Email Security verstehen: Architektur, Bedrohungen & 12 Kapitel
Email ist seit Jahrzehnten der häufigste Initial-Access-Vektor — Verizon DBIR 2025 sieht Phishing weiterhin bei 16 % aller Breaches (19 % in EMEA), FBI IC3 Annual Report 2024 zählt 2,77 Mrd. USD BEC-Schaden allein in den USA. Dieses Einführungs-Kapitel erklärt die SMTP-Architektur, ordnet die Bedrohungslage 2026 ein, gibt die Compliance-Landschaft im DACH-Raum wieder und führt Sie strukturiert durch die 12 Hauptkapitel des Wolf-Agents Email Security Guides — vom ersten MX-Lookup bis zur NIS2-Audit-Vorbereitung.
Was ist Email Security und warum sie existenzkritisch ist
Email Security umfasst alle technischen und organisatorischen Maßnahmen, die verhindern, dass eine E-Mail im Namen Ihrer Domain gefälscht, abgefangen oder manipuliert werden kann. Das Fundament bilden drei DNS-basierte Authentifizierungsprotokolle: SPF (Sender Policy Framework, RFC 7208), DKIM (DomainKeys Identified Mail, RFC 6376) und DMARC (RFC 7489). Ergänzt um MTA-STS (Transport-Verschlüsselung), DNSSEC + DANE + CAA (DNS-Härtung) und BIMI (Markenlogo) bildet diese Stack die Grundlage der modernen Email-Authentifizierung — Stand der Technik laut BSI TR-03108 und BSI TR-03182.
Ohne diese Trias kann jeder Mailserver E-Mails mit beliebiger From-Adresse versenden — der SMTP-Standard von 1982 (heute RFC 5321) sieht keinerlei Authentifizierung des Absenders vor. CEO-Fraud, Business Email Compromise (BEC) und Markenmissbrauch im Phishing-Kontext werden dadurch technisch trivial. Der Wolf-Agents Email Security Check bewertet Ihre eigene Domain in Sekunden gegen 165 Prüfpunkte und zeigt, wie weit ein Angreifer heute kommen könnte.
DACH-Compliance-Landschaft 2026 — drei Rechtsrahmen, dieselben technischen Anforderungen
- Deutschland — NIS2-Umsetzungsgesetz (NIS2UmsuCG): Seit 6. Dezember 2025 in Kraft, BGBl. 2025 I Nr. 301. Artikel 21 Abs. 2 lit. h (Kryptografie und Verschlüsselung) fordert messbare Authentifizierungs- und Transport-Schutzmaßnahmen — SPF, DKIM, DMARC, MTA-STS und DNSSEC sind direkt prüfbare Indikatoren. §38 BSIG-Geschäftsleitungs-Haftung greift bei Versäumnissen.
- Österreich — NISG 2026: Beschlossen am 12. Dezember 2025 vom Nationalrat (zwei-Drittel-Mehrheit, ÖVP/SPÖ/NEOS/Grüne), publiziert am 23. Dezember 2025 (BGBl. I Nr. 94/2025), Inkrafttreten am 1. Oktober 2026. Rund 4.000 österreichische Unternehmen fallen in den Anwendungsbereich. Zur Umsetzung wird ein eigenes Bundesamt für Cybersicherheit gegründet (172 Stellen bis 2029).
- Schweiz — Informationssicherheitsgesetz (ISG): Seit 1. Januar 2024 in Kraft, 24-Stunden-Meldepflicht für kritische Infrastrukturen seit 1. April 2025, Bussen bis CHF 100.000 seit 1. Oktober 2025. NIS2 gilt für die Schweiz nicht direkt — aber über die NIS2-Supply-Chain-Anforderungen können EU-Kunden DMARC-Enforcement als Vertragsvoraussetzung fordern.
- DSGVO Art. 32 (querschnittlich): Verlangt „geeignete technische und organisatorische Maßnahmen“ nach dem „Stand der Technik“. BSI TR-03182 (Februar 2024) definiert SPF, DKIM, DMARC als mandatory (M) — damit ist der Stand der Technik für E-Mail-Authentifizierung explizit gesetzt. Das BSI hat 2025 als „Jahr der E-Mail-Sicherheit“ ausgerufen.
