Der umfassende Leitfaden von Red Sift zur E-Mail-Sicherheit
Wie lauten die weltweiten Pflichten und Empfehlungen für DMARC im Jahr 2026?
Für Teams in den Bereichen Cybersicherheit, E-Mail-Sicherheit und IT ist das Verständnis und die Einhaltung der weltweiten DMARC-Anforderungen (Domain-based Message Authentication, Reporting, and Conformance) unerlässlich.
Bei Red Sift haben wir eine tabellarische Übersicht der DMARC-Bestimmungen und Empfehlungen erstellt, die in verschiedenen Regionen der Welt gelten. Unser Ziel ist es, einen klaren, eindeutigen Leitfaden bereitzustellen, der die globalen Anforderungen in einem für alle zugänglichen Format zusammenfasst.
Ob Sie IT-Sicherheitsprofi, E-Mail-Administrator oder Compliance-Beauftragter sind – diese Tabelle ist ein wesentliches Werkzeug, um sicherzustellen, dass der E-Mail-Schutz Ihrer Organisation den besten Praktiken und internationalen Anforderungen entspricht.
Weltweite DMARC-Pflichten und -Empfehlungen
Betroffene Region | Name | Beschreibung | Art der Verpflichtung | Weitere Informationen |
Global | Neue Anforderungen für Versender großer Volumina | Organisationen, die mehr als 5.000 E-Mails pro Tag versenden, müssen die absendenden Domains per TLS, DKIM, SPF, DKIM oder SPF Alignment authentifizieren und eine DMARC-Policy von p=none setzen. | Pflicht für den Privatsektor | |
Global | PCI DDS v4.0 Anforderung 5.4.1 | Es müssen "automatisierte Mechanismen" eingesetzt werden, um Phishing zu erkennen und abzuwehren. Die Vorgabe verlangt "Prozesse und Mechanismen", nennt jedoch keine bestimmte Lösung; bewährte Methoden empfehlen DMARC, SPF und DKIM. | Compliance-Pflicht | |
Kanada | Anforderungen an die Konfiguration von E-Mail-Management-Diensten | Es muss sichergestellt werden, dass der Absender oder Empfänger von Regierungs-E-Mails mittels Sender Policy Framework, Domain Keys Identified Mail (DKIM) und Domain-based Message Authentication, Reporting and Conformance (DMARC) überprüfbar ist. | Pflicht für Regierungsbehörden | |
Dänemark | Technische Mindestanforderungen für Regierungsbehörden 2023 | Alle staatlichen Behörden sind verpflichtet, für alle Domains eine DMARC-Policy von p=reject umzusetzen. | Pflicht für Regierungsbehörden | |
Neuseeland | Information Security Manual Neuseeland, v3.6, Abschnitt 15.2 (2022) | Der zukünftige Nachfolger von SEEMail wird DMARC nutzen; daher müssen Anbieter und Behörden folgende Anforderungen erfüllen: 1. DMARC-Konformitätsprüfung von SHOULD auf MUST [CID:6019] [CID:6021] 2. DMARC-Policy von p="none" auf p="reject" [CID:6020] 3. DKIM-Konformitätsprüfung von SHOULD auf MUST [CID:1797] [CID:1798] | Pflicht für Regierungsbehörden | |
Irland | Grundlegende Cybersecurity-Standards für den öffentlichen Sektor, Abschnitt 2.9 | Organisationen des öffentlichen Sektors müssen TLS, SPF, DKIM implementieren und eine DMARC-Policy für alle eingehenden E-Mails anwenden. | Pflicht für Regierungsbehörden | |
Niederlande | "Comply or Explain"-Standards | Verbindliche Richtlinien für Regierungsbehörden, die DKIM, SPF, und DMARC sowie STARTTLS und DANE vorschreiben. | Pflicht für Regierungsbehörden | |
Saudi-Arabien | Leitfaden zur Umsetzung essenzieller Cybersecurity-Kontrollen (ECC), Abschnitt 2-4-3 | Nationale Organisationen müssen alle erforderlichen Maßnahmen zur Analyse und Filterung von E-Mails (einschließlich Phishing und Spam) durch fortschrittliche, aktuelle Schutztechnologien treffen. Empfohlene Ansätze umfassen DKIM, SPF und DMARC. | Pflicht für Regierungsbehörden | |
Vereinigtes Königreich | Handbuch zur Cybersecurity-Regierungspolitik – Prinzip: B3 Datensicherheit | Regierungsstellen müssen für ihre Domains DMARC-, DKIM- und SPF-Einträge besitzen. Dies muss mit MTA-STS und TLS Reporting gekoppelt werden. Die Anforderung stammt aus dem Minimum Cybersecurity Standard von 2018. | Pflicht für Regierungsbehörden | |
Vereinigtes Königreich | Sicherung der Regierungs-E-Mail | Alle E-Mails von Organisationen des öffentlichen Sektors im Internet müssen mindestens per TLS und DMARC verschlüsselt und authentifiziert werden. | Pflicht für Regierungsbehörden | |
Vereinigtes Königreich | Aktualisierung unserer Sicherheitsempfehlungen für digitale Dienste | Jeder Dienst auf service.gov.uk muss eine DMARC-Policy veröffentlichen. | Pflicht für Regierungsbehörden | |
USA | Verbindliche operative Direktive 18-01: Verstärkung der E-Mail- und Websicherheit | Alle Bundesbehörden müssen die Websicherheit mit STARTTLS, SPF, DKIM und DMARC mit p=reject-Policy stärken. | Pflicht für Regierungsbehörden | |
Australien | Cybersicherheits-Empfehlungen: Anleitung für E-Mails | Empfiehlt die Implementierung von SPF, DKIM und DMARC mit einer Policy p=reject | Empfehlung | |
Australien | Wie man gefälschte E-Mails bekämpft | Empfiehlt die Nutzung von SPF, DKIM und DMARC, um die Verwendung der eigenen Domains als Quelle für gefälschte E-Mails zu verhindern. | Empfehlung | |
Australien | Strategien zur Eindämmung bösartiger E-Mails | Empfiehlt die effektivsten Methoden zum Schutz von Organisationen vor E-Mail-basierten Angriffen, insbesondere den Einsatz von DKIM, SPF und DMARC mit der Policy „p=reject“. | Empfehlung | |
Kanada | Umsetzungsleitfaden: Schutz von E-Mail-Domains (ITSP.40.065 v1.1) | Für vollständigen Schutz vor Spoofing sollten Organisationen SPF, DKIM und DMARC implementieren. | Empfehlung | |
EU | Sicherheitsstandards für E-Mail-Kommunikation | Empfiehlt den Einsatz von STARTTLS, SPF, DKIM, DMARC und DANE zum Schutz der E-Mail-Kommunikation. | Empfehlung | |
Deutschland | Abwehrmaßnahmen gegen Spam und Phishing, Abschnitt 3.1 | Empfohlene Maßnahmen für Internetzugangsanbieter zur Eindämmung von Malware- und Spam-Problemen durch SPF, DKIM und DMARC. | Empfehlung | |
Saudi-Arabien | Phishing-Kampagnen mit der Emotet-Malware | Implementieren Sie Domain-basierte Message Authentication, Reporting and Conformance (DMARC), um E-Mail-Spoofing mit Hilfe von Domain Name System (DNS)-Einträgen und digitalen Signaturen zu erkennen. | Empfehlungen | |
Schottland | Eine Cyber-Resilienz-Strategie für Schottland: Aktionsplan für den öffentlichen Sektor 2017-2018, v2 | Öffentliche Einrichtungen sollten vom Schutz gegen Spoofing durch DMARC profitieren. | Empfehlungen | |
Vereinigtes Königreich | E-Mail-Sicherheit und Anti-Spoofing v2 | Erschweren Sie es, gefälschte E-Mails von den Domains Ihrer Organisation zu senden, indem Sie SPF, DKIM und DMARC mit mindestens der Policy p=none einrichten – auch für nicht genutzte Domains. Schützen Sie Ihre E-Mails beim Transport mit TLS. | Empfehlungen | |
Vereinigtes Königreich | Phishing-Attacken: Organisationen verteidigen v1.1 | DMARC, SPF und DKIM sind Verteidigungen der Stufe 1, um gefälschte E-Mails zu stoppen, die zum Angriff auf eine Organisation verwendet werden. | Empfehlungen | |
Vereinigte Staaten | CIS Kritische Sicherheitskontrollen v8.0, IG2-9.5 | Implementieren Sie die DMARC-Policy und Verifikation, beginnend mit dem Sender Policy Framework (SPF) und den DomainKeys Identified Mail (DKIM) Standards. | Empfehlungen | |
Vereinigte Staaten | CISA INSIGHTS E-Mail- & Web-Sicherheit verbessern | Aktivieren Sie DKIM, SPF und DMARC mit einer Policy p=reject. | Empfehlungen | |
Vereinigte Staaten | Multi-State Information Sharing and Analysis Center (MS-ISAC) Ransomware-Leitfaden | Um das Risiko gefälschter oder veränderter E-Mails, die von gültigen Domains gesendet werden, zu senken, setzen Sie eine DMARC-Policy und deren Verifizierung um. | Empfehlungen | |
Vereinigte Staaten | NIST 800-53 Katalog der Sicherheitskontrollen – Revision 5: SI-08 | Verwenden Sie Spam-Schutzmechanismen an den Ein- und Austrittspunkten des Systems, um unerwünschte Nachrichten zu erkennen und zu bearbeiten. DMARC, SPF und DKIM sind ein Weg, dies umzusetzen. | Empfehlungen | |
Vereinigte Staaten | NIST Special Publication 800-177 Revision 1: Vertrauenswürdige E-Mail | Empfiehlt die Implementierung von SPF, DKIM und DMARC sowie weiterer Kontrollen, um das Vertrauen in E-Mails zu stärken. | Empfehlungen |
Wie geht es von hier aus weiter?
Die Landschaft der E-Mail-Sicherheit und Authentifizierung verändert sich ständig.
Bei Red Sift verstehen wir die Komplexität bei der Implementierung und Verwaltung von DMARC. Unsere preisgekrönte Lösung Red Sift OnDMARC wurde entwickelt, um die Einführung von DMARC zu vereinfachen und bietet Ihnen modernste Technologie und anerkannte Expertise.
Häufig gestellte Fragen: Leitfaden zur E-Mail-Sicherheit
Alle Maßnahmen zur E-Mail-Sicherheit (außer DMARC) sind unwirksam, wenn eine bösartige E-Mail scheinbar von einer legitimen Domain stammt. Grund dafür ist ein Konstruktionsfehler im Simple Mail Transfer Protocol (SMTP). Im Oktober 2008 erklärte die Network Working Group es offiziell als „grundsätzlich unsicher“ und stellte fest, dass jeder eine Domain imitieren und betrügerische E-Mails verschicken kann, die vorgeben, vom Domain-Inhaber zu stammen.
Jeder mit sehr grundlegenden Programmierkenntnissen kann sich die Schritte zum Imitieren einer E-Mail-Identität in einer einfachen Google-Suche aneignen. Das Ergebnis ist eine E-Mail, die legitim aussieht, ohne typische Phishing-Indikatoren. Da täglich 3,4 Milliarden Phishing-E-Mails verschickt werden, bleiben E-Mail-Systeme das Hauptziel von Cyberkriminellen.
SPF (Sender Policy Framework) prüft, ob eine E-Mail von einer IP-Adresse versendet wird, die durch den SPF-Eintrag der sendenden Domain per DNS-TXT-Eintrag autorisiert ist.
DKIM (DomainKeys Identified Mail) verwendet eine kryptografische Signatur, die über einen öffentlichen Schlüssel im DNS validiert wird, um zu bestätigen, dass der Inhalt der E-Mail nicht verändert wurde und von einer autorisierten Domain stammt. Beide sind essenziell für die E-Mail-Sicherheit, aber verhindern keine exakte Imitation.
Während die Protokolle dem Empfänger mitteilen, von wem die E-Mail stammt, fehlt dem Empfänger die Anweisung, was mit dieser Information zu tun ist. Große E-Mail-Anbieter verlangen ab 2026 SPF und DKIM für Massenversender von E-Mails.
DMARC steht für Domain-based Message Authentication, Reporting, and Conformance. Es ist ein ausgehendes E-Mail-Sicherheitsprotokoll, das Domain-Inhabern ermöglicht, empfangenden Postfächern mitzuteilen, dass sie gefälschte E-Mails ablehnen sollen. DMARC kombiniert die Ergebnisse von SPF und DKIM, um zu ermitteln, ob Ihre E-Mail authentisch und autorisiert ist.
Die DMARC-Richtlinie (festgelegt durch das "p="-Tag im DNS-Eintrag) gibt anschließend den empfangenden Servern Anweisungen, wie mit der E-Mail zu verfahren ist. DMARC verhindert exakte Domain-Imitationen, indem es den empfangenden Servern anweist, keine nicht authentifizierten E-Mails zu akzeptieren. Ab 2026 ist DMARC für Organisationen, die Massen-E-Mails senden, Standardvoraussetzung.
Die SPF-Spezifikation begrenzt DNS-Lookups auf zehn. Wenn Ihr SPF-Eintrag dies überschreitet, schlägt SPF fehl. Gezählt werden die Mechanismen: a, ptr, mx, include, redirect und exists. Tatsächlich reichen zehn Lookups nicht aus, denn die meisten Unternehmen nutzen mehrere E-Mail-Sende-Tools.
G Suite belegt allein vier DNS-Lookups, HubSpot für Marketing nutzt sieben – und schon ist das Limit überschritten. Sobald Sie mehr als zehn SPF-Lookups haben, beginnen Ihre E-Mails, zufällig die Validierung zu verfehlen. Deshalb steigen Unternehmen im Jahr 2026 auf dynamisches SPF-Management um, anstatt zu versuchen, ihre Records manuell zu pflegen.
Mail Transfer Agent Strict Transport Security (MTA-STS) ist ein Standard, der die Verschlüsselung von Nachrichten bei der Übertragung zwischen Mail-Servern ermöglicht. Er legt fest, dass E-Mails ausschließlich über eine mit Transport Layer Security (TLS) verschlüsselte Verbindung versendet werden dürfen, was Abfangen durch Cyberkriminelle verhindert. SMTP allein bietet keine Sicherheit, weshalb es anfällig für Man-in-the-Middle-Angriffe ist, bei denen die Kommunikation abgefangen und möglicherweise verändert wird.
Außerdem ist Verschlüsselung in SMTP optional, sodass E-Mails unverschlüsselt versendet werden können. Ohne MTA-STS kann ein Angreifer die Kommunikation abfangen und die Übertragung im Klartext erzwingen. Im Jahr 2026 ist MTA-STS eine Standard-Sicherheitsmaßnahme für Organisationen, die sensible Kommunikation handhaben.
Mit der Einführung von DMARC profitieren Sie davon, Phishing-Angriffe, die angeblich von Ihrem Unternehmen stammen, zu stoppen, das Kundenvertrauen zu stärken, das Cyberrisiko zu verringern und die Anforderungen für Bulk-Sender von Google, Yahoo und Microsoft zu erfüllen.
DMARC stärkt die Konformität mit PCI DSS 4.0 und verbessert die gesamte organisatorische Widerstandsfähigkeit gegenüber sich weiterentwickelnden Cyberbedrohungen. Ist DMARC einmal auf p=reject (Durchsetzung) gesetzt, blockiert es Lieferantenbetrug, Kontoübernahmen und E-Mail-Spoofing, indem es verhindert, dass böswillige Akteure Ihre Domain für das Versenden von Phishing-Mails oder Business Email Compromise (BEC) nutzen. Laut dem Data Breach Investigations Report von Verizon aus dem Jahr 2025 machen BEC-Angriffe mehr als 17–22 % aller Social-Engineering-Vorfälle aus.
Red Sift OnDMARC beschleunigt die DMARC-Einführung mit automatischer Sender-Erkennung, konkreten Empfehlungen, Anomalieerkennung und rollenbasierter Zugriffssteuerung für globale Teams. Bis 2026 ermöglichen führende Plattformen Unternehmen, innerhalb von 6–8 Wochen p=reject umzusetzen – statt der vormals üblichen sechs Monate.
Ein wesentlich genannter Vorteil von OnDMARC ist die durchschnittliche Zeit von 6–8 Wochen bis zur vollständigen Durchsetzung. Die leistungsfähige Automatisierung der Plattform analysiert laufend sämtliche Aktivitäten auf Ihrer Domain und zeigt Ihnen, wo und wie Sie Änderungen vornehmen müssen. Bereits 24 Stunden nach dem Hinzufügen Ihres individuellen DMARC-Eintrags ins DNS beginnt OnDMARC mit der Analyse und Darstellung der DMARC-Berichte in übersichtlichen Dashboards.
Wichtige E-Mail-Anbieter wie Microsoft, Google und Yahoo schreiben DMARC für Bulk-Sender (Organisationen mit mehr als 5.000 E-Mails pro Tag) seit 2024–2025 vor – diese Anforderungen sind 2026 zum Standard geworden.
Auch bestimmte Branchen- und Regierungsanforderungen zielen zunehmend auf verbindliches DMARC. US-Bundesbehörden sind ebenso dazu verpflichtet wie nach DORA regulierte Zahlungsabwickler. Zusätzlich stärkt die DMARC-Implementierung die Einhaltung weiterer Vorschriften wie PCI DSS 4.0, DSGVO und NIS2. Für Teams in Cybersicherheit, E-Mail-Sicherheit und IT ist es unerlässlich, dass die E-Mail-Sicherheit der Organisation internationalen Best Practices und Anforderungen entspricht.