Red Sifts umfassender Leitfaden zur E-Mail-Sicherheit
Wie lauten die weltweiten Pflichten und Empfehlungen für DMARC im Jahr 2026?
Für Teams in den Bereichen Cybersicherheit, E-Mail-Sicherheit und IT ist das Verständnis und die Einhaltung der weltweiten DMARC-Anforderungen (Domain-based Message Authentication, Reporting, and Conformance) unerlässlich.
Bei Red Sift haben wir eine tabellarische Übersicht der DMARC-Bestimmungen und Empfehlungen erstellt, die in verschiedenen Regionen der Welt gelten. Unser Ziel ist es, einen klaren, eindeutigen Leitfaden bereitzustellen, der die globalen Anforderungen in einem für alle zugänglichen Format zusammenfasst.
Ob Sie IT-Sicherheitsprofi, E-Mail-Administrator oder Compliance-Beauftragter sind – diese Tabelle ist ein wesentliches Werkzeug, um sicherzustellen, dass der E-Mail-Schutz Ihrer Organisation den besten Praktiken und internationalen Anforderungen entspricht.
Weltweite DMARC-Pflichten und -Empfehlungen
Betroffene Region | Name | Beschreibung | Art der Verpflichtung | Weitere Informationen |
Global | Neue Anforderungen für Versender großer Volumina | Organisationen, die mehr als 5.000 E-Mails pro Tag versenden, müssen die absendenden Domains per TLS, DKIM, SPF, DKIM oder SPF Alignment authentifizieren und eine DMARC-Policy von p=none setzen. | Pflicht für den Privatsektor | |
Global | PCI DDS v4.0 Anforderung 5.4.1 | Es müssen "automatisierte Mechanismen" eingesetzt werden, um Phishing zu erkennen und abzuwehren. Die Vorgabe verlangt "Prozesse und Mechanismen", nennt jedoch keine bestimmte Lösung; bewährte Methoden empfehlen DMARC, SPF und DKIM. | Compliance-Pflicht | |
Kanada | Anforderungen an die Konfiguration von E-Mail-Management-Diensten | Es muss sichergestellt werden, dass der Absender oder Empfänger von Regierungs-E-Mails mittels Sender Policy Framework, Domain Keys Identified Mail (DKIM) und Domain-based Message Authentication, Reporting and Conformance (DMARC) überprüfbar ist. | Pflicht für Regierungsbehörden | |
Dänemark | Technische Mindestanforderungen für Regierungsbehörden 2023 | Alle staatlichen Behörden sind verpflichtet, für alle Domains eine DMARC-Policy von p=reject umzusetzen. | Pflicht für Regierungsbehörden | |
Neuseeland | Information Security Manual Neuseeland, v3.6, Abschnitt 15.2 (2022) | Der zukünftige Nachfolger von SEEMail wird DMARC nutzen; daher müssen Anbieter und Behörden folgende Anforderungen erfüllen: 1. DMARC-Konformitätsprüfung von SHOULD auf MUST [CID:6019] [CID:6021] 2. DMARC-Policy von p="none" auf p="reject" [CID:6020] 3. DKIM-Konformitätsprüfung von SHOULD auf MUST [CID:1797] [CID:1798] | Pflicht für Regierungsbehörden | |
Irland | Grundlegende Cybersecurity-Standards für den öffentlichen Sektor, Abschnitt 2.9 | Organisationen des öffentlichen Sektors müssen TLS, SPF, DKIM implementieren und eine DMARC-Policy für alle eingehenden E-Mails anwenden. | Pflicht für Regierungsbehörden | |
Niederlande | "Comply or Explain"-Standards | Verbindliche Richtlinien für Regierungsbehörden, die DKIM, SPF, und DMARC sowie STARTTLS und DANE vorschreiben. | Pflicht für Regierungsbehörden | |
Saudi-Arabien | Leitfaden zur Umsetzung essenzieller Cybersecurity-Kontrollen (ECC), Abschnitt 2-4-3 | Nationale Organisationen müssen alle erforderlichen Maßnahmen zur Analyse und Filterung von E-Mails (einschließlich Phishing und Spam) durch fortschrittliche, aktuelle Schutztechnologien treffen. Empfohlene Ansätze umfassen DKIM, SPF und DMARC. | Pflicht für Regierungsbehörden | |
Vereinigtes Königreich | Handbuch zur Cybersecurity-Regierungspolitik – Prinzip: B3 Datensicherheit | Regierungsstellen müssen für ihre Domains DMARC-, DKIM- und SPF-Einträge besitzen. Dies muss mit MTA-STS und TLS Reporting gekoppelt werden. Die Anforderung stammt aus dem Minimum Cybersecurity Standard von 2018. | Pflicht für Regierungsbehörden | |
Vereinigtes Königreich | Sicherung der Regierungs-E-Mail | Alle E-Mails von Organisationen des öffentlichen Sektors im Internet müssen mindestens per TLS und DMARC verschlüsselt und authentifiziert werden. | Pflicht für Regierungsbehörden | |
