Red Sifts umfassender Leitfaden zur E-Mail-Sicherheit
Wie sicher sind Ihre E-Mails?
Die Wahrheit? Nicht besonders – insbesondere mit dem Anstieg von Phishing- und Spoofing-Angriffen, die durch KI weiterentwickelt werden, sich 2026 ständig verändern und Unternehmen Millionen kosten.
Technologien zur E-Mail-Sicherheit gibt es in verschiedenen Formen. Am Ende verfolgen sie alle die gleichen Ziele: das Spam-Aufkommen begrenzen, Bedrohungen erkennen und verhindern, dass sie Ihren Posteingang erreichen.
In der Regel erkennen diese Technologien die häufigsten Merkmale einer bösartigen E-Mail – wie eine IP-Adresse auf einer Blacklist oder eine verdächtige Domain – und blockieren diese, bevor sie in Ihrem Posteingang landen. Domain-Exact-Spoofing bedeutet, dass ein Angreifer Ihre Domain nutzt, um eine betrügerische E-Mail zu senden.
Alle E-Mail-Sicherheitsmaßnahmen (außer DMARC – darauf kommen wir später zurück!) sind unwirksam, wenn es darum geht, eine bösartige E-Mail zu erkennen, die scheinbar von einer legitimen Domain stammt.
Das liegt an einer Schwachstelle im Simple Mail Transfer Protocol (SMTP) – dem Internetstandard für die Übertragung elektronischer Nachrichten. Im Oktober 2008 hat die Network Working Group SMTP offiziell als „intrinsisch unsicher“ bezeichnet. Sie erklärte, dass jede Person eine Domain fälschen und damit im Namen des eigentlichen Domaininhabers betrügerische E-Mails versenden kann. Diese Schwachstelle existiert auch 2026 weiterhin, daher ist die Domain-Authentifizierung mittlerweile eine Anforderung und keine bloße Empfehlung mehr.
Kann sich wirklich jeder per E-Mail als Sie ausgeben?
Ja. Jede Person mit grundlegenden Programmierkenntnissen kann die Schritte zum E-Mail-Spoofing ganz einfach recherchieren – eine Google-Suche genügt. Das Ergebnis ist eine E-Mail, die völlig legitim aussieht und keine typischen Anzeichen einer Phishing-Mail wie eine verdächtige Adresse aufweist. Der Mailserver des Empfängers akzeptiert diese Nachricht (sofern keine entsprechenden Sicherheitsmaßnahmen eingerichtet sind). Es ist dann kaum noch zu erkennen, dass es sich tatsächlich um einen Phishing-Angriff mit einer gefälschten Domain handelt.
Was ist eine gefälschte Domain?
Eine gefälschte Domain ist eine betrügerische Website oder E-Mail-Adresse, die so gestaltet ist, dass sie einer legitimen Domain stark ähnelt. Es gibt verschiedene Spoofing-Techniken, zum Beispiel:
- Exact-Domain-Spoofing: Wenn der Angreifer exakt Ihre Domain fälscht. Zum Beispiel yourcompany.com
- Lookalike-Domain: Wenn ein Angreifer eine Domain registriert, die der Originaldomain so ähnlich sieht, dass sie kaum unterscheidbar ist. Das nennt sich auch Typosquatting. Zum Beispiel yourc0mpany.com
- Subdomain-Spoofing: Hier erstellt der Angreifer eine scheinbar legitime Subdomain-Seite, etwa um mit einem gefälschten Formular Zugangsdaten abzufangen. Zum Beispiel login.yourcompany.com
Was ist E-Mail-Phishing?
E-Mail-Phishing tritt auf, wenn ein Angreifer bzw. „böswilliger Akteur“ betrügerische E-Mails versendet und sich als vertrauenswürdige Organisation ausgibt, um den Empfänger dazu zu bringen, vertrauliche Informationen wie Bankverbindungen oder personenbezogene Daten preiszugeben. Manchmal wird Phishing auch zum Einschleusen von Schadsoftware in die Systeme der Opfer eingesetzt.
