Email Security Guide — E-Mail-Sicherheit Schritt für Schritt

13 Kapitel, 16 Provider in 5 Kategorien, copy-paste-fertige DNS-Records. Von SPF über DKIM bis DMARC — alles was Sie brauchen, um Ihre E-Mail-Infrastruktur nach dem Stand der Technik abzusichern. Geprüft mit dem Wolf-Agents Email Security Scanner (165 Prüfpunkte).

13 Kapitel · 16 Provider · 5 Kategorien · DNS-Anleitungen
Bedrohungslage 2025/2026

Warum E-Mail-Authentifizierung keine Option mehr ist

42 Mio. EUR FACC CEO-Fraud — größter BEC-Einzelschaden in DACH Strafgericht Wien 2019
3,4 Mrd. Phishing-E-Mails weltweit — jeden einzelnen Tag Verizon DBIR 2025, Barracuda
Art. 21 NIS2: E-Mail-Sicherheit als Pflichtmaßnahme nach dem Stand der Technik NIS2 Umsetzungsgesetz, seit 06.12.2025

91% aller Cyberangriffe beginnen mit einer E-Mail. E-Mail ist der Angriffsvektor Nr. 1 — und gleichzeitig der am schlechtesten gesicherte Kommunikationskanal in den meisten Unternehmen. Die drei Protokolle SPF, DKIM und DMARC bilden die erste Verteidigungslinie: Sie verhindern, dass Angreifer E-Mails in Ihrem Namen versenden, schützen vor Phishing und CEO-Fraud und machen Ihre Domain für Empfänger verifizierbar.

Seit 2024 verlangen Google, Microsoft und Yahoo DMARC-Authentifizierung für alle Absender. Ab Mai 2025 lehnt Microsoft unauthentifizierte Massen-E-Mails aktiv ab. Wer heute ohne SPF, DKIM und DMARC versendet, riskiert Zustellungsprobleme und Reputationsschäden.

Der regulatorische Rahmen verschärft sich parallel: Das NIS2-Umsetzungsgesetz fordert in Art. 21 Cybersicherheitsmaßnahmen nach dem „Stand der Technik“. E-Mail-Authentifizierung ist ein prüfbarer Nachweis. Die DSGVO verlangt in Art. 32 technische und organisatorische Maßnahmen — SPF, DKIM und DMARC gehören zum Mindeststandard. Das BSI empfiehlt in TR-03108 explizit DMARC mit p=reject.

Dieser Wolf-Agents Email Security Guide deckt alle 13 Kapitel ab — von der SMTP-Einführung über SPF, DKIM und DMARC bis zu DANE, MTA-STS und BIMI. Mit 16 Provider-Anleitungen in 5 Kategorien und copy-paste-fertigen DNS-Records. Starten Sie mit dem kostenlosen Wolf-Agents Email Security Scanner (165 Prüfpunkte), um zu sehen, wo Ihre Domain steht.

Inhaltsverzeichnis

13 Kapitel — von SMTP bis Compliance

Jedes Kapitel erklärt ein E-Mail-Sicherheitsthema, warum es wichtig ist und wie Sie es einrichten. Die Punkte zeigen den Einfluss auf Ihre Email Security Note.

Provider-Anleitungen

16 Provider in 5 Kategorien

Jeder Provider bekommt eigene Anleitungen pro Protokoll-Kapitel — mit Screenshots, DNS-Records und Schritt-für-Schritt-Konfiguration. Wählen Sie Ihren Provider.

Cloud-Plattformen

Enterprise-E-Mail mit integrierter Admin-Console und automatischem Setup

Microsoft 365

Exchange Online — Admin Center, PowerShell und automatische DKIM-Rotation

Demnächst

Google Workspace

Gmail — Admin Console, 2048-Bit-DKIM und Google Postmaster Tools

Demnächst

DACH-Hosting (DE)

Deutsche Hosting-Anbieter mit eigenem E-Mail-Service und DNS-Panel

IONOS

Webmail, DNS-Verwaltung und 3 DKIM-Optionen

Demnächst

Strato

Webmail und DNS-Editor — DKIM via CNAME

Demnächst

All-Inkl

KAS-Panel mit manueller DKIM-Verwaltung

Demnächst

Hetzner

DNS Console, API-Zugang und Robot-Verwaltung

Demnächst

Netcup

CCP-Panel für Managed, Mailcow für vServer

Demnächst

DACH (CH/AT)

Schweizer und österreichische Provider — lokaler Datenschutz und Marktführer

Hostpoint

Größter Schweizer Hoster — Ed25519-DKIM seit Mai 2024

Demnächst

Infomaniak

Zweitgrößter CH-Hoster mit eigener kSuite und DMARC by Default

Demnächst

World4You

Österreichs größter Hosting-Provider — Webmail und DNS-Panel

Demnächst

Self-Hosted

Open-Source-Mailserver auf eigenem Linux-Server oder Docker

Postfix

MTA-Standard — OpenDKIM, OpenDMARC und postfix-mta-sts-resolver

Demnächst

Exim

Debian-Default-MTA mit nativer DKIM-Signierung und ARC ab 4.91

Demnächst

Mailcow

Docker-Mailserver mit Web-UI — DKIM, DMARC und Let's Encrypt integriert

Demnächst

DNS-Provider

DNS-Verwaltung für MX-Records, DNSSEC und DANE

Cloudflare DNS

Kostenloser DNS mit 1-Click-DNSSEC und Workers für MTA-STS

Demnächst

Hetzner DNS

Kostenlose DNS Console mit DNSSEC-Unterstützung und API

Demnächst
Drittanbieter & Marketing-Tools

Transaktionale Sender korrekt authentifizieren

Newsletter-Tools und transaktionale Sender benötigen eigene SPF- und DKIM-Einträge. Die Anleitungen finden Sie in den jeweiligen Protokoll-Kapiteln.