- PCI DSS 4.0.1: Seit 31. März 2025 verlangt Requirement 5.4.1 technische Anti-Phishing-Mechanismen. Die offizielle Guidance nennt DMARC, SPF und DKIM explizit. Security-Awareness-Training allein reicht nicht mehr. Strafrahmen bei Nicht-Compliance: 5.000 USD bis 100.000 USD pro Monat.
Quellen: parlament.gv.at PK1189 · ris.bka.gv.at BGBl. I/2025/94 · BSI NIS2-Richtlinie · BSI-Lagebericht 2025. Abruf-Datum 18. Mai 2026.
Die 12 Hauptkapitel im Überblick
Die 12 Hauptkapitel sind als Hardening-Pfad gedacht: Kapitel 01-04 bilden das Fundament (MX, SPF, DKIM, DMARC), Kapitel 05-07 ergänzen Enforcement und Transport-Sicherheit, Kapitel 08-10 erschließen erweiterte Schutzmechanismen (BIMI, DNSSEC, ARC), Kapitel 11-12 schließen mit Alias-Strategie und Compliance-Dokumentation ab. Schwierigkeit und Ausfallrisiko sind pro Kapitel ausgewiesen — beginnen Sie mit den Beginner-Kapiteln (Risiko: Keins) und arbeiten sich zu den Advanced-Kapiteln vor.
| Nr | Kapitel | Schwierigkeit | Zeitaufwand | Risiko | Kurzbeschreibung |
|---|---|---|---|---|---|
| 01 | MX-Records & Infrastruktur | Einsteiger | 30-60 Min | Keins | Routing-Grundlagen, PTR/FCrDNS-Validierung und Redundanz. |
| 02 | SPF (Sender Policy Framework) | Einsteiger | 1-2 Std | Gering | Autorisierte Sender per DNS-TXT-Record, 10-Lookup-Limit nach RFC 7208 § 4.6.4. |
| 03 | DKIM (DomainKeys Identified Mail) | Fortgeschritten | 1-2 Std | Gering | Kryptografische Signatur (RFC 6376), 2048-Bit-RSA oder Ed25519, Key-Rotation. |
| 04 | DMARC (Domain Authentication) | Einsteiger | 30-60 Min | Keins (p=none) | Alignment + Policy nach RFC 7489, Aggregat- und Failure-Reports. |
| 05 | DMARC Enforcement Roadmap | Fortgeschritten | 4-12 Wochen | Hoch (p=reject) | Stufenweise von p=none zu p=reject — Microsoft fordert seit 5. Mai 2025 SPF/DKIM/DMARC. |
| 06 | MTA-STS & TLS-RPT | Fortgeschritten | 1-2 Std | Mittel | STARTTLS-Downgrade-Schutz nach RFC 8461, TLS-Reporting nach RFC 8460. |
| 07 | SMTP-TLS & Zertifikate | Fortgeschritten | 1-3 Std | Mittel | STARTTLS, TLS 1.3 und Zertifikatsmanagement nach BSI TR-03108. |
| 08 | BIMI & VMC | Einsteiger | 1-2 Std | Keins | Markenlogo im Posteingang — DMARC-Enforcement und Verified Mark Certificate. |
| 09 | DNS-Sicherheit (DNSSEC, DANE, CAA) | Experte | 2-4 Std | Hoch | DNSSEC (RFC 4033 ff.), DANE TLSA (RFC 6698/7672), CAA (RFC 8659). |
| 10 | ARC & Security Email Gateway | Fortgeschritten | 1-2 Std | Mittel | Authenticated Received Chain (RFC 8617) für Weiterleitungen und SEG-Integration. |
| 11 | E-Mail-Alias-Strategie | Einsteiger | 15-25 Min | Keins | Native Provider-Aliase, dedizierte Privacy-Anbieter (SimpleLogin/Proton, addy.io) und Leak-Erkennung via HIBP. |
| 12 | Compliance & Dokumentation (geplant) | Einsteiger | 1-2 Std | Keins | NIS2 Art. 21, DSGVO Art. 32, BSI TR-03108 — Audit-Vorbereitung und Nachweis. |
Empfohlene Lese-Reihenfolge
- Phase 1 — Fundament (Kapitel 01-04, 3-5 Std): MX-Records prüfen, SPF + DKIM + DMARC mit p=none. Risiko: Keins. Ergebnis: Vollständige Sichtbarkeit aller legitimen Email-Sender via DMARC-Aggregat-Reports.
