unserem kostenlosen Checker, ob Ihre Marke BIMI-bereit ist.

DMARC baut auf den bestehenden Sicherheitsprotokollen SPF und DKIM auf. Ihr SPF-Eintrag ist eine Positivliste von IP-Adressen, denen Sie das Senden von E-Mails für Ihre Domain erlauben. DKIM fungiert wie eine digitale Signatur und gibt dem Empfänger die Gewissheit, dass Sie tatsächlich der Absender sind. Zu Beginn der DMARC-Konfiguration investieren Sie Zeit darin, zu klassifizieren, welche Absender autorisiert sind, E-Mails in Ihrem Namen zu versenden und welche nicht.

Sowohl SPF als auch DKIM sind unerlässlich für Ihre E-Mail-Sicherheit, verhindern aber keine exakte Nachahmung. Während diese Protokolle dem Empfänger mitteilen, von wem die E-Mail stammt, gibt es keine Vorgabe, wie er damit umgehen soll – das heißt, der Empfänger weiß nicht, wie er reagieren soll.

DMARC kombiniert daher die Resultate von SPF und DKIM, um zu bestimmen, ob Ihre E-Mail authentisch und autorisiert ist. Anschließend teilt die festgelegte DMARC-Richtlinie den Empfangsservern mit, wie sie mit der E-Mail verfahren sollen.

Eine DMARC-Richtlinie ist eine Menge von Regeln, die in Ihrem DMARC-DNS-Eintrag veröffentlicht werden – definiert durch das „p=“-Tag – und empfangenden Mailservern vorgibt, wie Nachrichten behandelt werden sollen, die die DMARC-Authentifizierung nicht bestehen.

Ihre DMARC-Richtlinie ist im Wesentlichen die Anweisung, die Sie Empfangsservern geben, was mit E-Mails aus Ihrer Domain geschehen soll. Es gibt drei Richtlinien zur Auswahl:

• p=none: Diese Richtlinie weist den Empfangsserver an, alle E-Mails aus Ihrer Domain zu akzeptieren, egal ob sie authentifiziert wurden oder nicht.
• p=quarantine: Diese Richtlinie weist den Empfangsserver an, E-Mails, die die Authentifizierung nicht bestehen, in den Spam-Ordner zu verschieben.
• p=reject: Diese Richtlinie weist den Empfangsserver an, alle E-Mails, die Ihre Authentifizierung nicht bestehen, abzulehnen.

Die Einführung von DMARC erfolgt schrittweise. Mit „p=none“ können Sie den E-Mail-Verkehr überwachen, ohne legitime Kommunikation zu stören. Es ist wichtig zu beachten, dass „p=none“ zwar wertvolle Überwachungsdaten liefert, jedoch keine böswilligen E-Mails am Versand hindert. Daher bleibt Ihre Domain bei „p=none“ weiterhin missbrauchsanfällig. Da große Postfachanbieter mittlerweile Authentifizierungsanforderungen durchsetzen, erkennen Organisationen im Jahr 2026, dass p=reject der Sicherheitsstandard ist und keine Kür.

Analysieren Sie während dieser Phase die DMARC-Berichte, um die SPF- und DKIM-Einträge für alle legitimen E-Mail-Quellen korrekt zu konfigurieren. Sobald Sie überzeugt sind, dass Ihre E-Mail-Authentifizierung richtig aufgesetzt ist, können Sie zur Durchsetzungsphase mit „p=quarantine“ (fehlgeschlagene E-Mails werden im Spam-Ordner abgelegt) und schließlich zu „p=reject“ für vollständigen Schutz übergehen.

Eine „p=reject“-Richtlinie ist das ultimative Ziel für die Sicherung Ihrer Domain, da sie unautorisierte E-Mails aktiv blockiert. Dieser Übergang sollte jedoch sorgfältig erfolgen, damit alle legitimen Absender richtig authentifiziert sind und Sie das Risiko von Störungen oder fehlerhaft blockierten E-Mails minimieren. Gehen Sie dabei zunächst durch die Phase „p=quarantine“.

Um Ihre E-Mails vollständig abzusichern, bietet „p=reject“ konsequenten Schutz gegen ständig wachsende Bedrohungen. Mit einem Einstieg über „p=none“ und einer strukturierten Implementierung von Red Sift können Sie die E-Mail-Sicherheitslage Ihrer Domain gezielt verbessern.

