E-Mail-Sicherheit mit SPF, DKIM und DMARC

E-Mail-Spoofing ermöglicht es Angreifern, Nachrichten zu senden, die scheinbar von Ihrer Domain stammen. Ohne ordnungsgemäße Authentifizierung kann jeder eine E-Mail versenden, die vorgibt, von ceo@ihredomain.com zu sein. SPF, DKIM und DMARC sind DNS-basierte Standards, die empfangenden Mailservern helfen, legitime E-Mails zu verifizieren.

Was Sie lernen werden

• Wie SPF autorisierte Mailserver deklariert
• Wie DKIM E-Mails kryptografisch signiert
• Wie DMARC Richtlinien für fehlgeschlagene Authentifizierung definiert
• Einrichtung aller drei über das DNScale-Dashboard und die API
• Testen und Validieren Ihrer Konfiguration

SPF (Sender Policy Framework)

Was SPF bewirkt

SPF ermöglicht es Ihnen festzulegen, welche IP-Adressen und Mailserver E-Mails für Ihre Domain senden dürfen. Empfangende Server prüfen Ihren SPF-Eintrag, um zu verifizieren, dass der Absender autorisiert ist.

SPF-Eintragssyntax

Ein SPF-Eintrag ist ein TXT-Eintrag an Ihrem Domain-Apex:

v=spf1 [Mechanismen] [Qualifier]all

Gängige SPF-Beispiele

Google Workspace:

v=spf1 include:_spf.google.com ~all

Microsoft 365:

v=spf1 include:spf.protection.outlook.com ~all

Mehrere Anbieter:

v=spf1 include:_spf.google.com include:spf.protection.outlook.com ~all

Eigener Mailserver:

v=spf1 ip4:203.0.113.5 mx ~all

SPF Best Practices

1. Beginnen Sie mit ~all (Soft Fail), wechseln Sie nach dem Testen zu -all
2. Halten Sie unter 10 DNS-Lookups (SPF-Limit)
3. Schließen Sie alle Sendequellen ein: Transaktions-E-Mails, Marketing-Plattformen usw.

DKIM (DomainKeys Identified Mail)

Was DKIM bewirkt

DKIM fügt ausgehenden E-Mails eine digitale Signatur hinzu. Ihr Mailserver signiert jede E-Mail mit einem privaten Schlüssel, und Sie veröffentlichen den zugehörigen öffentlichen Schlüssel im DNS. Empfangende Server verwenden diesen öffentlichen Schlüssel, um die Signatur zu verifizieren und zu beweisen, dass die E-Mail nicht manipuliert wurde und von einem autorisierten Absender stammt.

Wie DKIM funktioniert

1. Ihr Mailserver erzeugt eine kryptografische Signatur mit einem privaten Schlüssel
2. Die Signatur wird den E-Mail-Headern hinzugefügt
3. Empfangende Server suchen Ihren öffentlichen DKIM-Schlüssel im DNS
4. Sie verifizieren, dass die Signatur zum E-Mail-Inhalt passt
5. Bei Gültigkeit besteht die E-Mail die DKIM-Authentifizierung

DKIM-Eintragssyntax

Ein DKIM-Eintrag ist ein TXT-Eintrag unter selector._domainkey.ihredomain.com:

selector._domainkey.ihredomain.com.  TXT  "v=DKIM1; k=rsa; p=MIGfMA0GCS..."

DKIM-Selektoren

Der Selektor ist ein Name, der identifiziert, welcher Schlüssel verwendet werden soll. Dies ermöglicht:

• Schlüsselrotation ohne Ausfallzeit
• Verschiedene Schlüssel für verschiedene Mail-Dienste
• Mehrere gleichzeitig aktive Schlüssel

Gängige Selektor-Muster:

• google für Google Workspace
• selector1, selector2 für Microsoft 365
• k1, k2, k3 für benutzerdefinierte Konfigurationen
• mailjet, sendgrid für Drittanbieter-Dienste

DKIM-Schlüssel erhalten

DKIM-Schlüssel werden von Ihrem E-Mail-Anbieter generiert. Hier finden Sie sie:

Google Workspace:

1. Admin-Konsole → Apps → Google Workspace → Gmail
2. E-Mail authentifizieren → Neuen Eintrag generieren
3. Den TXT-Eintragswert kopieren

Microsoft 365:

1. Microsoft 365 Defender → E-Mail & Zusammenarbeit → Richtlinien
2. DKIM → Domain auswählen → DKIM-Schlüssel erstellen
3. Beide selector1- und selector2-Einträge kopieren

Drittanbieter-Dienste (SendGrid, Mailjet usw.):

• Prüfen Sie das Dashboard Ihres Anbieters für DNS-Einstellungen
• Sie stellen den Selektor-Namen und den öffentlichen Schlüssel bereit

DKIM-Eintragsbeispiele

Google Workspace:

google._domainkey.ihredomain.com.  TXT  "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA..."

Microsoft 365:

selector1._domainkey.ihredomain.com.  TXT  "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNA..."
selector2._domainkey.ihredomain.com.  TXT  "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNA..."

Benutzerdefiniert/Drittanbieter:

mail._domainkey.ihredomain.com.  TXT  "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3..."

DKIM Best Practices

1. 2048-Bit-Schlüssel verwenden - 1024-Bit-Schlüssel sind zunehmend anfällig
2. Schlüssel regelmäßig rotieren - Mindestens jährlich aus Sicherheitsgründen
3. Private Schlüssel sicher aufbewahren - Niemals im DNS oder in Logs exponieren
4. Eindeutige Selektoren verwenden - Verschiedene Selektoren für jeden Dienst
5. Vor DMARC-Durchsetzung testen - Sicherstellen, dass DKIM besteht, bevor p=reject gesetzt wird

DMARC (Domain-based Message Authentication)

Was DMARC bewirkt

DMARC baut auf SPF (und DKIM) auf und bietet:

• Eine Richtlinie, die Empfängern mitteilt, was mit fehlgeschlagenen E-Mails zu tun ist
• Berichterstattung, damit Sie Authentifizierungsergebnisse überwachen können

DMARC-Eintragssyntax

Ein DMARC-Eintrag ist ein TXT-Eintrag unter _dmarc.ihredomain.com:

v=DMARC1; p=policy; [optionale Tags]

Erforderliche Tags:

Optionale Tags:

DMARC-Richtlinienoptionen

DMARC-Beispiele

Überwachungsmodus:

v=DMARC1; p=none; rua=mailto:dmarc-reports@ihredomain.com

Quarantäne-Modus:

v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@ihredomain.com; pct=100

Ablehnungsmodus:

v=DMARC1; p=reject; rua=mailto:dmarc-reports@ihredomain.com

Empfohlene Einführung

1. Woche 1-2: p=none zur Überwachung
2. Woche 3-4: Berichte prüfen, Probleme beheben
3. Woche 5-6: p=quarantine mit pct=25
4. Woche 7-8: Auf pct=100 erhöhen
5. Woche 9+: Zu p=reject wechseln

Einrichtung über das DNScale-Dashboard

SPF-Eintrag erstellen

1. Anmelden unter dnscale.eu
2. Domain auswählen
3. Auf Add Record klicken
4. Konfigurieren:
   • Name: Leer lassen (Apex)
   • Type: TXT
   • Content: v=spf1 include:_spf.google.com ~all
   • TTL: 3600
5. Auf Create Record klicken

DKIM-Eintrag erstellen

1. Öffentlichen DKIM-Schlüssel von Ihrem E-Mail-Anbieter erhalten (siehe „DKIM-Schlüssel erhalten" oben)
2. Auf Add Record klicken
3. Konfigurieren:
   • Name: google._domainkey (oder der Selektor Ihres Anbieters)
   • Type: TXT
   • Content: v=DKIM1; k=rsa; p=MIIBIjANBgkq... (Ihr öffentlicher Schlüssel)
   • TTL: 3600
4. Auf Create Record klicken

Hinweis: Für Microsoft 365 müssen Sie zwei Einträge erstellen (selector1 und selector2).