Phishing-Angriffe nehmen Jahr für Jahr weiter zu. Die aktuellsten Daten der APWG zeigen, dass Unternehmen 2026 mit ausgefeilteren und häufigeren Angriffen konfrontiert werden als je zuvor – Angreifer setzen Automatisierung und Social Engineering gezielt und im großen Stil ein.
Was ist Social Engineering?
Ein klassischer Phishing-Angriff besteht in der Regel daraus, dass eine betrügerische E-Mail an viele Empfänger verschickt wird. Doch Angriffe werden inzwischen immer persönlicher, denn Social Engineering nutzt psychologische Taktiken, um Opfer zur Preisgabe sensibler Daten zu bewegen. Im Netz sind heute unzählige Informationen frei verfügbar – das macht gezielte und individualisierte Angriffe einfacher denn je.
Was ist Business Email Compromise (BEC) und wie kann man sich schützen?
Business Email Compromise (BEC) ist ein Überbegriff für Phishing-Angriffe, bei denen gezielt Unternehmen über den Missbrauch ihrer eigenen Domain angegriffen werden. Manche Phishing-Angriffe richten sich zwar an Endverbraucher, doch Cyberkriminelle haben bei Angriffen auf Unternehmen oft viel mehr zu gewinnen. Der Angreifer nutzt gezielt Social Engineering und verfasst eine Phishing-Mail, die so wirkt, als stamme sie von einem Mitarbeiter (meist vom Geschäftsführer). Ziel dieser Angriffe ist meist der Diebstahl von Geld oder sensiblen Daten.
BEC-Angriffe gehören 2026 weiterhin zu den teuersten Bedrohungen für Unternehmen. Laut einer aktuellen Branchenauswertung sind BEC-Angriffe (eine Form des Social Engineering) für Cyberkriminelle nach wie vor äußerst effizient und lukrativ. Sie machen weiterhin über 50 % aller Social-Engineering-Vorfälle aus.
Unter den Begriff „Business Email Compromise (BEC)“ fallen verschiedene Angriffsformen:
Ransomware
Ransomware ist eine Schadsoftware, die Dateien verschlüsselt oder den Zugriff auf Computersysteme blockiert und gegen Zahlung eines Lösegelds wieder freigibt.
CEO-Fraud
Hier gibt sich der Angreifer als Geschäftsführer oder andere Führungskraft aus und nimmt gezielt Mitarbeiter ins Visier.
Rechnungs- und Lieferantenbetrug
Angreifer versuchen, das Opfer zur Bezahlung einer oder mehrerer gefälschter Rechnungen zu verleiten.
Datendiebstahl
Ein Angriff, der sich gezielt auf Mitarbeitende mit Zugriff auf personenbezogene Daten (PII) richtet, etwa Personalverantwortliche.
Account-Komprimittierung
Account-Komprimittierung bezeichnet den unbefugten Zugriff auf ein Benutzerkonto durch Dritte, was häufig in Diebstahl sensibler Daten oder Missbrauch des Kontos resultiert.
Phishing-Angriffe variieren in ihrer Raffinesse
Es ist wenig überraschend, dass zahlreiche Nutzer auf Phishing-Mails hereinfallen. Sind diese gut gemacht, sind sie nahezu unmöglich zu erkennen. Unternehmen, die Opfer von Phishing werden, haben nicht zwangsläufig Fehler begangen, und Angreifer müssen dazu nicht einmal in die Systeme eindringen. Trotzdem sehen viele Regierungen und Aufsichtsbehörden Unternehmen in der Verantwortung, ihre Kunden vor Phishing-Angriffen zu schützen. Unternehmen, die ihren Kunden keinen ausreichenden Schutz bieten, können daher für Datenschutzverletzungen haftbar gemacht werden – einschließlich möglicher Strafen.