SPF (Sender Policy Framework) ist ein Authentifizierungsprotokoll, das versendende Server-IP-Adressen anhand der SPF-Policy einer Domain prüft. DMARC (Domain-based Message Authentication, Reporting, and Conformance) nutzt SPF und/oder DKIM, um Domainausrichtung durchzusetzen, Ablehnungen oder Quarantänen zu steuern und Berichte zum Monitoring von E-Mail-Spoofing und Phishing zu liefern.

DKIM (DomainKeys Identified Mail) versieht ausgehende Nachrichten mit einer digitalen Signatur, die per öffentlichem Schlüssel im DNS geprüft wird und so Inhalt und Autorisierung bestätigt. DMARC (Domain-based Message Authentication, Reporting, and Conformance) kombiniert DKIM- und SPF-Ergebnisse, um Ausrichtung und Schutz durchzusetzen, nicht authentifizierte E-Mails zu blockieren oder zu isolieren und detaillierte Berichte zu erstellen.

SPF, DKIM und DMARC arbeiten zusammen, um E-Mail-Domains zu schützen: SPF prüft autorisierte Absender-IP-Adressen, DKIM sichert die Integrität der Nachricht durch kryptografische Signaturen und DMARC erzwingt die Ausrichtung der Authentifizierungsergebnisse mit der sichtbaren „From“-Domain sowie Richtlinienkontrolle und Berichterstattung.

Neben dem Aufbau einer starken E-Mail-Sicherheitsstruktur bietet DMARC auch diverse Business-Vorteile. Nachfolgend einige der wichtigsten Pluspunkte der DMARC-Einführung.

DMARC liefert Berichte, die die meisten – wenn nicht alle – E-Mails aus Ihrer Organisation aufzeigen. Im Gegensatz zu herkömmlichen IT-Sicherheitslösungen, die sich nur auf eingehende Phishing-Mails konzentrieren, erhalten Sie so einen ganzheitlichen Überblick über Anzahl und Ausmaß der Angriffe auf Ihr Unternehmen.

Phishing-Attacken mit exakter Nachahmung können enormen Reputationsschaden anrichten. Solche Betrugsversuche führen zu Negativschlagzeilen, wobei die Verantwortung häufig bei der imitierten Organisation gesehen wird.

Gefälschte Rechnungen bezahlen oder Überweisungen tätigen, die scheinbar vom CEO stammen, kommt häufiger vor als gedacht.

BIMI (Brand Indicators for Message Identification) ist ein Standard, der es ermöglicht, Ihr registriertes Logo im Avatar-Bereich Ihrer DMARC-authentifizierten E-Mails anzuzeigen – mithilfe von Verified Mark Certificates. BIMI erhöht die Sichtbarkeit Ihrer Marke, und Studien zeigen, dass dies das Vertrauen der Verbraucher, ihre Interaktion und Kaufentscheidungen positiv beeinflusst. Ist Ihre Domain DMARC-konform, können Sie diesen Markenvorteil nutzen.

Mit korrekt eingerichtetem DMARC (p=reject) demonstrieren Sie gegenüber ISPs, dass Sie aktiv Maßnahmen zur Authentifizierung und Sicherheit Ihrer E-Mails treffen. Dies schafft Vertrauen bei ISPs und senkt das Risiko, dass legitime Nachrichten als Spam oder Phishing fehldetektiert werden.

Organisationen, die E-Mail-Spoofing nicht konsequent verhindern, werden oft als weniger vertrauenswürdig angesehen. Kunden trauen Nachrichten aus diesen Organisationen möglicherweise nicht und verzichten daher auf die Kommunikation per E-Mail – dies kann die Effektivität der Kundenkommunikation beeinträchtigen. Die Umsetzung von DMARC bestätigt zuverlässig die Identität Ihrer Organisation gegenüber Ihren Kunden.

Shadow IT bezeichnet Altsysteme oder Lösungen, die von einzelnen Abteilungen eingerichtet werden, um bestehende Infrastruktur-Lücken zu schließen – und diese sind nicht immer leicht aufzuspüren oder zu beseitigen. DMARC verschafft Ihnen die nötige Transparenz, um nicht gewünschte Anwendungen oder Systeme ausfindig zu machen, damit diese keine E-Mails mehr in Ihrem Namen versenden können. Die Implementierung von DMARC macht alle E-Mail-Dienste sichtbar, die über Ihre Domain senden – auch, wenn Ihnen nicht alle offiziell bekannt sind.

