Der umfassende Leitfaden von Red Sift zur E-Mail-Sicherheit

Sender Policy Framework (SPF) ist ein E-Mail-Authentifizierungsprotokoll, das verhindert, dass Angreifer E-Mails versenden, die scheinbar von Ihrer Domain stammen. Eine SPF-Richtlinie teilt empfangenden Mailservern mit, welche sendequellen für Ihre Domain legitim sind, und hilft so, E-Mail-Spoofing, Phishing und Domain-Identitätsdiebstahl zu verhindern. SPF ist ab 2026 eine Grundanforderung für Organisationen, die Massen-E-Mails versenden.

Ihre SPF-Richtlinie wird in Ihrem Domain Name System (DNS) als TXT-Eintrag veröffentlicht und listet die Mailserver (IP-Adressen) auf, die autorisiert sind, in Ihrem Namen E-Mails zu versenden. Wenn eine E-Mail gesendet wird, prüft der empfangende Mailserver diese Richtlinie, um zu bestätigen, ob die absendende IP-Adresse zugelassen ist. Bei Übereinstimmung wird die Nachricht zugestellt; andernfalls wird sie möglicherweise als Spam markiert oder abgelehnt.

Eine SPF-Abfrage erfolgt, wenn das DNS, das Ihre E-Mail erhält, die in den Include-Anweisungen Ihres Eintrags enthaltenen IP-Adressen „nachschlägt“, um zu überprüfen, ob sie mit der absendenden IP-Adresse übereinstimmen. 

Ein SPF-include ist eine Funktion innerhalb von SPF-Einträgen, mit der Domaininhaber die SPF-Einträge anderer Domains in ihre eigene SPF-Richtlinie einbinden können. Das ermöglicht eine einfachere Verwaltung und stellt sicher, dass die E-Mail-Sende-Policies der eingebundenen Domains bei der Überprüfung der Legitimität von E-Mails aus der einbindenden Domain berücksichtigt werden.

Das SPF-lookup-Limit ist die Anzahl der Abfragen, die ein empfangendes DNS für eine Domain durchführen darf, wobei ein maximales Limit von 10 gilt.

Sie können unbegrenzt einzelne IP-Adressen zu Ihrem Eintrag hinzufügen, ohne zusätzliche DNS-Abfragen zu verursachen, da sie direkt sichtbar im Eintrag stehen.

Dies gilt jedoch nicht für Include-Anweisungen und die Anzahl der IP-Adressen, die ein Include hat, entspricht der Anzahl der Abfragen, die das empfangende DNS durchführen muss. Diese zählen zu Ihrem Maximum von 10 Abfragen. 

Ein Beispiel: Sie haben 3 IP-Adressen direkt im SPF-Eintrag aufgeführt, eine Include-Anweisung für Google (4 IP-Adressen) und eine Include-Anweisung für Mimecast (6 IP-Adressen). Für die sichtbaren IP-Adressen muss das DNS keine Abfragen durchführen, sehr wohl aber für die Google- und Mimecast-Includes. Sie hätten in diesem Fall Ihr Limit von 10 Abfragen erreicht.

In der Praxis reichen 10 Lookups nicht aus, weil die meisten Unternehmen mehrere Tools nutzen, die in ihrem Namen E-Mails senden. Jedes dieser Tools hat eigene Include-Anweisungen mit weiteren IP-Adressen und benötigt daher Lookups. Wenn Sie das Limit überschreiten, schlägt die Authentifizierung wahrscheinlich fehl und Ihre Zustellbarkeit leidet. Bis 2026 sind dynamische SPF-Lösungen zur Verwaltung dieser Begrenzung der empfohlene Ansatz geworden und ersetzen manuelle Methoden wie das permanente Flattening von SPFs, die ständige Pflege erfordern.

Einer der Hauptgründe, warum der SPF-Eintrag für Ihren E-Mail-Verkehr fehlschlagen könnte, ist der Fehler „zu viele DNS-Abfragen“. Die SPF-Spezifikation begrenzt DNS-Abfragen auf 10. Wenn Ihr SPF-Eintrag mehr als 10 DNS-Abfragen verursacht, schlägt SPF fehl. Zu den SPF-Mechanismen, die für DNS-Abfragen zählen, gehören: a, ptr, mx, include, redirect und exists. „ip4“, „ip6“ und „all“ zählen nicht zum Lookup-Limit.

