E-Mail-Sicherheit im Unternehmen: SPF, DMARC, DKIM und mehr

E-Mail ist der Angriffsvektor Nummer 1 für Cyberangriffe - über 90% der erfolgreichen Angriffe beginnen mit einer Phishing-Mail. Gleichzeitig ist E-Mail-Sicherheit oft stiefmütterlich behandelt: SPF-Records fehlen, DMARC steht auf “none”, und externe E-Mails werden nicht als solche markiert. Dieser Guide erklärt, wie E-Mail-Sicherheit systematisch verbessert wird.

Warum E-Mail-Sicherheit so kritisch ist

Business Email Compromise (BEC) verursacht den größten Einzelschaden aller Cyber-Crimes laut FBI IC3. Der durchschnittliche Schaden pro Vorfall betrug 2024 rund 125.000 USD. Die Methode ist simpel: Angreifer fälschen Absender-Adressen durch Domain-Spoofing und senden etwa als vermeintlicher CEO dringende Überweisungsanfragen - ohne je echten Zugang zum Konto gehabt zu haben.

Phishing traf 2024 laut Proofpoint 83% aller Unternehmen. Besonders gefährlich sind AiTM-Angriffe (Adversary-in-the-Middle), die selbst MFA umgehen können, sowie QR-Code-Phishing (“Scannen Sie diesen Code für Ihre Paketzustellung”).

Malware-Verteilung per E-Mail nutzt Makro-aktivierte Office-Dokumente, ISO/IMG-Anhänge (die den ZIP-Schutz vieler Gateways umgehen) und HTML-Anhänge, die lokal geöffnet eine externe URL laden.

Das konkrete Risiko ohne Schutzmaßnahmen: Ein Angreifer sendet eine E-Mail von chef@yourcompany.de (gefälscht) - die Buchhaltung sieht eine interne E-Mail vom Chef und überweist 50.000 EUR auf ein fremdes Konto. DMARC hätte das verhindert.

Die Email-Authentication-Triade: SPF, DKIM, DMARC

Drei Protokolle arbeiten zusammen, um E-Mail-Authentifizierung sicherzustellen:

SPF (Sender Policy Framework) definiert, welche Server E-Mails von einer Domain senden dürfen, und prüft dabei die IP-Adresse des sendenden Servers.

DKIM (DomainKeys Identified Mail) fügt jeder E-Mail eine digitale Signatur hinzu. Der Empfänger prüft, ob die E-Mail tatsächlich von dieser Domain signiert wurde - und schützt damit auch vor Inhaltsmanipulation während des Transports.

DMARC (Domain-based Message Authentication, Reporting and Conformance) gibt dem Empfänger-Mailserver eine verbindliche Anweisung, was bei gescheiterter SPF/DKIM-Prüfung zu tun ist:

• p=none - nur reporten, kein Schutz
• p=quarantine - in Spam verschieben
• p=reject - E-Mail ablehnen (voller Schutz)

DMARC liefert außerdem Reports darüber, wer E-Mails von der eigenen Domain versendet.

So greifen alle drei ineinander: Ein Angreifer sendet eine E-Mail von gefälschter @yourcompany.de. Der SPF-Check schlägt fehl, weil der sendende Server nicht im SPF-Record steht. Der DKIM-Check schlägt fehl, weil keine gültige Signatur des echten Schlüssels vorhanden ist. DMARC wertet beide gescheiterten Checks aus und lehnt die E-Mail bei p=reject vollständig ab.

SPF korrekt konfigurieren

SPF wird als DNS TXT-Record für die eigene Domain hinterlegt.

# Grundstruktur:
v=spf1 include:spf.protection.outlook.com ~all

# Microsoft 365:
v=spf1 include:spf.protection.outlook.com -all

# Google Workspace:
v=spf1 include:_spf.google.com -all

# Kombination (M365 + Mailchimp + Zendesk):
v=spf1
  include:spf.protection.outlook.com
  include:servers.mcsv.net
  include:mail.zendesk.com
  -all

Die Qualifizierer haben folgende Bedeutung: ~all ist ein Softfail (empfohlen zum Start), -all ein Hardfail (nach vollständiger Validierung).

# SPF-Record prüfen:
nslookup -type=TXT yourcompany.de
# oder: mxtoolbox.com/spf

Wichtig: Das Lookups-Limit. SPF erlaubt maximal 10 DNS-Lookups. Jedes include: zählt als ein Lookup. Bei Überschreitung schlägt SPF fehl - in diesem Fall ist SPF-Flattening nötig: IPs direkt eintragen statt include:-Verweise zu nutzen. Tools wie spfflattener.com oder dmarcly.com/tools helfen dabei. Nachteil: Bei IP-Änderungen beim Provider muss der Record manuell aktualisiert werden.

DKIM korrekt einrichten

DKIM erfordert ein Schlüsselpaar je Domain. Die Einrichtung variiert je nach Plattform.

