Der umfassende Leitfaden von Red Sift zur E-Mail-Sicherheit
Warum Red Sift für Ihre E-Mail-Sicherheit wählen?
Red Sift wurde 2016 gegründet, um gezielt die Herausforderungen zu adressieren, mit denen viele globale Unternehmen konfrontiert waren, als sie Sicherheitslücken in ihrer IT-Infrastruktur schließen wollten.
Red Sift OnDMARC, eine automatisierte DMARC-Anwendung, war das erste Produkt auf der Plattform. Sie ermöglicht es Unternehmen weltweit, DMARC einfach, schnell und sicher einzuführen und so geschäftliche E-Mail-Kommunikation mit Kunden, Lieferanten und Partnern zu schützen – durch das Blockieren von Lieferantenbetrug, Account-Übernahmen und E-Mail-Spoofing.
Welche Vorteile bietet Red Sift OnDMARC?
Alle Funktionen von OnDMARC sind darauf ausgelegt, Ihnen Zeit zu sparen und Ihren DMARC-Weg zu vereinfachen, während Ihre Domain optimal geschützt wird.
Einfache Einrichtung
Unsere leistungsstarke Automatisierung übernimmt die ganze Arbeit, analysiert kontinuierlich Ihre Domain und zeigt Ihnen genau an, wo und wie Sie Änderungen vornehmen müssen, um Ihre E-Mail-Sicherheit zu erhöhen. Nutzen Sie unsere umfangreiche Anleitungsdatenbank für die Einrichtung hunderter bekannter E-Mail-Quellen.
Vollständige Transparenz Ihrer Absenderquellen
Weniger als 24 Stunden nach dem Hinzufügen Ihres einmaligen DMARC-Eintrags im DNS beginnt OnDMARC mit der Analyse und Übersicht Ihrer DMARC-Berichte, präsentiert in übersichtlichen und umfassenden Dashboards. Wer sendet in Ihrem Namen? Wo auf der Welt wird Ihre Domain verwendet? Bestehen oder scheitern Ihre E-Mails die DMARC-Prüfung? So erhalten Sie stets einen vollständigen Überblick über Ihr E-Mail-Ökosystem – und zwar nicht nur über das, was Ihr eigenes Netzwerk durchläuft.
Schnellste Compliance-Zeiten
Die Beauftragung externer Berater zur DMARC-Implementierung ist zeitaufwändig und bietet weder kontinuierliche Transparenz noch tiefes Verständnis – sodass Sie am Ende erneut Beratung benötigen könnten! Einer der beliebtesten Vorteile von OnDMARC ist die durchschnittliche Zeit von nur 6 bis 8 Wochen zur vollständigen Durchsetzung—die schnellste Zeit der Branche im Jahr 2026.
Permanente Überwachung
Nachdem Sie auf p=reject umgestellt haben, können Sie sich darauf freuen, dass alle Spoofing-Versuche geblockt werden! Sollte eine Ihrer Schutzmechanismen einmal ausfallen, erhalten Sie eine Benachrichtigung über die Ursache und klare Anleitungen zur Behebung.
Unvergleichlicher Support
Das Customer Success Team von Red Sift sorgt dafür, dass Ihre DMARC-Implementierung und -Pflege einfach und reibungslos abläuft. Unsere Expert:innen begleiten Sie von der Einführung bis zum laufenden Betrieb, sodass Sie die für Sie passende Unterstützung auswählen können.
Die CSE von Red Sift verfügen über Erfahrung mit den komplexesten DMARC-Implementierungen bei Unternehmen wie Capgemini, ZoomInfo und Wise. Die Customer-Success-Abteilung von Red Sift wird von Großkunden wie Holland and Barrett, ZoomInfo und TalkTalk hoch bewertet.
Entdecken Sie unsere vollständige Sammlung an Kundenreferenzen hier.
Modernste Funktionen
Dynamic Services
Mit der Dynamic-Services-Funktion von Red Sift OnDMARC können Sie Ihre E-Mail-Einträge direkt in der OnDMARC-Anwendung verwalten. Es ist nicht mehr nötig, zu Ihrem DNS-Anbieter zurückzukehren, um E-Mail-Authentifizierungs-Einträge zu aktualisieren. Stattdessen ersetzen OnDMARC-Smart-Einträge statische DNS-Einträge – per NS-Delegation für DKIM und DMARC oder mit einem neuen intelligenten TXT-Eintrag für SPF.
