SPF, DKIM, DMARC und Domain-Permutationen: Die Grundlagen der E-Mail-Sicherheit, die Angreifer ausnutzen
E-Mails sind immer noch der einfachste Weg in die meisten Unternehmen – weil Angreifer keine Server hacken müssen, wenn sie sich überzeugend als vertrauenswürdiger Absender ausgeben können. In realen Sicherheitsverletzungen taucht das „menschliche Element“ immer wieder auf, und Phishing bleibt ein dominanter erster Zugangspfad.
Dieser Beitrag erklärt die Risiken und die Theorie hinter SPF, DKIM und DMARC und warum Domain-Permutationen (ähnlich aussehende Domains) der stille Verstärker sind, der „eine gefälschte E-Mail” zu einer Katastrophe für Marken, Finanzen und den Diebstahl von Zugangsdaten macht.
Das Kernproblem: E-Mails wurden für die Zustellung entwickelt, nicht für die Identitätsprüfung
SMTP (das Protokoll, das E-Mails transportiert) wurde in einer Zeit entwickelt, in der Vertrauen selbstverständlich war. Standardmäßig gilt:
- Der „Von:”-Header ist nur Text.
- Jeder kann versuchen, eine E-Mail zu senden, die vorgibt, von
ceo@yourcompany.com
zu stammen.
- Viele E-Mail-Systeme haben in der Vergangenheit Nachrichten akzeptiert, solange sie zugestellt werden konnten.
Moderne Schutzmaßnahmen fügen SMTP eine Authentifizierung auf Domain-Ebene hinzu. Das ist die Aufgabe von SPF, DKIM und DMARC.
SPF: „Welche Server dürfen E-Mails für meine Domain versenden?“
SPF (Sender Policy Framework) ist ein DNS-Eintrag, der die Mailserver (oder Versanddienste) auflistet, die E-Mails unter Verwendung deiner Domain im Envelope-From/Return-Path versenden dürfen.
Wie SPF funktioniert (Theorie)
Wenn ein empfangender Mailserver eine Nachricht erhält, überprüft er:
- Welche Domain wird im Envelope Sender (Return-Path) verwendet?
- Veröffentlicht diese Domain einen SPF-Eintrag im DNS?
- Ist die verbindende IP durch diesen SPF-Eintrag erlaubt?
Wenn ja → SPF besteht. Wenn nein → SPF scheitert (oder Softfails/neutral, je nach Richtlinie).
Beispiel für einen SPF-Eintrag
example.com. TXT "v=spf1 ip4:203.0.113.10 include:spf.protection.outlook.com -all"
Häufige SPF-Fehlermodi (bei denen Angreifer gewinnen)
- Zu freizügig:
v=spf1 +all
(im Grunde genommen „jeder kann senden“).
- Softfail forever:
~all
ohne DMARC-Durchsetzung, was zu einer „Shrug“-Behandlung führt.
- Fehlende Includes: Ihr CRM, Ihr Ticketingsystem, Ihr Newsletter-Tool sind nicht aufgeführt → legitime E-Mails scheitern.
- DNS-Lookup-Limit: SPF hat ein Limit von 10 DNS-Lookups; komplexe
include:
-Ketten können die Zustellung unterbrechen.
- SPF schützt nur die Envelope-Domain: Angreifer können den sichtbaren Absender immer noch so gestalten, dass er wie Sie aussieht, es sei denn, DMARC erzwingt die Angleichung.
Fazit: SPF ist notwendig, aber nicht ausreichend, um Spoofing zu verhindern.
DKIM: „Wurde diese E-Mail wirklich von jemandem mit dem privaten Schlüssel der Domain verschickt?“
DKIM (DomainKeys Identified Mail) fügt ausgehenden Nachrichten eine kryptografische Signatur hinzu. Der Absender signiert ausgewählte Header (und manchmal auch den Text) mit einem privaten Schlüssel. Der Empfänger ruft den öffentlichen Schlüssel aus dem DNS ab und überprüft die Signatur.
