E-Mail-Sicherheit verstehen

Die wichtigsten E-Mail-Sicherheitsprotokolle

Moderne E-Mail-Sicherheit basiert auf mehreren Protokollen, die zusammenwirken. Hier erfahren Sie, was jedes Protokoll macht, wie es funktioniert und welche typischen Probleme auftreten.

Ausgehende E-Mails (Authentifizierung)
Eingehende E-Mails (Transportschutz)
SPF Sender Policy Framework

Was es macht

SPF definiert, welche Server berechtigt sind, E-Mails im Namen Ihrer Domain zu versenden. Ein DNS-Eintrag listet alle autorisierten IP-Adressen und Mailserver auf.

So funktioniert es

Wenn eine E-Mail empfangen wird, prüft der Empfangsserver den SPF-Record der Absender-Domain. Er vergleicht die IP-Adresse des sendenden Servers mit der Liste autorisierter IPs. Stimmt die IP überein, besteht die E-Mail den SPF-Check.

Typische Probleme

  • 10-Lookup-Limit überschritten durch zu viele include-Anweisungen
  • Drittanbieter-Dienste (Newsletter, CRM) vergessen in SPF aufzunehmen
  • Bei E-Mail-Weiterleitung versagt SPF, da die IP des Weiterleiters nicht autorisiert ist
DKIM DomainKeys Identified Mail

Was es macht

DKIM fügt jeder E-Mail eine kryptografische Signatur hinzu. Der Empfänger kann damit verifizieren, dass die E-Mail tatsächlich von Ihrer Domain stammt und nicht manipuliert wurde.

So funktioniert es

Beim Versand signiert Ihr Mailserver die E-Mail mit einem privaten Schlüssel. Der öffentliche Schlüssel wird im DNS veröffentlicht (unter selector._domainkey.ihredomain.de). Der Empfänger holt den öffentlichen Schlüssel und prüft die Signatur.

Typische Probleme

  • Inhaltsänderungen durch Weiterleitungsserver machen die Signatur ungültig
  • Key-Rotation vergessen - alte Schlüssel sollten alle 6-12 Monate erneuert werden
  • Selector falsch konfiguriert bei Drittanbieter-Diensten
DMARC Domain-based Message Authentication

Was es macht

DMARC verbindet SPF und DKIM zu einem Policy-Framework. Es definiert, was mit E-Mails passieren soll, die SPF oder DKIM nicht bestehen, und ermöglicht Reporting.

So funktioniert es

DMARC prüft das "Alignment" - ob die Domain in SPF/DKIM mit der sichtbaren Absenderadresse übereinstimmt. Die Policy (none/quarantine/reject) bestimmt die Konsequenz bei Fehlschlag. Aggregate Reports zeigen alle Sendequellen.

Typische Probleme

  • Zu schnelle Progression zu p=reject ohne vollständige Sender-Erfassung
  • Subdomain-Alignment (aspf/adkim) nicht korrekt konfiguriert
  • Reports nicht ausgewertet - Shadow-IT-Quellen bleiben unentdeckt
BIMI Brand Indicators for Message Identification

Was es macht

BIMI zeigt Ihr Markenlogo direkt neben Ihren E-Mails im Posteingang an. Das steigert die Wiedererkennung und das Vertrauen der Empfänger erheblich.

So funktioniert es

BIMI erfordert DMARC mit p=quarantine oder p=reject. Im DNS-Record wird ein SVG-Logo (Tiny PS Format) und optional ein VMC-Zertifikat referenziert. Gmail, Yahoo und Apple Mail zeigen dann das Logo mit blauem Verifizierungs-Haken.

Typische Probleme

  • Logo nicht im korrekten SVG Tiny PS Format
  • VMC-Zertifikat fehlt - erforderlich für Gmail (ca. 1.000-1.500 EUR/Jahr)
  • DMARC-Policy zu schwach - BIMI erfordert mindestens p=quarantine
MTA-STS Mail Transfer Agent Strict Transport Security

Was es macht

MTA-STS erzwingt TLS-Verschlüsselung für eingehende E-Mails. Es schützt gegen Downgrade-Angriffe und Man-in-the-Middle-Attacken beim E-Mail-Transport.

