Email Security Guide — E-Mail-Sicherheit Schritt für Schritt
13 Kapitel, 16 Provider in 5 Kategorien, copy-paste-fertige DNS-Records. Von SPF über DKIM bis DMARC — alles was Sie brauchen, um Ihre E-Mail-Infrastruktur nach dem Stand der Technik abzusichern. Geprüft mit dem Wolf-Agents Email Security Scanner (165 Prüfpunkte).
Warum E-Mail-Authentifizierung keine Option mehr ist
91% aller Cyberangriffe beginnen mit einer E-Mail. E-Mail ist der Angriffsvektor Nr. 1 — und gleichzeitig der am schlechtesten gesicherte Kommunikationskanal in den meisten Unternehmen. Die drei Protokolle SPF, DKIM und DMARC bilden die erste Verteidigungslinie: Sie verhindern, dass Angreifer E-Mails in Ihrem Namen versenden, schützen vor Phishing und CEO-Fraud und machen Ihre Domain für Empfänger verifizierbar.
Seit 2024 verlangen Google, Microsoft und Yahoo DMARC-Authentifizierung für alle Absender. Ab Mai 2025 lehnt Microsoft unauthentifizierte Massen-E-Mails aktiv ab. Wer heute ohne SPF, DKIM und DMARC versendet, riskiert Zustellungsprobleme und Reputationsschäden.
Der regulatorische Rahmen verschärft sich parallel: Das NIS2-Umsetzungsgesetz fordert in Art. 21 Cybersicherheitsmaßnahmen nach dem „Stand der Technik“. E-Mail-Authentifizierung ist ein prüfbarer Nachweis. Die DSGVO verlangt in Art. 32 technische und organisatorische Maßnahmen — SPF, DKIM und DMARC gehören zum Mindeststandard. Das BSI empfiehlt in TR-03108 explizit DMARC mit p=reject.
Dieser Wolf-Agents Email Security Guide deckt alle 13 Kapitel ab — von der SMTP-Einführung über SPF, DKIM und DMARC bis zu DANE, MTA-STS und BIMI. Mit 16 Provider-Anleitungen in 5 Kategorien und copy-paste-fertigen DNS-Records. Starten Sie mit dem kostenlosen Wolf-Agents Email Security Scanner (165 Prüfpunkte), um zu sehen, wo Ihre Domain steht.
13 Kapitel — von SMTP bis Compliance
Jedes Kapitel erklärt ein E-Mail-Sicherheitsthema, warum es wichtig ist und wie Sie es einrichten. Die Punkte zeigen den Einfluss auf Ihre Email Security Note.
Einführung: E-Mail-Sicherheit
SMTP-Architektur, Bedrohungslage und warum Authentifizierung zählt.
MX-Records & Infrastruktur
MX-Records, PTR/FCrDNS-Validierung und korrektes E-Mail-Routing.
SPF (Sender Policy Framework)
Autorisierte Sender per DNS, das 10-Lookup-Limit und Multi-Service.
DKIM (DomainKeys Identified Mail)
Kryptographische Signaturen mit Key-Rotation, Ed25519 und Dual-Signing.
DMARC
SPF und DKIM zusammenführen — Alignment, Reporting und Policy.
DMARC Enforcement Roadmap
Von p=none zu p=reject — der sichere Weg über vier Phasen.
MTA-STS & TLS-RPT
Transport-Verschlüsselung erzwingen — STRIPTLS-Schutz und TLS-RPT.
SMTP-TLS & Zertifikate
STARTTLS, TLS 1.3 und Zertifikatsmanagement für Ihre Mailserver.
BIMI & VMC
Ihr Logo in der Inbox — per BIMI-Record und Verified Mark Certificate.
DNS-Sicherheit
DNSSEC, DANE-TLSA und CAA — DNS als Vertrauensanker für E-Mail.
ARC, SEG & Erweiterte Sicherheit
Authenticated Received Chain und Secure Email Gateways im Einsatz.
E-Mail-Alias-Strategie
Native Aliase, Privacy-Anbieter und Leak-Erkennung für 16 Provider.
Compliance & Dokumentation
NIS2, DSGVO Art. 32, BSI TR-03108 und DORA — die Rechtslage für DACH.
