DMARC-Richtlinien sind ein wichtiges Werkzeug gegen Phishing und für eine gute E-Mail-Zustellbarkeit. Dieser Artikel erklärt das Zusammenspiel von DMARC, SPF- und DKIM-Records und zeigt auf, wie ein DMARC-Manager diese Arbeit unterstützt. Und wir geben einen Einblick, wie wir bei unserer eigenen DMARC-Einführung etwas zu schnell gehandelt hatten.
Das erste E-Mail-Problem: unübersichtliche «E-Mail-Landschaften»
In der IT-Umgebung eines typischen Schweizer KMUs gibt es mehrere Tools, die E-Mails verschicken:
- Offizielle Geschäfts-E-Mails über Exchange Online, Google Workspace, Hostpoint, Infomaniak, etc.
- Marketing E-Mails über Mailchimp, HubSpot, Dynamics 365, Brevo, Salesforce, etc.
- Rechnungen und Mahnungen über Bexio, Sage, Dynamics 365, Abacus, uDesk, Zoho, Odoo, etc.
- Bestätigungen für Bewerbungen über Coveto, HR Works, Instaffo, Workwise, etc.
- Kommunikation von Spezialtools und Eigenlösungen via Sendgrid, Mailgun, Amazon SES, Mailjet, etc.
Jedes dieser Systeme nutzt für den E-Mail-Versand eigene E-Mail-Server. In der «Von-Zeile» steht zwar max.muster@firmendomain.ch geschrieben, doch tatsächlich versendet wird die Mail nicht von der Firmendomain, sondern vom E-Mail-Dienst, den das jeweilige Tool nutzt.
Für IT-Abteilungen ist das eine Herausforderung. Denn diese Landschaft wächst über die Jahre. Die wenigsten Unternehmen haben ein Dashboard, das rasch und verständlich eine Übersicht gibt über die gesamten E-Mail-Aktivitäten. Besonders in grösseren Unternehmen wird das schnell komplex. Da ist es nicht überraschend, dass von mehreren Stellen in der Firma Mails versendet werden, von denen die IT-Abteilung gar nichts weiss.
Das zweite E-Mail Problem: Spoofing
Eine beliebige Adresse in die Von-Zeile schreiben kann jede oder jeder. Dieses fälschliche Vorgeben einer Absender-Identität nennt sich Spoofing. Es ist ein gängiger Trick aus dem Social Engineering-Werkzeugkasten.
Das Ziel der Cyberkriminellen ist es, sich als vertrauenswürdiger Absender zu tarnen und die Empfängerinnen und Empfänger dazu zu bringen, auf die Links in den E-Mails zu klicken.
Übrigens: Genau die gleiche Technik wird auch bei lästigen Telefonanrufen verwendet: Dubiose Callcenter im Ausland rufen an und zeigen vermeintlich legitime Schweizer Telefonnummern an. Das erhöht die Chance massiv, dass der Anruf entgegengenommen wird. Das BAKOM ist eingeschritten und schiebt dem Telefon-Spoofing seit Januar 2026 den Riegel vor.
Die Lösung für E-Mail-Spoofing: SPF-, DKIM- und DMARC-Records
E-Mail-Spoofing funktioniert nur dort, wo keine klaren Regeln existieren. Genau hier setzen SPF, DKIM und DMARC an. Sie definieren eindeutig, wer im Namen eurer Domain E-Mails versenden darf und wie die Empfänger mit Abweichungen umzugehen haben.
- SPF: Wer darf senden?
Der SPF-Record legt fest, welche Mailserver berechtigt sind, E-Mails für eure Domain zu verschicken. Kommt eine E-Mail von einem nicht autorisierten Server, stuft der Empfänger sie als verdächtig ein. - DKIM: Ist die E-Mail unverändert und echt?
DKIM versieht jede E-Mail mit einer kryptografischen Signatur. Der Empfänger kann damit prüfen, ob der Inhalt unterwegs manipuliert wurde und ob die Mail tatsächlich vom angegebenen Absender stammt. - DMARC: Was passiert im Fehlerfall?
DMARC verknüpft SPF und DKIM und gibt eine klare Handlungsanweisung: beobachten (nichts machen und Report an die sendende Domain zurückmelden), in Quarantäne verschieben oder konsequent ablehnen. Damit entscheidet ihr, wie streng eure Domain geschützt wird.