Vereinigtes Königreich | Aktualisierung unserer Sicherheitsempfehlungen für digitale Dienste | Jeder Dienst auf service.gov.uk muss eine DMARC-Policy veröffentlichen. | Pflicht für Regierungsbehörden | |
USA | Verbindliche operative Direktive 18-01: Verstärkung der E-Mail- und Websicherheit | Alle Bundesbehörden müssen die Websicherheit mit STARTTLS, SPF, DKIM und DMARC mit p=reject-Policy stärken. | Pflicht für Regierungsbehörden | |
Australien | Cybersicherheits-Empfehlungen: Anleitung für E-Mails | Empfiehlt die Implementierung von SPF, DKIM und DMARC mit einer Policy p=reject | Empfehlung | |
Australien | Wie man gefälschte E-Mails bekämpft | Empfiehlt die Nutzung von SPF, DKIM und DMARC, um die Verwendung der eigenen Domains als Quelle für gefälschte E-Mails zu verhindern. | Empfehlung | |
Australien | Strategien zur Eindämmung bösartiger E-Mails | Empfiehlt die effektivsten Methoden zum Schutz von Organisationen vor E-Mail-basierten Angriffen, insbesondere den Einsatz von DKIM, SPF und DMARC mit der Policy „p=reject“. | Empfehlung | |
Kanada | Umsetzungsleitfaden: Schutz von E-Mail-Domains (ITSP.40.065 v1.1) | Für vollständigen Schutz vor Spoofing sollten Organisationen SPF, DKIM und DMARC implementieren. | Empfehlung | |
EU | Sicherheitsstandards für E-Mail-Kommunikation | Empfiehlt den Einsatz von STARTTLS, SPF, DKIM, DMARC und DANE zum Schutz der E-Mail-Kommunikation. | Empfehlung | |
Deutschland | Abwehrmaßnahmen gegen Spam und Phishing, Abschnitt 3.1 | Empfohlene Maßnahmen für Internetzugangsanbieter zur Eindämmung von Malware- und Spam-Problemen durch SPF, DKIM und DMARC. | Empfehlung | |
Saudi-Arabien | Phishing-Kampagnen mit der Emotet-Malware | Implementieren Sie Domain-basierte Message Authentication, Reporting and Conformance (DMARC), um E-Mail-Spoofing mit Hilfe von Domain Name System (DNS)-Einträgen und digitalen Signaturen zu erkennen. | Empfehlungen | |
Schottland | Eine Cyber-Resilienz-Strategie für Schottland: Aktionsplan für den öffentlichen Sektor 2017-2018, v2 | Öffentliche Einrichtungen sollten vom Schutz gegen Spoofing durch DMARC profitieren. | Empfehlungen | |
Vereinigtes Königreich | E-Mail-Sicherheit und Anti-Spoofing v2 | Erschweren Sie es, gefälschte E-Mails von den Domains Ihrer Organisation zu senden, indem Sie SPF, DKIM und DMARC mit mindestens der Policy p=none einrichten – auch für nicht genutzte Domains. Schützen Sie Ihre E-Mails beim Transport mit TLS. | Empfehlungen | |
Vereinigtes Königreich | Phishing-Attacken: Organisationen verteidigen v1.1 | DMARC, SPF und DKIM sind Verteidigungen der Stufe 1, um gefälschte E-Mails zu stoppen, die zum Angriff auf eine Organisation verwendet werden. | Empfehlungen | |
Vereinigte Staaten | CIS Kritische Sicherheitskontrollen v8.0, IG2-9.5 | Implementieren Sie die DMARC-Policy und Verifikation, beginnend mit dem Sender Policy Framework (SPF) und den DomainKeys Identified Mail (DKIM) Standards. | Empfehlungen | |
Vereinigte Staaten | CISA INSIGHTS E-Mail- & Web-Sicherheit verbessern | Aktivieren Sie DKIM, SPF und DMARC mit einer Policy p=reject. | Empfehlungen | |
Vereinigte Staaten | Multi-State Information Sharing and Analysis Center (MS-ISAC) Ransomware-Leitfaden | Um das Risiko gefälschter oder veränderter E-Mails, die von gültigen Domains gesendet werden, zu senken, setzen Sie eine DMARC-Policy und deren Verifizierung um. | Empfehlungen | |
Vereinigte Staaten | NIST 800-53 Katalog der Sicherheitskontrollen – Revision 5: SI-08 | Verwenden Sie Spam-Schutzmechanismen an den Ein- und Austrittspunkten des Systems, um unerwünschte Nachrichten zu erkennen und zu bearbeiten. DMARC, SPF und DKIM sind ein Weg, dies umzusetzen. | Empfehlungen | |
Vereinigte Staaten | NIST Special Publication 800-177 Revision 1: Vertrauenswürdige E-Mail | Empfiehlt die Implementierung von SPF, DKIM und DMARC sowie weiterer Kontrollen, um das Vertrauen in E-Mails zu stärken. | Empfehlungen |
Wie geht es von hier aus weiter?
