E-Mail-Sicherheit: Schutz vor Phishing beginnt beim Sender

Warum jedes Unternehmen DMARC, DKIM, SPF und DNSSEC einsetzen sollte

Bild: GettyImages

E-Mails sind nach wie vor das wichtigste Kommunikationsmittel im Geschäftsalltag – und gleichzeitig ein beliebtes Einfallstor für Cyberangriffe. Wer seine Domain nicht absichert, läuft Gefahr, dass Angreifer sie für Phishing oder Spam missbrauchen. Die gute Nachricht: Es gibt bewährte Standards, mit denen sich das verhindern lässt. Die wichtigsten heißen SPF, DKIM, DMARC und DNSSEC. Doch was steckt dahinter – und wie hängen sie zusammen?

In einem Kommunikations-Workshop habe ich einmal gelernt: “Der Sender ist für die Botschaft verantwortlich.” Zwar ging es damals um den Inhalt einer Aussage. Aber es gilt mindestens in gleichem Maße für die Sicherheit von E-Mails. So wie ich dafür sorgen muss, dass meine Botschaft in meinem Sinne transportiert wird, müssen Unternehmer dafür sorgen, dass ihre Domains und E-Mail-Gateways nicht für Phishing und den Versand von Spam missbraucht werden.

Phishing für Schäden durch Cyberangriffe verantwortlich

Der Branchenverband Bitkom befragte für die Studie Wirtschaftsschutz 2025 im Frühjahr diesen Jahres rund 1.000 Unternehmen mit mindestens zehn Beschäftigten und einem Jahresumsatz von 1 Mio. Euro. Knapp 900 von Ihnen gaben an, in den letzten 12 Monaten von Datendiebstahl, Industriespionage oder Sabotage betroffen gewesen zu sein. Durch Cyberangriffe entstand den Unternehmen ein Schaden von 202,4 Mrd. Euro.

Image
Description
Großteil der Schäden entsteht durch Cyberattacken (Bildquelle: Bitkom)

Phishing wurde mit 22% an vierter Stelle als Verursacher für einen Schaden genannt. Cyberattacken wie Phishing, Malware, insbesondere Ransomware, sind – neben DDoS-Attacken – die häufigsten Ursachen.

Image
Description
Mal- und Ransomware verursachen am häufigsten Schäden -- dicht gefolgt von Phishing. (Bildquelle: Bitkom)

Ein beunruhigender Trend in dem Zusammenhang ist die Zunahme KI-gestützter Angriffe.

Awareness allein reicht nicht

Awareness ist ein wichtiger Baustein im Kampf gegen Phishing. Es reduziert zwar das Risiko, aber eliminiert es nicht. Auch technisch versierte Menschen machen Fehler oder können in Stresssituationen auf einen gut getarnten Phishing-Angriff hereinfallen.

Moderne Phishing-Angriffe setzen künstliche Intelligenz für personalisierte Inhalte und täuschend echte Absenderinformationen. Manche Mails sehen so authentisch aus, dass selbst erfahrene IT-Fachkäfte darauf hereinfallen.

Awareness wirkt sehr individuell. Zuverlässiger Schutz braucht zusätzlich technische Maßnahmen. Ein korrekt konfiguriertes E-Mail-Sicherheitssetup schützt nicht nur die Mitarbeitenden -- unabhängig von ihrem Verhalten oder Wissensstand. Es schützt auch die Unternehmen davor, als Absender von Phishing- und Spam-E-Mails missbraucht zu werden.

Doch welche Sicherheitsstandards helfen wirklich?

Vier Säulen für die E-Mail-Sicherheit

Zum Schutz vor Bedrohungen wie Phishing, E-Mail-Spoofing und Spam sind spezielle Authentifizierungsprotokolle unerlässlich. Die vier mächtigsten Werkzeuge für mehr E-Mail-Sicherheit sind SPF, DKIM, DMARC und DNSSEC. Zusammen bilden sie einen robusten Schutzschild, der die Echtheit von Absendern verifiziert und Manipulationen verhindert. Sie verbessern die Zustellbarkeit und sind der Schlüssel, um das Vertrauen in E-Mail-Kommunikation wiederherzustellen.

Was ist DKIM?

DKIM (DomainKeys Identified Mail) ist eine Methode, um die Authentizität des Absenders zu verifizieren. Es fügt jeder ausgehenden E-Mail eine digitale Signatur hinzu. Diese Signatur wird im DNS der Domain hinterlegt. Der empfangende Server kann diese Signatur mit einem öffentlichen Schlüssel im DNS der sendenden Domäne überprüfen, ob die Nachricht unterwegs verändert wurde – und ob sie wirklich vom angegebenen Absender stammt.