DMARC hilft Unternehmen dabei, E-Mail-Sicherheitsempfehlungen von globalen Behörden wie NIST, NCSC und der Europäischen Kommission umzusetzen.

Die überarbeitete EU-Richtlinie zur Sicherheit von Netz- und Informationssystemen (NIS2-Richtlinie) hat den Regulierungsdruck auf Unternehmen, mit einer DMARC-Richtlinie „reject“ proaktiv gegen Phishing vorzugehen, enorm erhöht.

Die NIS2-Richtlinie ist eine EU-Verordnung, die ein hohes gemeinsames Cybersicherheitsniveau in der EU vorschreibt. Für 'wesentliche und wichtige Einrichtungen' ist deren Einhaltung verpflichtend.

Auch wenn DMARC oder eine „reject“-Richtlinie im Wortlaut der NIS2 nicht explizit genannt werden, sind zahlreiche Vorgaben eng mit den Prinzipien von DMARC verknüpft. Ohne eine DMARC-„reject“-Policy könnte die Einhaltung von bis zu fünf konkreten Anforderungen oder Grundsätzen der NIS2 geschwächt sein.

1. Security by Design und by Default: Die NIS2 schreibt Anbietern öffentlicher elektronischer Kommunikationsnetze oder -dienste Security by Design & Default vor. Als globaler und etablierter Internet-Standard zur Verhinderung von Domain-Imitation ist eine DMARC-Richtlinie „reject“ ein zentraler Bestandteil einer solchen Strategie.
2. Risikomanagementmaßnahmen: NIS2 verlangt von wichtigen Einrichtungen angemessene technische und organisatorische Maßnahmen für das Management der Netz- und Informationssicherheitsrisiken. Eine DMARC-„reject“-Policy ist hier zentral, weil sie das Risiko von Phishing- und Spoofing-Angriffen adressiert.
3. Supply Chain Security: Auch von Lieferanten und der Lieferkette werden sichere Systeme gefordert. DMARC-„reject“ hilft, indem es regelt, dass nur autorisierte Dritte im Namen eines Unternehmens E-Mails senden können, und so Phishing über kompromittierte Dienstleister sowie deren Schutz ermöglicht.
4. Incident Reporting: Relevante Vorfälle müssen, wenn sie die Kontinuität wesentlicher Dienste beeinträchtigen, gemeldet werden. DMARC ist zwar selbst kein Meldemechanismus, doch die detaillierten Berichte helfen, E-Mail-bezogene Sicherheitsvorfälle zu erkennen und zu adressieren.
5. Resilienz: Unternehmen müssen Maßnahmen zur Widerstandsfähigkeit der Systeme und Netze treffen. DMARC-„reject“ trägt dazu bei, das E-Mail-Kommunikationssystem – einen kritischen Netzwerkbestandteil – vor Missbrauch zu bewahren.

Ab Februar 2024 haben Microsoft, Google und Yahoo neue Anforderungen an Bulk-Sender eingeführt, die in eine neue Ära der E-Mail-Compliance führen und DMARC-Implementierung verlangen. Bulk-Sender – also die, die mehr als oder etwa 5.000 E-Mails täglich verschicken – müssen nun Authentifizierungsmaßnahmen umsetzen, um die sichere Zustellung an gmail.com- oder yahoo.com-Adressen zu gewährleisten.

Die Anforderungen gelten seit dem 1. Februar 2024 und umfassen unter anderem:

• Richten Sie SPF und DKIM für jede sendende Domain ein
• Verwenden Sie eine übereinstimmende „From“-Domain im SPF- oder DKIM-Eintrag
• Veröffentlichen Sie eine DMARC-Richtlinie für jede sendende Domain mit mindestens „p=none“
• Sorgen Sie dafür, dass sende-Domains oder IPs über FcrDNS verfügen
• Verwenden Sie eine TLS-Verbindung für die E-Mail-Übertragung
• Ermöglichen Sie ein Ein-Klick-Abmelden für Empfänger von Werbe-E-Mails
• Halten Sie die Spam-Rate unter 0,10 % (laut Google Postmaster Tools)

Der Digital Operational Resilience Act (DORA) ist ein EU-Regelwerk, das die digitale operationelle Resilienz des Finanzsektors sicherstellen soll. Es stellt strenge, einheitliche Regeln unter anderem zum Management von IKT-Risiken, Meldewesen und Testungen auf.