Dynamic SPF
Mit Dynamic SPF in OnDMARC umgehen Sie das Limit von 10 SPF-Lookups, indem Sie alle autorisierten Quellen mit einem einzigen dynamic include zusammenfassen. Damit verhindern Sie, dass Ihr legitimer Traffic an der SPF-Prüfung scheitert und stellen sicher, dass die Zustellbarkeit Ihrer E-Mails niemals beeinträchtigt wird.
Investigate
Was Red Sift OnDMARC von anderen Tools unterscheidet, ist die Investigate Funktion. Mit ihr können Sie Konfigurationsänderungen in Echtzeit testen, anstatt bis zu 24 Stunden auf DMARC-Daten zu warten. Das verkürzt DMARC-Projekte drastisch und bringt Ihre Domain schneller in den Schutzmodus. Dieses Echtzeit-Testen ist 2026 für Organisationen, die schnelle Compliance anstreben, zum Must-have geworden.
DNS Guardian
DNS Guardian überwacht Ihre Domains aktiv auf fehlerhafte DNS-Konfigurationen, die Kompromittierung ermöglichen könnten. Darunter fallen Schutz vor SubdoMailing, verwaisten DNS-Einträgen und CNAME-Übernahmen.
Red Sift OnDMARC ist die einzige DMARC-Anwendung auf dem Markt, die diesen Link zwischen DNS und DMARC herstellt.
Mehr zu dieser Funktion und wie DNS-Angriffe DMARC-Schutz umgehen können, erfahren Sie im Blog.
BIMI mit VMC
Die BIMI-Funktion von Red Sift OnDMARC ist die einzige integrierte Lösung am Markt, die BIMI und Verified Mark Certificate (VMC) kombiniert. Sie begleitet Sie durch den kompletten BIMI-Prozess und hilft Ihnen sogar, ein VMC zu erhalten, ohne direkt mit der Zertifizierungsstelle (CA) zu interagieren. Die Beantragung von VMC war früher sehr umständlich, aber Red Sift vereinfacht diesen Ablauf enorm.
Bei der BIMI-Implementierung mit Red Sift profitieren Sie von Rundum-Support durch das Customer-Success-Team. Außerdem ist bei der Enterprise-Lizenz von OnDMARC ein kostenloses VMC inklusive – ein weiterer Pluspunkt, da Unternehmen dafür kein Zusatzbudget einplanen müssen.
Gehostetes MTA-STS
Die gehostete MTA-STS-Funktion ist in die Dynamic-Services-Oberfläche von OnDMARC integriert. Nach dem Hinzufügen der Smart Records zu Ihrer Domain im DNS übernimmt sie das Hosting der MTA-STS-Richtliniendatei, verwaltet das SSL-Zertifikat und meldet Verletzungen automatisch per TLS-Bericht.
Forensische Reports
Forensisches Reporting in Verbindung mit Machine Learning liefert detaillierte Einblicke zu nicht authentifizierten E-Mails – und wahrt dabei stets die Privatsphäre. Red Sift ist einer von nur zwei DMARC-Anbietern mit Yahoo-Forensik-Feed, wodurch die forensischen Reports nochmals angereichert werden.
APIs
OnDMARC bietet eine REST-API, mit der Sie eigene Dashboards und weitere interne Systeme anbinden können. Alle Endpunkte sind hier dokumentiert und bieten praxisnahe Beispiele – von Dynamic-Services- und Quellverwaltung bis zu maßgeschneiderten Grafiken aus Reportdaten. Domains können hinzugefügt oder entfernt, Alarme eingerichtet und beliebige Domains programmatisch analysiert werden.
Über Red Sift
Heute zählen über 1.200 Kunden zu uns – darunter einige der weltweit bekanntesten Marken wie Capgemini, Domino’s, ZoomInfo, Athletic Greens, Telefonica und Wise.
Das Unternehmen ist strategischer Partner von Cisco, Cloudflare, Google, Microsoft und IBM.