11 Email-Bedrohungen — von Spoofing bis SubdoMailing
Der Bedrohungs-Cluster systematisiert die wichtigsten Email-Angriffstypen in drei Gruppen: Authentifizierungs-Angriffe (Absender-Fälschung), Inhalt-Angriffe (Payload-Auslieferung) und Identitäts-Angriffe (Domain-Imitation). Jeder Deep-Dive verlinkt zu den passenden Schutzmaßnahmen aus SPF, DKIM, DMARC, MTA-STS und Anti-BEC-Hardening.
Authentifizierungs-Angriffe
Email-Spoofing
Absender-Fälschung ohne SPF/DKIM/DMARC — der Klassiker.
T1566.001Business Email Compromise
CEO-Fraud und Lohnumleitung. FBI IC3 Top-Schadensposten.
T1199Vendor Email Compromise
Lieferketten-Variante über übernommene Konten.
T1566.002Phishing (klassisch + AI)
Häufigster Initial-Access-Vektor laut Verizon DBIR.
Inhalt-Angriffe
Identitäts-Angriffe
16 Provider in 5 Kategorien
Jeder Provider bekommt eigene Anleitungen pro Protokoll-Kapitel — mit Screenshots, DNS-Records und Schritt-für-Schritt-Konfiguration. Wählen Sie Ihren Provider.
Cloud-Plattformen
Enterprise-E-Mail mit integrierter Admin-Console und automatischem Setup
Microsoft 365
Exchange Online — Admin Center, PowerShell und automatische DKIM-Rotation
DemnächstGoogle Workspace
Gmail — Admin Console, 2048-Bit-DKIM und Google Postmaster Tools
DemnächstDACH-Hosting (DE)
Deutsche Hosting-Anbieter mit eigenem E-Mail-Service und DNS-Panel
IONOS
Webmail, DNS-Verwaltung und 3 DKIM-Optionen
DemnächstStrato
Webmail und DNS-Editor — DKIM via CNAME
DemnächstAll-Inkl
KAS-Panel mit manueller DKIM-Verwaltung
DemnächstHetzner
DNS Console, API-Zugang und Robot-Verwaltung
DemnächstNetcup
CCP-Panel für Managed, Mailcow für vServer
DemnächstDACH (CH/AT)
Schweizer und österreichische Provider — lokaler Datenschutz und Marktführer
Hostpoint
Größter Schweizer Hoster — Ed25519-DKIM seit Mai 2024
DemnächstInfomaniak
Zweitgrößter CH-Hoster mit eigener kSuite und DMARC by Default
DemnächstWorld4You
Österreichs größter Hosting-Provider — Webmail und DNS-Panel
DemnächstSelf-Hosted
Open-Source-Mailserver auf eigenem Linux-Server oder Docker
Postfix
MTA-Standard — OpenDKIM, OpenDMARC und postfix-mta-sts-resolver
DemnächstExim
Debian-Default-MTA mit nativer DKIM-Signierung und ARC ab 4.91
DemnächstMailcow
Docker-Mailserver mit Web-UI — DKIM, DMARC und Let's Encrypt integriert
DemnächstDNS-Provider
DNS-Verwaltung für MX-Records, DNSSEC und DANE
Cloudflare DNS
Kostenloser DNS mit 1-Click-DNSSEC und Workers für MTA-STS
DemnächstHetzner DNS
Kostenlose DNS Console mit DNSSEC-Unterstützung und API
DemnächstTransaktionale Sender korrekt authentifizieren
Newsletter-Tools und transaktionale Sender benötigen eigene SPF- und DKIM-Einträge. Die Anleitungen finden Sie in den jeweiligen Protokoll-Kapiteln.
SendGrid
Kapitel: SPF, DKIM
HubSpot
Kapitel: SPF, DKIM 7-9 SPF Lookups!
Mailchimp
Kapitel: SPF, DKIM
Amazon SES
Kapitel: SPF, DKIM
rapidmail DACH
Kapitel: SPF, DKIM
CleverReach DACH
Kapitel: SPF, DKIM
Die Anleitungen für Drittanbieter werden in den jeweiligen Protokoll-Kapiteln veröffentlicht — z.B. unter SPF und DKIM.
In 3 Schritten zur sicheren E-Mail-Infrastruktur
Wolf-Agents 165-Punkte-Scanner — Pipeline mit 8 Stationen
Horizontale Pipeline: Eingabe-Domain → DNS-Lookup → SPF/DKIM/DMARC-Authentifizierung → MTA-STS/TLS-Transport → DANE/BIMI-Erweitert → 165-Punkte-Score → Report. Plattform-Foundation der Wolf-Agents-USP.