Was ist SPF?

SPF (Sender Policy Framework) ist ein DNS-Text-Eintrag. Mit dem Eintrag können Domaininhaber festlegen, welche Server für den Versand von E-Mails im Namen dieser Domäne berechtigt sind. Ein empfangender Mail-Server überprüft diesen Eintrag beim Eingang einer Nachricht. Ist der sendende Server nicht autorisiert, ist von Spam oder einem Phishing-Versuch auszugehen.

Was ist DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) ist ein E-Mail-Authentifizierungsprotokoll. Es verwendet SPF und DKIM, um E-Mail-Spoofing zu verhindern. Mit DMARC können Domänenbesitzer eine Richtlinie festlegen zur Behandlung von E-Mails, die die SPF- und/oder DKIM-Prüfungen nicht bestehen. Regelmäßige Berichte über gesendete E-Mails erleichtern das Monitoring und die Problembehebung.

Was ist DNSSEC?

DNSSEC (Domain Name System Security Extensions) ist eine Erweiterung des Domain Name Service (DNS) und stellt die Integrität sowie Authentizität von DNS-Einträgen sicher. Es schützt vor Angriffen wie DNS-Spoofing oder Cache-Poisoning, indem es DNS-Antworten kryptografisch signiert. DNSSEC sorgt dafür, dass die Abfragen für SPF- und DKIM-Datensätze nicht manipuliert werden.

Wie hängen diese Standards zusammen?

All diese Protokolle arbeiten zusammen und bilden gemeinsam eine robuste Abwehrmaßnahme gegen Phishing, E-Mail-Spoofing und Spam.

SPF und DKIM sind die Grundbausteine der E-Mail-Authentifizierung. Damit lässt sich prüfen, ob eine E-Mail legitim ist. DMARC fungiert als Orchestrator, der die Ergebnisse der SPF- und DKIM-Prüfung auswertet und anhand einer Richtlinie entscheidet, wie mit verdächtigen E-Mails umgegangen wird. DNSSEC ist die Basis-Sicherheitsschicht im Hintergrund. Es stellt sicher, dass die DNS-Einträge für SPF, DKIM und DMARC nicht von Angreifern manipuliert werden können und stärkt so die gesamte E-Mail-Authentifizierungskette.

Nur im Zusammenspiel entfalten sie ihre volle Wirkung – und machen es für Angreifer deutlich schwerer, Domains zu missbrauchen. Jede Organisation, die eine eigene Domain nutzt, sollte diese Standards implementieren. Besonders wichtig ist es für Unternehmen mit Kundenkontakt per E-Mail wie Betreiber von Online-Shops, Versicherungen und Banken, aber auch Behörden und öffentliche Einrichtungen sowie Medienhäuser bzw. Verlage.

Ein erfolgreicher Phishing-Angriff im Namen einer renommierten Domain kann nicht nur finanziellen Schaden verursachen, sondern auch das Vertrauen der Kunden und Partner nachhaltig erschüttern.

Drei zentrale Punkte für die erfolgreiche Implementierung

Stellen Sie die korrekte Konfiguration sicher. Erstellen Sie die SPF- und DKIM-Einträge sorgfältig und testen Sie sie. Ein falscher SPF-Eintrag kann dazu führen, dass legitime E-Mails blockiert werden, während ein fehlerhafter DKIM-Eintrag die Authentifizierung verhindert.

Starten Sie schrittweise: Beginnen Sie mit der DMARC-Richtlinie p=none (nur berichten). Sammeln Sie zunächst Daten über Ihre E-Mail-Aktivitäten, ohne die E-Mail-Zustellung zu beeinträchtigen. Analysieren Sie die Berichte, um alle legitimen E-Mail-Quellen zu identifizieren, bevor Sie eine strengere Richtlinie einführen.

Überwachen Sie DMARC-Berichte konsistent, um neue legitime E-Mail-Quellen zu identifizieren und potenziellen Missbrauch frühzeitig zu erkennen. Die E-Mail-Infrastruktur kann sich ändern, und die Authentifizierungseinstellungen müssen möglicherweise angepasst werden.

Fazit

Awareness ist unverzichtbar – aber sie muss Teil eines mehrschichtigen Sicherheitskonzepts sein. Erst die Kombination aus Schulung, technischen Standards und Monitoring bietet echten Schutz vor Phishing.