Red Sifts umfassender Leitfaden zur E-Mail-Sicherheit

Das Sender Policy Framework (SPF) ist ein E-Mail-Authentifizierungsprotokoll, das verhindern soll, dass Angreifer E-Mails versenden, die scheinbar von Ihrer Domain stammen. Eine SPF-Richtlinie gibt empfangenden Mailservern an, welche Absenderquellen für Ihre Domain legitim sind, und hilft so, Identitätsdiebstahl, Phishing und Domain-Imitation zu verhindern. Seit 2026 ist SPF eine grundlegende Voraussetzung für Organisationen, die Massen-E-Mails versenden.

Ihre SPF-Richtlinie wird in Ihrem Domain Name System (DNS) als TXT-Eintrag veröffentlicht und listet die Mailserver (IP-Adressen) auf, die berechtigt sind, E-Mails in Ihrem Namen zu versenden. Wenn eine E-Mail verschickt wird, prüft der empfangende Mailserver diese Richtlinie, um zu bestätigen, ob die sendende IP-Adresse erlaubt ist. Ist dies der Fall, wird die Nachricht zugestellt; andernfalls kann sie als Spam markiert oder abgelehnt werden.

Eine SPF-Abfrage (Lookup) bezeichnet den Vorgang, bei dem das empfangende DNS die im include-Befehl Ihres Eintrags aufgeführten IP-Adressen „nachschlagen“ muss, um zu überprüfen, ob sie mit der IP-Adresse übereinstimmen, von der Ihre E-Mail gesendet wird.

Ein SPF-include ist ein Mechanismus in SPF-Einträgen, durch den Domaininhaber die SPF-Einträge anderer Domains in ihre eigene SPF-Policy aufnehmen können. Das erleichtert die Verwaltung und berücksichtigt die Versandrichtlinien der inkludierten Domains bei der Validierung von E-Mails, die von der Hauptdomain verschickt werden.

Das SPF-Query-Limit entspricht der maximalen Anzahl von Anfragen, die ein empfangendes DNS für eine Domain ausführen darf. Diese ist auf 10 festgelegt.

Sie können eine unbegrenzte Anzahl an Einzel-IP-Adressen in Ihren Eintrag aufnehmen, ohne zusätzliche DNS-Abfragen zu erzeugen, da diese direkt im Eintrag ersichtlich sind.

Das gilt jedoch nicht für include-Anweisungen, bei denen jede darin enthaltene IP-Adresse eine zusätzliche Abfrage beim empfangenden DNS bedeutet. Das zählt alles zur maximalen Obergrenze von 10.

Zum Beispiel können Sie 3 IP-Adressen direkt in Ihrem SPF-Eintrag angeben, einen include-Befehl für Google (mit 4 IP-Adressen) und einen für Mimecast (mit 6 IP-Adressen). Für die direkt sichtbaren IPs sind keine Abfragen nötig, für die includes von Google und Mimecast jedoch schon. In diesem Fall kommen Sie auf das Maximum von 10 Abfragen.

In Wirklichkeit reichen 10 Abfragen nicht aus, weil die meisten Unternehmen mehrere Tools nutzen, die E-Mails für sie versenden. Jedes hat seinen eigenen include-Befehl, der wiederum IP-Adressen enthält und somit weitere Abfragen benötigt. Überschreiten Sie das Limit, wird die Authentifizierung wahrscheinlich fehlschlagen und Ihre Zustellrate leidet. Seit 2026 gelten dynamische SPF-Lösungen als empfohlener Weg zur Handhabung dieser Begrenzung, da sie die manuelle Pflege und das ständige Flattening von SPF-Einträgen ersetzen.

Ein Hauptgrund dafür, dass der SPF-Eintrag für Ihren E-Mail-Verkehr fehlschlägt, ist die Fehlermeldung „zu viele DNS-Abfragen“. Die SPF-Spezifikation begrenzt die Anzahl der DNS-Anfragen auf maximal 10. Erzeugt Ihr SPF-Eintrag mehr als 10 Abfragen, schlägt SPF fehl. Zu den SPF-Mechanismen, die für DNS-Abfragen zählen, gehören: a, ptr, mx, include, redirect und exists. Die Mechanismen „ip4“, „ip6“ und „all“ zählen nicht zu diesem Limit.

