T
email-authentication spf dkim dmarc security dns

E-Mail-Authentifizierung: Der ultimative Guide zu SPF, DKIM und DMARC

Meistern Sie die E-Mail-Authentifizierung mit unserem Leitfaden zu SPF, DKIM und DMARC. Erfahren Sie, wie Sie Spoofing verhindern und Ihre Zustellrate verbessern.

2026-04-12

E-Mail-Authentifizierung: SPF, DKIM und DMARC vollständig verstehen

Die E-Mail-Authentifizierung ist der Eckpfeiler moderner E-Mail-Sicherheit. Ohne sie sind Ihre E-Mails anfällig für Spoofing (Identitätsdiebstahl), und Ihre Reputation als Absender kann leiden, was dazu führt, dass legitime Nachrichten als Spam markiert werden. Dieser Leitfaden führt Sie durch die drei Säulen der E-Mail-Authentifizierung: SPF, DKIM und DMARC.

Was ist E-Mail-Authentifizierung?

E-Mail-Authentifizierung ist ein technisches Framework zur Überprüfung, ob eine E-Mail-Nachricht tatsächlich von dem Absender stammt, der sie vorgibt zu sein. In den Anfängen des Internets verfügte das SMTP-Protokoll über keine integrierte Verifizierung, was es einfach machte, E-Mails unter falschem Namen zu versenden.

Heute verwenden wir drei Hauptprotokolle, um dieses Problem zu lösen:

  • SPF (Sender Policy Framework): Eine Liste autorisierter IP-Adressen und Domains.
  • DKIM (DomainKeys Identified Mail): Eine digitale Signatur, die sicherstellt, dass die Nachricht nicht manipuliert wurde.
  • DMARC (Domain-based Message Authentication, Reporting, and Conformance): Eine Richtlinie, die Empfangsservern mitteilt, was zu tun ist, wenn SPF oder DKIM fehlschlagen.

Kernprinzipien: Das Zusammenspiel

1. SPF (Sender Policy Framework)

SPF ist ein DNS-Eintrag, der alle IP-Adressen und Domains auflistet, die berechtigt sind, E-Mails im Namen Ihrer Domain zu versenden.

So funktioniert es:

  1. Der Absender sendet eine E-Mail.
  2. Der Empfangsserver prüft den SPF-Eintrag im DNS der Absenderdomain.
  3. Wenn die IP-Adresse des Absenders im SPF-Eintrag enthalten ist, ist die Prüfung erfolgreich.

SPF-Syntax-Beispiel: v=spf1 ip4:192.168.0.1 include:_spf.google.com ~all

  • v=spf1: Versionskennung.
  • ip4:192.168.0.1: Autorisiert eine spezifische IP.
  • include:_spf.google.com: Autorisiert die Mailserver von Google.
  • ~all: "Soft Fail" (als Spam markieren, wenn nicht autorisiert). -all ist ein "Hard Fail" (ablehnen).

2. DKIM (DomainKeys Identified Mail)

DKIM fügt dem E-Mail-Header eine kryptografische Signatur hinzu, die mithilfe eines im DNS gespeicherten öffentlichen Schlüssels überprüft wird.

So funktioniert es:

  1. Der sendende Server signiert die E-Mail mit einem privaten Schlüssel.
  2. Der empfangende Server ruft den öffentlichen Schlüssel über einen DNS-TXT-Eintrag ab.
  3. Der Server verifiziert die Signatur. Wenn sie übereinstimmt, ist die E-Mail authentisch und wurde nicht verändert.

3. DMARC (Domain-based Message Authentication)

DMARC verbindet SPF und DKIM. Es ermöglicht Ihnen, eine Richtlinie (none, quarantine oder reject) für E-Mails festzulegen, die die Authentifizierung nicht bestehen.

DMARC-Richtlinien-Beispiel: v=DMARC1; p=quarantine; rua=mailto:[email protected]

  • p=quarantine: Verschiebt fehlgeschlagene E-Mails in den Spam-Ordner.
  • p=reject: Blockiert fehlgeschlagene E-Mails vollständig.
  • rua: Adresse für aggregierte Berichte.

Praktische Anwendungsszenarien

Einrichtung Ihrer Einträge

Die meisten Unternehmen benötigen einen DKIM Record Generator und einen SPF Record Generator, um die korrekte Syntax für ihr DNS zu erstellen.

Beispiel für ein SaaS-Unternehmen: Wenn Sie Google Workspace und SendGrid verwenden, sähe Ihr SPF-Eintrag so aus: v=spf1 include:_spf.google.com include:sendgrid.net ~all

Überprüfung

Nutzen Sie nach der Einrichtung einen DKIM Validator oder einen DMARC Analyzer, um sicherzustellen, dass Ihre Einträge korrekt verbreitet wurden. Ein MX Record Lookup ist ebenfalls wichtig, um Ihre Mailserver-Konfiguration zu prüfen.

Vergleich: SPF vs. DKIM vs. DMARC

Merkmal SPF DKIM DMARC
Hauptziel IP des Absenders prüfen Integrität prüfen Richtlinie & Berichte
DNS-Eintrag TXT TXT (Selector-basiert) TXT (_dmarc)
Größte Stärke Einfach einzurichten Resistent gegen Weiterleitung Bietet Sichtbarkeit & Kontrolle
Schwäche Probleme bei Weiterleitungen Prüft Identität nicht allein Benötigt SPF/DKIM für Erfolg

FAQ: Häufige Probleme und Lösungen

F: Warum erhalte ich einen "SPF syntax error"?

A: Dies geschieht meist, wenn Sie mehrere SPF-Einträge haben. Pro Domain darf es nur einen SPF-Eintrag geben. Fassen Sie mehrere Dienste mit include: in einem Eintrag zusammen.

F: Warum ist meine "DKIM validation failed"?

A: Häufige Ursachen sind:

  1. DNS-Caching: Änderungen können bis zu 24 Stunden dauern.
  2. Falscher Selector: Der Selector im DNS muss mit dem im E-Mail-Dienst übereinstimmen.
  3. Kopierfehler: DKIM-Keys sind lang; achten Sie darauf, dass keine Leerzeichen oder Zeichen fehlen.

F: Wie nutze ich einen DMARC Policy Builder effektiv?

A: Beginnen Sie mit p=none, um Berichte über Ihren DMARC Analyzer zu überwachen. Sobald alle legitimen Quellen authentifiziert sind, wechseln Sie zu p=quarantine und schließlich zu p=reject.

Verwandte Tools

  • SPF Record Generator: Erstellen Sie einfach Ihre SPF-TXT-Einträge.
  • DKIM Validator: Überprüfen Sie die Gültigkeit Ihrer DKIM-Signaturen.
  • DMARC Analyzer: Überwachen Sie Ihren Authentifizierungsstatus (Funktion bald verfügbar!).
  • MX Record Lookup: Überprüfen Sie die Mail-Exchange-Einstellungen Ihrer Domain.
Zurück zum Blog