- Phase 2 — Enforcement + Transport (Kapitel 05-07, 4-12 Wochen + 2-5 Std): DMARC-Enforcement stufenweise zu p=quarantine und p=reject. MTA-STS und SMTP-TLS für Transport-Verschlüsselung. Risiko: Mittel-Hoch. Ergebnis: Direktes Domain-Spoofing technisch unmöglich, STARTTLS-Downgrade abgewehrt.
- Phase 3 — Erweiterte Sicherheit (Kapitel 08-10, 4-8 Std): BIMI für Markenlogo im Posteingang. DNSSEC + DANE + CAA für DNS-Härtung. ARC für Weiterleitungsschutz. Risiko: Hoch (DNSSEC kann Domain unerreichbar machen bei Fehlern). Ergebnis: NIS2 Art. 21 Abs. 2 lit. h vollständig erfüllt.
- Phase 4 — Strategie + Compliance (Kapitel 11-12, 1-3 Std): Alias-Strategie zur Leak-Erkennung, Compliance-Dokumentation und Audit-Vorbereitung. Risiko: Keins. Ergebnis: NIS2-Audit-ready, dokumentierter Stand der Technik.
Hardening-Pfad — 4 Phasen vom Fundament zur Compliance-Strategie
Horizontale 4-Phasen-Roadmap für Email-Security-Hardening: Phase 1 Fundament (SPF + DKIM) → Phase 2 Enforcement (DMARC + MTA-STS) → Phase 3 Erweitert (DANE + DNSSEC + BIMI) → Phase 4 Strategie (Audit + NIS2-Registrierung + DSGVO-Nachweis).
Pillar-Cluster-Übersicht — 5 Cluster × 12 Kapitel × 4 Phasen
Wolf-Agents-Architektur als 5 thematische Cluster: A MX + DNS-Routing (Kapitel 01, 09, 25 Punkte) / B Authentifizierung (02-05, 79 Punkte) / C Transport-Sicherheit (06-07, 20 Punkte) / D Identität + Markenbildung (08, 10 Punkte) / E Resilience + Operative (10-12, 31 Punkte). Cluster über 4 Hardening-Phasen (Fundament/Enforcement/Erweitert/Strategie) verteilt.
Die 5 wichtigsten Email-Bedrohungsklassen
Email-Bedrohungen gruppieren sich in drei Achsen: Authentifizierungs-Angriffe (Absender-Fälschung), Inhalt-Angriffe (Payload-Auslieferung) und Identitäts-Angriffe (Domain-Imitation). Die folgenden fünf Bedrohungsklassen decken den Großteil aller dokumentierten DACH-Schäden ab — von trivialen Marketing-Spoofs über CEO-Fraud bis zu hochentwickelten Lieferketten-Übernahmen wie der SubdoMailing-Kampagne. Der vollständige Bedrohungs-Cluster behandelt 11 Angriffstypen mit MITRE-ATT&CK-Zuordnung und Schutzmaßnahmen-Matrix.
Spoofing
Direkte Absender-Fälschung. Basis für nahezu alle Email-Angriffe. SPF/DKIM/DMARC sind die direkte Verteidigung.
T1566.001Business Email Compromise (BEC)
CEO-Fraud, Lohnumleitung, Lieferanten-Manipulation. Laut FBI IC3 Annual Report 2024: 2,77 Mrd. USD Schaden in den USA.
T1566.002Phishing (klassisch + KI)
Häufigster Initial-Access-Vektor laut Verizon DBIR 2025 (16 % aller untersuchten Breaches, 19 % in EMEA).
T1199Vendor Email Compromise (VEC)
83 % der Großunternehmen konfrontiert (Abnormal Security 2024) — übernommene Lieferanten-Accounts versenden im Lieferketten-Kontext.
T1584.001SubdoMailing
8.000+ kompromittierte Domains (Guardio Labs 2024) durch verwaiste DNS-Records — 5 Mio. Spam-Mails täglich mit gültigem SPF/DKIM/DMARC.
Alle 11 Email-Bedrohungs-Deep-Dives mit Schutzmaßnahmen-Matrix →
DACH-Bedrohungslage 2026 — 5 Klassen + Statistiken + Compliance-Kontext
Multimodale Übersicht: 5 Bedrohungsklassen (Spoofing T1566 / BEC T1566.001 / Phishing T1566.002 / VEC T1199 / SubdoMailing T1584.001) + Schlüssel-Statistiken aus BSI Lagebericht 2025 (1.7.2024 - 30.6.2025) + Verizon DBIR 2025 (12.195 Breaches) + FBI IC3 2024 (16,6 Mrd USD Cybercrime, 2,77 Mrd USD BEC) + KSV1870 + BACS. DACH-Compliance-Kontext: NIS2-Umsetzung DE 6.12.2025 + NISG 2026 AT 1.10.2026 + ISG CH 1.1.2024.