In der vergangenen Dekade haben führende Branchenakteure mehrere neue Protokolle eingeführt, um die E-Mail-Sicherheit zu verbessern. Identitätsspoofing per E-Mail umgeht jedoch viele dieser Standards. Im Jahr 2026 gilt die korrekte Umsetzung von DMARC als Standardabwehr gegen Domain-Spoofing, und große E-Mail-Anbieter fordern dies von Absendern großer Mengen an E-Mails ein.
Werfen Sie im nächsten Kapitel einen kurzen Blick auf diese Protokolle und worauf sie schützen.
Häufig gestellte Fragen: Leitfaden zur E-Mail-Sicherheit
Alle Maßnahmen zur E-Mail-Sicherheit (außer DMARC) sind wirkungslos, wenn eine bösartige E-Mail scheinbar von einer legitimen Domain stammt. Grund dafür ist ein Fehler im Simple Mail Transfer Protocol (SMTP). Im Oktober 2008 hat die Network Working Group dieses offiziell als 'grundsätzlich unsicher' eingestuft und festgestellt, dass jeder eine Domain imitieren und betrügerische E-Mails im Namen des Domaininhabers versenden kann.
Jeder mit sehr grundlegenden Programmierkenntnissen kann sich das nötige Wissen zur Imitation der E-Mail-Identität einer anderen Person durch eine schnelle Google-Suche aneignen. Das Ergebnis ist eine E-Mail, die legitim aussieht und keine typischen Phishing-Anzeichen aufweist. Bei 3,4 Milliarden Phishing-E-Mails täglich bleiben E-Mail-Systeme das Hauptziel von Cyberkriminellen.
SPF (Sender Policy Framework) prüft, ob eine E-Mail von einer durch den SPF-Eintrag der Absenderdomain autorisierten IP-Adresse versendet wurde. Dies geschieht über einen DNS-TXT-Eintrag mit der Liste der autorisierten Mailserver.
DKIM (DomainKeys Identified Mail) nutzt eine kryptografische Signatur, die über einen öffentlichen Schlüssel im DNS validiert wird, um zu bestätigen, dass der Inhalt der E-Mail nicht verändert wurde und von einer autorisierten Domain stammt. Beide sind essenziell für die E-Mail-Sicherheit, verhindern aber keine exakte Imitation.
Obwohl diese Protokolle dem Empfänger zeigen, von wem die E-Mail stammt, erhält der Empfänger keine Anweisung, wie er darauf reagieren soll. Große Postfachanbieter verlangen ab 2026 SPF und DKIM für den Versand von Massennachrichten.
DMARC steht für Domain-based Message Authentication, Reporting und Conformance. Es ist ein Protokoll für ausgehende E-Mail-Sicherheit, mit dem Domaininhaber empfangenden Postfächern mitteilen können, dass gefälschte E-Mails abgelehnt werden sollen. DMARC kombiniert die Ergebnisse von SPF und DKIM, um festzustellen, ob Ihre E-Mail legitim und autorisiert ist.
Die DMARC-Richtlinie (definiert durch den "p="-Tag im DNS-Eintrag) gibt daraufhin den empfangenden Servern vor, wie mit solchen E-Mails zu verfahren ist. DMARC verhindert exakte Domain-Imitation, indem es empfangenden Servern anweist, keine E-Mails zu akzeptieren, die nicht authentifiziert sind. 2026 ist DMARC für Organisationen, die Massen-E-Mails versenden, zum Standard geworden.
Die SPF-Spezifikation begrenzt DNS-Lookups auf 10. Überschreitet Ihr SPF-Eintrag diesen Wert, schlägt die SPF-Prüfung fehl. Zu den gezählten Mechanismen gehören: a, ptr, mx, include, redirect und exists. In der Praxis reichen 10 Lookups meist nicht aus, da viele Unternehmen mehrere E-Mail-Versandtools nutzen.
G Suite allein belegt 4 DNS-Lookups, dazu kommen beispielsweise 7 Lookups für Marketing mit HubSpot – und schon ist das Limit überschritten. Sobald Sie mehr als 10 SPF-Lookups haben, kommt es zu zufälligen Fehlern bei der E-Mail-Validierung. Daher setzen Unternehmen im Jahr 2026 auf dynamisches SPF-Management, anstatt zu versuchen, abgeflachte Einträge manuell zu pflegen.