Wie DKIM funktioniert (Theorie)
-
Der ausgehende Mailserver fügt einen Header hinzu wie: -
DKIM-Signature: v=1; a=rsa-sha256; d=example.com; s=selector1; ... -
Der Empfänger fragt das DNS ab: -
selector1._domainkey.example.com
→ öffentlicher Schlüssel
- Wenn die Signatur übereinstimmt → DKIM ist erfolgreich.
Beispiel für einen DKIM-DNS-Eintrag
selector1._domainkey.example.com. TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8A..."
DKIM-Fehlermodi (wo Angreifer gewinnen)
- Überhaupt kein DKIM: Viele Domains signieren E-Mails immer noch nicht konsequent.
- Selektive Signierung: Nur einige Systeme signieren (z. B. Microsoft 365, dein Marketing-Tool nicht).
- Beschädigte Signaturen: Weiterleiter/Mailinglisten können Inhalte/Header ändern und DKIM beschädigen.
- Schwache/alte Schlüssel: Kurze oder langlebige Schlüssel erhöhen das Risiko (wenn sie kompromittiert werden, wird Identitätsdiebstahl zum Kinderspiel).
- Nicht übereinstimmende Domain: DKIM lässt eine andere Domain durch, als die, die die Nutzer unter „Von” sehen.
Fazit: DKIM ist stark, weil es kryptografisch ist, aber es braucht Abstimmung und Richtlinien – das ist die Aufgabe von DMARC.
DMARC: „Was sollen Empfänger tun, wenn SPF/DKIM versagt – und stimmt das mit meinem sichtbaren Absender überein?”
DMARC (Domain-based Message Authentication, Reporting & Conformance) bringt alles zusammen:
- Es braucht, dass SPF und/oder DKIM funktionieren, und
- sie müssen mit der Absender-Domäne übereinstimmen, die die Nutzer tatsächlich sehen.
Dann sagt es den Empfängern, was zu tun ist, wenn die Authentifizierung fehlschlägt:
- „
p=none
“ (nur überwachen)
- „
p=quarantine
“ (verdächtige E-Mails an Spam/Junk senden)
- „
p=reject
“ (komplett blockieren)
DMARC-Abgleich (das Schlüsselkonzept)
Angreifer lieben diese Lücke:
-
SPF besteht für
random-sender.com -
„Von:“ zeigt
ceo@yourcompany.com
Ohne DMARC-Abgleich kann eine Nachricht so aussehen, als käme sie von dir, auch wenn die authentifizierte Domain nichts damit zu tun hat.
DMARC sagt: Die authentifizierte Identität muss mit dem sichtbaren Absender übereinstimmen, nicht nur „irgendwo etwas bestanden“.
Beispiel für einen DMARC-Eintrag (Überwachung)
_dmarc.example.com. TXT "v=DMARC1; p=none; rua=mailto:dmarc-reports@example.com; adkim=s; aspf=s"
Beispiel für einen DMARC-Eintrag (durchgesetzt)
_dmarc.example.com. TXT "v=DMARC1; p=reject; rua=mailto:dmarc-reports@example.com; ruf=mailto:dmarc-fail@example.com; fo=1; adkim=s; aspf=s"
DMARC-Fehlermodi (bei denen Angreifer gewinnen)
- **Für immer bei „
p=none
” hängen bleiben**: Du bekommst Berichte, aber Spoofing kommt trotzdem durch.
- Keine Berichtsadresse / ignorierte Berichte: Du weißt nicht, wer deine Domain missbraucht.
- Falsch konfigurierte Ausrichtung: Legitime Dienste versagen und du rollst die Durchsetzung zurück.
- Lücken bei Subdomains: Ohne eine Subdomain-Richtlinie fälschen Angreifer
anything.yourcompany.com
.
