Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

E-Mail-Security-Gateway: Phishing und Malware stoppen

E-Mail-Security-Gateway-Implementierung: SPF/DKIM/DMARC-Durchsetzung, Anti-Phishing (URL-Rewriting, Sandboxing), Anti-Malware (Attachment-Scanning, Zero-Day-Protection), Business-Email-Compromise (BEC) Erkennung, Sichere E-Mail-Gateways im Vergleich (Microsoft Defender for Office 365, Proofpoint, Mimecast, Hornetsecurity), E-Mail-Archivierung für Compliance, TLS-Verschlüsselung erzwingen und Konfiguration von DMARC-Reports.

Inhaltsverzeichnis (5 Abschnitte)

E-Mail ist nach wie vor der wichtigste Angriffsvektor - 90%+ aller Erstinfektionen starten mit einer E-Mail. Ein gut konfiguriertes E-Mail-Security-Gateway ist die erste und wichtigste Verteidigungslinie.

E-Mail-Authentifizierung: SPF, DKIM, DMARC

Die drei Säulen der E-Mail-Authentifizierung:

SPF (Sender Policy Framework):
  → Definiert: welche Server duerfen für domain.com E-Mails senden?
  → DNS TXT-Record: v=spf1 include:spf.protection.outlook.com -all
  
  Mechanismen:
  +all:  (NIEMALS!) alle erlaubt
  ~all:  Softfail (meist landet in Spam, kein Block)
  -all:  Hardfail (nicht autorisierte IPs → ablehnen!) → EMPFOHLEN
  
  Häufige Fehler:
  → zu viele Include-Eintraege (Limit: 10 DNS-Lookups!)
  → ~all statt -all (zu weich!)
  → vergessene Drittanbieter (Newsletter, CRM, etc.)

DKIM (DomainKeys Identified Mail):
  → Digitale Signatur der E-Mail (Header + Body)
  → Öffentlicher Schlüssel: im DNS
  → Privater Schlüssel: auf dem Mail-Server (sicher aufbewahren!)
  
  DNS-Record Beispiel:
  selector1._domainkey.company.com IN TXT
    "v=DKIM1; k=rsa; p=MIIBIjANBgkq..."
  
  → DKIM-Schlüsselelaenge: mind. 2048 Bit (1024 ist veraltet!)
  → Schlüssel-Rotation: alle 6-12 Monate

DMARC (Domain-based Message Authentication):
  → Kombiniert SPF + DKIM-Ergebnis in Policy
  → Definiert: was passiert wenn weder SPF noch DKIM bestanden?
  
  DNS TXT-Record:
  _dmarc.company.com IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc@company.com; ruf=mailto:dmarc@company.com; pct=100"
  
  Policies:
  p=none:     nur beobachten (kein Block) → START-Phase
  p=quarantine: Spam-Ordner
  p=reject:   ablehnen → ZIEL! (BSI empfiehlt reject)
  
  DMARC-Rollout:
  Woche 1:   p=none + Monitoring (welche Systeme senden?)
  Monat 1:   p=quarantine; pct=10 (10% der Fehler in Quarantäne)
  Monat 2-3: pct schrittweise auf 100 erhöhen
  Monat 3-4: p=reject

Anti-Phishing Techniken

Moderne Phishing-Erkennungsmethoden:

URL-Rewriting:
  → Gateway ersetzt Links in E-Mails durch Proxy-URL
  → Klick geht zuerst zum Gateway → URL-Check → dann Ziel
  → Vergleich: URL-Reputationsdatenbank + Sandboxing
  → "Time-of-Click" Schutz: URL wird beim KLICKEN geprüft
    (nicht nur beim Eingang - Links können sich ändern!)

Attachment-Sandboxing:
  → Anhang wird in isolierter VM ausgeführt
  → Dynamische Analyse: zeigt Malware ihr wahres Gesicht
  → Verzögerung: 1-10 Minuten (je nach Sandbox-Tiefe)
  → Zero-Day-Erkennung: auch unbekannte Malware erkannt

Anti-Impersonation (BEC-Schutz):
  → Display-Name-Spoofing: "Mustermann Max" mit externer Adresse
  → Domain-Lookalike: company-invoice.com statt company.com
  → Interner Absender-Check: kommt E-Mail wirklich von intern?
  → ML-basiert: Kommunikationsmuster lernen (Baseline)

DKIM-Signatur-Durchsetzung:
  → Gateway: ablehnen wenn DMARC-Policy = reject + DMARC-Fail
  → Reporting: DMARC-Reports zeigen Spoofing-Versuche

Safe Links / URL Defense:
  Proofpoint URL Defense:
  → Rewrites: https://urldefense.proofpoint.com/v2/url?...
  