Red Sift ist fest auf Qualität ausgerichtet und verfügt über folgende Qualitäts- und Sicherheitszertifizierungen:
- ISO 27001:2022
- Soc 2 Typ II
- Mitglied bei CyberExchange und Global Cyber Alliance
- Rechenzentren in Großbritannien, der EU und den USA zur Erfüllung von Datenschutzanforderungen
Viel Erfolg auf Ihrem DMARC-Weg!
Wir hoffen, dieser Leitfaden hat Ihnen den Einstieg in die DMARC-Welt und deren Sicherheitsvorteile erleichtert. Es sind viele Informationen – doch denken Sie daran: Mit einem bewährten, zuverlässigen DMARC-Anbieter sparen Sie Zeit, Aufwand und Nerven und profitieren von Expertenunterstützung auf dem gesamten Weg.
Da DMARC bei führenden E-Mail-Anbietern ab 2026 verpflichtend wird, macht die Wahl der richtigen Plattform den Unterschied bei einer schnellen, zuverlässigen Einführung.
Häufig gestellte Fragen: Leitfaden zur E-Mail-Sicherheit
Alle Maßnahmen zur E-Mail-Sicherheit (außer DMARC) sind unwirksam, wenn eine bösartige E-Mail scheinbar von einer legitimen Domain stammt. Grund dafür ist ein Konstruktionsfehler im Simple Mail Transfer Protocol (SMTP). Im Oktober 2008 erklärte die Network Working Group es offiziell als „grundsätzlich unsicher“ und stellte fest, dass jeder eine Domain imitieren und betrügerische E-Mails verschicken kann, die vorgeben, vom Domain-Inhaber zu stammen.
Jeder mit sehr grundlegenden Programmierkenntnissen kann sich die Schritte zum Imitieren einer E-Mail-Identität in einer einfachen Google-Suche aneignen. Das Ergebnis ist eine E-Mail, die legitim aussieht, ohne typische Phishing-Indikatoren. Da täglich 3,4 Milliarden Phishing-E-Mails verschickt werden, bleiben E-Mail-Systeme das Hauptziel von Cyberkriminellen.
SPF (Sender Policy Framework) prüft, ob eine E-Mail von einer IP-Adresse versendet wird, die durch den SPF-Eintrag der sendenden Domain per DNS-TXT-Eintrag autorisiert ist.
DKIM (DomainKeys Identified Mail) verwendet eine kryptografische Signatur, die über einen öffentlichen Schlüssel im DNS validiert wird, um zu bestätigen, dass der Inhalt der E-Mail nicht verändert wurde und von einer autorisierten Domain stammt. Beide sind essenziell für die E-Mail-Sicherheit, aber verhindern keine exakte Imitation.
Während die Protokolle dem Empfänger mitteilen, von wem die E-Mail stammt, fehlt dem Empfänger die Anweisung, was mit dieser Information zu tun ist. Große E-Mail-Anbieter verlangen ab 2026 SPF und DKIM für Massenversender von E-Mails.
DMARC steht für Domain-based Message Authentication, Reporting, and Conformance. Es ist ein ausgehendes E-Mail-Sicherheitsprotokoll, das Domain-Inhabern ermöglicht, empfangenden Postfächern mitzuteilen, dass sie gefälschte E-Mails ablehnen sollen. DMARC kombiniert die Ergebnisse von SPF und DKIM, um zu ermitteln, ob Ihre E-Mail authentisch und autorisiert ist.
Die DMARC-Richtlinie (festgelegt durch das "p="-Tag im DNS-Eintrag) gibt anschließend den empfangenden Servern Anweisungen, wie mit der E-Mail zu verfahren ist. DMARC verhindert exakte Domain-Imitationen, indem es den empfangenden Servern anweist, keine nicht authentifizierten E-Mails zu akzeptieren. Ab 2026 ist DMARC für Organisationen, die Massen-E-Mails senden, Standardvoraussetzung.
Die SPF-Spezifikation begrenzt DNS-Lookups auf zehn. Wenn Ihr SPF-Eintrag dies überschreitet, schlägt SPF fehl. Gezählt werden die Mechanismen: a, ptr, mx, include, redirect und exists. Tatsächlich reichen zehn Lookups nicht aus, denn die meisten Unternehmen nutzen mehrere E-Mail-Sende-Tools.