16 Provider in 5 Kategorien
Jedes der 12 Hauptkapitel enthält provider-spezifische Konfigurationsanleitungen mit copy-paste-fertigen DNS-Records, Admin-Console-Schritten und Verifikations-Befehlen (dig, nslookup, openssl s_client). Die Provider-Auswahl deckt die DACH-relevanten Cloud-Plattformen, deutsche und schweizerisch-österreichische Hoster sowie Self-Hosted-Lösungen vollständig ab. Konzern-Konsistenz: Microsoft Corp. (US) für Microsoft 365, Google LLC (US-Alphabet-Tochter) für Google Workspace, Proton AG (Genf, CH) für Proton Mail.
Cloud-Plattformen (2)
Microsoft 365, Google Workspace
Enterprise-Email mit integrierter Admin-Console. Automatisches DKIM-Rotation bei Microsoft 365 (Exchange Online seit 2020). Google Workspace mit 2048-Bit-DKIM und Google Postmaster Tools.
DACH-Hosting Deutschland (5)
IONOS, Strato, All-Inkl, Hetzner, Netcup
Konzern-Konsistenz: Strato ist seit April 2017 United Internet AG-Marke (IONOS Group SE). All-Inkl ist Neue Medien Münnich GmbH (Friedersdorf-Verwaltung, Dresden-Datacenter).
DACH (CH/AT) (4)
Hostpoint, Infomaniak, World4You, Proton Mail
World4You ist seit 2018 United Internet AG-Marke (RZ Linz, Wien als zusätzlicher Standort). Proton Mail wird von Proton AG (Genf, Schweiz) betrieben — gegründet 2014 nach CERN-Crowdfunding.
Self-Hosted (3)
Postfix, Exim, Mailcow
Höchste Konfigurationskontrolle, höchster Operations-Aufwand. DANE-Support bei Postfix ab Version 2.11 (siehe Cross-Reference im DNS-Sicherheit-Kapitel).
DNS-Provider (2)
Cloudflare DNS, Hetzner DNS
DNS-Verwaltung für MX-Records, DNSSEC-Signierung (Cloudflare: ECDSAP256SHA256, Algorithmus 13) und CAA-Records — relevant für die Kapitel 01, 06 und 09.
Wie Sie diesen Ratgeber nutzen — drei typische Pfade
Je nach Vorwissen und Ziel-Rolle ergeben sich drei typische Pfade durch den Email Security Guide. Anfänger arbeiten linear durch die Hauptkapitel 01-12, Profis vertiefen in den 9 Einführungs-Deep-Dives spezifische Themen wie Email-Header-Forensik oder S/MIME-vs-PGP, Decision-Maker fokussieren auf Compliance-Sichten (NIS2, BSI TR-03108, DSGVO Art. 32) und die Hardening-Pfad-Roadmap.
Pfad 1 — Anfänger (linear)
Sie sind IT-Admin und neu im Thema Email Security. Empfohlene Reihenfolge:
- Diese Einführung lesen (Sektionen 1-7)
- Kapitel 01 (MX) + Kapitel 02 (SPF)
- Kapitel 03 (DKIM) + Kapitel 04 (DMARC mit p=none)
- 4-12 Wochen DMARC-Reports analysieren
- Kapitel 05 (Enforcement) stufenweise zu p=reject
- Kapitel 06 (MTA-STS) + Kapitel 07 (SMTP-TLS)
Pfad 2 — Profi (selektiv)
Sie kennen SPF/DKIM/DMARC und wollen spezifische Themen vertiefen. Empfohlene Einstiege:
- Email-Header-Forensik (RFC 5322 + Authentication-Results-Parsing)
- Kapitel 09 (DNSSEC + DANE + CAA) für Self-Hosted
- Zustellbarkeits-Diagnose bei Spam-Problemen
- S/MIME vs. OpenPGP (RFC 8551 vs. RFC 4880) für E2E
- Trends 2026: KI-Phishing, BIMI-Adoption, NISG 2026
Pfad 3 — Decision-Maker (Compliance)
Sie sind CISO, Datenschutzbeauftragter oder Geschäftsführer:in mit NIS2-Pflicht.
