Blog und News

Erfahren Sie hier Neuikgeiten aus dem IT Security Bereich

DMARC, SPF, DKIM: Was in der Praxis oft schiefläuft

Cyber Security

E-Mail-Sicherheit ist kein Neuland mehr. Und doch: Selbst etablierte Unternehmen kämpfen weiterhin mit Konfigurationsfehlern bei DMARC, SPF und DKIM. Die Folge? Fehlende Zustellbarkeit, gefälschte Absender-Adressen – oder Sicherheitslücken, die längst hätten geschlossen sein sollen. In diesem Beitrag werfen wir einen praxisnahen Blick auf typische Fehlerquellen und zeigen, wie sich diese vermeiden lassen.

Die Theorie ist klar – die Umsetzung oft nicht

SPF, DKIM und DMARC bilden das Fundament moderner E-Mail-Authentifizierung. In der Theorie sind die Mechanismen klar definiert:

  • SPF (Sender Policy Framework) gibt an, welche Server E-Mails im Namen einer Domain senden dürfen.
  • DKIM (DomainKeys Identified Mail) versieht E-Mails mit einer digitalen Signatur, die deren Integrität bestätigt.
  • DMARC (Domain-based Message Authentication, Reporting and Conformance) legt fest, wie E-Mails behandelt werden sollen, wenn SPF und/oder DKIM fehlschlagen – und liefert zugleich aussagekräftige Reports.

In der Praxis zeigt sich aber: Viele Unternehmen setzen die Standards unvollständig oder fehlerhaft um – oft ohne es zu bemerken.

Häufige Fehler bei SPF

Ein Klassiker: Das Überschreiten des SPF-Limits. Die Anzahl der erlaubten DNS-Lookups ist auf 10 begrenzt. Werden mehrere Drittanbieter-Dienste eingebunden (z. B. Mailchimp, CRM-Systeme, Newsletter-Tools), wird dieses Limit schnell erreicht. Die Folge: Der komplette SPF-Eintrag gilt als „permerror“ – und alle E-Mails fallen durch.

Weitere SPF-Fallen:

  • Verwendung von +all statt -all oder ~all, was die Schutzwirkung praktisch aufhebt
  • Vergessene Subdomains oder eigene Versandserver
  • Einträge, die nicht regelmäßig überprüft oder aktualisiert werden

DKIM – Signatur vorhanden, aber ungültig

Bei DKIM ist das Problem oft nicht die fehlende Signatur, sondern deren technische Gültigkeit. Gründe dafür können sein:

  • Fehlerhafte DNS-Einträge (z. B. Zeilenumbrüche oder falsche Schlüssel)
  • Absenderdienste, die DKIM nicht korrekt implementieren
  • E-Mail-Gateways, die signierte Inhalte verändern und damit die Signatur ungültig machen

Auch das Rotieren veralteter Schlüssel wird häufig vernachlässigt – ein Risiko für die langfristige Sicherheit.

DMARC: Monitoring, aber kein Handeln

DMARC bietet mit dem „none“-Modus eine wertvolle Reporting-Funktion. Viele Unternehmen nutzen diesen Modus dauerhaft, weil sie die Auswirkungen restriktiver Richtlinien wie „quarantine“ oder „reject“ scheuen.

Doch ohne aktives Eingreifen bleiben Fehler unentdeckt und unbehoben. Reports werden zwar empfangen, aber selten systematisch ausgewertet. Und wenn ein Umstieg auf „quarantine“ oder „reject“ erfolgt, geschieht dies oft zu schnell – ohne dass SPF und DKIM vorher vollständig bereinigt wurden. Das führt nicht selten zu Zustellproblemen legitimer E-Mails.

So vermeiden Sie die häufigsten Stolperfallen

Wer E-Mail-Authentifizierung professionell umsetzen will, sollte folgende Punkte beachten:

  • SPF regelmäßig prüfen: DNS-Lookup-Zahl im Auge behalten, unnötige Einträge entfernen und bei komplexen Setups ggf. SPF-Flattening nutzen.
  • DKIM testen und überwachen: Signaturen regelmäßig auf Gültigkeit prüfen und Schlüssel rotieren.
  • DMARC schrittweise verschärfen: Zuerst im „none“-Modus analysieren, dann über „quarantine“ zu „reject“ wechseln – basierend auf klaren Daten.
  • Reports auswerten: DMARC-Reports sind keine Pflichtlektüre – aber ein unschätzbares Frühwarnsystem. Automatisierte Auswertungstools helfen, die Übersicht zu behalten.
  • Subdomains nicht vergessen: Auch diese müssen abgesichert werden – sonst bleibt die Hintertür offen.

Kleine Fehler, große Wirkung

DMARC, SPF und DKIM sind mächtige Werkzeuge – wenn sie richtig eingesetzt werden. In der Realität sorgen kleine Konfigurationsfehler jedoch oft für große Sicherheitslücken oder Störungen im E-Mail-Verkehr. Wer diese Standards nicht nur implementiert, sondern auch regelmäßig überprüft und optimiert, schützt nicht nur die eigene Domain, sondern auch die Kommunikationssicherheit der gesamten Organisation.

Dieser Beitrag basiert auf von IT-Experten geprüften Fakten. Für die kreative Ausgestaltung wurde ein KI-Tool herangezogen.