DMARC-Richtlinien sind ein wichtiges Werkzeug gegen Phishing und für eine gute E-Mail-Zustellbarkeit. Dieser Artikel erklärt das Zusammenspiel von DMARC, SPF- und DKIM-Records und zeigt auf, wie ein DMARC-Manager diese Arbeit unterstützt. Und wir geben einen Einblick, wie wir bei unserer eigenen DMARC-Einführung etwas zu schnell gehandelt hatten.
In der IT-Umgebung eines typischen Schweizer KMUs gibt es mehrere Tools, die E-Mails verschicken:
Jedes dieser Systeme nutzt für den E-Mail-Versand eigene E-Mail-Server. In der «Von-Zeile» steht zwar max.muster@firmendomain.ch geschrieben, doch tatsächlich versendet wird die Mail nicht von der Firmendomain, sondern vom E-Mail-Dienst, den das jeweilige Tool nutzt.
Für IT-Abteilungen ist das eine Herausforderung. Denn diese Landschaft wächst über die Jahre. Die wenigsten Unternehmen haben ein Dashboard, das rasch und verständlich eine Übersicht gibt über die gesamten E-Mail-Aktivitäten. Besonders in grösseren Unternehmen wird das schnell komplex. Da ist es nicht überraschend, dass von mehreren Stellen in der Firma Mails versendet werden, von denen die IT-Abteilung gar nichts weiss.
Eine beliebige Adresse in die Von-Zeile schreiben kann jede oder jeder. Dieses fälschliche Vorgeben einer Absender-Identität nennt sich Spoofing. Es ist ein gängiger Trick aus dem Social Engineering-Werkzeugkasten.
Das Ziel der Cyberkriminellen ist es, sich als vertrauenswürdiger Absender zu tarnen und die Empfängerinnen und Empfänger dazu zu bringen, auf die Links in den E-Mails zu klicken.
Übrigens: Genau die gleiche Technik wird auch bei lästigen Telefonanrufen verwendet: Dubiose Callcenter im Ausland rufen an und zeigen vermeintlich legitime Schweizer Telefonnummern an. Das erhöht die Chance massiv, dass der Anruf entgegengenommen wird. Das BAKOM ist eingeschritten und schiebt dem Telefon-Spoofing seit Januar 2026 den Riegel vor.
E-Mail-Spoofing funktioniert nur dort, wo keine klaren Regeln existieren. Genau hier setzen SPF, DKIM und DMARC an. Sie definieren eindeutig, wer im Namen eurer Domain E-Mails versenden darf und wie die Empfänger mit Abweichungen umzugehen haben.
Wenn ein Mailsverver eine E-Mail bekommt, dann checkt er immer die angegebene Absender-Domain und prüft dort, was die DMARC-Richtlinie vorgibt. Ist es eine gespoofte E-Mail, dann führt der Empfangsserver genau das aus, was in der Richtlinie steht. Das kann wie gesagt beobachten, in Quarantäne verschieben oder ablehnen sein.
Sogenannte DMARC-Manager-Dienste wie bspw. EasyDMARC, haben drei Kernnutzen:
Sobald DMARC aktiv ist, senden grosse Mailprovider weltweit sogenannte DMARC-Reports an die im Record hinterlegte Adresse. Diese Reports enthalten technische Informationen darüber, wer im Namen eurer Domain E-Mails verschickt hat, von welchem Server aus und ob SPF und DKIM bestanden haben.
Ein DMARC-Manager sammelt diese Rückmeldungen aus der ganzen Welt, wertet sie aus und macht sie lesbar. So wird sichtbar, ob:
Ohne DMARC-Manager existieren diese Informationen zwar, liegen aber als schwer lesbare XML-Dateien vor. In der Praxis werden sie dann oft ignoriert.
DMARC-Manager helfen auch beim sauberen Aufsetzen und Anpassen von SPF-, DKIM- und DMARC-Records. Die Freitext-Felder in den Administrationsbereichen der DNS-Zonen können fehleranfällig sein. DMARC-Manager arbeiten mit geführten Oberflächen, die das deutlich vereinfachen.
Typisch ist:
schrittweises Einführen von DMARC (Monitoring → Quarantäne → Ablehnung)
Hinweise auf fehlende oder zu breite SPF-Einträge
Warnungen bei riskanten Änderungen
Dokumentation, wer wann was angepasst hat
Das reduziert Konfigurationsfehler und erleichtert die Zusammenarbeit zwischen IT, Marketing und externen Dienstleistern.
Der vielleicht wichtigste Punkt für Entscheider: Übersicht. DMARC-Manager stellen alle E-Mail-Aktivitäten einer Domain in grafischen Dashboards dar.
Auf einen Blick wird klar:
welche Systeme legitim senden
wie hoch das Versandvolumen pro Tool ist
wo Fehler auftreten
wie sich die Lage über die Zeit entwickelt
|
|
Dieses Beispiel stammt aus unserem eigenen Haus. Unsere Marketing-E-Mails wurden plötzlich nicht mehr zuverlässig zugestellt. Ein Teil landete im Junk-Ordner, ein anderer direkt in Quarantäne. Die Ursache lag nicht bei externen Spamfiltern, sondern in unserer eigenen E-Mail-Sicherheitskonfiguration.