- Sektion 1 dieser Einführung (Compliance-Landschaft)
- Sektion 2 dieser Einführung (Hardening-Pfad-Roadmap als Projektplan)
- Microsoft 365 vs. Google Workspace (DSGVO + EU Data Boundary vs. Data Regions)
- Proton Mail Deep-Dive (Anti-CLOUD-Act für sensible Kommunikation)
- Kapitel 12 (Compliance — Audit-Vorbereitung, geplant)
- Scanner-Lauf als dokumentierte Outside-In-Bewertung
9 Einführungs-Deep-Dives in drei Clustern
Neun Deep-Dives unter /einfuehrung/ vertiefen Themen, die in den 12 Hauptkapiteln nur gestreift werden. Drei Cluster: Zustellbarkeit (Warum Mails im Spam landen, IP-Reputation, Bounce-Management), Provider-Vergleich (Shared-Hosting-Limitationen, Microsoft 365 vs. Google Workspace) und Trends + Verschlüsselung (Email-Header, Trends 2026, Proton Mail, S/MIME vs. OpenPGP). Jeder Deep-Dive verlinkt bidirektional zu den passenden Hauptkapiteln.
Cluster 1 — Zustellbarkeit (3 Deep-Dives)
Diagnose und Tooling rund um die Frage „Warum kommen meine E-Mails nicht an?“
Warum Emails im Spam landen
SPF/DKIM/DMARC-Failures, Sender-Reputation, Content-Filter. Diagnose-Workflow mit Google Postmaster Tools, Microsoft SNDS, mail-tester.com.
IP-Reputation verstehen
Cisco Talos SenderBase, Spamhaus-Blocklisten (SBL/XBL/PBL/DBL/ZEN), Dedicated- vs. Shared-IP-Strategie.
Bounce-Management
Hard- vs. Soft-Bounces nach RFC 3463 (Klasse 4/5), Bounce-Rate-Schwellwerte und automatische Suppression-Lists.
Cluster 2 — Provider-Vergleich (2 Deep-Dives)
DACH-Vergleiche und DSGVO-Bewertung für die Provider-Wahl.
Cluster 3 — Trends + Verschlüsselung (4 Deep-Dives)
Aktuelle Entwicklungen 2026 und End-to-End-Verschlüsselung jenseits von DKIM.
Email-Header verstehen
Anatomie eines Email-Headers nach RFC 5322 (Return-Path, From, Received, Authentication-Results, DKIM-Signature). Header-Forensik bei Phishing-Verdacht.
Email-Security-Trends 2026
KI-Phishing, BIMI-Adoption, MTA-STS-Verbreitung, NISG 2026 (BGBl. I Nr. 94/2025, Inkrafttreten 1. Oktober 2026), ENISA EU 2024/2690.
Proton Mail Deep-Dive
Proton AG, Genf (CH): End-to-End-Verschlüsselung, Anti-CLOUD-Act, Art. 271 StGB, Schweizer Datenschutz.
S/MIME vs. OpenPGP
RFC 8551 (S/MIME v4, April 2019) vs. RFC 4880 (OpenPGP, November 2007) — End-to-End-Verschlüsselung jenseits von DKIM, Web of Trust vs. CA-Hierarchie.
Tools-Landschaft für DACH-Email-Sender
Email-Security-Diagnose erfordert mehrere komplementäre Tools — keiner deckt alle Schichten ab. Wolf-Agents Email Security Check bewertet die Outside-In-Sicht (eigene Authentifizierungs- und DNS-Konfiguration), Google Postmaster Tools und Microsoft SNDS liefern die Inside-Out-Sicht (wie die Mailbox-Provider die Versand-IP und Domain bewerten), Spamhaus und mail-tester.com prüfen Blocklisten und Content. Diese Toollandschaft strukturiert die wichtigsten DACH-relevanten Anbieter in drei Kategorien — verifiziert mit Direktlinks (Abruf 19. Mai 2026).
Mail-Test-Tools (Outside-In)
- mail-tester.com: Spam-Score 0-10 basierend auf SpamAssassin-Regeln, prüft SPF/DKIM/DMARC + 90 Blocklisten. Eindeutige Test-Adresse pro Lauf, kostenlose Nutzung mit Tageslimit.