Die Landschaft der E-Mail-Sicherheit und Authentifizierung verändert sich ständig.
Bei Red Sift verstehen wir die Komplexität bei der Implementierung und Verwaltung von DMARC. Unsere preisgekrönte Lösung Red Sift OnDMARC wurde entwickelt, um die Einführung von DMARC zu vereinfachen und bietet Ihnen modernste Technologie und anerkannte Expertise.
Häufig gestellte Fragen: Leitfaden zur E-Mail-Sicherheit
Alle Maßnahmen zur E-Mail-Sicherheit (außer DMARC) sind wirkungslos, wenn eine bösartige E-Mail scheinbar von einer legitimen Domain stammt. Grund dafür ist ein Fehler im Simple Mail Transfer Protocol (SMTP). Im Oktober 2008 hat die Network Working Group dieses offiziell als 'grundsätzlich unsicher' eingestuft und festgestellt, dass jeder eine Domain imitieren und betrügerische E-Mails im Namen des Domaininhabers versenden kann.
Jeder mit sehr grundlegenden Programmierkenntnissen kann sich das nötige Wissen zur Imitation der E-Mail-Identität einer anderen Person durch eine schnelle Google-Suche aneignen. Das Ergebnis ist eine E-Mail, die legitim aussieht und keine typischen Phishing-Anzeichen aufweist. Bei 3,4 Milliarden Phishing-E-Mails täglich bleiben E-Mail-Systeme das Hauptziel von Cyberkriminellen.
SPF (Sender Policy Framework) prüft, ob eine E-Mail von einer durch den SPF-Eintrag der Absenderdomain autorisierten IP-Adresse versendet wurde. Dies geschieht über einen DNS-TXT-Eintrag mit der Liste der autorisierten Mailserver.
DKIM (DomainKeys Identified Mail) nutzt eine kryptografische Signatur, die über einen öffentlichen Schlüssel im DNS validiert wird, um zu bestätigen, dass der Inhalt der E-Mail nicht verändert wurde und von einer autorisierten Domain stammt. Beide sind essenziell für die E-Mail-Sicherheit, verhindern aber keine exakte Imitation.
Obwohl diese Protokolle dem Empfänger zeigen, von wem die E-Mail stammt, erhält der Empfänger keine Anweisung, wie er darauf reagieren soll. Große Postfachanbieter verlangen ab 2026 SPF und DKIM für den Versand von Massennachrichten.
DMARC steht für Domain-based Message Authentication, Reporting und Conformance. Es ist ein Protokoll für ausgehende E-Mail-Sicherheit, mit dem Domaininhaber empfangenden Postfächern mitteilen können, dass gefälschte E-Mails abgelehnt werden sollen. DMARC kombiniert die Ergebnisse von SPF und DKIM, um festzustellen, ob Ihre E-Mail legitim und autorisiert ist.
Die DMARC-Richtlinie (definiert durch den "p="-Tag im DNS-Eintrag) gibt daraufhin den empfangenden Servern vor, wie mit solchen E-Mails zu verfahren ist. DMARC verhindert exakte Domain-Imitation, indem es empfangenden Servern anweist, keine E-Mails zu akzeptieren, die nicht authentifiziert sind. 2026 ist DMARC für Organisationen, die Massen-E-Mails versenden, zum Standard geworden.
Die SPF-Spezifikation begrenzt DNS-Lookups auf 10. Überschreitet Ihr SPF-Eintrag diesen Wert, schlägt die SPF-Prüfung fehl. Zu den gezählten Mechanismen gehören: a, ptr, mx, include, redirect und exists. In der Praxis reichen 10 Lookups meist nicht aus, da viele Unternehmen mehrere E-Mail-Versandtools nutzen.
