So erkennen und verhindern Sie E-Mail-Spoofing auf Ihrer Domain

E-Mail-Spoofing ist nach wie vor einer der effektivsten und gefährlichsten Angriffsvektoren für Unternehmen. Im Jahr 2024 haben Business Email Compromise-Attacken Organisationen allein in den USA 2,7 Milliarden US-Dollar gekostet [1], wobei über 57 % der Phishing-Attacken von kompromittierten E-Mail-Konten ausgingen [2]. Für IT- und Sicherheitsexperten war der Schutz Ihrer Domain vor Spoofing-Angriffen noch nie so dringlich wie heute.

So erkennen Sie, wann Angreifer Ihre Domain imitieren, und setzen robuste Schutzmaßnahmen um, die wirklich greifen.

Erforderlich:

• Administrativer Zugriff auf die DNS-Einträge Ihrer Domain
• Zugriff auf Ihre E-Mail-Infrastruktur (Mailserver, E-Mail-Dienstleister von Drittanbietern)
• Grundverständnis von DNS-Eintragsverwaltung

Hilfreich:

• E-Mail-Sicherheitsüberwachungs-Tools oder eine DMARC-Reporting-Plattform
• Liste aller autorisierten E-Mail-Versanddienste für Ihre Domain
• Zugriff auf E-Mail-Header-Informationen aus Ihrem Mailsystem

Zeitaufwand: Die Ersteinrichtung erfordert mehrere Stunden. Die laufende Überwachung erfordert wöchentliche Aufmerksamkeit. Schwierigkeitsgrad: Mittel (Grundkenntnisse zu DNS erforderlich)

Dieser Leitfaden führt Sie Schritt für Schritt durch einen systematischen Ansatz, mit dem Sie gezielte Spoofing-Versuche gegen Ihre Domain erkennen und E-Mail-Authentifizierungsprotokolle implementieren, um unberechtigte Absender zu blockieren. Wir konzentrieren uns auf praktische, umsetzbare Maßnahmen, die nachweisbaren Schutz bewirken.

Der 5-Schritte-Prozess:

1. Überprüfen Sie den aktuellen Authentifizierungsstatus Ihrer E-Mail
2. Erkennen Sie Spoofing-Versuche und unberechtigte Absender
3. Richten Sie SPF- und DKIM-Authentifizierung ein
4. Implementieren Sie DMARC mit korrektem Monitoring
5. Erreichen Sie Durchsetzung und sorgen Sie für dauerhaften Schutz

Zu erwartendes Ergebnis: Vollständige Transparenz darüber, wer E-Mails im Namen Ihrer Domain versendet, mit der Möglichkeit, unberechtigte Absender zu blockieren und Spoofing-Angriffe zu verhindern.

Was Sie tun: Sie prüfen, ob Ihre Domain bereits E-Mail-Authentifizierungsprotokolle nutzt, und identifizieren Lücken in Ihrer aktuellen Konfiguration.

So geht's:

1. Nutzen Sie ein Online-DMARC-Prüftool, um die DNS-Einträge Ihrer Domain auf SPF-, DKIM- und DMARC-Einträge zu scannen
2. Dokumentieren Sie, welche Protokolle bereits eingerichtet und welche Richtlinieneinstellungen aktiv sind
3. Identifizieren Sie alle legitimen E-Mail-Versanddienste Ihrer Organisation (Marketingplattformen, CRM-Systeme, Benachrichtigungsdienste usw.)
4. Prüfen Sie, ob jeder Versanddienst korrekt durch SPF- und DKIM-Einträge authentifiziert ist
5. Überprüfen Sie den aktuellen E-Mail-Ruf Ihrer Domain mit Blacklist-Überwachungstools

Profi-Tipp: Während dieses Audits entdecken Unternehmen häufig „Schatten-IT“: E-Mail-Dienste, die Teams ohne Wissen des Sicherheitsteams nutzen. Genau diese Transparenz benötigen Sie, bevor Sie strengere Kontrollen einführen.

Wie Erfolg aussieht: Sie haben einen vollständigen Überblick über alle autorisierten Versandquellen und wissen, welche Authentifizierungsprotokolle im Einsatz sind (falls vorhanden).