- MXToolbox SuperTool: DNS-Diagnose für MX, SPF, DKIM, DMARC, BIMI, MTA-STS, TLS-RPT, A/AAAA/CNAME/PTR/SOA/TXT plus Blacklist-Check. MXToolbox, Inc. (US-Patente 10839353 B2, 11461738 B2), Copyright 2004-2026.
- Google Postmaster Tools: Spam-Rate, Domain- und IP-Reputation, Authentifizierungs-Erfolg, Verschlüsselungs-Quote, Zustellungs-Fehler für Versand an @gmail.com / @googlemail.com (Domain-Verifizierung via DNS-TXT-Record nötig). Dashboard-Dokumentation in support.google.com/mail/answer/9981691.
- Microsoft SNDS: IP-spezifische Reputations-Daten für Outlook.com, Hotmail.com, Live.com. Microsoft-Account + IP-Range-Berechtigung erforderlich. Komplementär dazu Microsoft Junk Email Reporting Program (JMRP) für ARF-formatierte Beschwerde-Feedbacks mit 30-Tage-Link-Expiration.
DMARC-Spezialisten + Beginner-Guides
- dmarcian Free Tools: 8 kostenfreie Tools (Domain Checker, DMARC Inspector, DMARC Record Wizard, SPF Surveyor, DKIM Inspector, DKIM Validator, XML-to-Human Converter, Data Providers). DMARC Management Platform als kostenpflichtiges Produkt mit 30-Tage-Trial. Knowledge Base + DMARC Academy.
- EasyDMARC: Laut Eigenangabe „175.000+ Domains in 130 Ländern“, G2-Rating 4.8/5, blockiert „380K+ Domain-Spoofing-Versuche täglich“, authentifiziert „9 Mrd. E-Mails täglich“. Tools für DMARC + SPF + DKIM + BIMI, Managed-Services, Reputation Monitoring, EasySender und Touchpoint MSP.
- BSI Bürger-CERT: DACH-spezifischer Beginner-Guide vom Bundesamt für Sicherheit in der Informationstechnik. Warnmeldungen und Newsletter für Bürger und kleine Unternehmen, Fokus auf akute Bedrohungen.
- Heise Security: DACH-IT-Security-Tagesnachrichten. „heise security“-Newsletter für IT-Admins, Security-PRO-Abonnement für vertiefte Analysen. Zielgruppe: IT-Verantwortliche in Unternehmen, schnelle Reaktion auf neue Threats und Vulnerabilities.
DACH-Threat-Reports + Behörden
- BSI Lagebericht 2025: Bundesamt für Sicherheit in der Informationstechnik — Berichtszeitraum 1. Juli 2024 bis 30. Juni 2025. Dokumentiert „Stabilisierung auf hohem Niveau“, 950 Ransomware-Meldungen, 82,6 % KI-generierte Phishing-Mails (zitiert KnowBe4).
- CERT-AT: Österreichs nationales Computer Emergency Response Team, Tochtergesellschaft der nic.at GmbH. Warnings, Daily Reports, Special Reports, Annual Reports seit 2013. Kontakt: team@cert.at, +43 1 5056416 78.
- BSI TR-03182 (Februar 2024): Technische Richtlinie zur sicheren E-Mail-Authentifizierung. SPF, DKIM, DMARC als mandatory (M) — definiert den „Stand der Technik“ für DACH-Email-Operations. 2025 vom BSI als „Jahr der E-Mail-Sicherheit“ hervorgehoben.
Empfohlene Tool-Reihenfolge bei Zustellbarkeits-Problemen: (1) Wolf-Agents Email Security Check (Outside-In, < 10 s) → (2) mail-tester.com (Content-Score 0-10, 1 min) → (3) MXToolbox Blacklist-Check (90+ Listen, 30 s) → (4) Google Postmaster Tools (Domain-Reputation, falls Gmail-Empfänger) → (5) Microsoft SNDS (falls Outlook-Empfänger). Bei systemischen DACH-Problemen ergänzend BSI Lagebericht 2025 und CERT-AT-Warnings einbeziehen.
Wie Wolf-Agents Email Security messbar macht
Wolf-Agents kombiniert einen kostenlosen 165-Punkte-Scanner für die Outside-In-Bewertung mit fünf Monitoring-Klassen (Web, Email, DNS, Blacklist, Uptime) für die kontinuierliche Drift-Erkennung. Ergänzt um Stack-Detection (16 Email-Provider via MX- und NS-Hostnamen-Pattern), CT-Log-Monitoring für Look-Alike-Domains entsteht eine vollständige Email-Security-Posture-Plattform für DACH-KMU und MSPs.
