Der umfassende Leitfaden von Red Sift zur E-Mail-Sicherheit
Wie sicher sind Ihre E-Mails?
Die Wahrheit? Nicht besonders – insbesondere mit dem Anstieg von Phishing- und Spoofing-Angriffen, die durch KI weiterentwickelt werden, sich 2026 ständig verändern und Unternehmen Millionen kosten.
Technologien zur E-Mail-Sicherheit gibt es in verschiedenen Formen. Am Ende verfolgen sie alle die gleichen Ziele: das Spam-Aufkommen begrenzen, Bedrohungen erkennen und verhindern, dass sie Ihren Posteingang erreichen.
In der Regel erkennen diese Technologien die häufigsten Merkmale einer bösartigen E-Mail – wie eine IP-Adresse auf einer Blacklist oder eine verdächtige Domain – und blockieren diese, bevor sie in Ihrem Posteingang landen. Domain-Exact-Spoofing bedeutet, dass ein Angreifer Ihre Domain nutzt, um eine betrügerische E-Mail zu senden.
Alle E-Mail-Sicherheitsmaßnahmen (außer DMARC – darauf kommen wir später zurück!) sind unwirksam, wenn es darum geht, eine bösartige E-Mail zu erkennen, die scheinbar von einer legitimen Domain stammt.
Das liegt an einer Schwachstelle im Simple Mail Transfer Protocol (SMTP) – dem Internetstandard für die Übertragung elektronischer Nachrichten. Im Oktober 2008 hat die Network Working Group SMTP offiziell als „intrinsisch unsicher“ bezeichnet. Sie erklärte, dass jede Person eine Domain fälschen und damit im Namen des eigentlichen Domaininhabers betrügerische E-Mails versenden kann. Diese Schwachstelle existiert auch 2026 weiterhin, daher ist die Domain-Authentifizierung mittlerweile eine Anforderung und keine bloße Empfehlung mehr.
Kann sich wirklich jeder per E-Mail als Sie ausgeben?
Ja. Jede Person mit grundlegenden Programmierkenntnissen kann die Schritte zum E-Mail-Spoofing ganz einfach recherchieren – eine Google-Suche genügt. Das Ergebnis ist eine E-Mail, die völlig legitim aussieht und keine typischen Anzeichen einer Phishing-Mail wie eine verdächtige Adresse aufweist. Der Mailserver des Empfängers akzeptiert diese Nachricht (sofern keine entsprechenden Sicherheitsmaßnahmen eingerichtet sind). Es ist dann kaum noch zu erkennen, dass es sich tatsächlich um einen Phishing-Angriff mit einer gefälschten Domain handelt.
Was ist eine gefälschte Domain?
Eine gefälschte Domain ist eine betrügerische Website oder E-Mail-Adresse, die so gestaltet ist, dass sie einer legitimen Domain stark ähnelt. Es gibt verschiedene Spoofing-Techniken, zum Beispiel:
- Exact-Domain-Spoofing: Wenn der Angreifer exakt Ihre Domain fälscht. Zum Beispiel yourcompany.com
- Lookalike-Domain: Wenn ein Angreifer eine Domain registriert, die der Originaldomain so ähnlich sieht, dass sie kaum unterscheidbar ist. Das nennt sich auch Typosquatting. Zum Beispiel yourc0mpany.com
- Subdomain-Spoofing: Hier erstellt der Angreifer eine scheinbar legitime Subdomain-Seite, etwa um mit einem gefälschten Formular Zugangsdaten abzufangen. Zum Beispiel login.yourcompany.com
Was ist E-Mail-Phishing?
E-Mail-Phishing tritt auf, wenn ein Angreifer bzw. „böswilliger Akteur“ betrügerische E-Mails versendet und sich als vertrauenswürdige Organisation ausgibt, um den Empfänger dazu zu bringen, vertrauliche Informationen wie Bankverbindungen oder personenbezogene Daten preiszugeben. Manchmal wird Phishing auch zum Einschleusen von Schadsoftware in die Systeme der Opfer eingesetzt.