Wenn ein Mailsverver eine E-Mail bekommt, dann checkt er immer die angegebene Absender-Domain und prüft dort, was die DMARC-Richtlinie vorgibt. Ist es eine gespoofte E-Mail, dann führt der Empfangsserver genau das aus, was in der Richtlinie steht. Das kann wie gesagt beobachten, in Quarantäne verschieben oder ablehnen sein.
Die Lösung für E-Mail-Chaos: DMARC-Manager
Sogenannte DMARC-Manager-Dienste wie bspw. EasyDMARC, haben drei Kernnutzen:
1. DMARC-Manager decken Spoofing auf
Sobald DMARC aktiv ist, senden grosse Mailprovider weltweit sogenannte DMARC-Reports an die im Record hinterlegte Adresse. Diese Reports enthalten technische Informationen darüber, wer im Namen eurer Domain E-Mails verschickt hat, von welchem Server aus und ob SPF und DKIM bestanden haben.
Ein DMARC-Manager sammelt diese Rückmeldungen aus der ganzen Welt, wertet sie aus und macht sie lesbar. So wird sichtbar, ob:
- unbekannte Server E-Mails mit eurer Absenderdomain versenden
- Spoofing-Versuche aus dem Ausland stattfinden
- alte oder vergessene Systeme weiterhin aktiv sind
Ohne DMARC-Manager existieren diese Informationen zwar, liegen aber als schwer lesbare XML-Dateien vor. In der Praxis werden sie dann oft ignoriert.
2. DMARC-Manager vereinfachen die Erstellung von Einträgen
DMARC-Manager helfen auch beim sauberen Aufsetzen und Anpassen von SPF-, DKIM- und DMARC-Records. Die Freitext-Felder in den Administrationsbereichen der DNS-Zonen können fehleranfällig sein. DMARC-Manager arbeiten mit geführten Oberflächen, die das deutlich vereinfachen.
Typisch ist:
-
schrittweises Einführen von DMARC (Monitoring → Quarantäne → Ablehnung)
-
Hinweise auf fehlende oder zu breite SPF-Einträge
-
Warnungen bei riskanten Änderungen
-
Dokumentation, wer wann was angepasst hat
Das reduziert Konfigurationsfehler und erleichtert die Zusammenarbeit zwischen IT, Marketing und externen Dienstleistern.
3. Sie visualisieren alle Mailaktivitäten unter einer Domain
Der vielleicht wichtigste Punkt für Entscheider: Übersicht. DMARC-Manager stellen alle E-Mail-Aktivitäten einer Domain in grafischen Dashboards dar.
Auf einen Blick wird klar:
-
welche Systeme legitim senden
-
wie hoch das Versandvolumen pro Tool ist
-
wo Fehler auftreten
-
wie sich die Lage über die Zeit entwickelt
 |
|
Konkretes Beispiel: Unsere Marketing E-Mails wurden nicht zugestellt
Dieses Beispiel stammt aus unserem eigenen Haus. Unsere Marketing-E-Mails wurden plötzlich nicht mehr zuverlässig zugestellt. Ein Teil landete im Junk-Ordner, ein anderer direkt in Quarantäne. Die Ursache lag nicht bei externen Spamfiltern, sondern in unserer eigenen E-Mail-Sicherheitskonfiguration.
Ausgangslage
Für den Marketing-Versand nutzen wir HubSpot. Der Dienst war aktiv, ohne dass uns bewusst war, dass der Versand im Namen unserer Domain nicht vollständig korrekt autorisiert war. Das bedeutet, es waren in unserer DNS-Zone keine SPF- und DKIM-Einträge für HubSpot hinterlegt.
Dieses Muster ist nicht HubSpot-spezifisch. Ähnliche Konstellationen finden sich auch bei Tools wie Mailchimp, Salesforce oder Brevo. Das Grundproblem ist immer dasselbe: Ein externer Dienst versendet E-Mails, ohne dass alle notwendigen Authentifizierungs-Records sauber hinterlegt sind.
Der Wendepunkt: DMARC-Manager und Richtlinien
Um mehr Transparenz zu erhalten, haben wir einen DMARC-Manager aktiviert. Damit wurde erstmals sichtbar:
-
welche Systeme E-Mails im Namen unserer Domain versenden
-
welche davon SPF und DKIM bestehen
-
welche Quellen technisch nicht konform sind
Zudem haben wir rasch eine DMARC-Richtlinie erlassen und die Policy auf «quarantine» gesetzt.