G Suite allein belegt 4 DNS-Lookups, dazu kommen beispielsweise 7 Lookups für Marketing mit HubSpot – und schon ist das Limit überschritten. Sobald Sie mehr als 10 SPF-Lookups haben, kommt es zu zufälligen Fehlern bei der E-Mail-Validierung. Daher setzen Unternehmen im Jahr 2026 auf dynamisches SPF-Management, anstatt zu versuchen, abgeflachte Einträge manuell zu pflegen.
Mail Transfer Agent Strict Transport Security (MTA-STS) ist ein Standard, der die Verschlüsselung von E-Mails beim Versand zwischen zwei Mailservern ermöglicht. Er legt fest, dass E-Mails nur über eine mit Transport Layer Security (TLS) verschlüsselte Verbindung gesendet werden dürfen, was eine Abfangbarkeit durch Cyberkriminelle verhindert. SMTP allein bietet keine Sicherheit und ist daher anfällig für Man-in-the-Middle-Angriffe, bei denen Kommunikation abgefangen und ggf. verändert wird.
Darüber hinaus ist Verschlüsselung in SMTP optional, sodass E-Mails im Klartext übertragen werden können. Ohne MTA-STS kann ein Angreifer die Kommunikation abfangen und erzwingen, dass die Nachricht im Klartext übertragen wird. 2026 ist MTA-STS eine Standard-Sicherheitsmaßnahme für Organisationen mit sensibler Kommunikation.
Durch die Implementierung von DMARC profitieren Sie von der Blockierung von Phishing-Versuchen, die scheinbar von Ihrer Domain ausgehen, stärkerem Kundenvertrauen, reduziertem Cyberrisiko und der Einhaltung der Anforderungen für Massenaussendungen von Google, Yahoo und Microsoft.
DMARC stärkt zudem die Einhaltung von PCI DSS 4.0 und erhöht die allgemeine organisatorische Widerstandsfähigkeit gegen sich wandelnde Cyberbedrohungen. Ist die Policy auf p=reject (Durchsetzung) gesetzt, blockiert DMARC Lieferantenbetrug, Kontoübernahmen und E-Mail-Spoofing, indem es verhindert, dass Dritte Ihre Domain für Phishing-E-Mails und Business Email Compromise (BEC) nutzen. Laut dem Data Breach Investigations Report von Verizon 2025 machen BEC-Angriffe mehr als 17–22% aller Social-Engineering-Vorfälle aus.
Red Sift OnDMARC beschleunigt die DMARC-Umsetzung mit automatisierter Sendersuche, konkreten Lösungsvorschlägen, Anomalie-Erkennung und rollenbasiertem Zugriff für globale Teams. Im Jahr 2026 ermöglichen führende Plattformen es Unternehmen, p=reject-Durchsetzung innerhalb von 6–8 Wochen statt der früher üblichen sechs Monate zu erreichen.
Einer der am häufigsten genannten Vorteile von OnDMARC ist die durchschnittliche Zeit von 6–8 Wochen bis zur vollen Durchsetzung. Die leistungsstarke Automatisierung der Plattform analysiert kontinuierlich sämtliche Vorgänge auf Ihrer Domain und zeigt Hinweise und Empfehlungen für notwendige Änderungen an. Bereits 24 Stunden nach Hinzufügen Ihres individuellen DMARC-Eintrags zu DNS beginnt OnDMARC, DMARC-Berichte zu analysieren und übersichtlich in Dashboards anzuzeigen.
Große E-Mail-Anbieter wie Microsoft, Google und Yahoo verlangen ab 2024–2025 DMARC für Versender von Massennachrichten (Organisationen, die mehr als 5.000 E-Mails pro Tag versenden), und diese Anforderungen sind 2026 zum Standard geworden.
Neben den Vorgaben der Postfachanbieter setzen auch einzelne Branchen und Behördenregulierungen zunehmend auf DMARC. US-Bundesbehörden müssen DMARC verwenden, ebenso wie durch DORA regulierte Zahlungsdienstleister. Darüber hinaus stärkt die DMARC-Implementierung die Einhaltung von Vorschriften wie PCI DSS 4.0, DSGVO und NIS2. Für Cybersecurity-, E-Mail-Sicherheits- und IT-Teams ist es entscheidend, die E-Mail-Sicherheit der eigenen Organisation internationalen Best Practices und Anforderungen anzupassen.