So funktioniert es

MTA-STS besteht aus zwei Teilen: Ein DNS-Record (_mta-sts.domain) signalisiert die Unterstützung, eine Policy-Datei unter https://mta-sts.domain/.well-known/mta-sts.txt definiert den Modus (testing/enforce) und erlaubte MX-Server.

Typische Probleme

  • Policy-Datei nicht über HTTPS erreichbar oder falscher Pfad
  • MX-Einträge in Policy stimmen nicht mit DNS überein
  • Zu schneller Wechsel auf enforce - ältere Server können keine TLS-Verbindung herstellen
TLS-RPT TLS Reporting

Was es macht

TLS-RPT liefert tägliche Berichte über TLS-Verbindungsversuche zu Ihrem Mailserver. So erfahren Sie, ob Sender Probleme mit verschlüsselten Verbindungen haben.

So funktioniert es

Ein DNS-Record (_smtp._tls.domain) definiert, wohin die Reports gesendet werden (E-Mail oder HTTPS-Endpunkt). Sendende Server generieren JSON-Reports über erfolgreiche und fehlgeschlagene TLS-Verbindungen.

Typische Probleme

  • Report-Adresse nicht konfiguriert - keine Sichtbarkeit über TLS-Probleme
  • Report-Volume kann bei hohem E-Mail-Aufkommen erheblich sein
  • Ohne MTA-STS liefert TLS-RPT weniger aussagekräftige Daten
Häufige Fragen

FAQ zur E-Mail-Sicherheit

Antworten auf die wichtigsten Fragen rund um SPF, DKIM, DMARC und Co.

Was ist SPF und warum brauche ich es?

SPF (Sender Policy Framework) ist ein DNS-Eintrag, der festlegt, welche Server E-Mails im Namen Ihrer Domain versenden dürfen. Ohne SPF kann theoretisch jeder Server E-Mails mit Ihrer Absenderadresse verschicken. Empfangende Mailserver prüfen den SPF-Record und können so gefälschte E-Mails erkennen. SPF ist seit 2024 Pflicht für Bulk-Sender an Gmail und Yahoo - ohne SPF landen Ihre E-Mails im Spam oder werden abgelehnt.

Was passiert ohne DKIM?

Ohne DKIM (DomainKeys Identified Mail) fehlt Ihren E-Mails die kryptografische Signatur, die beweist, dass sie tatsächlich von Ihrer Domain stammen und unterwegs nicht manipuliert wurden. E-Mail-Provider wie Gmail bewerten unsignierte E-Mails als weniger vertrauenswürdig, was die Zustellbarkeit verschlechtert. Außerdem können Angreifer E-Mails in Ihrem Namen versenden, ohne dass Empfänger den Betrug erkennen können.

Wie lange dauert eine DMARC-Implementierung?

Eine vollständige DMARC-Implementierung bis zur Policy p=reject dauert typischerweise 3-6 Monate. Der Prozess beginnt mit der Entdeckungsphase (p=none, 4-8 Wochen), in der alle legitimen Sendequellen identifiziert werden. Dann folgt die schrittweise Verschärfung über p=quarantine bis p=reject. Bei komplexen Umgebungen mit vielen Drittanbieter-Diensten kann es auch 6-12 Monate dauern. Wichtig ist: Überspringen Sie keine Phase, sonst blockieren Sie möglicherweise legitime Geschäfts-E-Mails.

Was ist der Unterschied zwischen DMARC p=none und p=reject?

p=none ist der Beobachtungsmodus: E-Mails werden normal zugestellt, aber Sie erhalten Reports über alle Sender. p=reject ist der Schutzmodus: E-Mails, die SPF und DKIM nicht bestehen, werden vom Empfänger abgelehnt - sie erreichen nicht einmal den Spam-Ordner. p=quarantine liegt dazwischen und sortiert verdächtige E-Mails in den Spam. Starten Sie immer mit p=none, um erst alle legitimen Sendequellen zu erfassen.

Warum zeigt Gmail mein Logo nicht an?