DMARC-Eintrag erstellen

1. Auf Add Record klicken
2. Konfigurieren:
   • Name: _dmarc
   • Type: TXT
   • Content: v=DMARC1; p=none; rua=mailto:dmarc@ihredomain.com
   • TTL: 3600
3. Auf Create Record klicken

Einrichtung über die DNScale-API

Authentifizierung

export DNSCALE_API_KEY="your-api-key"

Zone-ID abrufen

curl -s "https://api.dnscale.eu/v1/zones" \
  -H "Authorization: Bearer $DNSCALE_API_KEY" | jq '.data.zones[] | {id, name}'

SPF-Eintrag erstellen

curl -X POST "https://api.dnscale.eu/v1/zones/{zone_id}/records" \
  -H "Authorization: Bearer $DNSCALE_API_KEY" \
  -H "Content-Type: application/json" \
  -d '{
    "name": "@",
    "type": "TXT",
    "content": "v=spf1 include:_spf.google.com ~all",
    "ttl": 3600
  }'

DKIM-Eintrag erstellen

curl -X POST "https://api.dnscale.eu/v1/zones/{zone_id}/records" \
  -H "Authorization: Bearer $DNSCALE_API_KEY" \
  -H "Content-Type: application/json" \
  -d '{
    "name": "google._domainkey",
    "type": "TXT",
    "content": "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA...",
    "ttl": 3600
  }'

Ersetzen Sie google._domainkey durch Ihren Selektor und den öffentlichen Schlüssel durch Ihren tatsächlichen DKIM-Schlüssel.

DMARC-Eintrag erstellen

curl -X POST "https://api.dnscale.eu/v1/zones/{zone_id}/records" \
  -H "Authorization: Bearer $DNSCALE_API_KEY" \
  -H "Content-Type: application/json" \
  -d '{
    "name": "_dmarc",
    "type": "TXT",
    "content": "v=DMARC1; p=none; rua=mailto:dmarc@ihredomain.com",
    "ttl": 3600
  }'

Einträge verifizieren

curl -s "https://api.dnscale.eu/v1/zones/{zone_id}/records" \
  -H "Authorization: Bearer $DNSCALE_API_KEY" | jq '.data.records[] | select(.type == "TXT")'

Testen und Validierung

Online-Tools

• MXToolbox SPF-Check
• MXToolbox DKIM-Check
• MXToolbox DMARC-Check
• DMARC Analyzer
• Mail Tester - Test-E-Mail senden, um alle Authentifizierungen zu prüfen

Kommandozeile

# SPF prüfen
dig TXT ihredomain.com +short
 
# DKIM prüfen (ersetzen Sie 'google' durch Ihren Selektor)
dig TXT google._domainkey.ihredomain.com +short
 
# DMARC prüfen
dig TXT _dmarc.ihredomain.com +short

Test-E-Mail senden

Der beste Weg, um alles zu verifizieren, ist eine Test-E-Mail zu senden und die Header zu prüfen:

1. Senden Sie eine E-Mail an ein Gmail-Konto
2. Öffnen Sie die E-Mail → Klicken Sie auf die drei Punkte → „Original anzeigen"
3. Suchen Sie nach:
   • spf=pass
   • dkim=pass
   • dmarc=pass

Zusammenfassung

Wie sie zusammenwirken:

• SPF verifiziert, dass der sendende Server autorisiert ist
• DKIM verifiziert, dass der E-Mail-Inhalt nicht verändert wurde
• DMARC teilt Empfängern mit, was zu tun ist, wenn SPF oder DKIM fehlschlägt

Empfohlene Implementierungsreihenfolge:

1. SPF zuerst einrichten (am einfachsten)
2. DKIM mit Ihrem E-Mail-Anbieter konfigurieren
3. DMARC im Überwachungsmodus hinzufügen (p=none)
4. Berichte prüfen, Probleme beheben
5. DMARC schrittweise durchsetzen (p=quarantine → p=reject)