Microsoft 365: Im Admin Center unter Security → Email Authentication → DKIM die Domain auswählen und “Enable” klicken. M365 zeigt die zu setzenden DNS-Records automatisch an - zwei CNAME-Einträge für selector1._domainkey und selector2._domainkey.

Google Workspace: In der Admin Console unter Gmail → Authenticate Email den DKIM Key generieren (2048 Bit empfohlen) und den angezeigten DNS TXT-Record setzen.

Selbst-gehosteter MTA (Postfix):

# opendkim installieren:
apt install opendkim opendkim-tools

# Schlüsselpaar generieren:
mkdir -p /etc/opendkim/keys/yourcompany.de
opendkim-genkey -b 2048 -d yourcompany.de -s mail \
  -D /etc/opendkim/keys/yourcompany.de/

# Öffentlichen Key in DNS setzen:
cat /etc/opendkim/keys/yourcompany.de/mail.txt
# Inhalt → DNS TXT: mail._domainkey.yourcompany.de

DKIM-Prüfung:

# E-Mail-Selbsttest:
# Sende E-Mail an: check-auth@verifier.port25.com
# → Sofortiger Report zurück!

# Online-Tools:
# toolbox.googleapps.com/apps/checkmx
# mxtoolbox.com/dkim

DKIM Best Practices:

• Mindestens 2048 Bit Schlüssellänge (nicht 1024 Bit)
• Selektoren jährlich oder nach Kompromittierung rotieren
• Alle sendenden Services müssen DKIM aktiviert haben
• Die d=-Domain im DKIM-Header muss zur From-Domain passen (DMARC-Alignment)

DMARC: Von p=none zu p=reject

DMARC wird stufenweise eingeführt, um legitime E-Mail-Versender vollständig zu erfassen, bevor harte Ablehnung aktiviert wird.

Stufe 1 - Monitor (p=none):

_dmarc.yourcompany.de TXT "v=DMARC1; p=none; rua=mailto:dmarc@yourcompany.de; ruf=mailto:dmarc@yourcompany.de; pct=100"

Kein Schutz, aber die Reports kommen. Mindestens 2-4 Wochen beobachten: Wer sendet E-Mails von der eigenen Domain?

Stufe 2 - Quarantine (p=quarantine):

_dmarc.yourcompany.de TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc@yourcompany.de; pct=50"

Zunächst 50% in Quarantine - auf 100% erhöhen, wenn keine legitimen Mails fälschlicherweise betroffen sind. Reports weiterhin überwachen.

Stufe 3 - Reject (p=reject) - das Ziel:

_dmarc.yourcompany.de TXT "v=DMARC1; p=reject; rua=mailto:dmarc@yourcompany.de; sp=reject; adkim=s; aspf=s"

Parameter	Bedeutung
p=reject	E-Mails mit gescheitertem SPF+DKIM werden abgelehnt
sp=reject	Gleiches gilt für alle Subdomains
adkim=s	DKIM Strict Alignment
aspf=s	SPF Strict Alignment
rua=	Aggregat-Reports täglich
ruf=	Forensik-Reports bei Failures

DMARC-Report-Auswertung: Die Reports kommen als XML-Dateien - schwer direkt lesbar. Dedizierte Tools helfen: Dmarcian (kostenlos bis 10.000 Reports/Monat), Valimail, Proofpoint Email Fraud Defense oder DMARC Analyzer von Mimecast. Die Reports zeigen, welche legitimen Services bisher nicht erfasst waren (CRM, Marketing-Tool), und welche Angreifer die Domain zu spoofen versuchen.

Microsoft 365 absichern

Empfohlene Einstellungen in Microsoft 365 Defender:

Anti-Phishing Policy:

• Impersonation Protection: alle Führungskräfte eintragen
• Domain Impersonation: eigene Domains und wichtige Partner-Domains schützen
• Mailbox Intelligence aktivieren (lernt normales Schreibverhalten)
• Spoof Intelligence aktivieren
• Safety Tips aktivieren
• Aktion bei Impersonation: “Move to Junk”

Safe Links (ATP):

• URLs in E-Mails zur Laufzeit gegen Bedrohungsdatenbank prüfen
• “Do not allow users to click through”: aktivieren
• “Track user clicks”: aktivieren
• Safe Links für Teams ebenfalls aktivieren

Safe Attachments (ATP):

• Unknown Malware Response: Dynamic Delivery (kein Zustellverzug)
• Redirect attachments: Quarantine-Adresse konfigurieren
• Safe Attachments Policy: für alle User aktivieren

Advanced Delivery:

• Phishing-Simulation-Absender (z.B. AWARE7) als Ausnahme eintragen

Externe Absender-Markierung:

Die Markierung externer E-Mails ist eine der wirksamsten Maßnahmen gegen CEO-Fraud - Nutzer erkennen sofort: “E-Mail von chef@company.de, aber mit [EXTERN]? Red Flag!”