  Microsoft Safe Links (Defender for Office 365):
  → Rewrites: https://nam06.safelinks.protection.outlook.com/?url=...
  → Detonation: verdächtige URLs in Sandbox öffnen

E-Mail-Gateways im Vergleich

Sichere E-Mail-Gateway Lösungen 2024:

Microsoft Defender for Office 365 (Plan 1/2):
  Enthalten in: M365 Business Premium, E3/E5
  Stärken:
  → Native M365-Integration (kein Gateway nötig!)
  → Safe Attachments + Safe Links
  → Anti-Phishing ML (DKIM, DMARC, Spoofing)
  → Attack Simulator (Phishing-Test integriert)
  → Plan 2: Threat Explorer, AIR (Automated Investigation)
  
  Schwächen:
  → Weniger Kontrolle als Dedicated Gateway
  → Limited archiving (Plan 2 nötig für vollständig)
  
  Preis: im M365-Bundle enthalten (Kostenpunkt: M365 Lizenz)

Proofpoint Email Protection:
  Stärken:
  → Marktführer im Enterprise-Bereich
  → Very Attacked People (VAP): wer wird am meisten angegriffen?
  → TRAP (Threat Response Auto-Pull): retroaktives Löschen
  → TAP (Targeted Attack Protection): APT-fokussiert
  
  Für: Enterprise (1.000+ Mitarbeiter), High-Risk-Branchen

Mimecast Email Security:
  Stärken:
  → British, DSGVO-native
  → Gute Archivierung (E-Discovery!)
  → Continuity: E-Mail-Fallback wenn Exchange ausfaellt
  → Brand Exploit Protect: Monitoring für Domain-Lookalikes
  
  Für: Mittelstand, stark in UK/DACH

Hornetsecurity (Deutsch!):
  Stärken:
  → Deutscher Anbieter (Hannover), DSGVO konform
  → Rechenzentrum in Deutschland
  → Preisgünstig für KMU
  → QR-Code-Phishing-Schutz (Quishing)
  → 365 Total Protection: Bundles E-Mail + Backup + Awareness
  
  Für: KMU in DACH, DSGVO-sensitiv, Budget-bewusst

DMARC-Reports analysieren

DMARC-Berichte verstehen:

RUA-Reports (Aggregate Reports):
  → Täglich von empfangenden Mail-Servern
  → XML-Format: summary aller gesendeten E-Mails
  → Enthaelt: sendende IP, SPF-Ergebnis, DKIM-Ergebnis, Count
  
  # Beispiel-Eintrag im DMARC-Report:
  <record>
    <row>
      <source_ip>40.107.22.15</source_ip>  <!-- Microsoft IP -->
      <count>1250</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>pass</spf>
      </policy_evaluated>
    </row>
    <row>
      <source_ip>185.220.101.55</source_ip>  <!-- Unbekannte IP! -->
      <count>12</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>fail</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
  </record>
  
  Interpretation:
  → 1. Eintrag: legitime M365-Mails (PASS)
  → 2. Eintrag: jemand versucht als company.com zu senden (FAIL!)
    → IP prüfen: Spam-Server? Kompromittierter Dienst?
    → Massnahme: IP in Blocklist, ggf. p=reject aktivieren

DMARC-Tools:
  dmarcian.com:    DMARC-Report-Visualisierung
  dmarcanalyzer:   DSGVO-konform, europaeischer Anbieter
  postmark:        DMARC-Wizard
  easydmarc:       Guided DMARC-Rollout

Subdomains absichern:
  # Auch Subdomains benötigen DMARC:
  sp=reject → Subdomains ebenfalls absichern
  
  # Nicht genutzte Domains: leere SPF + DMARC-Reject
  v=spf1 -all
  v=DMARC1; p=reject; sp=reject; adkim=s; aspf=s

E-Mail-Archivierung und Compliance

Rechtliche Anforderungen:

Archivierungspflichten:
  Handelsrecht (HGB §257): 6 Jahre (Handelskorrespondenz)
  Steuerrecht (AO §147):   10 Jahre (steuerrelevante Unterlagen)
  DSGVO:                   Löschkonzept beachten!
  GoBD:                    Unveränderbarkeit, maschinelle Auswertbarkeit

Technische Anforderungen:
  → Unveränderbarkeit: Archiv darf nicht manuell geändert werden
  → WORM-Storage: Write Once Read Many
  → Vollständigkeit: alle E-Mails (auch gelöschte!)
  → Searchability: Volltextsuche innerhalb Frist

Produkte:
  Microsoft Exchange Archiving (In-Place Archive):
  → Native in M365
  → Litigation Hold: alle E-Mails auf unbestimmte Zeit halten
  → eDiscovery: Suche in Archiven für rechtliche Zwecke

  Mimecast Archiving:
  → 99 Jahre Aufbewahrung
  → Unabhängig von Exchange (auch wenn Exchange gelöscht!)
  → GoBD-Zertifizierung verfügbar

DSGVO vs. Archivierung:
  → Spannung: DSGVO verlangt Löschung, HGB Aufbewahrung
  → Lösung: separate Archiv-Systeme mit eigenem Zweck
  → Personenbezogene Daten nach HGB-Frist löschen
  → Steuerrelevante Daten: 10 Jahre (auch wenn personenbezogen)
  → Rechtsgrundlage: Art. 6 (1) c DSGVO (rechtliche Verpflichtung)

Fragen zu diesem Thema?

Unsere Experten beraten Sie kostenlos und unverbindlich.

Erstberatung

Über den Autor

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

10 Publikationen
  • Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
  • Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
  • IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
  • Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
  • Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
  • Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
  • Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
  • IT Security Zertifizierungen — CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
  • Sicherheitsforum Online-Banking — Live Hacking (2021)
  • Nipster im Netz und das Ende der Kreidezeit (2017)
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Dieser Artikel wurde zuletzt am 04.03.2026 bearbeitet. Verantwortlich: Chris Wojzechowski, Geschäftsführender Gesellschafter bei AWARE7 GmbH. Lizenz: CC BY 4.0 — freie Nutzung mit Namensnennung: „AWARE7 GmbH, https://a7.de

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung