ARC & SEG für Proton Mail — ARC-Validierung und Schutz
Proton AG (Genf, Plan-les-Ouates, Schweiz) ist ein Sonderfall in diesem Kapitel: Proton wertet ARC beim Empfang aktiv aus — allerdings eingeschränkt auf eine begrenzte Liste vertrauenswürdiger Parteien. Eine eigene ARC-Signierung beim Weiterleiten ist nicht belegt. Als Inhaltsfilter-Schicht bringt Proton einen integrierten Spam- und Phishing-Schutz mit. Diese Anleitung zeigt, wie Protons eingeschränkte ARC-Auswertung funktioniert, was die SEG-Schicht leistet und wie sich die Souveränitäts-Kette nach revDSG und Anti-CLOUD-Act über CH Art. 271 StGB einordnet.
ARC und SEG für Proton Mail (CH, Genf)
Proton Mail (Proton AG, Genf, Plan-les-Ouates, Schweiz) unterscheidet sich bei ARC von den übrigen Providern dieses Kapitels: Proton wertet ARC beim Empfang aktiv aus. Diese Auswertung ist aber bewusst eingeschränkt — Proton akzeptiert eine ARC-Kette nur von einer begrenzten Liste vertrauenswürdiger Parteien. Eine eigene ARC-Signierung ausgehender, von Proton weitergeleiteter Nachrichten ist dagegen nicht explizit belegt; hier bleibt die Darstellung konservativ. Als Inhaltsfilter-Schicht bringt Proton einen integrierten Spam- und Phishing-Schutz mit.
Verwaltet wird ein Proton-Konto über den Proton Account (account.proton.me). Der integrierte Schutz kennzeichnet verdächtige Nachrichten: ein Warnbanner bei Phishing-Verdacht, ein expliziter Hinweis bei DMARC-Fehlschlag und eine Link-Bestätigung vor dem Öffnen verdächtiger URLs. Dieser Schutz ist in Proton fest eingebaut und kein vom Kunden zuschaltbares Enterprise-SEG mit Sandboxing und URL-Rewriting. Die Proton-Dokumentation (proton.me/support/custom-domain, Abruf 2026-05-21) beschreibt das Custom-Domain-Setup; das DNS einer Custom-Domain liegt beim externen DNS-Provider.
Hardening-Pfad: MX → SPF → DKIM → DMARC → DMARC-Enforcement → DNS-Sicherheit → ARC & SEG (dieser Guide). Bedrohungs-Cluster: Protons integrierter Schutz wirkt gegen Phishing, Business Email Compromise und gefährliche Anhänge.
ARC (RFC 8617) trägt seit der Veröffentlichung im Juli 2019 den IETF-Status Experimental. Das Working-Group-Dokument draft-ietf-dmarc-arc-to-historic (Stand 22. April 2026) empfiehlt eine Reklassifizierung als Historic, Nachfolger ist DKIM2. Protons zurückhaltender Umgang mit ARC passt zu dieser Einordnung: Statt jeder ARC-Kette zu vertrauen, beschränkt sich Proton auf eine kleine Liste vertrauenswürdiger Parteien — genau das vorsichtige Verhalten, das das experimentelle Reputationsmodell von ARC nahelegt. Für Ihre Proton-Custom-Domain gibt es keinen eigenen ARC-Konfigurationsschritt; relevant ist, das Verhalten zu verstehen.
ARC- und SEG-Ausgangslage der Proton-Custom-Domain prüfen
Bevor Sie Protons ARC-Verhalten einordnen, prüfen Sie den Ist-Zustand: das MX-Pattern für die Stack-Detection, die DMARC-Policy als Voraussetzung der gesamten Authentifizierungskette und das ARC-Ergebnis im Header einer weitergeleiteten Test-Mail. Proton-Custom-Domains erkennen Sie am MX-Pattern mail.protonmail.ch und mailsec.protonmail.ch.
# Proton-MX-Pattern prüfen (Stack-Detection)
dig MX ihre-domain.com +short
# Erwartet:
# 10 mail.protonmail.ch.
# 20 mailsec.protonmail.ch.
# DMARC-Policy der eigenen Domain (Voraussetzung der gesamten Kette)
dig TXT _dmarc.ihre-domain.com +short
# Erwartet: v=DMARC1; p=quarantine; ... oder v=DMARC1; p=reject; ...
# ARC-Ergebnis im Header einer eingehenden, weitergeleiteten Mail
# (Proton: ... -> Header anzeigen)
# Erwartet bei intakter Kette u. a.:
# ARC-Seal: i=1; ...; cv=none; ...
# Authentication-Results: ...; arc=pass (i=1 ...)
# Hinweis: Proton WERTET ARC beim Empfang aus, akzeptiert eine
# ARC-Kette aber nur von vertrauenswürdigen Parteien. Eine
# eigene ARC-Signierung beim Weiterleiten ist bei Proton
# nicht belegt.ARC und ein SEG ergänzen die E-Mail-Authentifizierung, sie ersetzen sie nicht. Steht die DMARC-Policy Ihrer Proton-Custom-Domain noch auf p=none, bleibt der Domain-Missbrauch durch Dritte ungebremst. Arbeiten Sie daher zuerst den Hardening-Pfad bis DMARC-Enforcement ab — bei Proton liegen SPF, DKIM und DMARC als Einträge beim externen DNS-Provider Ihrer Custom-Domain. Erst auf einer Domain mit p=quarantine oder p=reject wird Protons ARC-Auswertung überhaupt relevant.
Protons eingeschränkte ARC-Validierung und integrierten Schutz verstehen
Anders als die übrigen Managed-Hoster dieses Kapitels wertet Proton ARC beim Empfang aus — aber bewusst eingeschränkt. Proton akzeptiert eine ARC-Kette nur von einer begrenzten Liste vertrauenswürdiger Parteien. Der folgende Block zeigt das Proton-Originalzitat samt Übersetzung sowie den integrierten Spam- und Phishing-Schutz.
# Proton-Originalzitat zur ARC-Auswertung (proton.me):
#
# ENGLISCHES ORIGINAL:
# "At Proton, we currently only accept messages that fail
# DMARC for a limited set of parties that we trust to
# implement ARC correctly."
#
# DEUTSCHE UEBERSETZUNG (sinngemäß):
# "Bei Proton akzeptieren wir derzeit Nachrichten, die DMARC
# nicht bestehen, nur von einer begrenzten Menge an Parteien,
# denen wir zutrauen, ARC korrekt umzusetzen."
#
# Bedeutung: Proton nutzt ARC NICHT als pauschalen Freifahrtschein.
# Eine weitergeleitete Mail, bei der DMARC scheitert, wird nur
# dann doch zugestellt, wenn die ARC-Kette von einer Proton
# bekannten, vertrauenswürdigen Partei stammt.
#
# Integrierter Schutz im Proton Account:
# - Spam-/Phishing-Erkennung mit Warnbanner
# - DMARC-Fehlschlag-Warnung an der Nachricht
# - Link-Bestätigung vor dem Oeffnen verdächtiger URLsDass Proton ARC nur von einer begrenzten Liste vertrauenswürdiger Parteien akzeptiert, ist eine bewusste Sicherheitsentscheidung. ARC-Vertrauen ist nicht transitiv: Wer jeder ARC-Kette glaubt, öffnet ein Einfallstor — eine bösartige Zwischenstation könnte eine ARC-Kette fälschen und so DMARC aushebeln. Indem Proton nur Parteien zulässt, denen es die korrekte ARC-Umsetzung zutraut, bleibt die Schutzwirkung von DMARC erhalten. Praktische Konsequenz: Eine über eine exotische Mailingliste weitergeleitete Nachricht, die DMARC nicht besteht, wird bei Proton möglicherweise trotz gültiger ARC-Kette nicht zugestellt — das ist erwartetes Verhalten, kein Konfigurationsfehler Ihrer Domain.
ARC-Strategie und Souveränitäts-Kette festlegen
Für ARC gibt es auf einer Proton-Custom-Domain keinen Konfigurationsschritt: Protons ARC-Auswertung beim Empfang läuft serverseitig, eine eigene ARC-Signierung beim Weiterleiten ist nicht belegt — hier bleibt die Darstellung konservativ. Die strategische Aufgabe ist daher keine ARC-Konfiguration, sondern die Souveränitäts-Kette: Wo liegen Mailserver, DNS und ein eventuell vorgeschaltetes SEG?
Proton AG ist ein Schweizer Unternehmen ohne US-Tochtergesellschaft, alle Mail-Server stehen in der Schweiz — ein US-CLOUD-Act-Vektor entfällt, ergänzend wirkt CH Art. 271 StGB (Verbot von Handlungen für einen fremden Staat ohne behördliche Bewilligung). Das revidierte Datenschutzgesetz (revDSG, in Kraft seit 1. September 2023) verlangt in Art. 8 angemessene technische und organisatorische Maßnahmen — Protons integrierter Spam- und Phishing-Schutz ist eine solche, im Verzeichnis der Bearbeitungstätigkeiten dokumentierbare Maßnahme. Wer ein dediziertes SEG vor Proton schalten will, sollte wissen: Ein vorgeschaltetes Gateway sieht die Klartext-Mail vor der Zustellung an Proton und verschiebt einen Teil der Verarbeitung aus Protons Schweizer Hoheit heraus. Für die konsequente Souveränitäts-Kette wäre ein SEG mit CH- oder EU-Datenhaltung zu wählen — ein US-basiertes Gateway öffnet die sonst lückenlose Proton-Kette an genau einer Stelle.