Auch wenn ein Unternehmen kein Finanzdienstleister ist, definiert DORA Schwellenwerte für die Kritikalität von Diensten. Wenn ein Unternehmen also direkt für Finanzinstitute tätig ist, unterliegt es ebenfalls der DORA – insbesondere, da Finanzinstitute im Rahmen von DORA strengere Sicherheitskontrollen (z. B. DMARC mit „reject“-Richtlinie) von ihren Dienstleistern verlangen werden.

DORA enthält keine technische Detailvorgabe, prescht aber drei für DMARC relevante Aspekte voran:

1. IKT-Risikomanagement: Kernziel von DORA ist effektives IT-Risikomanagement. Eine DMARC-„reject“-Richtlinie trägt direkt dazu bei, indem sie Phishing, Spoofing & andere E-Mail-Bedrohungen verhindert und die Sicherheit des gesamten IT-Systems stärkt.
2. Drittrisiko: DORA verlangt vom Finanzsektor, Risiken bei Dienstleistern – einschließlich Kommunikationsanbietern – zu beherrschen. DMARC-„reject“ senkt adressierte E-Mail-Risiken und verbessert die Sicherheitslage für Finanzdienstleister und deren Partner.
3. Betriebliche Resilienz: DORA setzt stark auf die Betriebsfähigkeit von Finanzdienstleistern. Eine DMARC-„reject“-Policy verbessert diese Belastbarkeit, indem die Authentizität und Integrität des E-Mail-Verkehrs sichergestellt und das Risiko für Störungen durch E-Mail-Angriffe minimiert wird.

Der Payment Card Industry Data Security Standard (PCI DSS) ist ein weltweit anerkannter Standard, der sicherstellen soll, dass Unternehmen, die Kreditkartendaten akzeptieren, verarbeiten, speichern oder übertragen, eine sichere Umgebung gewährleisten. Die Implementierung von DMARC wird als unerlässlicher Bestandteil dieser Vorgaben gesehen. DMARC sorgt – durch SPF und DKIM – für Authentifizierung und Transparenz bei der Nutzung Ihrer Domain und unterstützt das Ziel von PCI DSS 4.0.1, die Umgebung mit Karteninhaberdaten zu schützen. Dies reduziert das Risiko von Phishing und Sicherheitsverletzungen, fördert das Vertrauen und stärkt die Sicherheitslage.

PCI DSS 4.0.1 fordert einen proaktiven, risikobasierten Ansatz für IT-Sicherheit. DMARC setzt dies um, indem Domaininhaber eine „reject“-Policy für nicht authentifizierte E-Mails erzwingen können, was entscheidend zur Risikominimierung beiträgt. Die Reporting-Funktionen ermöglichen außerdem Schwachstellenanalysen und kontinuierliche Optimierung. Damit ist DMARC eine wichtige Schutzebene für E-Mail-Sicherheit und relevante Compliance-Anforderungen nach PCI DSS 4.0 sowie die Resilienz gegenüber neuen Cyber-Bedrohungen.

Organisationen, die sich auf PCI DSS 4.0.1 vorbereiten, sollten mit einer Lückenanalyse starten. Automatisierte Tools für Zertifikatsverwaltung, wie Red Sift Certificates, helfen im Umgang mit Zertifikatsvalidierung und -erneuerung. Zusätzlich empfiehlt es sich, mit Qualified Security Assessors (QSAs) für effektive Compliance-Strategien zusammenzuarbeiten.

Die Datenschutzgrundverordnung (DSGVO) ist seit Mai 2018 in Kraft und verlangt Data Processing Agreements (DPAs) mit jedem Cloud-Anbieter, der personenbezogene EU-Daten in Ihrem Auftrag verarbeitet. Mit DMARC werden etwaige Cloud-Dienste, die Ihre Domain im 'From'-Feld benutzen, durch die Berichte sichtbar. Auch wenn eine DMARC-„reject“-Policy nicht explizit vorgeschrieben wird, ist DMARC hilfreich für Transparenz und Schutz.