Fehlerbehebung: Falls Sie nicht alle E-Mail-Versanddienste identifizieren können, sprechen Sie mit Abteilungsleitern über genutzte Drittanbieter-Tools. Marketing, HR und Customer Success setzen oft spezielle Plattformen ein, die im Namen Ihrer Domain E-Mails verschicken.

Was Sie tun: Sie lernen, wie Sie erkennen, wann Angreifer Ihre Domain imitieren, und wie sich Hinweise auf Spoofing-Angriffe identifizieren lassen.

So geht's:

1. Analysieren Sie E-Mail-Header verdächtiger Nachrichten, die vorgeben, von Ihrer Domain zu stammen. Achten Sie auf abweichende „Return-Path“- und „From“-Felder
2. Prüfen Sie die „Received“-Abschnitte in den Headern auf IP-Adressen, die nicht zu Ihren autorisierten Mailservern gehören
3. Beachten Sie SPF-, DKIM- oder DMARC-Authentifizierungsfehler im Header (in der Regel als „fail“ oder „softfail“ ausgewiesen)
4. Überwachen Sie Rückmeldungen von Kund:innen oder Partnern, die verdächtige E-Mails erhalten, die scheinbar von Ihrer Domain stammen
5. Überprüfen Sie ggf. vorhandene DMARC-Berichte (wenn konfiguriert) auf fehlgeschlagene Authentifizierungsversuche

Profi-Tipp: E-Mail-Spoofing nimmt besonders während der Steuerzeit, des Weihnachtsgeschäfts oder bei wichtigen Unternehmensankündigungen zu – Zeitpunkte, zu denen Empfänger mit legitimen E-Mails rechnen. Überwachen Sie während solcher risikobehafteten Phasen besonders aufmerksam.

Wie Erfolg aussieht: Sie können sicher beurteilen, ob eine E-Mail wirklich von Ihrer Domain stammt oder gefälscht ist, und Sie verstehen Umfang und Quelle unberechtigter Versandversuche.

Fehlerbehebung: Wenn Sie noch keine DMARC-Berichte empfangen, fehlen Ihnen historische Daten zu Spoofing-Versuchen. Diese werden Sie nach der DMARC-Konfiguration im nächsten Schritt erhalten und auswerten können.

Was Sie tun: Sie richten die grundlegenden Authentifizierungsprotokolle für E-Mails ein, um Ihre legitimen Absender zu verifizieren.

So geht's:

1. Erstellen oder aktualisieren Sie Ihren SPF-Eintrag im DNS, sodass alle autorisierten Versand-IP-Adressen und Domains enthalten sind (Format: v=spf1 include:_spf.example.com ~all)
2. Achten Sie darauf, dass Ihr SPF-Eintrag nicht das Limit von 10 DNS-Lookups überschreitet (dies ist ein häufiger Fehler, der die Zustellbarkeit von E-Mails verhindert), oder arbeiten Sie mit einem DMARC-Anbieter, der dieses Limit für Sie umgehen kann
3. Richten Sie DKIM-Signierung auf Ihren Mailservern und Versanddiensten ein (jeder Dienst stellt in der Regel eigene Konfigurationsanleitungen bereit)
4. Fügen Sie DKIM-öffentliche Schlüssel als TXT-Einträge zu Ihren DNS-Daten hinzu (Format: selector._domainkey.ihredomain.com)
5. Testen Sie die Funktionsfähigkeit von SPF und DKIM, indem Sie Test-E-Mails senden und die Authentifizierungsergebnisse in den Headers checken

Profi-Tipp: SPF-Einträge sind überraschend leicht zu beschädigen. Organisationen überschreiten oft das Limit von 10 DNS-Lookups, wenn sie mehr Versanddienste hinzufügen. Die Dynamic SPF-Funktion von Red Sift OnDMARC löst das Problem, indem alle autorisierten Dienste in einem einzigen dynamischen „include“ gebündelt und so das Limit nie überschritten wird.

Wie Erfolg aussieht: Test-E-Mails aller autorisierten Versandquellen bestehen die SPF- und DKIM-Prüfung. Sie können dies in den Headern oder mit Authentifizierungstest-Tools überprüfen.

Fehlerbehebung: Wenn nach Änderungen plötzlich legitime E-Mails am SPF scheitern, besteht meist entweder ein Syntaxfehler im SPF-Eintrag oder das Lookup-Limit wurde überschritten. Verwenden Sie ein SPF-Validator-Tool, um den Fehler zu identifizieren. Für komplexe Infrastrukturen mit vielen Versanddiensten empfiehlt sich ein automatisiertes SPF-Management.