Falls Ihnen das alles zu technisch erscheint, hier ein Beispiel: G Suite allein beansprucht vier DNS-Abfragen, Hubspot für Marketing weitere sieben – und schon sind Sie über dem Limit von 10! Sobald Sie die Schwelle überschreiten, besteht das Risiko, dass Ihre E-Mails gelegentlich bei der Überprüfung scheitern. Deshalb setzen Organisationen ab 2026 auf dynamisches SPF-Management anstatt E-Mail-Einträge händisch zu pflegen und zu flatten.

DKIM steht für DomainKeys Identified Mail und ist ein E-Mail-Authentifizierungsprotokoll, das verhindern soll, dass E-Mails während der Übertragung verändert werden – eine Methode, die oft bei Phishing und Betrugsversuchen eingesetzt wird.

DKIM ist eine neuere und komplexere Norm als SPF. Es basiert auf asymmetrischer Kryptografie, um bestimmte Teile der E-Mail zu signieren. Der private Schlüssel liegt sicher auf dem sendenden Server und ist für den Endnutzer nicht einsehbar. Der öffentliche Schlüssel wird im DNS der Absenderdomain veröffentlicht, um die E-Mail-Signatur zu verifizieren.

Praktisch bedeutet das: Bei Erstellung einer E-Mail werden Header und Inhalt mit dem privaten Schlüssel des Absenders signiert. Diese digitale Signatur wird dann im Header der Nachricht mitgesendet. Beim Empfang (wenn DKIM aktiviert ist) ruft der empfangende Server den öffentlichen Schlüssel ab und prüft, ob die E-Mail tatsächlich vom Absender signiert wurde. Bei erfolgreicher Prüfung ist nachgewiesen, dass die Absenderdomain wirklich der Ursprung der Nachricht ist und dass Header sowie Inhalt während der Übertragung nicht verändert wurden.

Eine DKIM-Signatur ist ein eindeutiger kryptografischer Wert, der im Header einer ausgehenden E-Mail integriert ist. Er wird basierend auf dem privaten DKIM-Schlüssel des Absenders generiert und ermöglicht es dem empfangenden Server, den zugehörigen öffentlichen Schlüssel im DNS abzurufen und so zu bestätigen, dass die Nachricht aus einer autorisierten Quelle stammt und ihr Inhalt während des Transports nicht verändert wurde.

Ein DKIM-Schlüssel besteht aus einem Schlüsselpaar für die DKIM-Authentifizierung. Der private Schlüssel wird sicher auf dem Server des absendenden Mailservers gespeichert und erzeugt die DKIM-Signatur jeder ausgehenden E-Mail. Der öffentliche Schlüssel wird als TXT-Eintrag im DNS der Absenderdomain veröffentlicht, sodass empfangende Server die Signatur überprüfen und die Integrität sowie Authentizität der E-Mail sicherstellen können.

Alle technischen Details zu DKIM finden Sie in unserem technischen Einrichtungsleitfaden.

Ja. DKIM (DomainKeys Identified Mail) ist ein wesentliches Authentifizierungsprotokoll für E-Mails, das gegen Spoofing, Phishing und Manipulation von Nachrichten schützt. Es fügt jeder ausgehenden E-Mail eine kryptographische Signatur hinzu, mit der empfangende Server prüfen können, ob der Inhalt unverändert und die E-Mail von einer autorisierten Domain stammt. Ebenso ist DKIM ein zentraler Bestandteil der DMARC-Überprüfung und arbeitet mit SPF zusammen, um das Domain-Alignment sicherzustellen und die E-Mail-Sicherheit zu erhöhen. Die wichtigsten E-Mail-Anbieter fordern DKIM inzwischen obligatorisch für Massenmails – somit ist es im Jahr 2026 unverzichtbar für die Zustellbarkeit.

SPF (Sender Policy Framework) überprüft, ob eine E-Mail von einer IP-Adresse stammt, die im SPF-Eintrag der Absenderdomain autorisiert ist. DKIM (DomainKeys Identified Mail) verwendet eine kryptografische Signatur, die über einen öffentlichen Schlüssel im DNS überprüft werden kann, um zu garantieren, dass der Nachrichteninhalt nicht verändert wurde und die E-Mail von einer berechtigten Domain stammt. SPF konzentriert sich auf die Absendeberechtigung, während DKIM die Integrität und Authentizität der Nachricht sicherstellt.