DMARC, SPF, DKIM & ARC: So schützen Sie Ihre Domain und Postfächer dauerhaft vor Missbrauch

|

DMARC, SPF, DKIM & ARC: So schützen Sie Ihre Domain und Postfächer dauerhaft vor Missbrauch

vonMichael Rademacher

E-Mail ist für Unternehmen nach wie vor das wichtigste Kommunikationsmittel. Doch ohne Schutzmechanismen sind Domains leichte Ziele für Spam, Phishing und Identitätsdiebstahl. Die Folgen reichen von Imageschäden über Umsatzeinbußen bis hin zu rechtlichen Problemen.

Die gute Nachricht: Mit den richtigen Einstellungen – SPF, DKIM, DMARC und ARC – sowie ergänzenden Standards wie MTA-STS oder BIMI sichern Sie Ihre Domain zuverlässig ab und steigern gleichzeitig die Glaubwürdigkeit Ihrer Marke.

1) E-Mail-Sicherheit – einfach erklärt

Stell Sie sich Ihre Domain wie einen digitalen Ausweis vor.
Ohne Schutz kann theoretisch jeder im Internet so tun, als wäre er Sie – und E-Mails in deinem Namen verschicken.

  • SPF ist die Türsteher-Liste: Nur die Server, die Sie eintragen, dürfen Mails senden.
  • DKIM ist der digitale Stempel: Jede Mail wird signiert, damit niemand sie unterwegs verändert.
  • DMARC ist die Regel: Was soll passieren, wenn jemand versucht, Sie zu fälschen – blockieren, markieren oder durchlassen?
  • ARC ist der Nachsendeaufkleber: Auch bei Weiterleitungen bleibt klar, dass die Mail echt ist.

So wird schnell klar: Diese Technik ist kein Luxus, sondern Grundschutz für jede Domain.

2) Warum ist das wichtig?

Wenn deine Domain für Spam oder Betrug missbraucht wird, passiert Folgendes:

  • Ihre echten Mails landen bei Kund*innen im Spam.
  • Google, Microsoft & Co. stufen deine Domain als unsicher ein.
  • Im schlimmsten Fall werden Sie komplett blockiert.

Ein schlechter Ruf im Internet ist wie im echten Leben: Er ist schnell da – aber nur sehr schwer wieder loszuwerden.

3) Expertenwissen: Die Basistechnik

  • SPF (Sender Policy Framework): DNS-Eintrag, der festlegt, welche Server in deinem Namen senden dürfen.
  • DKIM (DomainKeys Identified Mail): Digitale Signatur im Mail-Header, die Manipulation verhindert.
  • DMARC (Domain-based Message Authentication, Reporting & Conformance): Steuert, wie Empfänger mit Mails umgehen, die SPF/DKIM nicht bestehen.
  • ARC (Authenticated Received Chain): Hält die Authentifizierung auch bei Weiterleitungen und Mailinglisten aufrecht.

Große Postfächer wie Gmail und Yahoo verlangen seit 2024 für Massenversender SPF, DKIM und eine DMARC-Policy – für Newsletter und Marketing-Mails ein Muss.

4) Schritt-für-Schritt: So setzen Profis es um

SPF (TXT-Eintrag)

v=spf1 include:spf.protection.outlook.com include:_spf.google.com -all
  • Nur erlaubte Server auflisten
  • Mit -all alles andere blockieren

DKIM (TXT selector._domainkey)

v=DKIM1; k=rsa; p=MEgC...AB
  • Pro Versandweg eigenen Schlüssel nutzen
  • Regelmäßig rotieren

DMARC (TXT _dmarc)

Phase 1 (Beobachten):

v=DMARC1; p=none; rua=mailto:dmarc@domain.de

Phase 2 (Quarantäne):

v=DMARC1; p=quarantine; rua=mailto:dmarc@domain.de

Phase 3 (Ablehnen):

v=DMARC1; p=reject; rua=mailto:dmarc@domain.de

ARC

  • Auf Mailserver/Relay aktivieren
  • Besonders wichtig bei Mailinglisten und Weiterleitungen

5) Transport absichern: MTA-STS & TLS-RPT

  • MTA-STS zwingt E-Mail-Server, nur verschlüsselte Verbindungen zu akzeptieren.
  • TLS-RPT liefert Berichte über verschlüsselte Zustellungen – ideal für Monitoring.

6) Bonus: Markenstärkung mit BIMI

Mit BIMI wird Ihr Logo direkt im Posteingang angezeigt – vorausgesetzt, Ihre Mails bestehen DMARC und SPF/DKIM.
Das steigert das Vertrauen und die Wiedererkennbarkeit Ihrer Marke.

