· Ratgeber  · 4 Min. Lesezeit

Warum Ihre E-Mails im Spam landen (oder Betrüger in Ihrem Namen mailen): SPF, DKIM, DMARC

Angebote verschwinden im Spam-Ordner, Betrüger verschicken Rechnungen mit Ihrer Absenderadresse. Beides hat oft dieselbe Ursache – und die steckt in drei DNS-Einträgen Ihrer Domain.

Angebote verschwinden im Spam-Ordner, Betrüger verschicken Rechnungen mit Ihrer Absenderadresse. Beides hat oft dieselbe Ursache – und die steckt in drei DNS-Einträgen Ihrer Domain.

Zwei Beschwerden höre ich in Gesprächen mit Betrieben und Praxen immer wieder. Die erste: „Unsere Angebote kommen beim Kunden nicht an, die landen im Spam.” Die zweite ist unangenehmer: „Ein Kunde hat eine Rechnung bezahlt, die gar nicht von uns kam, aber mit unserer Absenderadresse.” Beides hat erstaunlich oft dieselbe Ursache: Ihre Domain sagt den Mail-Servern dieser Welt nicht, wer in Ihrem Namen senden darf. Genau dafür gibt es drei Mechanismen: SPF, DKIM und DMARC.

Das Grundproblem: E-Mail glaubt erst einmal jedem

E-Mail ist ein altes Verfahren, und im Kern kann jeder Server behaupten, eine Nachricht käme von ihre-firma.de. Der Absender im Mail-Programm ist zunächst nur eine Textzeile, so leicht zu fälschen wie der Absender auf einem Briefumschlag. Darauf bauen CEO-Fraud (die „dringende Überweisung” angeblich vom Chef an die Buchhaltung) und Rechnungsbetrug (die „neue Bankverbindung” an Ihre Kunden) auf.

Die großen Mail-Anbieter ziehen deshalb die Zügel an: Wer keine sauberen Herkunftsnachweise liefert, dessen Mails werden zunehmend als verdächtig eingestuft oder abgewiesen. Fehlende Einträge schaden also doppelt: Betrüger haben es leichter, und Ihre echten Mails haben es schwerer.

SPF: Wer darf in Ihrem Namen senden?

SPF ist eine öffentlich einsehbare Liste im DNS Ihrer Domain, sinngemäß: „Diese Server dürfen E-Mails für ihre-firma.de verschicken.” Der empfangende Server schaut auf die Liste und prüft, ob der einliefernde Server draufsteht, wie ein Türsteher mit Gästeliste.

Der Haken im Alltag: Die Liste muss vollständig sein. Ihr Mail-Anbieter gehört darauf, aber eben auch der Newsletter-Dienst, die Warenwirtschaft, die Rechnungen verschickt, das Buchungssystem, der Scanner im Büro. Wird ein Versandweg vergessen, gelten genau diese Mails als verdächtig.

DKIM: die digitale Unterschrift unter jeder Mail

DKIM ergänzt eine kryptografische Signatur: Ihr Mail-System unterschreibt jede ausgehende Nachricht, und der Empfänger prüft die Unterschrift gegen einen öffentlichen Schlüssel im DNS Ihrer Domain. Stimmt sie, ist zweierlei belegt: Die Mail kommt wirklich von einem System, das für Ihre Domain unterschreiben darf, und sie wurde unterwegs nicht verändert. Man kann es sich als fälschungssichere Unterschrift unter jedem einzelnen Brief vorstellen, nicht nur auf dem Umschlag.

DMARC: die Regel, was mit Fälschungen passiert

SPF und DKIM prüfen, aber sie entscheiden nichts. Erst DMARC gibt den Empfängern eine Anweisung: Was soll mit Mails passieren, die die Prüfung nicht bestehen? Nur beobachten, in den Spam-Ordner (Quarantäne) oder komplett abweisen (Reject).

Dazu kommt ein unterschätzter Nebeneffekt: DMARC-Reports. Empfangende Server schicken Ihnen Berichte darüber, wer weltweit in Ihrem Namen E-Mails verschickt, legitime Systeme ebenso wie Missbrauch. Ohne DMARC fliegen Sie blind; mit DMARC sehen Sie zum ersten Mal, was da draußen unter Ihrer Domain passiert.

Der typische Befund: fehlt, veraltet oder kaputt

Wenn ich mir im Rahmen meiner IT-Sicherheits-Checks die Domains von Betrieben und Praxen ansehe, ist das Bild meist ähnlich: SPF existiert irgendwie, ist aber unvollständig oder fehlerhaft, etwa weil ein Dienstleister gewechselt wurde und niemand den Eintrag angepasst hat. DKIM ist oft gar nicht eingerichtet. Und DMARC fehlt entweder komplett oder steht seit Jahren im reinen Beobachtungsmodus, ohne dass je jemand einen Report gelesen hätte. Formal ist dann „etwas da”, praktisch schützt es weder Ihren Ruf noch Ihre Zustellbarkeit.

Ein Grund dafür ist banal: Diese Einträge liegen im DNS, also dort, wo sich Webdesigner, Mail-Anbieter und IT-Betreuung gern gegenseitig für zuständig erklären. Ordentlich gepflegtes DNS ist ein Stück IT-Infrastruktur wie Server und Netzwerk auch, es braucht einen klaren Verantwortlichen.

Ehrlich: Das ist Sorgfaltsarbeit, kein Fünf-Minuten-Häkchen

Ich will nichts beschönigen: Wer hier übermütig vorgeht, schießt sich selbst ins Knie. Eine zu strikte DMARC-Regel, bevor alle Versandwege sauber erfasst sind, bedeutet, dass Ihre eigenen legitimen Mails abgewiesen werden, zum Beispiel alle Rechnungen aus einem vergessenen Buchhaltungstool. Deshalb gehe ich schrittweise vor:

  1. Bestandsaufnahme: Welche Systeme versenden überhaupt in Ihrem Namen? Das sind fast immer mehr, als man denkt.
  2. Monitoring: SPF und DKIM sauber einrichten, DMARC zunächst nur beobachten lassen und die Reports über einige Wochen auswerten.
  3. Quarantäne: Erst wenn die Reports zeigen, dass alle legitimen Wege bestehen, wandern Fälschungen in den Spam-Ordner.
  4. Reject: Zum Schluss werden Fälschungen komplett abgewiesen. Ab jetzt ist Ihre Domain für Absender-Betrug weitgehend unbrauchbar.

Das dauert Wochen statt Stunden, aber jede Stufe bringt bereits einen Gewinn, und es geht nichts verloren. E-Mail-Absicherung ist dabei ein Baustein von mehreren: Verschlüsselung, sicherer Austausch von Dokumenten und Spam-Schutz gehören ebenfalls dazu, mehr dazu auf meiner Seite Sichere Kommunikation.

Wissen Sie, was im SPF-Eintrag Ihrer Domain steht? Die meisten wissen es nicht, und genau da fange ich an: Ich prüfe SPF, DKIM und DMARC Ihrer Domain und richte die Einträge Schritt für Schritt sauber ein, ohne dass unterwegs Ihre eigenen Mails verloren gehen. Nehmen Sie Kontakt auf.

Alex Jabi, Jabi IT

Alex Jabi

Ich betreue IT, Informationssicherheit und Datenschutz für KMU und Praxen an der Bergstraße und im Odenwald, persönlich, dokumentiert und ohne Cloud-Zwang.

Mehr über mich
Zurück zum Ratgeber