Was Sie tun: Sie setzen DMARC ein, um empfangende Mailserver anzuweisen, wie mit E-Mails zu verfahren ist, die die Authentifizierung nicht bestehen, und gewinnen gleichzeitig wertvolle Informationen über Ihren E-Mail-Verkehr.

So geht's:

1. Legen Sie einen DMARC-Eintrag mit einer Monitoring-Policy im DNS an (Format: v=DMARC1; p=none; rua=mailto:dmarc-reports@ihredomain.com)
2. Richten Sie eine spezielle E-Mail-Adresse oder ein Reporting-Portal ein, um DMARC-Sammelberichte (XML-Dateien mit Authentifizierungsergebnissen aller E-Mails Ihrer Domain) zu empfangen
3. Überwachen Sie die eingehenden DMARC-Berichte in einer Einführungsphase, um mögliche legitime Absenderquellen zu ermitteln, die Sie beim Audit übersehen haben
4. Vergewissern Sie sich, dass alle autorisierten Absender in den Berichten SPF oder DKIM bestehen
5. Bereiten Sie sich darauf vor, Ihre DMARC-Policy schrittweise von Monitoring (p=none) auf Quarantäne (p=quarantine) und schließlich auf Ablehnen (p=reject) zu verschärfen

Profi-Tipp: DMARC-Berichte sind berüchtigt schwer lesbar. Sie kommen als XML-Dateien und sind ohne Spezial-Tools kaum zu interpretieren. Red Sift OnDMARC verarbeitet diese Berichte automatisch und zeigt die Analyse als handlungsfertige Informationen an – inklusive Anzeige aller durchgefallenen/erfolgreichen Quellen und konkreten Lösungsvorschlägen.

Wie Erfolg aussieht: Sie erhalten regelmäßig DMARC-Sammelberichte, können die Quellen darin zuordnen und haben bestätigt, dass alle legitimen E-Mails konsequent authentifiziert werden.

Fehlerbehebung: Sollten Sie keine DMARC-Berichte empfangen, prüfen Sie, ob Ihre RUA-Adresse korrekt im DMARC-Eintrag hinterlegt ist und das Postfach eingehende Berichte akzeptiert. Manche Unternehmen nutzen dedizierte DMARC-Reporting-Dienste anstelle der Berichterstattung per E-Mail.

Die manuelle DMARC-Einführung dauert bei Unternehmen oft Monate, ehe eine vollständige Durchsetzung erreicht wird – viele verharren durch die Komplexität des Themas dauerhaft im Beobachtungsmodus.

Red Sift OnDMARC hilft Unternehmen dabei, DMARC praktisch schneller und nachhaltiger durchzusetzen als es mit manueller Einführung möglich wäre. Die Vorteile auf einen Blick:

• Dynamische Services: Verwalten Sie SPF-, DKIM-, DMARC- und MTA-STS-Einträge direkt im OnDMARC-Interface, ohne sich um DNS kümmern zu müssen – das verhindert Konfigurationsfehler und Verzögerungen
• Intelligente Berichts­analyse: Wandelt komplexe DMARC-XML-Berichte in verständliche, handlungsfähige Auswertungen um und nennt punktgenau die Quellen, die Aufmerksamkeit benötigen
• Geführte Fehlerbehebung: Liefert konkrete Anleitungen zur Behebung von Authentifizierungsproblemen und nimmt das Rätselraten aus der DMARC-Implementierung
• DNS Guardian: Überwacht konstant auf Fehlkonfigurationen bei Subdomains und schützt vor „SubdoMailing“-Angriffen, die DMARC umgehen
• Radar AI Assistant: Findet und löst E-Mail-Sicherheitsprobleme bis zu 10-mal schneller dank KI-Analyse

Wann Sie Red Sift OnDMARC in Betracht ziehen sollten:

1. Ihre Organisation verwendet mehrere E-Mail-Versanddienste, die abgestimmt autorisiert werden müssen
2. Sie müssen DMARC-Durchsetzung zügig umsetzen, um Compliance- oder Sicherheitsanforderungen zu erfüllen
3. Ihrem Team fehlt das Spezialwissen für komplexes DMARC-Management
4. Es treten SPF-Lookup-Limit-Probleme auf, die die Zustellung verhindern
5. Sie möchten eine kontinuierliche Überwachung und automatisierte Benachrichtigungen zu E-Mail-Bedrohungen erhalten

Was Sie tun: Sie verschärfen Ihre DMARC-Policy schrittweise, um gefälschte E-Mails aktiv zu blockieren und den Schutz für Ihre Domain abzuschließen.