7) Ganzheitlicher Schutz für Postfächer

  • Starke Passwörter & 2FA aktivieren
  • Kein Zugriff über alte Protokolle (POP3 ohne TLS, alte IMAP-Clients)
  • DNSSEC aktivieren, um Manipulation im DNS zu verhindern
  • Monitoring: DMARC-Reports auswerten, Spam-Raten kontrollieren
  • Schulung: Mitarbeitende regelmäßig über Phishing aufklären

Häufige Fehler

Achten Sie darauf, nicht mehr als 10 DNS-Lookups zu verwenden – sonst schlägt die Prüfung fehl.

Gehen Sie schrittweise vor (none → quarantine → reject), um legitime Mails nicht versehentlich zu blockieren.

Ohne ARC scheitern viele legitime Newsletter und Verteiler.

FAQ

Nein – SPF schützt nur den Absender-Server, nicht die Inhalte. Erst mit DKIM und DMARC ist deine Domain wirklich abgesichert.

Oft nur wenige Stunden. Mit Agenturunterstützung schneller und sicherer.

Ja – nur damit erkennst du, wer deine Domain missbraucht und wie deine Mails ankommen.

Für private Mails nicht – für Unternehmen aber faktisch unverzichtbar, um Reputation und Zustellbarkeit zu sichern.

Checkliste: Go-Live in 10 Punkten

  1. SPF sauber aufsetzen
  2. DKIM pro Versandweg aktivieren
  3. DMARC auf „none“, Reports prüfen
  4. Nach 2–4 Wochen: Quarantäne
  5. Später: Reject für volle Sicherheit
  6. ARC aktivieren
  7. MTA-STS & TLS-RPT einrichten
  8. DNSSEC einschalten
  9. 2FA für alle Postfächer
  10. Optional: BIMI für sichtbares Markenvertrauen

So passe ich die DNS-Einträge an

Damit BIMI (und auch SPF, DKIM, DMARC) funktioniert, müssen die entsprechenden Einträge im DNS Ihrer Domain hinterlegt werden. Das klingt kompliziert, ist aber bei den meisten Hostern ähnlich aufgebaut.

1. Login ins Kundenkonto

  • Melden Sie sich beim Anbieter an, bei dem Ihre Domain registriert ist (z. B. IONOS, Strato, All-Inkl, HostEurope, GoDaddy, Cloudflare).

2. DNS-Verwaltung öffnen

  • Meist heißt der Bereich „DNS-Einstellungen“, „Domain verwalten“ oder „Zonefile bearbeiten“.
  • Dort sehen Sie vorhandene Einträge (A, MX, TXT etc.).

3. Neuen TXT-Record anlegen

  • Klicken Sie auf „Eintrag hinzufügen“.
  • Wählen Sie TXT als Typ.
  • Tragen Sie bei „Name“ den passenden Präfix ein (z. B. _dmarc, default._bimi).
  • Fügen Sie im Feld „Wert“ den kompletten Eintrag ein, den Sie vorbereiten (z. B. DMARC- oder BIMI-Record).

4. Speichern und warten

  • Speichern Sie die Änderung.
  • DNS-Änderungen brauchen bis zu 24 Stunden, oft sind sie aber schon nach wenigen Minuten aktiv.

Beispiele für gängige Hoster

  • IONOS: Menüpunkt Domains → DNS. Hier TXT-Eintrag hinzufügen.
  • Strato: Domainverwaltung → DNS Einstellungen → TXT-Records.
  • All-Inkl: Domainverwaltung (KAS) → DNS Settings.
  • HostEurope: Domain Administration → DNS → Resource Records.
  • GoDaddy: Domain → DNS verwalten → TXT hinzufügen.
  • Cloudflare: DNS → Records → Add Record.

Tipp: Machen Sie vor Änderungen einen Screenshot der bestehenden DNS-Einträge – so können Sie im Notfall jederzeit zurück.

Fazit

Mit SPF, DKIM, DMARC und ARC schützen Sie Ihre Domain vor Missbrauch, halten Spam von Kund*innen fern und sichern Ihre Marke langfristig ab. Ergänzende Standards wie MTA-STS, TLS-RPT und BIMI machen Ihr Setup komplett.

So stellen Sie sicher, dass Ihre Kommunikation zuverlässig ankommt, Ihre Domain glaubwürdig bleibt – und Ihre Kund*innen Ihnen vertrauen können.

Realmaker – Kreativagentur für Film & Web unterstützt Sie nicht nur bei Design, Film und Webprojekten, sondern auch beim technischen Fundament Ihrer digitalen Kommunikation.

CEO, Creative Director & Web Developer
Michael Rademacher hat Multimedia und Kommunikation studiert und mit Bachelor of Arts abgeschlossen. Seit 2003 ist er selbstständiger Webentwickler und Filmemacher. Seine Kreativagentur realmaker realisiert Webprojekte, Imagefilme, Webcasts und Luftaufnahmen.

Similar Posts