Proton verfolgt einen anderen ARC-Ansatz als Microsoft 365 oder Google Workspace: Proton validiert ARC beim Empfang grundsätzlich, betreibt aber keine sichtbare Trusted-ARC-Sealers-Konfiguration wie M365 — anders als Set-ArcConfig in Exchange Online gibt es im Proton-Admin-Panel keinen Schalter „diesen externen ARC-Sealer als vertrauenswürdig einstufen“. Das hat konkrete Folgen für drei typische Forwarding-Szenarien: (1) Proton-Adresse auf externes Postfach weiterleiten (z. B. name@proton.me → externes Gmail/M365-Konto): Proton signiert beim Weiterleiten nicht durchgehend dokumentiert ARC, der empfangende Server muss sich auf die SPF/DKIM-Restkette verlassen — bei DMARC-Enforcement der Original-Domain mit p=reject kann das fehlschlagen. (2) Externe Mailingliste an Proton-Adresse: Wenn die Liste ARC-signiert (etwa Google Groups), kommt das ARC-Ergebnis bei Proton an — wie Proton die Trusted-Sealer-Frage intern behandelt, ist nicht so detailliert dokumentiert wie bei M365. (3) Custom-Domain bei Proton mit externer Adresswahl: Hier ist der Forwarding-Pfad besonders sensibel, weil sowohl DMARC-Policy der Custom-Domain als auch Proton-interne ARC-Behandlung greifen. Praxis-Empfehlung: Bei kritischem Forwarding-Bedarf (Berufsgeheimnis, Mailing-Liste-zentral) eher M365 oder Google Workspace mit expliziter Trusted-ARC-Sealers-Liste nutzen; Proton bleibt stark für direkten Mail-Empfang in der CH-Souveränitäts-Kette, ist aber kein ARC-Forwarder-Drehkreuz. Forward-Looking: DKIM2 (draft-ietf-dkim-dkim2-spec v02 vom 17. Mai 2026) adressiert genau dieses Forwarding-Problem nativ — Proton wird das Nachfolge-Protokoll voraussichtlich übernehmen, sobald Standards Track erreicht.
Verifikation per Header-Analyse und Wolf-Agents-Scanner
Protons ARC-Auswertung prüfen Sie an einer real weitergeleiteten E-Mail: Senden Sie eine Nachricht über eine Mailingliste an Ihre Proton-Custom-Domain und kontrollieren Sie den Header über die Header-anzeigen-Funktion in Proton. Die Wirkung des integrierten Schutzes zeigt sich an Warnbanner und DMARC-Fehlschlag-Hinweis an verdächtigen Nachrichten.
# 1. Test-Mail über eine Mailingliste / Weiterleitung an die
# Proton-Custom-Domain senden.
# 2. In Proton: ... -> Header anzeigen (Originalnachricht).
# 3. Prüfen:
# ARC-Seal: i=1; ...; cv=none; ...
# Authentication-Results: ...; arc=pass ...
# Bei DMARC-Fehlschlag entscheidet Protons Trusted-Party-Liste,
# ob die Mail trotz arc=pass zugestellt wird.
# Schutz-Wirkung: Proton kennzeichnet verdächtige Mail mit
# Warnbanner und DMARC-Fehlschlag-Hinweis.
# Wolf-Agents Email Security Check: erkennt Proton-MX-Hostnamen
# (protonmail.ch) automatisch und prüft ARC-Detection plus
# SEG-Status der Domain.
Ergänzend prüfen Sie mit dem Wolf-Agents Email Security Check — dieser erkennt Proton-MX-Hostnamen automatisch über die Endung protonmail.ch, bewertet die ARC-Detection und gleicht die MX-Records gegen die SEG-Provider-Datenbank ab. Schalten Sie ein dediziertes SEG vor, erkennt der Scanner dessen MX-Muster. Das Monitoring überwacht die E-Mail-Sicherheit alle 6 Stunden.
Häufige Fehler bei ARC & SEG für Proton Mail
Angenommen, Proton signiere weitergeleitete Mail mit ARC
Problem: Es wird erwartet, dass Proton beim Weiterleiten eine eigene ARC-Kette erzeugt. Ursache: Proton wertet ARC beim Empfang aus, eine eigene ARC-Signierung beim Weiterleiten ist aber nicht belegt — die beiden Richtungen werden verwechselt. Lösung: Konservativ planen: Verlassen Sie sich nicht darauf, dass Proton eine ARC-Kette setzt; der Wert von ARC für Ihre Domain liegt in der Auswertung durch empfangende Provider.