So geht's:

1. Nachdem alle legitimen E-Mails in einer ausreichend langen Beobachtungsphase die Authentifizierung bestehen, ändern Sie Ihre DMARC-Policy auf Quarantäne (p=quarantine)
2. Überwachen Sie die DMARC-Berichte in der Quarantäne-Phase besonders aufmerksam, um eventuell gelegentlich fehlschlagende legitime Absendende zu identifizieren
3. Beheben Sie Authentifizierungsfehler legitimer Absender, bevor Sie weitermachen
4. Sobald autorisierte Absender stets 100 % Durchsatz zeigen, stellen Sie auf Reject-Policy (p=reject) um – für vollständige Durchsetzung
5. Richten Sie automatisiertes Monitoring und Benachrichtigungen ein, um neue Fehler frühzeitig zu entdecken

Profi-Tipp: Gehen Sie die Policy-Verschärfung nicht überstürzt an. Organisationen, die den Beobachtungsmodus überspringen, merken oft zu spät, dass wichtige Geschäftsmails blockiert wurden. Verharren Sie aber auch nicht zu lange im Monitoring. Wechseln Sie zur Durchsetzung, sobald alle legitimen Versender validiert sind.

Wie Erfolg aussieht: Ihre DMARC-Policy steht auf Reject (p=reject), unberechtigte E-Mails werden von empfangenden Servern geblockt, und alle legitimen Geschäftsmails kommen erfolgreich an. Sie erhalten Berichte, aus denen hervorgeht, dass gefälschte E-Mails abgelehnt werden.

Fehlerbehebung: Sollten legitime E-Mails nach der Durchsetzung abgewiesen werden, schalten Sie vorübergehend auf Quarantäne zurück, während Sie recherchieren. Prüfen Sie die DMARC-Berichte und klären Sie mit dem jeweiligen Dienstanbieter eventuelle Fehler in SPF- oder DKIM-Konfigurationen.

• Warum passiert das: Unternehmen erfahren von DMARC-Vorgaben und richten sofort einen DMARC-Eintrag ein, ohne sicherzustellen, dass die zugrundeliegenden Authentifizierungsprotokolle funktionieren
• Wie vermeiden: Konfigurieren und prüfen Sie SPF und DKIM immer zuerst, bevor Sie DMARC hinzufügen
• Wenn es passiert: Ihre DMARC-Policy bietet keinen Schutz, weil sämtliche E-Mails durchfallen. Richten Sie SPF und DKIM korrekt ein, bevor Sie weitermachen

• Warum passiert das: Sicherheitsteams wollen sofortigen Schutz und überspringen Monitoring- und Quarantäne-Phasen
• Wie vermeiden: Folgen Sie dem schrittweisen Durchsetzungsansatz (none → quarantine → reject) und gewährleisten Sie ausreichend Monitoring in jeder Phase
• Wenn es passiert: Legitimer Geschäftsmailverkehr kann blockiert werden. Gehen Sie sofort auf Monitoring-Policy zurück und überprüfen Sie alle Versandquellen gründlich

• Warum passiert das: Teams ergänzen SPF-Einträge laufend um „include“-Statements, ohne die Zahl der DNS-Lookups zu zählen
• Wie vermeiden: Verwenden Sie einen SPF-Validator, bevor Sie Anpassungen veröffentlichen, oder nutzen Sie Dynamic SPF-Lösungen
• Wenn es passiert: Die E-Mail-Zustellung ist dann vollständig gestört. Konsolidieren Sie Ihren SPF-Eintrag, nutzen Sie SPF-Flattening oder eine gemanagte SPF-Lösung