Falls das alles zu technisch klingt, denken Sie daran: Schon G Suite verbraucht allein 4 DNS-Lookups, Hubspot im Marketingbereich nochmals 7 – und Sie überschreiten bereits das 10-Lookup-Limit! Sobald Sie über 10 SPF-Lookups kommen, beginnt Ihr E-Mail-Verkehr sporadisch an der Validierung zu scheitern. Deshalb wechseln Organisationen im Jahr 2026 zu dynamischer SPF-Verwaltung, anstatt zu versuchen, manuell geflattete Einträge zu pflegen.

DKIM steht für DomainKeys Identified Mail und ist ein E-Mail-Authentifizierungsprotokoll, das verhindern soll, dass Nachrichten während der Übertragung manipuliert werden – eine Methode, die häufig bei Phishing und E-Mail-Betrug genutzt wird.

DKIM ist ein neuerer und komplexerer Standard als SPF. Die Funktionsweise basiert auf asymmetrischer Kryptografie im Signaturteil der E-Mail. Es gibt einen privaten Schlüssel, der auf dem Server gespeichert ist, der die E-Mail versendet hat – an einem Ort, an dem er vom Endnutzer niemals eingesehen werden kann – sowie einen öffentlichen Schlüssel, der im DNS-Eintrag der sendenden Domain veröffentlicht wird und zur Entschlüsselung der E-Mail-Signatur genutzt wird.

Mit anderen Worten: Wenn eine E-Mail erstellt wird, werden Header und Nachrichtentext mit dem privaten Schlüssel des Absenders signiert, um eine digitale Signatur zu erstellen. Diese wird ebenfalls als Header-Feld mitgesendet. Am Empfänger-Server (sofern DKIM aktiviert ist) wird der öffentliche Schlüssel abgerufen, um zu prüfen, ob die E-Mail tatsächlich von der sendenden Domain signiert wurde. Wird die Signatur erfolgreich geprüft, steht dies für Authentizität des Absenders und dass Header sowie Nachrichtentext während der Übertragung nicht verändert wurden.

Eine DKIM-Signatur ist ein einzigartiger kryptografischer Wert, der im Header einer ausgehenden E-Mail eingebettet ist. Diese Signatur wird mit dem privaten DKIM-Schlüssel des Absenders generiert und ermöglicht es dem empfangenden Mailserver, den öffentlichen Schlüssel per DNS abzurufen. So kann überprüft werden, dass die Nachricht von einer autorisierten Quelle stammt und ihr Inhalt während der Übertragung nicht verändert wurde.

Ein DKIM-Schlüssel ist das Schlüsselpaar, das bei der DKIM-Authentifizierung verwendet wird. Der private Schlüssel wird sicher auf dem versendenden Mailserver gespeichert und erzeugt für jede ausgehende E-Mail eine individuelle DKIM-Signatur. Der öffentliche Schlüssel wird als TXT-Eintrag im DNS der absendenden Domain veröffentlicht, damit empfangende Server Signatur und Integrität sowie die Authentizität der E-Mail prüfen können.

Alle technischen Details zu DKIM finden Sie in unserem technischen Konfigurationsleitfaden.

Ja. DKIM (DomainKeys Identified Mail) ist ein wesentliches E-Mail-Authentifizierungsprotokoll, das vor Spoofing, Phishing und Manipulation von Nachrichten schützt. Es ergänzt jede ausgehende Nachricht um eine kryptografische Signatur, sodass empfangende Server verifizieren können, dass der Nachrichteninhalt unverändert ist und tatsächlich von einer autorisierten Domain stammt. DKIM ist außerdem ein Kernelement des DMARC-Prüfprozesses und arbeitet gemeinsam mit SPF, um die Domain-Übereinstimmung durchzusetzen und die Sicherheit beim E-Mail-Versand zu erhöhen. Große Postfachanbieter verlangen für den Versand von Massen-E-Mails inzwischen die Umsetzung von DKIM – es ist also 2026 unabdingbar für eine hohe Zustellrate.

SPF (Sender Policy Framework) prüft, ob eine E-Mail von einer IP-Adresse gesendet wurde, die im SPF-Eintrag der absendenden Domain autorisiert ist. DKIM (DomainKeys Identified Mail) verwendet eine kryptografische Signatur, die mithilfe eines öffentlichen Schlüssels im DNS verifiziert wird, um zu bestätigen, dass der E-Mail-Inhalt nicht verändert wurde und von einer autorisierten Domain stammt. SPF konzentriert sich auf die Autorisierung des Absenders, DKIM stellt die Integrität und Authentizität der Nachricht sicher.