E-Mail-Authentifizierung: SPF, DMARC und DKIM verständlich erklärt

Im E-Mail-Protokoll aus den 1980er-Jahren gibt es zwei verschiedene Absenderangaben: einen technischen Umschlag und den sichtbaren Absender, den Ihr Mailprogramm anzeigt. Beide können unabhängig voneinander angegeben werden und werden ohne zusätzliche Absicherung von niemandem geprüft.

Das heißt konkret: Jede Person, die einen eigenen Mailserver betreibt (oder Zugriff auf einen fremden hat), kann E-Mails verschicken, in denen office@ihre-firma.at als Absender steht. Der Empfänger sieht Ihren Firmennamen. Er hat keine Möglichkeit, ohne weitere Technik zu unterscheiden, ob die E-Mail wirklich von Ihnen kommt oder gefälscht ist.

Diese Schwäche wird seit Jahren systematisch ausgenutzt. Die häufigsten Szenarien:

• Rechnungsbetrug. Ein Angreifer verschickt unter dem Namen Ihrer Firma eine Rechnung an Ihre Kunden, mit einer geänderten Bankverbindung.
• Phishing gegen Mitarbeiter. Eine E-Mail, die scheinbar von der Geschäftsführung kommt, bittet um eine dringende Überweisung.
• Schadsoftware-Verbreitung. Anhänge in E-Mails, die scheinbar von einer bekannten Firma stammen, werden eher geöffnet.

Der Ruf, der dabei Schaden nimmt, ist Ihrer. Die Gegenmaßnahme liegt nicht bei jedem einzelnen Empfänger, sondern bei Ihnen als Domaininhaber.

SPF steht für „Sender Policy Framework". Es ist eine Liste, in der Sie festhalten, welche Server berechtigt sind, E-Mails unter Ihrem Domainnamen zu verschicken. Die Liste wird im DNS hinterlegt, also im Adressbuch des Internets, als sogenannter TXT-Eintrag.

Ein vereinfachtes Beispiel: „E-Mails von ihre-firma.at dürfen nur vom Server unseres Hosters und vom Server unseres Newsletter-Dienstes verschickt werden."

Ein empfangender Mailserver prüft, ob die E-Mail tatsächlich von einem dieser zugelassenen Server kommt. Wenn nein, kann er die Nachricht als verdächtig behandeln: zurückweisen, in den Spam-Ordner verschieben oder markieren.

Was SPF gut kann: Klar regeln, wer legitim verschicken darf. Einfach einzurichten, solange die Liste der berechtigten Server überschaubar ist.

Was SPF nicht kann: Die E-Mail selbst absichern. Wenn eine E-Mail auf dem Weg verändert wird oder der sichtbare Absender mit dem technischen Umschlag nicht übereinstimmt, reicht SPF allein nicht aus.

DKIM steht für „DomainKeys Identified Mail". Es funktioniert wie eine digitale Unterschrift auf jeder einzelnen E-Mail. Der sendende Server verwendet einen privaten Schlüssel, um die Nachricht zu signieren. Der passende öffentliche Schlüssel liegt wiederum im DNS Ihrer Domain.

Der empfangende Server kann die Unterschrift prüfen: Stimmt sie, ist sicher, dass die E-Mail tatsächlich von einem berechtigten Server verschickt wurde und dass sie unterwegs nicht verändert wurde. Stimmt sie nicht, ist mindestens eines der beiden verletzt.

Was DKIM gut kann: Die Integrität der E-Mail absichern. Auch wenn eine E-Mail durch mehrere Server läuft, bleibt die Unterschrift gültig, solange der Inhalt nicht manipuliert wird.

Was DKIM nicht kann: Regeln, was passieren soll, wenn die Prüfung fehlschlägt. DKIM stellt nur fest, ob die Unterschrift passt. Die Konsequenz entscheidet der empfangende Server selbst, oder Sie selbst über DMARC.

DMARC steht für „Domain-based Message Authentication, Reporting and Conformance". Es verbindet SPF und DKIM zu einer verbindlichen Regel. Erst DMARC sagt dem empfangenden Server, was er tun soll, wenn eine E-Mail weder per SPF noch per DKIM als legitim nachgewiesen werden kann.