• Warum passiert das: Teams handhaben DMARC nach Durchsetzung als „Einrichten und vergessen“
• Wie vermeiden: Richten Sie automatisierte Überwachung und Benachrichtigungen für Authentifizierungsfehler ein
• Wenn es passiert: Sie bemerken nicht, wenn neue Versanddienste ohne Authentifizierung angebunden werden – und beeinträchtigen so die Zustellung legitimer E-Mails

Wichtige Kennzahlen:

• 100 % aller legitimen E-Mails Ihrer Domain bestehen die SPF- oder DKIM-Authentifizierung
• Ihre DMARC-Policy ist auf Reject (p=reject) eingestellt und blockiert aktiv gefälschte Mails
• DMARC-Berichte zeigen deutlich weniger oder gar keine unberechtigten Versandversuche
• Keine Zustellprobleme für legitime Geschäftsmails
• Verbesserter Domain-Ruf und bessere Zustellquoten im Posteingang

Nach der vollständigen DMARC-Durchsetzung sollten Sie weiteren Schutz in Betracht ziehen:

Subdomain-Schutz: Viele Angreifer wenden sich Subdomains zu, wenn Spoofing auf der Hauptdomain geblockt wird. Richten Sie DMARC-Einträge für wichtige Subdomains ein und nutzen Sie DNS-Monitoring-Tools, um Fehlkonfigurationen oder verwaiste Einträge zu erkennen.

BIMI-Einführung: Nach der p=reject-Durchsetzung können Sie BIMI (Brand Indicators for Message Identification) implementieren, um Ihr geprüftes Markenlogo in unterstützten E-Mail-Clients anzuzeigen. Studien zeigen, dass BIMI die Öffnungsraten von E-Mails steigert, indem Ihre Nachrichten im Posteingang auffallen und durch Marken-Visualisierung das Vertrauen der Empfänger fördern.

MTA-STS-Einführung: Fügen Sie Mail Transfer Agent Strict Transport Security hinzu, um die verschlüsselte E-Mail-Zustellung zu erzwingen und Man-in-the-Middle-Angriffe auf Ihren E-Mail-Verkehr zu verhindern.

Kontinuierliche Bedrohungsüberwachung: Verwenden Sie E-Mail-Sicherheitsplattformen, die Echtzeit-Warnungen bei Domains-Spoofing-Versuchen, Lookalike-Registrierungen und Authentifizierungsanomalien liefern.

Sofortige Maßnahmen:

• Führen Sie einen DMARC-Check für Ihre Domain durch, um den aktuellen Authentifizierungsstatus zu überprüfen
• Erstellen Sie ein Verzeichnis aller E-Mail-Versanddienste Ihrer Organisation
• Legen Sie einen Plan zur Implementierung von SPF, DKIM und DMARC nach obigem Leitfaden fest

Laufende Wartung:

• Überprüfen Sie wöchentlich Ihre DMARC-Berichte auf Authentifizierungsstatus
• Aktualisieren Sie SPF- und DKIM-Einträge, sobald neue Dienste hinzukommen
• Überwachen Sie den Ruf der Domain und Zustellmetriken monatlich
• Führen Sie regelmäßig Audits durch, um die korrekte Konfiguration zu gewährleisten

E-Mail-Spoofing ist eine gravierende Bedrohung für die Sicherheit und den Ruf Ihrer Organisation. Die gute Nachricht: Mit korrekt eingerichteten E-Mail-Authentifizierungsprotokollen können Sie unberechtigte Absender effektiv blockieren und Ihre Domain gegen Identitätsdiebstahl schützen. Egal ob Sie sich für eine manuelle Implementierung oder eine automatisierte Plattform wie Red Sift OnDMARC entscheiden – das Wichtigste ist: Fangen Sie jetzt an!

[1] Federal Bureau of Investigation. „Internet Crime Report 2024: Business Email Compromise Losses.“ DeepStrike. https://deepstrike.io/blog/Phishing-Statistics-2025

[2] KnowBe4. „Phishing Threat Trends Report 2025: Compromised Account Statistics.“ KnowBe4 Research, März 2025. https://www.knowbe4.com/hubfs/Phishing-Threat-Trends-2025_Report.pdf

[3] Fanelli, Bill P. „DMARC: The Frontline Defense Against Phishing and Domain Spoofing.“ Homeland Security Today, Oktober 2025. https://www.hstoday.us/subject-matter-areas/cybersecurity/dmarc-the-frontline-defense-against-phishing-and-domain-spoofing/