Phishing-Angriffe nehmen Jahr für Jahr weiter zu. Die aktuellsten Daten der APWG zeigen, dass Unternehmen 2026 mit ausgefeilteren und häufigeren Angriffen konfrontiert werden als je zuvor – Angreifer setzen Automatisierung und Social Engineering gezielt und im großen Stil ein.
Was ist Social Engineering?
Ein klassischer Phishing-Angriff besteht in der Regel daraus, dass eine betrügerische E-Mail an viele Empfänger verschickt wird. Doch Angriffe werden inzwischen immer persönlicher, denn Social Engineering nutzt psychologische Taktiken, um Opfer zur Preisgabe sensibler Daten zu bewegen. Im Netz sind heute unzählige Informationen frei verfügbar – das macht gezielte und individualisierte Angriffe einfacher denn je.
Was ist Business Email Compromise (BEC) und wie kann man sich schützen?
Business Email Compromise (BEC) ist ein Überbegriff für Phishing-Angriffe, bei denen gezielt Unternehmen über den Missbrauch ihrer eigenen Domain angegriffen werden. Manche Phishing-Angriffe richten sich zwar an Endverbraucher, doch Cyberkriminelle haben bei Angriffen auf Unternehmen oft viel mehr zu gewinnen. Der Angreifer nutzt gezielt Social Engineering und verfasst eine Phishing-Mail, die so wirkt, als stamme sie von einem Mitarbeiter (meist vom Geschäftsführer). Ziel dieser Angriffe ist meist der Diebstahl von Geld oder sensiblen Daten.
BEC-Angriffe gehören 2026 weiterhin zu den teuersten Bedrohungen für Unternehmen. Laut einer aktuellen Branchenauswertung sind BEC-Angriffe (eine Form des Social Engineering) für Cyberkriminelle nach wie vor äußerst effizient und lukrativ. Sie machen weiterhin über 50 % aller Social-Engineering-Vorfälle aus.
Unter den Begriff „Business Email Compromise (BEC)“ fallen verschiedene Angriffsformen:
Ransomware
Ransomware ist eine Schadsoftware, die Dateien verschlüsselt oder den Zugriff auf Computersysteme blockiert und gegen Zahlung eines Lösegelds wieder freigibt.
CEO-Fraud
Hier gibt sich der Angreifer als Geschäftsführer oder andere Führungskraft aus und nimmt gezielt Mitarbeiter ins Visier.
Rechnungs- und Lieferantenbetrug
Angreifer versuchen, das Opfer zur Bezahlung einer oder mehrerer gefälschter Rechnungen zu verleiten.
Datendiebstahl
Ein Angriff, der sich gezielt auf Mitarbeitende mit Zugriff auf personenbezogene Daten (PII) richtet, etwa Personalverantwortliche.
Account-Komprimittierung
Account-Komprimittierung bezeichnet den unbefugten Zugriff auf ein Benutzerkonto durch Dritte, was häufig in Diebstahl sensibler Daten oder Missbrauch des Kontos resultiert.
Phishing-Angriffe variieren in ihrer Raffinesse
Es ist wenig überraschend, dass zahlreiche Nutzer auf Phishing-Mails hereinfallen. Sind diese gut gemacht, sind sie nahezu unmöglich zu erkennen. Unternehmen, die Opfer von Phishing werden, haben nicht zwangsläufig Fehler begangen, und Angreifer müssen dazu nicht einmal in die Systeme eindringen. Trotzdem sehen viele Regierungen und Aufsichtsbehörden Unternehmen in der Verantwortung, ihre Kunden vor Phishing-Angriffen zu schützen. Unternehmen, die ihren Kunden keinen ausreichenden Schutz bieten, können daher für Datenschutzverletzungen haftbar gemacht werden – einschließlich möglicher Strafen.
