Warum drei DNS-Einträge über Ihre Reputation entscheiden
Ein unterschätztes Problem:
Die eigene Domain zum Versand von Phishing-Mails missbraucht — das klingt nach Hollywood, ist aber Alltag. Wer DMARC, SPF und DKIM nicht korrekt gesetzt hat, liefert Angreifern eine offene Einladung: Sie können im Namen Ihrer Firma Mails verschicken, an Ihre Kunden, Partner oder Mitarbeiter — und deren Postfächer können die Fälschung kaum erkennen.
Der zweite Effekt ist subtiler, aber genauso schmerzhaft: Ohne saubere Authentifizierung landen auch Ihre legitimen Mails zunehmend im Spam-Ordner. Google, Microsoft und Yahoo haben 2024 und 2025 ihre Anforderungen deutlich verschärft — mit DMARC-Policy-Pflicht für Massenversender. Der Mittelstand zieht still nach.
Die drei Bausteine im Überblick
SPF, DKIM und DMARC sind keine konkurrierenden Standards, sondern ergänzen sich. Kurz zusammengefasst:
- SPF (Sender Policy Framework) legt per DNS-Eintrag fest, welche Server berechtigt sind, Mails für Ihre Domain zu verschicken. Ein empfangender Server kann damit prüfen, ob die Quelle plausibel ist.
- DKIM (DomainKeys Identified Mail) signiert jede ausgehende Mail kryptografisch. Damit lässt sich nachweisen, dass die Mail unterwegs nicht verändert wurde und tatsächlich aus Ihrem System stammt.
- DMARC (Domain-based Message Authentication, Reporting and Conformance) sagt dem empfangenden Server, was zu tun ist, wenn SPF oder DKIM fehlschlagen — und lässt sich ein Reporting darüber zuschicken, wer im Namen Ihrer Domain Mails verschickt.
Funktionieren tut das System nur, wenn alle drei zusammenlaufen. SPF ohne DMARC ist halbherzig, DKIM ohne DMARC verpufft in vielen Postfächern.
Die typischen Fehler beim Rollout
In der Praxis scheitert die Einführung selten an Technik, sondern an Unvollständigkeit. Das passiert immer wieder:
- SPF enthält nur den eigenen Mailserver — Newsletter-Tools, CRM, Buchhaltung verschicken aber ebenfalls im Firmennamen und fliegen raus.
- DKIM wird nur für den Hauptmailserver eingerichtet, Tools wie Mailchimp, HubSpot oder Microsoft 365 mit Drittversand haben eigene Selektoren, die fehlen.
- DMARC wird direkt auf
p=rejectgesetzt, ohne vorher mitp=noneund Reporting zu prüfen, was überhaupt in Ihrem Namen verschickt wird. Ergebnis: Rechnungen kommen nicht an, Kunden rufen an, die Policy wird panisch wieder deaktiviert.
Der richtige Weg ist ein schrittweiser: erst SPF und DKIM für alle Versandquellen sauber setzen, dann DMARC mit p=none plus Reporting aufschalten, den Verkehr vier bis sechs Wochen beobachten, Lücken schließen, anschließend über p=quarantine auf p=reject hochziehen.
DMARC-Reporting: der eigentliche Blick hinter die Kulissen
Der unterschätzteste Teil von DMARC, SPF und DKIM ist das Reporting. Sobald eine gültige DMARC-Policy aktiv ist, schicken empfangende Server tägliche XML-Reports an eine Adresse Ihrer Wahl. Darin steht, welche Systeme im Namen Ihrer Domain Mails verschickt haben und ob die Authentifizierung durchgelaufen ist.
Diese Rohdaten sind für Menschen unleserlich, aber mit einem Reporting-Dienst (zum Beispiel dmarcian, Valimail oder eigene ELK-Pipelines) werden daraus Dashboards, die Ihnen den gesamten Mailverkehr Ihrer Domain zeigen. Plötzlich sehen Sie, dass ein Tool in der Buchhaltung seit Jahren über einen Graumarkt-Provider versendet. Oder dass ein Phishing-Kit aus Vietnam täglich 12.000 Mails „von Ihnen“ verschickt. Genau dieser Einblick ist der eigentliche Gewinn.
BIMI als Bonus — sinnvoll, aber kein Muss
Ist DMARC einmal im Enforcement-Modus (p=quarantine oder p=reject) aktiv, wird auch BIMI (Brand Indicators for Message Identification) interessant. Damit lässt sich Ihr Firmenlogo direkt neben der Absenderadresse im Postfach anzeigen — bei Gmail, Apple Mail und Yahoo bereits ausgerollt. Das kostet etwas Einrichtungsaufwand und ein signiertes SVG-Logo, liefert aber sichtbaren Wiedererkennungswert und ein weiteres Vertrauenssignal für Empfänger.
Für Unternehmen, die regelmäßig Rechnungen, Angebote oder Kunden-Newsletter versenden, lohnt sich der Schritt. Wer hauptsächlich intern mailt, kann BIMI gut auf später schieben.
Wie wir das bei Kobeg umsetzen
Wir rollen E-Mail-Authentifizierung bei Kunden meist in drei Phasen aus: Bestandsaufnahme aller Versandquellen (überraschenderweise fast immer mehr als erwartet), schrittweise Aktivierung von SPF, DKIM und DMARC inklusive Reporting-Auswertung, abschließend das Hochziehen auf eine Enforcement-Policy. Wir kümmern uns parallel um die DNS-Änderungen, die DKIM-Selektoren bei Microsoft 365 sowie Drittanbietern, und werten die DMARC-Reports monatlich aus. Das Thema passt zu unserem Bereich digitaler Arbeitsplatz und Kommunikation.
Insgesamt: DMARC, SPF und DKIM sind kein exotisches Spezialthema, sondern inzwischen Hygiene-Standard. Richtig aufgesetzt schützen sie Ihre Marke vor Missbrauch, verbessern Ihre Zustellraten deutlich und geben Ihnen erstmals vollständigen Überblick, wer im Namen Ihrer Domain Mails verschickt.
Wir unterstützen Sie gerne dabei, Ihre E-Mail-Authentifizierung ohne Zustellungs-Crash auf Enforcement zu heben.