SPF, DKIM und DMARC einrichten - E-Mail-Authentifizierung erklärt

E-Mail-Spoofing ist ein großes Problem - Angreifer können E-Mails fälschen, die aussehen, als kämen sie von Ihrer Domain. SPF, DKIM und DMARC sind die Antwort. In diesem Artikel erklären wir alle drei Technologien.

Das Problem: E-Mail-Spoofing

Ohne Authentifizierung kann jeder E-Mails mit beliebiger Absenderadresse verschicken. Angreifer nutzen das für:

• Phishing-Angriffe
• CEO-Fraud ("Bitte überweisen Sie sofort...")
• Rufschädigung
• Spam-Versand unter fremder Domain

Die Lösung: SPF + DKIM + DMARC

Die drei Technologien ergänzen sich:

| Technologie | Prüft | Schutz vor | |-------------|-------|------------| | SPF | Welche Server dürfen senden? | Fremde Server | | DKIM | Ist die E-Mail signiert? | Manipulation | | DMARC | Was tun bei Fehlern? | Spoofing |

SPF - Sender Policy Framework

SPF definiert per DNS-Eintrag, welche Server E-Mails für Ihre Domain versenden dürfen.

SPF-Record erstellen

Erstellen Sie einen TXT-Record für Ihre Domain:

example.com.  TXT  "v=spf1 mx a ip4:185.12.34.56 include:_spf.google.com -all"

SPF-Syntax erklärt

• v=spf1 - SPF Version 1
• mx - Server im MX-Record dürfen senden
• a - Server im A-Record dürfen senden
• ip4:185.12.34.56 - Diese IP darf senden
• include:_spf.google.com - Google-Server einschließen
• -all - Alle anderen ablehnen

SPF-Qualifier

• + - Pass (erlauben, Standard)
• - - Fail (ablehnen)
• ~ - Softfail (markieren, aber zustellen)
• ? - Neutral (keine Aussage)

SPF-Beispiele

Nur eigener Server:

v=spf1 ip4:185.12.34.56 -all

Eigener Server + Google Workspace:

v=spf1 ip4:185.12.34.56 include:_spf.google.com -all

Eigener Server + Microsoft 365:

v=spf1 ip4:185.12.34.56 include:spf.protection.outlook.com -all

DKIM - DomainKeys Identified Mail

DKIM signiert E-Mails kryptografisch. Der Empfänger kann prüfen, ob die E-Mail wirklich vom angegebenen Server stammt.

Wie DKIM funktioniert

1. Server signiert E-Mail mit privatem Schlüssel 2. Öffentlicher Schlüssel wird per DNS veröffentlicht 3. Empfänger prüft Signatur gegen DNS-Eintrag

DKIM-Record erstellen

Der Record-Name folgt dem Schema: selector._domainkey.example.com

default._domainkey.example.com.  TXT  "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBA..."

DKIM-Schlüssel generieren

Mit OpenSSL:

# Private Key
openssl genrsa -out dkim.private 2048

# Public Key
openssl rsa -in dkim.private -pubout -out dkim.public

Der Public Key (ohne Header/Footer) kommt in den DNS-Record.

DKIM in Mailserver einrichten

Postfix mit OpenDKIM:

apt install opendkim opendkim-tools

Konfiguration in /etc/opendkim.conf:

Selector    default
Domain      example.com
KeyFile     /etc/opendkim/keys/example.com/default.private

DMARC - Domain-based Message Authentication

DMARC baut auf SPF und DKIM auf und definiert, was bei Fehlern passieren soll. Außerdem erhalten Sie Berichte.

DMARC-Record erstellen

_dmarc.example.com.  TXT  "v=DMARC1; p=quarantine; rua=mailto:dmarc@example.com"

DMARC-Syntax erklärt

• v=DMARC1 - DMARC Version 1
• p=policy - Was tun bei Fehlern?
• rua=mailto:... - Wohin Berichte senden?

DMARC-Policies

• p=none - Nur beobachten, nichts tun
• p=quarantine - In Spam-Ordner verschieben
• p=reject - Ablehnen

DMARC-Beispiele

Anfangen (nur Beobachtung):

v=DMARC1; p=none; rua=mailto:dmarc@example.com

Mittlere Stufe (Spam-Ordner):

v=DMARC1; p=quarantine; rua=mailto:dmarc@example.com; pct=50

Voller Schutz (Ablehnen):

v=DMARC1; p=reject; rua=mailto:dmarc@example.com

Empfohlene Vorgehensweise

Schritt 1: SPF einrichten

Beginnen Sie mit einem Softfail (~all):

v=spf1 mx include:_spf.provider.com ~all

Schritt 2: DKIM aktivieren

Richten Sie DKIM auf Ihrem Mailserver ein oder nutzen Sie die DKIM-Funktion Ihres E-Mail-Providers.

Schritt 3: DMARC im Monitoring-Modus

v=DMARC1; p=none; rua=mailto:dmarc@example.com

Warten Sie 2-4 Wochen und analysieren Sie die Berichte.

Schritt 4: Policy verschärfen

Wenn die Berichte zeigen, dass alles funktioniert:

v=DMARC1; p=quarantine; rua=mailto:dmarc@example.com

Schritt 5: Voller Schutz

v=DMARC1; p=reject; rua=mailto:dmarc@example.com

SPF von ~all auf -all ändern.

Einstellungen prüfen

Online-Tools

• MXToolbox - SPF, DKIM, DMARC prüfen
• Mail-Tester - Gesamt-Check
• DMARC Analyzer - DMARC-Berichte

Per Kommandozeile

# SPF prüfen
dig TXT example.com | grep spf

# DKIM prüfen
dig TXT default._domainkey.example.com

# DMARC prüfen
dig TXT _dmarc.example.com

Test-E-Mail senden

Senden Sie eine E-Mail an check-auth@verifier.port25.com - Sie erhalten einen detaillierten Bericht zurück.

Häufige Fehler

SPF: "Too many DNS lookups"

SPF erlaubt maximal 10 DNS-Lookups. Jedes include: zählt.

Lösung: Includes zusammenfassen oder IP-Adressen direkt eintragen.

DKIM: Signatur ungültig

• Schlüssel stimmen nicht überein
• E-Mail wurde unterwegs verändert
• Falscher Selector

DMARC: Alignment-Fehler

SPF/DKIM prüfen eine andere Domain als die From-Adresse.

Lösung: Stellen Sie sicher, dass Mail-From und Header-From übereinstimmen.

Fazit

SPF, DKIM und DMARC sind heute Pflicht für jede Domain, die E-Mails versendet. Sie schützen Ihre Reputation und verhindern, dass Ihre Domain für Phishing missbraucht wird. Beginnen Sie mit SPF, fügen Sie DKIM hinzu, und richten Sie DMARC zunächst im Monitoring-Modus ein.