Für den Marketing-Versand nutzen wir HubSpot. Der Dienst war aktiv, ohne dass uns bewusst war, dass der Versand im Namen unserer Domain nicht vollständig korrekt autorisiert war. Das bedeutet, es waren in unserer DNS-Zone keine SPF- und DKIM-Einträge für HubSpot hinterlegt.
Dieses Muster ist nicht HubSpot-spezifisch. Ähnliche Konstellationen finden sich auch bei Tools wie Mailchimp, Salesforce oder Brevo. Das Grundproblem ist immer dasselbe: Ein externer Dienst versendet E-Mails, ohne dass alle notwendigen Authentifizierungs-Records sauber hinterlegt sind.
Um mehr Transparenz zu erhalten, haben wir einen DMARC-Manager aktiviert. Damit wurde erstmals sichtbar:
welche Systeme E-Mails im Namen unserer Domain versenden
welche davon SPF und DKIM bestehen
welche Quellen technisch nicht konform sind
Zudem haben wir rasch eine DMARC-Richtlinie erlassen und die Policy auf «quarantine» gesetzt.
Wenn jetzt eine Empfängerumgebung E-Mails von uns bekommt, dann prüft sie unsere DMARC-Richtlinie und behandelt diese E-Mails gemäss dieser Richtlinie. Da unsere HubSpot-E-Mails nicht korrekt konfiguriert waren, haben die Umgebungen sowie auch unsere eigene Umgebung diese E-Mails direkt in die Quarantäne geschoben.
Weil Marketing-E-Mails in der Regel nicht jeden Tag verschickt werden, haben wir die HubSpot-E-Mails nicht sofort von Anfang an gesehen.
unser eigener Microsoft-Tenant lehnte HubSpot-E-Mails ab
E-Mails wurden in Quarantäne verschoben oder blockiert
eine interne Person erhielt eine entsprechende Meldung und machte uns darauf aufmerksam
Wir haben die nötigen Einträge rasch vorgenommen.
Wenn ein DMARC-Manager aktiviert wird, ist eine Beobachtungsphase von mindestens einem Monat zwingend, besser sind zwei bis drei. So besteht genügend Zeit, um alle E-Mail-Aktiviäten detektieren zu können.
|
|
DMARC (Domain-based Message Authentication, Reporting, and Conformance) ist ein Standard, mit dem Domaininhaber festlegen, wie Empfänger mit E-Mails umgehen sollen, die im Namen ihrer Domain verschickt werden. Er baut auf SPF und DKIM auf und zieht klare Konsequenzen bei Fehlern.
Es gibt drei Grundrichtlinien:
| DMARC-Richtlinie | Bedeutung |
|---|---|
| none | E-Mails ohne SPF oder DKIM werden nur überwacht, nicht blockiert. |
| quarantine | E-Mails ohne SPF oder DKIM werden in Quarantäne zurückgehalten, Empfangende müssen sie aktiv freigeben. Zustellung in den Spam-Ordner ist auch möglich. |
| reject | E-Mails ohne SPF oder DKIM werden abgelehnt. |
DMARC entwickelt sich immer stärker zum Standard und sollte auf jeden Fall implementiert werden. Seit 2024 verlangen Google, Microsoft und Yahoo strikter werdende SPF- und DKIM-Implementation von allen Absendern, die täglich mehr als 5'000 E-Mails an Gmail-Empfangende senden.
Ja. Ohne DMARC bleibt Spoofing technisch möglich und eure Domain-Reputation ist ungeschützt. Moderne Mailprovider erwarten DMARC als Mindeststandard.
Die Einrichtung findet in der eigenen DNS-Zone statt und besteht aus den drei Recors SPF, DKIM und DMARC. DMARC wird schrittweise eingeführt: zuerst im Überwachungsmodus, danach mit strengeren Richtlinien. Voraussetzung sind korrekt konfigurierte SPF- und DKIM-Einträge.
Ein DMARC-Datensatz ist ein TXT-Eintrag mit Angaben zur Policy, Reporting-Adresse und Ausrichtung. Inhaltlich ist er simpel, die Auswirkungen auf die Zustellung sind es nicht.
DMARC ist in den meisten Fällen ist es ein TXT-Record, bei uns setzen wir eine fortgeschrittene Methode ein, die auch mit CNAME-Einträgen arbeitet. Dadurch können wir die Regeln im DMARC-Manager anpassen, ohne auf jeden einzelnen TXT-Eintrag zugreifen zu müssen.
Nein. DKIM signiert einzelne E-Mails kryptografisch, DMARC bewertet das Gesamtbild und entscheidet über das weitere Vorgehen.
SPF und DKIM liefern Prüfergebnisse, DMARC interpretiert sie und gibt eine klare Handlungsanweisung. Erst im Zusammenspiel entsteht wirksamer Schutz.