Drei Einstellungen sind möglich:

• none: Nur beobachten, keine Konsequenz. Sinnvoll als erste Stufe, um zu sehen, wer unter Ihrem Namen verschickt.
• quarantine: In den Spam-Ordner verschieben. Mittlere Stufe.
• reject: Komplett zurückweisen. Die E-Mail kommt beim Empfänger gar nicht an. Das ist das Ziel einer sauber konfigurierten DMARC-Einstellung.

Zusätzlich erhalten Sie, wenn gewünscht, regelmäßige Berichte: Welche Server haben unter Ihrem Domainnamen E-Mails verschickt? Welche haben die Prüfung bestanden, welche nicht? So erkennen Sie früh, wenn jemand versucht, unter Ihrem Namen aufzutreten.

Was DMARC gut kann: Eine verbindliche Regel setzen und sichtbar machen, was unter Ihrem Namen geschieht.

Was DMARC nicht kann: Alleine wirken. Ohne vorher gesetztes SPF und/oder DKIM hat DMARC nichts, worauf es sich stützen kann.

Die drei Mechanismen greifen ineinander. SPF sagt: „Hier sind die zugelassenen Server." DKIM sagt: „Diese E-Mail ist unverändert und unterschrieben." DMARC sagt: „Wenn weder SPF noch DKIM bestätigen, dass die E-Mail in Ordnung ist, tue Folgendes."

Ohne DMARC entscheidet jeder empfangende Server selbst, wie streng er SPF oder DKIM auslegt. Die Folge: unberechenbares Verhalten, je nach Empfänger. Mit DMARC stellen Sie klar, was passieren soll, und Sie bekommen Rückmeldung.

Die drei Einträge sind unterschiedlich aufwendig einzurichten:

• SPF: In der Regel ein einziger DNS-Eintrag. Bei wenigen Versandquellen schnell gemacht.
• DKIM: Etwas aufwendiger, weil der Server, der verschicken soll, den privaten Schlüssel hinterlegt bekommen muss. Die meisten modernen Hosting- und E-Mail-Anbieter erledigen das auf Knopfdruck.
• DMARC: Ein weiterer DNS-Eintrag. Die Schwelle liegt nicht im Eintrag selbst, sondern darin, SPF und DKIM vorher sauber aufgesetzt zu haben.

Für die meisten österreichischen KMU ist der Ablauf ähnlich.

Schritt 1: Bestandsaufnahme der Versandquellen. Klären Sie, von welchen Stellen E-Mails unter Ihrem Domainnamen verschickt werden. Das ist in der Praxis oft umfangreicher als gedacht: das reguläre Postfach, der Newsletter-Dienst, das CRM, das Ticketsystem, das Shop-System, das Buchhaltungstool, die Website-Kontaktformulare.

Schritt 2: SPF-Eintrag setzen. Im DNS Ihrer Domain einen TXT-Eintrag hinterlegen, der alle legitimen Versandquellen auflistet. Einmal zu eng gesetzt, gehen legitime E-Mails verloren, also sorgfältig arbeiten.

Schritt 3: DKIM aktivieren. Bei jeder Versandquelle, die DKIM unterstützt, die Signierung einschalten und den öffentlichen Schlüssel im DNS hinterlegen. Anbieter liefern in der Regel konkrete Anleitungen.

Schritt 4: DMARC mit „none" starten. Zuerst nur beobachten. Die Berichte ausgewertet, bis klar ist, dass keine legitime Quelle übersehen wurde.

Schritt 5: Auf „quarantine" oder „reject" hochstufen. Sobald die Berichte sauber sind, die Einstellung verschärfen. Erst dann entfaltet DMARC seine volle Wirkung.

Der Prozess dauert je nach Komplexität der Versandlandschaft zwischen einer Stunde und mehreren Wochen. Der wiederkehrende Aufwand danach ist überschaubar: Wenn eine neue Versandquelle hinzukommt, den SPF-Eintrag und gegebenenfalls DKIM ergänzen.

E-Mail-Authentifizierung ist keine Raketenwissenschaft, aber sie ist einer der Punkte, bei dem der Hebel besonders groß ist: wenig Aufwand, spürbarer Effekt auf Reputation und Zustellbarkeit. Wer unter einem Firmennamen auftritt, sollte auch kontrollieren können, wer dort legitim verschickt und wer nicht.