- Keine externe Überwachung: DMARC ist kein „Einmal einrichten und vergessen“, wenn sich die Tools ändern.
Fazit: DMARC ist die Durchsetzungsebene, die SPF/DKIM von „Signalen“ in „Schutz“ verwandelt.
Was Angreifer tatsächlich mit schwacher E-Mail-Authentifizierung machen
Hier sind die schwerwiegenden Missbrauchspfade, die SPF/DKIM/DMARC verhindern helfen:
1) CEO-Betrug / Rechnungsumleitung (BEC)
Angreifer verschicken E-Mails, die scheinbar von der Geschäftsleitung oder der Finanzabteilung stammen, um IBANs zu ändern, Zahlungen zu genehmigen oder Geschenkkarten anzufordern. Schon ein einziger erfolgreicher Spoof kann mehr als ein Jahr Sicherheitstools kosten.
2) Sammeln von Anmeldedaten
Eine perfekt aussehende E-Mail „von der IT-Abteilung” leitet zu einer gefälschten Microsoft 365-Anmeldeseite weiter. Sobald die Anmeldedaten erfasst sind, kann der Angreifer auf echte interne Postfächer zugreifen und legitime Phishing-E-Mails aus Ihrem Unternehmen versenden.
3) Markenmissbrauch gegenüber Kunden/Partnern
Auch wenn Ihr internes Team geschult ist, sind Ihre Kunden es nicht. Gefälschte Nachrichten können Ihrem Ruf schaden, Betrug auslösen und zu Support-Alpträumen führen.
Domain-Permutationen: der Multiplikator „ähnliche Domains“
Selbst bei perfekter DMARC-Durchsetzung können Angreifer einfach eine andere Domain registrieren, die wie deine aussieht, und von dort aus E-Mails versenden.
Beispiele:
-examp1e.com
(1 statt l)
-exarnple.com
(rn statt m)
-example-support.com
-example.com-security.net
-exämple.com
(IDN-/Homograph-Tricks)
- Andere TLD:
example.co
,example.net
,example.io
Das nennt man Domain-Permutation / Typosquatting (und umfasst Homograph-Angriffe, Combo-Squatting, Bitsquatting und mehr).
Warum Permutationen gefährlich sind
- Benutzer lesen „Formen“, keine Zeichenfolgen: Ein kurzer Blick auf die Absenderadresse ist nicht zuverlässig.
- Mobile Clients blenden Details aus: Viele Schnittstellen blenden Absenderinformationen aus oder kürzen sie.
- SPF/DKIM/DMARC helfen nicht: Diese schützen Ihre Domain, nicht ähnliche Domains.
- Angreifer können eine „legitim aussehende” Infrastruktur aufbauen: TLS-Zertifikate, Landingpages mit Markenzeichen, realistische Antwortabläufe.
Typischer Angriffsablauf mit einer ähnlichen Domain
- Registriere eine Domain, die deiner ähnlich ist.
- Richte SPF/DKIM/DMARC richtig ein (ja, Angreifer machen das).
- Schicke „dringende“ Nachrichten an die Finanzabteilung, die Personalabteilung, Kunden oder Lieferanten.
- Sammle Anmeldedaten oder leite Zahlungen um.
- Wenn eine Antwort kommt, halte die Unterhaltung am Laufen (Thread-Hijacking-Stil).
Fazit: Du brauchst sowohl Authentifizierungsüberwachung als auch Look-alike-Erkennung.
Was „gut” ist: eine praktische Grundlage
Wenn du eine saubere, moderne Haltung willst:
SPF
- Genau einen SPF-TXT-Eintrag pro Domain.
- Füge nur die Absender hinzu, die du tatsächlich verwendest.
- Beende den Vorgang mit
-all
, sobald du alle Quellen validiert hast.
DKIM
- Stelle sicher, dass jede Versandplattform E-Mails signiert.