# In Exchange Online PowerShell:
Set-ExternalInOutlook -Enabled $true
# → "[EXTERN]" Präfix in Outlook

# Exchange Transport Rule (Warnung im Body):
New-TransportRule -Name "External Email Warning" `
  -FromScope NotInOrganization `
  -PrependSubject "[EXTERN] " `
  -SetHeaderName "X-External-Sender" `
  -SetHeaderValue "true"

Anti-Phishing Maßnahmen

Technische Maßnahmen

1. E-Mail-Gateway / Secure Email Gateway (SEG)

Produkte wie Proofpoint, Mimecast, Barracuda oder Microsoft ATP bieten URL-Rewriting (Links werden zur Laufzeit geprüft), Sandboxing (Anhänge werden in isolierter Umgebung ausgeführt), DMARC-Enforcement und Phishing-Simulation-Integration.

2. BIMI (Brand Indicators for Message Identification)

BIMI zeigt das Unternehmens-Logo in unterstützten E-Mail-Clients an und erhöht das Vertrauen der Empfänger. Voraussetzung: DMARC p=reject und ein Verified Mark Certificate.

default._bimi.yourcompany.de TXT
  "v=BIMI1; l=https://yourcompany.de/logo.svg; a=https://cert-server/cert.pem"

3. MTA-STS (Mail Transfer Agent Strict Transport Security)

MTA-STS erzwingt TLS für alle eingehenden Verbindungen und verhindert Downgrade-Angriffe und Man-in-the-Middle beim E-Mail-Transport.

_mta-sts.yourcompany.de TXT "v=STSv1; id=20260301"

# mta-sts.yourcompany.de → HTTPS → /.well-known/mta-sts.txt:
version: STSv1
mode: enforce
mx: mail.yourcompany.de
max_age: 86400

4. TLS-RPT (SMTP TLS Reporting)

TLS-RPT liefert Reports über TLS-Verbindungsprobleme beim E-Mail-Transport.

_smtp._tls.yourcompany.de TXT
  "v=TLSRPTv1; rua=mailto:tls-reports@yourcompany.de"

Organisatorische Maßnahmen

Vier-Augen-Prinzip bei Überweisungen: Keine Überweisung über 5.000 EUR auf Basis einer einzelnen E-Mail-Anweisung. Telefonische Bestätigung bei unbekannten Konten. Änderungen von Bankverbindungen: immer Rückruf beim bekannten Kontakt unter der bekannten Nummer.

Phishing-Simulation: Monatliche Tests mit Tools wie dem AWARE7 Phishing-Service. Klicker werden direkt auf eine Schulungsseite weitergeleitet. Reporting: Klickrate, Melderate, Trend über Zeit.

Security Awareness Training: Mindestens jährlich, besser quartalsweise - mit besonderem Fokus auf Buchhaltung und Finance-Mitarbeiter, da diese das primäre Ziel von BEC-Angriffen sind. Neue Mitarbeiter erhalten das Training bereits im Onboarding.

E-Mail-Sicherheitscheckliste

DNS-Records

• SPF-Record vorhanden und korrekt? (max. 10 Lookups)
• DKIM aktiviert für alle sendenden Services?
• DMARC-Record vorhanden? (mindestens p=quarantine)
• DMARC-Reports werden ausgewertet?
• Subdomains: auch mit DMARC geschützt? (sp=reject)
• MTA-STS konfiguriert?
• BIMI vorhanden? (nice-to-have)

Microsoft 365 / Google Workspace

• Safe Links / Safe Attachments aktiviert?
• Anti-Phishing Policy konfiguriert?
• Externe E-Mail-Markierung aktiv?
• Impersonation Protection: Führungskräfte eingetragen?
• MFA für alle Nutzer aktiviert?
• Conditional Access: unbekannte Geräte blockiert oder MFA-Pflicht?

Prozesse

• Überweisungsprozess: E-Mail allein genügt nicht?
• Bankverbindungsänderungen: Rückruf-Pflicht etabliert?
• Phishing-Simulation läuft regelmäßig?
• Security Awareness Training: jährlich durchgeführt?
• Incident Response: was tun bei Phishing-Klick dokumentiert?

Monitoring

• DMARC-Reports werden täglich überwacht?
• Failed Login Alerts auf E-Mail-Konten konfiguriert?
• Neue Postfach-Weiterleitungsregeln lösen Alerts aus? (Angreifer richten oft Weiterleitungen zu sich ein)
• Ungewöhnliche E-Mail-Volumina: SIEM-Alert aktiv?

---

E-Mail-Sicherheit ist die effektivste Investition gegen Phishing und BEC. AWARE7 hilft bei der Konfiguration von SPF/DKIM/DMARC und bietet Phishing-Simulationen um zu testen, ob Mitarbeiter trainiert genug sind.

Phishing-Simulation anfragen | Sicherheitscheck