In der vergangenen Dekade haben führende Branchenakteure mehrere neue Protokolle eingeführt, um die E-Mail-Sicherheit zu verbessern. Identitätsspoofing per E-Mail umgeht jedoch viele dieser Standards. Im Jahr 2026 gilt die korrekte Umsetzung von DMARC als Standardabwehr gegen Domain-Spoofing, und große E-Mail-Anbieter fordern dies von Absendern großer Mengen an E-Mails ein.
Werfen Sie im nächsten Kapitel einen kurzen Blick auf diese Protokolle und worauf sie schützen.
Häufig gestellte Fragen: Leitfaden zur E-Mail-Sicherheit
Alle Maßnahmen zur E-Mail-Sicherheit (außer DMARC) sind unwirksam, wenn eine bösartige E-Mail scheinbar von einer legitimen Domain stammt. Grund dafür ist ein Konstruktionsfehler im Simple Mail Transfer Protocol (SMTP). Im Oktober 2008 erklärte die Network Working Group es offiziell als „grundsätzlich unsicher“ und stellte fest, dass jeder eine Domain imitieren und betrügerische E-Mails verschicken kann, die vorgeben, vom Domain-Inhaber zu stammen.
Jeder mit sehr grundlegenden Programmierkenntnissen kann sich die Schritte zum Imitieren einer E-Mail-Identität in einer einfachen Google-Suche aneignen. Das Ergebnis ist eine E-Mail, die legitim aussieht, ohne typische Phishing-Indikatoren. Da täglich 3,4 Milliarden Phishing-E-Mails verschickt werden, bleiben E-Mail-Systeme das Hauptziel von Cyberkriminellen.
SPF (Sender Policy Framework) prüft, ob eine E-Mail von einer IP-Adresse versendet wird, die durch den SPF-Eintrag der sendenden Domain per DNS-TXT-Eintrag autorisiert ist.
DKIM (DomainKeys Identified Mail) verwendet eine kryptografische Signatur, die über einen öffentlichen Schlüssel im DNS validiert wird, um zu bestätigen, dass der Inhalt der E-Mail nicht verändert wurde und von einer autorisierten Domain stammt. Beide sind essenziell für die E-Mail-Sicherheit, aber verhindern keine exakte Imitation.
Während die Protokolle dem Empfänger mitteilen, von wem die E-Mail stammt, fehlt dem Empfänger die Anweisung, was mit dieser Information zu tun ist. Große E-Mail-Anbieter verlangen ab 2026 SPF und DKIM für Massenversender von E-Mails.
DMARC steht für Domain-based Message Authentication, Reporting, and Conformance. Es ist ein ausgehendes E-Mail-Sicherheitsprotokoll, das Domain-Inhabern ermöglicht, empfangenden Postfächern mitzuteilen, dass sie gefälschte E-Mails ablehnen sollen. DMARC kombiniert die Ergebnisse von SPF und DKIM, um zu ermitteln, ob Ihre E-Mail authentisch und autorisiert ist.
Die DMARC-Richtlinie (festgelegt durch das "p="-Tag im DNS-Eintrag) gibt anschließend den empfangenden Servern Anweisungen, wie mit der E-Mail zu verfahren ist. DMARC verhindert exakte Domain-Imitationen, indem es den empfangenden Servern anweist, keine nicht authentifizierten E-Mails zu akzeptieren. Ab 2026 ist DMARC für Organisationen, die Massen-E-Mails senden, Standardvoraussetzung.
Die SPF-Spezifikation begrenzt DNS-Lookups auf zehn. Wenn Ihr SPF-Eintrag dies überschreitet, schlägt SPF fehl. Gezählt werden die Mechanismen: a, ptr, mx, include, redirect und exists. Tatsächlich reichen zehn Lookups nicht aus, denn die meisten Unternehmen nutzen mehrere E-Mail-Sende-Tools.
G Suite belegt allein vier DNS-Lookups, HubSpot für Marketing nutzt sieben – und schon ist das Limit überschritten. Sobald Sie mehr als zehn SPF-Lookups haben, beginnen Ihre E-Mails, zufällig die Validierung zu verfehlen. Deshalb steigen Unternehmen im Jahr 2026 auf dynamisches SPF-Management um, anstatt zu versuchen, ihre Records manuell zu pflegen.