SendGrid

Kapitel: SPF, DKIM

HubSpot

Kapitel: SPF, DKIM 7-9 SPF Lookups!

Mailchimp

Kapitel: SPF, DKIM

Amazon SES

Kapitel: SPF, DKIM

rapidmail DACH

Kapitel: SPF, DKIM

CleverReach DACH

Kapitel: SPF, DKIM

Die Anleitungen für Drittanbieter werden in den jeweiligen Protokoll-Kapiteln veröffentlicht — z.B. unter SPF und DKIM.

So funktioniert's

In 3 Schritten zur sicheren E-Mail-Infrastruktur

1

Scannen

Der kostenlose Email Security Check analysiert Ihre Domain in Sekunden. 165 Prüfpunkte von SPF über DKIM bis DANE — Sie sehen sofort, wo Sie stehen und wo Handlungsbedarf besteht.

2

Verstehen

Jedes Kapitel erklärt das „Warum“ hinter jedem Protokoll. Keine Black-Box-Empfehlungen — Sie verstehen die Bedrohung, die Lösung und die DNS-Konfiguration.

3

Umsetzen

Provider-spezifische Anleitungen mit copy-paste-fertigen DNS-Records. Microsoft 365, Google Workspace, IONOS, Postfix — immer mit Monitoring-Phase vor dem Enforcement.

Wie sicher ist Ihre E-Mail-Infrastruktur?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.

Häufig gestellte Fragen

Was sind SPF, DKIM und DMARC?

SPF (Sender Policy Framework) definiert per DNS-Record welche Server E-Mails für Ihre Domain senden dürfen. DKIM (DomainKeys Identified Mail) signiert jede E-Mail kryptographisch, sodass Empfänger die Echtheit prüfen können. DMARC (Domain-based Message Authentication) führt beide zusammen und bestimmt was mit nicht-authentifizierten E-Mails passiert. Zusammen bilden sie die Grundlage moderner E-Mail-Authentifizierung.

Warum brauche ich E-Mail-Authentifizierung?

Ohne SPF, DKIM und DMARC kann jeder E-Mails in Ihrem Namen versenden. Das ermöglicht Phishing, CEO-Fraud (BEC) und Reputationsschäden. Seit 2024 verlangen Google, Microsoft und Yahoo DMARC-Authentifizierung für alle Absender. Ab Mai 2025 lehnt Microsoft unauthentifizierte Massen-E-Mails aktiv ab. Für NIS2-pflichtige Unternehmen ist E-Mail-Authentifizierung eine Pflichtmaßnahme nach Art. 21.

Wie teste ich meine E-Mail-Sicherheit?

Mit dem kostenlosen Wolf-Agents Email Security Check. Er prüft 165 Punkte in Sekunden: SPF-Syntax und Lookup-Limit, DKIM-Signatur und Schlüsselstärke, DMARC-Policy und Alignment, MTA-STS, DANE, BIMI und mehr. Sie erhalten eine Note pro Kategorie und konkrete Verbesserungsvorschläge.

Muss ich alle Kapitel umsetzen?

Beginnen Sie mit SPF, DKIM und DMARC — das sind die drei wichtigsten Protokolle und adressieren 80% der Bedrohungen. Ergänzen Sie danach MTA-STS für Transport-Verschlüsselung und BIMI für Markenidentität. DANE und ARC sind für fortgeschrittene Szenarien relevant.

Wie lange dauert die Einrichtung?

SPF: 10-15 Minuten (ein DNS-Record). DKIM: 15-30 Minuten je nach Provider. DMARC: 5 Minuten für p=none, 4-12 Wochen für den Weg zu p=reject (Monitoring-Phase). Bei Cloud-Providern wie Microsoft 365 oder Google Workspace ist vieles vorkonfiguriert — Sie müssen hauptsächlich DNS-Records anlegen.

Was kostet der Email Security Guide?

Der gesamte Guide ist kostenlos. Alle Kapitel, alle Provider-Anleitungen, alle Deep-Dives. Der Wolf-Agents Email Security Check ist ebenfalls kostenlos und ohne Registrierung nutzbar. Für automatisches Monitoring (alle 6 Stunden), Änderungserkennung und wöchentliche Digests gibt es die Wolf-Agents-Plattform.

Gilt der Guide auch für kleine Unternehmen?

Ja. SPF, DKIM und DMARC sind unabhängig von der Unternehmensgröße — jede Domain braucht sie. Die Provider-Anleitungen decken IONOS, Strato, All-Inkl und andere DACH-Hoster ab, die von KMU genutzt werden. Die NIS2-Pflicht betrifft ab 2026 auch mittelständische Unternehmen in kritischen Sektoren.