G Suite belegt allein vier DNS-Lookups, HubSpot für Marketing nutzt sieben – und schon ist das Limit überschritten. Sobald Sie mehr als zehn SPF-Lookups haben, beginnen Ihre E-Mails, zufällig die Validierung zu verfehlen. Deshalb steigen Unternehmen im Jahr 2026 auf dynamisches SPF-Management um, anstatt zu versuchen, ihre Records manuell zu pflegen.
Mail Transfer Agent Strict Transport Security (MTA-STS) ist ein Standard, der die Verschlüsselung von Nachrichten bei der Übertragung zwischen Mail-Servern ermöglicht. Er legt fest, dass E-Mails ausschließlich über eine mit Transport Layer Security (TLS) verschlüsselte Verbindung versendet werden dürfen, was Abfangen durch Cyberkriminelle verhindert. SMTP allein bietet keine Sicherheit, weshalb es anfällig für Man-in-the-Middle-Angriffe ist, bei denen die Kommunikation abgefangen und möglicherweise verändert wird.
Außerdem ist Verschlüsselung in SMTP optional, sodass E-Mails unverschlüsselt versendet werden können. Ohne MTA-STS kann ein Angreifer die Kommunikation abfangen und die Übertragung im Klartext erzwingen. Im Jahr 2026 ist MTA-STS eine Standard-Sicherheitsmaßnahme für Organisationen, die sensible Kommunikation handhaben.
Mit der Einführung von DMARC profitieren Sie davon, Phishing-Angriffe, die angeblich von Ihrem Unternehmen stammen, zu stoppen, das Kundenvertrauen zu stärken, das Cyberrisiko zu verringern und die Anforderungen für Bulk-Sender von Google, Yahoo und Microsoft zu erfüllen.
DMARC stärkt die Konformität mit PCI DSS 4.0 und verbessert die gesamte organisatorische Widerstandsfähigkeit gegenüber sich weiterentwickelnden Cyberbedrohungen. Ist DMARC einmal auf p=reject (Durchsetzung) gesetzt, blockiert es Lieferantenbetrug, Kontoübernahmen und E-Mail-Spoofing, indem es verhindert, dass böswillige Akteure Ihre Domain für das Versenden von Phishing-Mails oder Business Email Compromise (BEC) nutzen. Laut dem Data Breach Investigations Report von Verizon aus dem Jahr 2025 machen BEC-Angriffe mehr als 17–22 % aller Social-Engineering-Vorfälle aus.
Red Sift OnDMARC beschleunigt die DMARC-Einführung mit automatischer Sender-Erkennung, konkreten Empfehlungen, Anomalieerkennung und rollenbasierter Zugriffssteuerung für globale Teams. Bis 2026 ermöglichen führende Plattformen Unternehmen, innerhalb von 6–8 Wochen p=reject umzusetzen – statt der vormals üblichen sechs Monate.
Ein wesentlich genannter Vorteil von OnDMARC ist die durchschnittliche Zeit von 6–8 Wochen bis zur vollständigen Durchsetzung. Die leistungsfähige Automatisierung der Plattform analysiert laufend sämtliche Aktivitäten auf Ihrer Domain und zeigt Ihnen, wo und wie Sie Änderungen vornehmen müssen. Bereits 24 Stunden nach dem Hinzufügen Ihres individuellen DMARC-Eintrags ins DNS beginnt OnDMARC mit der Analyse und Darstellung der DMARC-Berichte in übersichtlichen Dashboards.
Wichtige E-Mail-Anbieter wie Microsoft, Google und Yahoo schreiben DMARC für Bulk-Sender (Organisationen mit mehr als 5.000 E-Mails pro Tag) seit 2024–2025 vor – diese Anforderungen sind 2026 zum Standard geworden.
Auch bestimmte Branchen- und Regierungsanforderungen zielen zunehmend auf verbindliches DMARC. US-Bundesbehörden sind ebenso dazu verpflichtet wie nach DORA regulierte Zahlungsabwickler. Zusätzlich stärkt die DMARC-Implementierung die Einhaltung weiterer Vorschriften wie PCI DSS 4.0, DSGVO und NIS2. Für Teams in Cybersicherheit, E-Mail-Sicherheit und IT ist es unerlässlich, dass die E-Mail-Sicherheit der Organisation internationalen Best Practices und Anforderungen entspricht.