Ja. DMARC ist für Großunternehmen essenziell, um Domain-Spoofing im großen Stil zu verhindern. Besonders für international tätige Unternehmen im Vereinigten Königreich, der EU und den USA ist DMARC das Fundament für den Schutz vor Phishing, BEC, Markenmissbrauch, Compliance und eine verlässliche Zustellung – zum Beispiel bei Microsoft 365 und Google Workspace.

Große Umgebungen haben selten nur einen Absender: Es gibt mehrere Marken, Regionen, Tochterunternehmen sowie Marketingplattformen, CRMs und Ticketsysteme. Durch Fusionen und Übernahmen kommen alte Domains hinzu. Ohne klare Bestandsaufnahme und gestufte Steuerung verzögern sich DMARC-Rollouts, und legitime E-Mails können falsch behandelt werden.

1. Finden Sie jeden Absender in Haupt- und Neben-Domains. Trennen Sie kritische von regionalen oder Marketing-E-Mails.
2. Stabilisieren Sie bei p=none, werten Sie Berichte aus und beheben Sie SPF-/DKIM-Probleme. Subdomain-Delegation hilft, Risiken zu senken.
3. Führen Sie p=quarantine schrittweise ein – zuerst bei wenig kritischen Strömen, später bei wichtigen, wenn die Ausrichtung stabil ist.
4. Erreichen Sie p=reject, wenn Fehlerquoten niedrig und bekannt sind. Bleiben Sie mit Alerts für neue/unbekannte Quellen wachsam.
5. Betrieb & Audit mit Schlüsselrotation, Änderungstracking und Executive-Reporting nach UK, EU und US-Vorgaben.

Eine Enterprise-taugliche DMARC-Plattform wie Red Sift OnDMARC beschleunigt diesen Prozess durch automatisierte Absender-Erkennung, präskriptive Korrekturen, Anomalie-Erkennung und rollenbasierte Zugriffsrechte für globale Teams. Sie filtert die wirklich wichtigen Aufgaben heraus, bereitet XML-Daten als verständliche Einblicke auf und verwaltet Richtlinien über viele Domains hinweg. Bis 2026 erreichen Spitzenplattformen eine p=reject-Durchsetzung oft in 6–8 Wochen statt wie ehemals sechs Monaten – für schnellere Umsetzung, weniger Blindspots und einheitliche Steuerung.

Ja. KMUs sind häufig Ziel für Spoofing und Rechnungsbetrug. Mit der Einführung von DMARC verhindern Sie Phishing in Ihrem Namen, stärken das Vertrauen Ihrer Kunden, verringern Cyberrisiken und setzen neue Bulk-Sender-Anforderungen von Google, Yahoo und Microsoft um.

Sie nutzen meist wenige Tools und verfügen selten über ein spezielles Sicherheitsteam. Die größten Hindernisse: Angst, E-Mail-Funktion zu beeinträchtigen, wenig Zeit und unlesbare XML-Berichte. Sie brauchen einen geführten Ablauf, klare Maßnahmen und präzise Hinweise, was zu tun ist.

1. Richten Sie SPF, DKIM und DMARC für Ihre Hauptdomain und alle sendenden Tools ein, starten Sie dann mit p=none.
2. Überwachen Sie einige Wochen lang und beheben Sie Ausrichtungsprobleme bei Newslettern, Rechnungen und CRM-Nachrichten.
3. Wechseln Sie zu p=quarantine, sobald die Fehlerquote niedrig ist. Prüfen Sie Bouncebacks oder fehlende Ausrichtungen.
4. Gehen Sie zu p=reject über, wenn Sie stabile Ergebnisse sehen.
5. Bleiben Sie wachsam – nutzen Sie leichte Alerts, vierteljährliche Checks und DKIM-Schlüsselrotation.

Eine geführte DMARC-Plattform wie Red Sift OnDMARC identifiziert, wer in Ihrem Namen sendet, schlägt exakte SPF-/DKIM-Anpassungen vor und empfiehlt den idealen Zeitpunkt für einen Policy-Wechsel. Dashboards zeigen Ihnen sofort, wenn ein neues Tool sendet oder Ausrichtungen scheitern, sodass Sie Probleme schnell und ohne tiefgehende E-Mail-Expertise lösen können.