- Wechsle die Schlüssel regelmäßig.
- Verwende ausreichend starke Schlüssel (und verwende Schlüssel nicht unbegrenzt).
DMARC
- Beginne kurz mit
p=none
, um legitime Absender zu beobachten.
- Wechsle dann zu
p=quarantine
und anschließend zup=reject
.
- Verwende nach Möglichkeit eine strenge Ausrichtung (
aspf=s; adkim=s
).
- Denk über eine Subdomain-Richtlinie (
sp=
) nach, damit Subdomains keine Lücke sind.
Domain-Permutationen
- Achte auf ähnliche Domains in gängigen TLDs und offensichtliche Tippfehlermuster.
- Priorisiere diejenigen, die:
- MX-Einträge haben (E-Mails senden/empfangen können),
- Phishing-Seiten hosten,
- neu registriert sind,
- der Marke + „Abrechnung/Anmeldung/Support” ähneln.
Warum kontinuierliche Überwachung wichtig ist (auch wenn du sie „einmal eingerichtet” hast)
DNS-Änderungen passieren aus langweiligen Gründen – Migrationen, Anbieterwechsel, „Schnellkorrekturen”, abgelaufene Domains – und diese langweiligen Änderungen können still und leise die Authentifizierung kaputt machen.
Kontinuierliche Überwachung erkennt:
- SPF-Lookup-Fehler, nachdem jemand ein neues Tool hinzugefügt hat
- DKIM-Selektoren, die entfernt oder falsch rotiert wurden
- DMARC-Herabstufung auf „
p=none
“
- Eine plötzlich auftauchende, ähnlich aussehende Domain, die E-Mails an deine Mitarbeiter verschickt
Deshalb hat AutoPhish jetzt einen E-Mail-Sicherheits-/DNS-Scanner für schnelle Überprüfungen und kontinuierliche Überwachung mit Warnmeldungen für angemeldete Organisationen.
Schnelle Checkliste, die du in dein internes Runbook kopieren kannst
- SPF ist vorhanden, eindeutig und endet auf
-all
(nach Validierung)
- Alle E-Mail-Quellen sind berücksichtigt (M365/Google + Marketing + Support + Transaktionen)
- DKIM ist für alle Quellen aktiviert, Schlüssel sind nicht veraltet
- DMARC ist vorhanden und die Berichterstellung ist aktiviert
- DMARC wird durchgesetzt (
quarantine
oderreject
) und die Ausrichtung ist konfiguriert
- Subdomains abgedeckt (
sp=
oder explizites DMARC auf Subdomains)
- Überwachung ähnlicher Domains aktiviert (Tippfehler + TLD-Swaps + Kombinationen)
- Benachrichtigungen an einen echten Kanal gekoppelt (E-Mail/Slack/Teams/Ticketing)
Überprüfe deine Domain in Sekundenschnelle (kostenlos)
Möchtest du jetzt gleich eine schnelle Überprüfung durchführen? Nutze den AutoPhish DNS Checker, um deine SPF-, DKIM- und DMARC-Einträge sofort zu analysieren:
- AutoPhish DNS Checker: https://autophish.io/dns-check
Wenn du dauerhaften Schutz willst, kannst du mit einem AutoPhish-Abonnement auch eine kontinuierliche Überwachung einrichten – so bekommst du Benachrichtigungen, wenn sich DNS-Einträge ändern oder wenn ähnliche Domains entdeckt werden.
Abschließende Gedanken
Die E-Mail-Authentifizierung (SPF/DKIM/DMARC) ist eine der wenigen Sicherheitsmaßnahmen, die sowohl den Schutz als auch die Zustellbarkeit verbessert. Mit einer Überwachung auf ähnliche Domains decken Sie die beiden größten Vektoren für Identitätsdiebstahl ab: das Spoofing Ihrer Domain und das Spoofing Ihrer Marke.