Mail Transfer Agent Strict Transport Security (MTA-STS) ist ein Standard, der die Verschlüsselung von Nachrichten bei der Übertragung zwischen Mail-Servern ermöglicht. Er legt fest, dass E-Mails ausschließlich über eine mit Transport Layer Security (TLS) verschlüsselte Verbindung versendet werden dürfen, was Abfangen durch Cyberkriminelle verhindert. SMTP allein bietet keine Sicherheit, weshalb es anfällig für Man-in-the-Middle-Angriffe ist, bei denen die Kommunikation abgefangen und möglicherweise verändert wird.
Außerdem ist Verschlüsselung in SMTP optional, sodass E-Mails unverschlüsselt versendet werden können. Ohne MTA-STS kann ein Angreifer die Kommunikation abfangen und die Übertragung im Klartext erzwingen. Im Jahr 2026 ist MTA-STS eine Standard-Sicherheitsmaßnahme für Organisationen, die sensible Kommunikation handhaben.
Mit der Einführung von DMARC profitieren Sie davon, Phishing-Angriffe, die angeblich von Ihrem Unternehmen stammen, zu stoppen, das Kundenvertrauen zu stärken, das Cyberrisiko zu verringern und die Anforderungen für Bulk-Sender von Google, Yahoo und Microsoft zu erfüllen.
DMARC stärkt die Konformität mit PCI DSS 4.0 und verbessert die gesamte organisatorische Widerstandsfähigkeit gegenüber sich weiterentwickelnden Cyberbedrohungen. Ist DMARC einmal auf p=reject (Durchsetzung) gesetzt, blockiert es Lieferantenbetrug, Kontoübernahmen und E-Mail-Spoofing, indem es verhindert, dass böswillige Akteure Ihre Domain für das Versenden von Phishing-Mails oder Business Email Compromise (BEC) nutzen. Laut dem Data Breach Investigations Report von Verizon aus dem Jahr 2025 machen BEC-Angriffe mehr als 17–22 % aller Social-Engineering-Vorfälle aus.
Red Sift OnDMARC beschleunigt die DMARC-Einführung mit automatischer Sender-Erkennung, konkreten Empfehlungen, Anomalieerkennung und rollenbasierter Zugriffssteuerung für globale Teams. Bis 2026 ermöglichen führende Plattformen Unternehmen, innerhalb von 6–8 Wochen p=reject umzusetzen – statt der vormals üblichen sechs Monate.
Ein wesentlich genannter Vorteil von OnDMARC ist die durchschnittliche Zeit von 6–8 Wochen bis zur vollständigen Durchsetzung. Die leistungsfähige Automatisierung der Plattform analysiert laufend sämtliche Aktivitäten auf Ihrer Domain und zeigt Ihnen, wo und wie Sie Änderungen vornehmen müssen. Bereits 24 Stunden nach dem Hinzufügen Ihres individuellen DMARC-Eintrags ins DNS beginnt OnDMARC mit der Analyse und Darstellung der DMARC-Berichte in übersichtlichen Dashboards.
Wichtige E-Mail-Anbieter wie Microsoft, Google und Yahoo schreiben DMARC für Bulk-Sender (Organisationen mit mehr als 5.000 E-Mails pro Tag) seit 2024–2025 vor – diese Anforderungen sind 2026 zum Standard geworden.
Auch bestimmte Branchen- und Regierungsanforderungen zielen zunehmend auf verbindliches DMARC. US-Bundesbehörden sind ebenso dazu verpflichtet wie nach DORA regulierte Zahlungsabwickler. Zusätzlich stärkt die DMARC-Implementierung die Einhaltung weiterer Vorschriften wie PCI DSS 4.0, DSGVO und NIS2. Für Teams in Cybersicherheit, E-Mail-Sicherheit und IT ist es unerlässlich, dass die E-Mail-Sicherheit der Organisation internationalen Best Practices und Anforderungen entspricht.