Mail Transfer Agent Strict Transport Security (MTA-STS) ist ein Standard, der die Verschlüsselung von E-Mails beim Versand zwischen zwei Mailservern ermöglicht. Er legt fest, dass E-Mails nur über eine mit Transport Layer Security (TLS) verschlüsselte Verbindung gesendet werden dürfen, was eine Abfangbarkeit durch Cyberkriminelle verhindert. SMTP allein bietet keine Sicherheit und ist daher anfällig für Man-in-the-Middle-Angriffe, bei denen Kommunikation abgefangen und ggf. verändert wird.
Darüber hinaus ist Verschlüsselung in SMTP optional, sodass E-Mails im Klartext übertragen werden können. Ohne MTA-STS kann ein Angreifer die Kommunikation abfangen und erzwingen, dass die Nachricht im Klartext übertragen wird. 2026 ist MTA-STS eine Standard-Sicherheitsmaßnahme für Organisationen mit sensibler Kommunikation.
Durch die Implementierung von DMARC profitieren Sie von der Blockierung von Phishing-Versuchen, die scheinbar von Ihrer Domain ausgehen, stärkerem Kundenvertrauen, reduziertem Cyberrisiko und der Einhaltung der Anforderungen für Massenaussendungen von Google, Yahoo und Microsoft.
DMARC stärkt zudem die Einhaltung von PCI DSS 4.0 und erhöht die allgemeine organisatorische Widerstandsfähigkeit gegen sich wandelnde Cyberbedrohungen. Ist die Policy auf p=reject (Durchsetzung) gesetzt, blockiert DMARC Lieferantenbetrug, Kontoübernahmen und E-Mail-Spoofing, indem es verhindert, dass Dritte Ihre Domain für Phishing-E-Mails und Business Email Compromise (BEC) nutzen. Laut dem Data Breach Investigations Report von Verizon 2025 machen BEC-Angriffe mehr als 17–22% aller Social-Engineering-Vorfälle aus.
Red Sift OnDMARC beschleunigt die DMARC-Umsetzung mit automatisierter Sendersuche, konkreten Lösungsvorschlägen, Anomalie-Erkennung und rollenbasiertem Zugriff für globale Teams. Im Jahr 2026 ermöglichen führende Plattformen es Unternehmen, p=reject-Durchsetzung innerhalb von 6–8 Wochen statt der früher üblichen sechs Monate zu erreichen.
Einer der am häufigsten genannten Vorteile von OnDMARC ist die durchschnittliche Zeit von 6–8 Wochen bis zur vollen Durchsetzung. Die leistungsstarke Automatisierung der Plattform analysiert kontinuierlich sämtliche Vorgänge auf Ihrer Domain und zeigt Hinweise und Empfehlungen für notwendige Änderungen an. Bereits 24 Stunden nach Hinzufügen Ihres individuellen DMARC-Eintrags zu DNS beginnt OnDMARC, DMARC-Berichte zu analysieren und übersichtlich in Dashboards anzuzeigen.
Große E-Mail-Anbieter wie Microsoft, Google und Yahoo verlangen ab 2024–2025 DMARC für Versender von Massennachrichten (Organisationen, die mehr als 5.000 E-Mails pro Tag versenden), und diese Anforderungen sind 2026 zum Standard geworden.
Neben den Vorgaben der Postfachanbieter setzen auch einzelne Branchen und Behördenregulierungen zunehmend auf DMARC. US-Bundesbehörden müssen DMARC verwenden, ebenso wie durch DORA regulierte Zahlungsdienstleister. Darüber hinaus stärkt die DMARC-Implementierung die Einhaltung von Vorschriften wie PCI DSS 4.0, DSGVO und NIS2. Für Cybersecurity-, E-Mail-Sicherheits- und IT-Teams ist es entscheidend, die E-Mail-Sicherheit der eigenen Organisation internationalen Best Practices und Anforderungen anzupassen.