Zurück zum Blog

Warum Phishing-Simulations-E-Mails im Spam landen (und wie man das beheben kann, ohne die Sicherheit zu beeinträchtigen)

Die Platzierung im Posteingang ist keine Eitelkeitskennzahl. Es ist der Unterschied zwischen der Messung menschlichen Verhaltens und der Messung von Fehlern im E-Mail-Fluss.

Von Autophish Team|Veröffentlicht am 4/21/2026
Cover image for Warum Phishing-Simulations-E-Mails im Spam landen (und wie man das beheben kann, ohne die Sicherheit zu beeinträchtigen)

Wenn deine E-Mails zur Phishing-Simulation im Spam-Ordner oder in der Quarantäne landen, sind deine Ergebnisse kaum noch vertrauenswürdig.

Eine Klickrate von 2 % könnte bedeuten, dass sich deine Nutzer verbessert haben. Oder es könnte bedeuten, dass ein großer Teil des Unternehmens die Nachricht nie wirklich gesehen hat. Das ist nicht nur ein Problem der Berichterstattung. Es ist ein Problem der Programmgestaltung. Dieser Leitfaden richtet sich an Sicherheitsingenieure, IT-Administratoren, CISOs und Compliance-Verantwortliche, die eine zuverlässige Zustellung für Simulationen benötigen, ohne gefährliche Lücken in die E-Mail-Sicherheit zu reißen.

Sicherheitshinweis: Dieser Artikel befasst sich mit defensiven Simulationen und der Messung des Sicherheitsbewusstseins. Er enthält keine Anleitungen für echtes Phishing, den Diebstahl von Zugangsdaten oder das Umgehen von Sicherheitskontrollen zu böswilligen Zwecken.

Die Kurzfassung

Wenn Phishing-Simulations-E-Mails im Spam landen, besteht die Lösung in der Regel nicht darin, „die Filter zu lockern, bis alles im Posteingang landet“.

Der sicherere Ansatz ist:

  • Verwende eine dedizierte Simulationsdomain oder -subdomain
  • Stelle die SPF-, DKIM- und DMARC-Konformität bewusst her
  • Halte Inhalte und Weiterleitungsketten sauber
  • Unterscheide zwischen Zustellungs-Telemetrie und Nutzerverhaltens-Telemetrie
  • Und verwende, wo nötig, gezielte Whitelisting statt pauschaler Umgehungen

Dieser letzte Punkt ist wichtig. Pauschales Whitelisting ist riskant. Aber enge, gut dokumentierte Regeln, die an eine dedizierte Absender-IP und bekannte Absenderidentitäten gebunden sind, können eine absolut sinnvolle langfristige Kontrollmaßnahme sein.

Warum die Zustellbarkeit bei Phishing-Simulationen versagt

Fehler bei der Zustellbarkeit sind selten zufällig. Sie sind meist das vorhersehbare Ergebnis der Programmkonfiguration.

1) SPF, DKIM oder DMARC stimmen nicht mit dem sichtbaren Absender überein

Das ist die häufigste Ursache.

Wenn die Domain, die Nutzer im Von-Feld sehen, nicht mit der Domain übereinstimmt, die durch SPF autorisiert oder mit DKIM signiert ist, haben E-Mail-Systeme guten Grund, misstrauisch zu sein. Sowohl Microsoft als auch Google behandeln SPF, DKIM und DMARC als zentrale Vertrauenssignale für Absender und legen beide großen Wert auf die Übereinstimmung mit der sichtbaren Absender-Domain.

Häufige Fehlermuster:

  • Die sichtbare Von-Domain ist nicht die Domain, die du tatsächlich authentifiziert hast
  • Die DKIM-Signatur fehlt oder ist an die falsche Domain angehängt
  • DMARC ist vorhanden, aber die Übereinstimmung mit dem sichtbaren Absender wurde nie ordnungsgemäß getestet
  • Es wurden DNS-Änderungen vorgenommen, diese wurden jedoch vor dem Start der Kampagne nicht vollständig übertragen oder validiert

2) Die Simulation verwendet die Hauptdomain des Unternehmens

Die Verwendung der primären Unternehmensdomain mag realistisch wirken, führt aber oft zu unnötigen Konflikten.

Du testest letztendlich gegen dieselben Anti-Spoofing-, Identitätsbetrugs- und Missbrauchsschutzmaßnahmen, die zum Schutz dieser Domain im Produktionsbetrieb vorhanden sind. Das kann in einigen ausgereiften Programmen angemessen sein, ist aber selten der beste Ausgangspunkt.

Für die meisten Teams ist eine dedizierte Simulations-Subdomain die sicherere Standardoption.

3) Es wurde die falsche Art der Whitelisting-Liste verwendet

Allowlisting kann zu einem Sicherheitsproblem werden, besonders wenn Teams Dinge tun wie:

  • den Phishing-Schutz global umgehen
  • riesige IP-Bereiche von Cloud-Anbietern auf die Whitelist setzen
  • ganze Absenderinfrastrukturen ausnehmen, die sie nicht kontrollieren
  • das Scannen für breite E-Mail-Kategorien überspringen

Aber das ist nicht das einzige Modell.

Es gibt einen großen Unterschied zwischen breiten Umgehungen und gezielten Zustellregeln. Wenn dein Anbieter von einer dedizierten IP und einer kleinen, bekannten Gruppe von Absenderadressen oder Domains versendet, kann eine eng gefasste Whitelist akzeptabel sein und sogar als Teil der Standardkonfiguration bestehen bleiben. AutoPhishs eigene Konfigurationsanleitungen genau dieses Modell: Kampagnen werden von einem dedizierten SMTP-Server/einer dedizierten IP und einer definierten Gruppe von Absenderadressen versendet, was präzise Filterausnahmen ermöglicht, ohne auf überdimensionierte Umgehungsmaßnahmen zurückgreifen zu müssen, die ein echtes Risiko darstellen.