Weitergeleitete Mail bleibt aus — ARC-Kette nicht in Protons Trusted-Party-Liste
Problem: Eine über eine Mailingliste weitergeleitete Nachricht erreicht das Proton-Postfach nicht, obwohl die Liste eine ARC-Kette setzt. Ursache: Proton akzeptiert ARC nur von einer begrenzten Liste vertrauenswürdiger Parteien — ist der Weiterleiter nicht darunter und scheitert DMARC, wird die Mail nicht zugestellt. Lösung: Das ist erwartetes Verhalten; den Original-Absender bitten, SPF/DKIM korrekt zu setzen, oder die Liste so konfigurieren, dass DKIM die Weiterleitung übersteht.
Integrierten Schutz als vollwertiges Enterprise-SEG missverstanden
Problem: Protons Warnbanner und Link-Bestätigung werden als Ersatz für ein dediziertes Secure Email Gateway betrachtet. Ursache: Der integrierte Schutz erkennt Spam- und Phishing-Merkmale, leistet aber kein Sandboxing, kein dauerhaftes URL-Rewriting und keine Impersonation Protection wie ein Enterprise-SEG. Lösung: Den integrierten Schutz nutzen und bei erhöhtem Schutzbedarf prüfen, ob ein dediziertes SEG mit CH/EU-Datenhaltung vorgeschaltet werden soll.
„Proton verschlüsselt ohnehin — wir brauchen kein DMARC“
Problem: Protons E2E-Verschlüsselung wird als Ersatz für SPF/DKIM/DMARC betrachtet. Ursache: Verwechslung der Schutzrichtungen — Verschlüsselung schützt den Inhalt, DMARC verhindert Missbrauch der eigenen Domain durch Dritte. Lösung: SPF, DKIM und DMARC für die Custom-Domain beim externen DNS-Provider korrekt setzen und DMARC auf Enforcement bringen.
Compliance: NIS2 lit. a + lit. d, BSI APP.5.3.A4, revDSG mit Proton Mail
Protons integrierter Spam- und Phishing-Schutz — oder ein vorgeschaltetes dediziertes SEG — zahlt direkt auf NIS2 Art. 21 Abs. 2 lit. a ein („Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme“) und setzt die BSI-IT-Grundschutz-Basis-Anforderung APP.5.3.A4 um (Spam- und Schadsoftware-Prüfung auf dem E-Mail-Server). Protons ARC-Validierung beim Empfang sichert die Authentifizierungskette über Weiterleitungen ab und unterstützt damit lit. d (Sicherheit der Lieferkette) — durch die Beschränkung auf vertrauenswürdige Parteien bleibt der DMARC-Schutz dabei erhalten. Schweizer Datensouveränität: Proton AG ist ein Schweizer Unternehmen, alle Mail-Server stehen in der Schweiz, das revidierte Datenschutzgesetz (revDSG, in Kraft seit 1. September 2023) fordert in Art. 8 angemessene technische Maßnahmen, und CH Art. 271 StGB wirkt als Anti-CLOUD-Act-Hürde.
Proton-ARC-SEG-Compliance-Stack: NIS2 lit. a (integrierter Schutz als Defense-in-Depth-Schicht) + NIS2 lit. d (Protons eingeschränkte ARC-Validierung sichert die Forwarding-Lieferkette) + BSI IT-Grundschutz APP.5.3.A4 (Spam-/Schadsoftware-Prüfung) + DSGVO Art. 32 (Schutz personenbezogener Daten) + revDSG Art. 8 (Schweizer TOM, in Kraft seit 1. September 2023) + Anti-CLOUD-Act via CH Art. 271 StGB. Ehrliche Einordnung: ARC (RFC 8617) ist ein IETF-Experimental-Protokoll und in den BSI-Richtlinien TR-03108 und TR-03182 nicht normiert — ARC ist eine sinnvolle, aber nicht „BSI-empfohlene“ Ergänzung. Wolf-Agents-USP: Der Email Security Check erkennt Proton-Domains automatisch über das MX-Suffix protonmail.ch, bewertet ARC-Detection und SEG-Status im 165-Punkte-Scanner (ARC und SEG als je 5 Bonuspunkte) und weist transparent aus, dass API-basierte ICES-Lösungen für MX-basierte Erkennung unsichtbar bleiben. Cross-Verweis: Phishing und Business Email Compromise.
ARC- und SEG-Anleitung für weitere Provider:
Wie steht Ihre Domain bei ARC & SEG · Proton Mail?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.