165-Punkte Email Security Scanner
SPF (22 Pkt, RFC 7208 § 4.6.4 Lookup-Counter), DKIM (22 Pkt, 2048-Bit-Minimum + Ed25519), DMARC (35 Pkt, Alignment + Subdomain-Override), MTA-STS (15 Pkt), SMTP-TLS (5 Pkt), BIMI (10 Pkt), DNSSEC + DANE + CAA (20 Pkt), ARC + SEG (10 Pkt), MX-Records (5 Pkt) plus Bonus-Checks.
CT-Log-Monitoring + Stack-Detection
Automatische Erkennung neu ausgestellter Zertifikate für Look-Alike-Domains via Certificate Transparency Logs (RFC 9162). Stack-Detection bestimmt Email-Provider via MX-Hostnamen (153 Muster) — Provider-Wechsel werden binnen 6 Stunden erkannt und alarmiert.
Monitoring alle 6 Stunden + Digest
Email-Scan alle 6 Stunden mit Drift-Alerts auf Konfigurations-Änderungen. Wöchentlicher Digest-Report. DKIM-Rotation, DMARC-Policy-Wechsel, MTA-STS-Mode-Wechsel und neue CT-Log-Funde werden granular getrackt und an alerts@-Mailadresse oder via Slack/Teams-Webhook signalisiert.
Wolf-Agents 165-Punkte-Scanner — Pipeline mit 8 Stationen
Horizontale Pipeline: Eingabe-Domain → DNS-Lookup → SPF/DKIM/DMARC-Authentifizierung → MTA-STS/TLS-Transport → DANE/BIMI-Erweitert → 165-Punkte-Score → Report. Plattform-Foundation der Wolf-Agents-USP.
E-Mail-Security-Geschichte — Timeline 1973-2026 (5 Epochen)
Horizontale Zeitachse mit 19 IETF/Industrie-Meilensteinen in 5 Epochen: Pioneer-Phase (1973-1981, RFC 561), SMTP-Era (1982-2003, RFC 821), Authentifizierungs-Welle (2004-2018, SPF + DKIM + DMARC + DNSSEC + MTA-STS), Branding + Compliance (2019-2025, BIMI + ARC + NIS2 + PCI DSS 4.0.1), DNSSEC-Pflicht-Ära (2026+, CA/B SC-085v2 + NISG 2026 AT).
Email-Header-Anatomie — 11 Felder nach RFC 5322 + ARC + Auth-Results
Annotated-Structure mit 11 wichtigen Header-Feldern: From + Sender + Reply-To (RFC 5322 § 3.6.2), Return-Path (RFC 5321 § 4.4), Received (RFC 5322 § 3.6.7), Authentication-Results (RFC 8601), DKIM-Signature (RFC 6376), ARC-Set (AAR + AMS + AS, RFC 8617 § 4.1.1-3), Message-ID (RFC 5322 § 3.6.4). Spoofing-Risiko-Annotation pro Feld.
Wie steht Ihre Domain bei Einführung?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.
Häufig gestellte Fragen
Wo fange ich mit Email Security an?
Beginnen Sie mit Kapitel 01 (MX-Records & Infrastruktur), um den Bestand zu prüfen, und setzen Sie sofort einen DMARC-Record mit p=none (Kapitel 04). Diese 30 Minuten sind risikolos und liefern Ihnen ab sofort Aggregat-Reports. Erst danach kommen SPF (Kapitel 02), DKIM (Kapitel 03) und schließlich DMARC-Enforcement (Kapitel 05) mit p=quarantine und p=reject. Die Reihenfolge verhindert E-Mail-Verluste, weil Sie zuerst alle legitimen Sender identifizieren, bevor Sie Enforcement aktivieren.
Welche Compliance-Anforderungen gibt es im DACH-Raum?
Deutschland: NIS2-Umsetzungsgesetz (NIS2UmsuCG) seit 6. Dezember 2025 in Kraft, BGBl. 2025 I Nr. 301. Persönliche Haftung der Geschäftsleitung. Österreich: NISG 2026 beschlossen am 12. Dezember 2025 vom Nationalrat (BGBl. I Nr. 94/2025), in Kraft am 1. Oktober 2026. Schweiz: Informationssicherheitsgesetz (ISG) seit 1. Januar 2024, 24-Stunden-Meldepflicht seit 1. April 2025. Querschnittlich: DSGVO Art. 32 fordert Schutzmaßnahmen nach dem Stand der Technik — BSI TR-03108 und TR-03182 definieren diesen Stand für Email.