Wenn jetzt eine Empfängerumgebung E-Mails von uns bekommt, dann prüft sie unsere DMARC-Richtlinie und behandelt diese E-Mails gemäss dieser Richtlinie. Da unsere HubSpot-E-Mails nicht korrekt konfiguriert waren, haben die Umgebungen sowie auch unsere eigene Umgebung diese E-Mails direkt in die Quarantäne geschoben.
Das Problem: DMARC-Richtlinie viel zu schnell aktiviert
Weil Marketing-E-Mails in der Regel nicht jeden Tag verschickt werden, haben wir die HubSpot-E-Mails nicht sofort von Anfang an gesehen.
-
unser eigener Microsoft-Tenant lehnte HubSpot-E-Mails ab
-
E-Mails wurden in Quarantäne verschoben oder blockiert
-
eine interne Person erhielt eine entsprechende Meldung und machte uns darauf aufmerksam
Wir haben die nötigen Einträge rasch vorgenommen.
Wenn ein DMARC-Manager aktiviert wird, ist eine Beobachtungsphase von mindestens einem Monat zwingend, besser sind zwei bis drei. So besteht genügend Zeit, um alle E-Mail-Aktiviäten detektieren zu können.
 |
|
FAQ's: 8 häufig gestellte Fragen zu DMARC, SPF und DKIM
Was ist DMARC?
DMARC (Domain-based Message Authentication, Reporting, and Conformance) ist ein Standard, mit dem Domaininhaber festlegen, wie Empfänger mit E-Mails umgehen sollen, die im Namen ihrer Domain verschickt werden. Er baut auf SPF und DKIM auf und zieht klare Konsequenzen bei Fehlern.
Welche DMARC-Richtlinien gibt es?
Es gibt drei Grundrichtlinien:
| DMARC-Richtlinie | Bedeutung |
|---|---|
| none | E-Mails ohne SPF oder DKIM werden nur überwacht, nicht blockiert. |
| quarantine | E-Mails ohne SPF oder DKIM werden in Quarantäne zurückgehalten, Empfangende müssen sie aktiv freigeben. Zustellung in den Spam-Ordner ist auch möglich. |
| reject | E-Mails ohne SPF oder DKIM werden abgelehnt. |
Wann sollte man DMARC verwenden?
DMARC entwickelt sich immer stärker zum Standard und sollte auf jeden Fall implementiert werden. Seit 2024 verlangen Google, Microsoft und Yahoo strikter werdende SPF- und DKIM-Implementation von allen Absendern, die täglich mehr als 5'000 E-Mails an Gmail-Empfangende senden.
Ist DMARC für die E-Mail-Sicherheit erforderlich?
Ja. Ohne DMARC bleibt Spoofing technisch möglich und eure Domain-Reputation ist ungeschützt. Moderne Mailprovider erwarten DMARC als Mindeststandard.
Wie richtet man DMARC ein?
Die Einrichtung findet in der eigenen DNS-Zone statt und besteht aus den drei Recors SPF, DKIM und DMARC. DMARC wird schrittweise eingeführt: zuerst im Überwachungsmodus, danach mit strengeren Richtlinien. Voraussetzung sind korrekt konfigurierte SPF- und DKIM-Einträge.
Wie schreibt man einen DMARC-Datensatz?
Ein DMARC-Datensatz ist ein TXT-Eintrag mit Angaben zur Policy, Reporting-Adresse und Ausrichtung. Inhaltlich ist er simpel, die Auswirkungen auf die Zustellung sind es nicht.
Ist DMARC ein CNAME- oder ein TXT-Eintrag?
DMARC ist in den meisten Fällen ist es ein TXT-Record, bei uns setzen wir eine fortgeschrittene Methode ein, die auch mit CNAME-Einträgen arbeitet. Dadurch können wir die Regeln im DMARC-Manager anpassen, ohne auf jeden einzelnen TXT-Eintrag zugreifen zu müssen.
Ist DMARC und DKIM dasselbe?
Nein. DKIM signiert einzelne E-Mails kryptografisch, DMARC bewertet das Gesamtbild und entscheidet über das weitere Vorgehen.
Wie funktionieren SPF, DKIM und DMARC zusammen?
SPF und DKIM liefern Prüfergebnisse, DMARC interpretiert sie und gibt eine klare Handlungsanweisung. Erst im Zusammenspiel entsteht wirksamer Schutz.