Gmail zeigt Markenlogos nur an, wenn BIMI vollständig konfiguriert ist UND ein VMC-Zertifikat (Verified Mark Certificate) vorliegt. Die Voraussetzungen sind: DMARC mit mindestens p=quarantine, ein SVG-Logo im Tiny PS Format, ein gültiger BIMI-DNS-Record und ein VMC-Zertifikat von DigiCert oder Entrust (ca. 1.000-1.500 EUR/Jahr). Ohne VMC funktioniert BIMI nur bei Yahoo und einigen anderen Anbietern, nicht bei Gmail.

Was ist ein VMC-Zertifikat?

Ein VMC (Verified Mark Certificate) ist ein digitales Zertifikat, das bestätigt, dass Ihr Logo eine eingetragene Marke ist und Sie berechtigt sind, es zu verwenden. Es wird von DigiCert oder Entrust ausgestellt und kostet ca. 1.000-1.500 EUR pro Jahr. Gmail verlangt ein VMC, um Ihr Logo im Posteingang anzuzeigen. Seit Oktober 2024 gibt es auch das günstigere Common Mark Certificate für Unternehmen ohne eingetragene Marke.

Wie schützt MTA-STS vor Man-in-the-Middle-Angriffen?

MTA-STS (Mail Transfer Agent Strict Transport Security) erzwingt TLS-Verschlüsselung für eingehende E-Mails. Ohne MTA-STS kann ein Angreifer die Verbindung auf unverschlüsselt herabstufen (Downgrade-Angriff) oder sich zwischen Sender und Empfänger schalten. MTA-STS veröffentlicht eine Policy, die sendenden Servern vorschreibt: Nur verschlüsselte Verbindungen zu bestimmten MX-Servern sind erlaubt. Wird diese Policy verletzt, wird die E-Mail nicht zugestellt.

Welche E-Mail-Provider unterstützen BIMI?

BIMI wird von Gmail, Yahoo Mail, AOL, Apple Mail (seit iOS 16/macOS Ventura), Fastmail und La Poste unterstützt. Microsoft 365/Outlook unterstützt BIMI derzeit noch nicht. Die größte Wirkung hat BIMI bei Gmail, da es der meistgenutzte E-Mail-Dienst ist. Beachten Sie: Gmail zeigt Logos nur mit VMC-Zertifikat an, während Yahoo und Apple Mail auch ohne VMC funktionieren.

Wie oft sollte ich DKIM-Keys rotieren?

DKIM-Schlüssel sollten bei 2048-Bit alle 6-12 Monate rotiert werden, bei 1024-Bit alle 3-6 Monate. Die Rotation verhindert, dass kompromittierte Schlüssel langfristig missbraucht werden können. Verwenden Sie bei der Rotation zwei Selektoren (z.B. selector1 und selector2), um nahtlos wechseln zu können: Neuen Key publizieren, warten bis DNS propagiert, dann zum neuen Selektor wechseln, alten Key erst nach einigen Tagen entfernen.

Was kostet die Implementierung von E-Mail-Sicherheit?

Die DNS-Einträge für SPF, DKIM und DMARC sind technisch kostenlos. Der Aufwand für die professionelle Implementierung hängt stark von der Infrastruktur ab: Wie viele Domains und Subdomains gibt es? Wie viele Systeme versenden E-Mails (E-Mail-Plattform, CRM, Marketing-Tools, Ticketsystem)? Muss das SPF-10-Lookup-Limit durch Flattening oder Subdomain-Strategien gelöst werden? Bei einer einfachen Infrastruktur mit einer Domain und wenigen Sendern ist der Aufwand überschaubar. Bei komplexen Umgebungen mit mehreren Domains, vielen Drittanbieter-Diensten und Legacy-Systemen kann die Analyse und Konfiguration mehrere Personentage erfordern. Hinzu kommt die Beobachtungsphase (4-12 Wochen) und die schrittweise Policy-Härtung. BIMI mit VMC-Zertifikat kostet zusätzlich ca. 1.000-1.500 EUR/Jahr.

Wir übernehmen die komplette Implementierung und das laufende Monitoring Ihrer E-Mail-Sicherheit.

Unverbindlich anfragen