Was sind die wichtigsten Bedrohungen 2026?
Verizon DBIR 2025 sieht Credential Abuse (22 %) und Phishing (16 %) als Top-Initial-Access-Vektoren, in EMEA 19 % Phishing. FBI IC3 Annual Report 2024: 2,77 Mrd. USD Schaden durch Business Email Compromise (BEC). Neuere Trends: KI-generierte Phishing-Mails (laut BSI-Lagebericht 2025 + KnowBe4: 82,6 % der Phishing-Mails 2025 KI-generiert), Deepfake-Vishing, Quishing (Keepnet 2025: 5-fache Steigerung) und SubdoMailing (Guardio Labs 2024: 8.000+ Domains kompromittiert, 5 Mio. Spam-Mails täglich mit gültigem SPF/DKIM/DMARC).
Wie funktioniert die SMTP-Architektur?
Eine E-Mail durchläuft sechs Stationen: MUA (Mail User Agent, z.B. Outlook), MSA (Mail Submission Agent, Port 587/STARTTLS), MTA (Mail Transfer Agent, leitet weiter), MX (Mail Exchange, Empfangsserver laut DNS-MX-Record), MDA (Mail Delivery Agent, sortiert ins Postfach), wieder MUA beim Empfänger. SPF prüft den Envelope-From (MAIL FROM aus RFC 5321), DKIM signiert kryptografisch (RFC 6376), DMARC verbindet beide und definiert das Alignment zwischen Envelope-From und Header-From (RFC 5322 vs. RFC 5321). Diese Trennung ist die Wurzel vieler Spoofing-Angriffe.
Welche Provider werden im Guide abgedeckt?
16 Provider in 5 Kategorien. Cloud-Plattformen: Microsoft 365 (Microsoft Corp., US), Google Workspace (Google LLC, US-Alphabet-Tochter). DACH-Hosting (DE): IONOS, Strato (United Internet AG, IONOS Group SE), All-Inkl (Neue Medien Münnich GmbH), Hetzner, Netcup. DACH (CH/AT): Hostpoint, Infomaniak, World4You (United Internet AG seit 2018), Proton Mail (Proton AG, Genf). Self-Hosted: Postfix, Exim, Mailcow. DNS-Provider: Cloudflare DNS, Hetzner DNS. Jedes der 12 Hauptkapitel hat provider-spezifische Anleitungen.
Wie unterscheiden sich die Hardening-Stufen?
Drei Schwierigkeitsgrade: Beginner (Kapitel 00, 01, 04, 08, 11, 12) — risikolos, jederzeit umsetzbar. Intermediate (Kapitel 02, 03, 06, 07, 10) — fehlerhafte DNS-Records können E-Mails in den Spam-Ordner schicken, Testen mit Gmail-Probe-Adresse vor Produktion. Advanced (Kapitel 05, 09) — Enforcement (p=reject) und DNSSEC können bei Fehlern E-Mails komplett blockieren oder die Domain temporär unerreichbar machen. Stufenweise Rollout-Pfade in Kapitel 05 (4 Phasen) und Kapitel 09 (DNSSEC mit Pre-Renewal-Hook nach RFC 7671 § 8.1).
Was prüft der Wolf-Agents Email Security Scanner?
Der kostenlose Email Security Check prüft 165 Punkte in Sekunden: SPF-Syntax und Lookup-Limit nach RFC 7208 § 4.6.4 (22 Punkte), DKIM-Selektor-Erreichbarkeit und Schlüsselstärke (22 Punkte), DMARC-Policy, Alignment und Subdomain-Override (35 Punkte), MTA-STS Policy und TLS-RPT (15 Punkte), SMTP-TLS und Zertifikatskette (5 Punkte), BIMI (10 Punkte), DNSSEC + DANE + CAA (20 Punkte), ARC-Signierung und SEG-Erkennung (10 Punkte), MX-Records (5 Punkte) sowie Bonus-Checks. Das Monitoring alle 6 Stunden alarmiert bei Konfigurations-Drift, CT-Log-Funden und Stack-Wechseln.