Hardening-Pfad — 4 Phasen vom Fundament zur Compliance-Strategie
Horizontale 4-Phasen-Roadmap für Email-Security-Hardening: Phase 1 Fundament (SPF + DKIM) → Phase 2 Enforcement (DMARC + MTA-STS) → Phase 3 Erweitert (DANE + DNSSEC + BIMI) → Phase 4 Strategie (Audit + NIS2-Registrierung + DSGVO-Nachweis).
Scannen
Der kostenlose Email Security Check analysiert Ihre Domain in Sekunden. 165 Prüfpunkte von SPF über DKIM bis DANE — Sie sehen sofort, wo Sie stehen und wo Handlungsbedarf besteht.
Verstehen
Jedes Kapitel erklärt das „Warum“ hinter jedem Protokoll. Keine Black-Box-Empfehlungen — Sie verstehen die Bedrohung, die Lösung und die DNS-Konfiguration.
Umsetzen
Provider-spezifische Anleitungen mit copy-paste-fertigen DNS-Records. Microsoft 365, Google Workspace, IONOS, Postfix — immer mit Monitoring-Phase vor dem Enforcement.
Wie sicher ist Ihre E-Mail-Infrastruktur?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.
Häufig gestellte Fragen
Was sind SPF, DKIM und DMARC?
SPF (Sender Policy Framework) definiert per DNS-Record welche Server E-Mails für Ihre Domain senden dürfen. DKIM (DomainKeys Identified Mail) signiert jede E-Mail kryptographisch, sodass Empfänger die Echtheit prüfen können. DMARC (Domain-based Message Authentication) führt beide zusammen und bestimmt was mit nicht-authentifizierten E-Mails passiert. Zusammen bilden sie die Grundlage moderner E-Mail-Authentifizierung.
Warum brauche ich E-Mail-Authentifizierung?
Ohne SPF, DKIM und DMARC kann jeder E-Mails in Ihrem Namen versenden. Das ermöglicht Phishing, CEO-Fraud (BEC) und Reputationsschäden. Seit 2024 verlangen Google, Microsoft und Yahoo DMARC-Authentifizierung für alle Absender. Ab Mai 2025 lehnt Microsoft unauthentifizierte Massen-E-Mails aktiv ab. Für NIS2-pflichtige Unternehmen ist E-Mail-Authentifizierung eine Pflichtmaßnahme nach Art. 21.
Wie teste ich meine E-Mail-Sicherheit?
Mit dem kostenlosen Wolf-Agents Email Security Check. Er prüft 165 Punkte in Sekunden: SPF-Syntax und Lookup-Limit, DKIM-Signatur und Schlüsselstärke, DMARC-Policy und Alignment, MTA-STS, DANE, BIMI und mehr. Sie erhalten eine Note pro Kategorie und konkrete Verbesserungsvorschläge.
Muss ich alle Kapitel umsetzen?
Beginnen Sie mit SPF, DKIM und DMARC — das sind die drei wichtigsten Protokolle und adressieren 80% der Bedrohungen. Ergänzen Sie danach MTA-STS für Transport-Verschlüsselung und BIMI für Markenidentität. DANE und ARC sind für fortgeschrittene Szenarien relevant.
Wie lange dauert die Einrichtung?
SPF: 10-15 Minuten (ein DNS-Record). DKIM: 15-30 Minuten je nach Provider. DMARC: 5 Minuten für p=none, 4-12 Wochen für den Weg zu p=reject (Monitoring-Phase). Bei Cloud-Providern wie Microsoft 365 oder Google Workspace ist vieles vorkonfiguriert — Sie müssen hauptsächlich DNS-Records anlegen.
Was kostet der Email Security Guide?
Der gesamte Guide ist kostenlos. Alle Kapitel, alle Provider-Anleitungen, alle Deep-Dives. Der Wolf-Agents Email Security Check ist ebenfalls kostenlos und ohne Registrierung nutzbar. Für automatisches Monitoring (alle 6 Stunden), Änderungserkennung und wöchentliche Digests gibt es die Wolf-Agents-Plattform.
Gilt der Guide auch für kleine Unternehmen?
Ja. SPF, DKIM und DMARC sind unabhängig von der Unternehmensgröße — jede Domain braucht sie. Die Provider-Anleitungen decken IONOS, Strato, All-Inkl und andere DACH-Hoster ab, die von KMU genutzt werden. Die NIS2-Pflicht betrifft ab 2026 auch mittelständische Unternehmen in kritischen Sektoren.