4) Inhalte und Links lösen dieselben Kontrollen aus, von denen du erwartest, dass Nutzer ihnen vertrauen

Simulations-E-Mails enthalten oft:

  • Tracking-Links
  • Weiterleitungen
  • Dringlichkeitsformulierungen
  • markenähnliche Formulierungen
  • Handlungsaufforderungen im Login-Stil

Das ist nicht automatisch falsch. Aber es bedeutet, dass die E-Mail wie verdächtige Post geprüft wird. Wenn die Simulation darauf angewiesen ist, verdächtig genug zu wirken, um deine eigenen Kontrollen zu umgehen, testest du nicht mehr wirklich Nutzer. Du testest, ob dein Sicherheits-Stack offensichtlich riskante Inhalte abfängt.

5) Zustellungsdaten und Verhaltensdaten werden vermischt

Wenn du nicht klar unterscheiden kannst zwischen:

  • gesendet
  • zugestellt
  • geöffnet
  • angeklickt
  • gemeldet

dann wird dich dein Bericht in die Irre führen. Eine schwache Kampagnenkennzahl kann auf ein Nutzerproblem hindeuten. Oder auf ein Routing-Problem. Oder auf eine Quarantäne-Richtlinie. Oder auf ein filterbezogenes Problem beim Mailbox-Anbieter. Das sind ganz unterschiedliche Lösungswege.

Ein sicherer Weg, um die Zustellbarkeit von Phishing-Simulationen zu verbessern

Schritt 1: Trenne den Versand von Simulationen vom normalen geschäftlichen E-Mail-Verkehr

Für die meisten Unternehmen ist der beste Ausgangspunkt:

  • eine eigene Simulationsdomain oder -subdomain
  • eigene Authentifizierungsdatensätze
  • ein sauberer Versandweg, der leicht zu erklären und zu prüfen ist
  • keine Nachahmung echter interner Personen, es sei denn, es gibt einen triftigen, geprüften Grund

Das verringert den Schadensumfang, reduziert Verwirrung und erleichtert die Fehlerbehebung erheblich.

Schritt 2: Überprüfe die Authentifizierung vor der ersten Kampagne

Bevor du zu dem Schluss kommst, dass „Microsoft uns blockiert“ oder „Google zu aggressiv ist“, überprüfe die Grundlagen:

  • SPF enthält nur die Infrastruktur, die Simulations-E-Mails versenden soll
  • DKIM ist aktiviert und signiert zuverlässig
  • DMARC ist veröffentlicht und mit der sichtbaren Absenderdomain abgeglichen
  • Testnachrichten zeigen tatsächlich die von dir erwarteten Authentifizierungsergebnisse

Für eine herstellerunabhängige Auffrischung ist Microsofts Übersicht zur E-Mail-Authentifizierung eine nützliche Grundlage, und Googles Leitfaden für Absender vermittelt denselben grundlegenden Punkt: Zuverlässige Zustellung beginnt mit einer sauberen Authentifizierung und Domain-Abgleich.

Wenn du AutoPhish verwendest, sind der Hilfeartikel zur Zustellung von Kampagnen-E-Mails und die DNS-Prüfung gute Ausgangspunkte bei der Einrichtung.

Schritt 3: Nutze bei Bedarf gezielte Whitelisting-Regeln, keine pauschalen Ausnahmen

Das ist der Teil, den viele Teams tatsächlich brauchen.

Eine gute Ausnahme ist:

  • spezifisch
  • dokumentiert
  • überprüfbar
  • leicht gegenüber Prüfern zu erklären
  • an eine bekannte Absenderidentität oder eine dedizierte Absender-IP gebunden
  • eng genug gefasst, dass sie nicht versehentlich unbedeutendem Datenverkehr vertraut

Eine schlechte Ausnahme ist „alles von diesem Anbieter ist in Ordnung“. Eine bessere Ausnahme ist: „Simulations-E-Mails von dieser dedizierten IP und dieser definierten Absendergruppe sollten für dieses Sensibilisierungsprogramm konsistent zugestellt werden.“ Dieser Unterschied ist wichtig.

In der Praxis ist die am besten vertretbare Vorgehensweise oft:

  • Behalte das normale Scannen bei, wo immer möglich
  • Vermeide globale „Skip-Filtering“-Regeln
  • Bevorzuge eng gefasste, auf Absender/IP basierende Regeln gegenüber infrastrukturweitem Vertrauen
  • Dokumentiere genau, warum die Regel existiert und was sie abdeckt
  • Überprüfe sie regelmäßig, aber gehe nicht davon aus, dass sie nur vorübergehend sein muss, wenn sie eng gefasst bleibt und weiterhin zu deinem Kontrollmodell passt

Mit AutoPhish ist dieses Modell realisierbar, da Kampagnen von einer dedizierten IP und einem bekannten Absender-Footprint gesendet werden und nicht aus einem riesigen gemeinsamen E-Mail-Pool.

Schritt 4: Entwirf Simulationen, um das Erkennen zu lehren, nicht um gegen das Gateway anzukämpfen

Die besten Phishing-Simulationen müssen nicht gegen jede Sicherheitskontrolle „gewinnen“.

Sie müssen dir helfen zu messen, ob die Mitarbeiter:

  • verdächtige Anzeichen bemerken
  • riskante Handlungen vermeiden
  • verdächtige Nachrichten schnell melden
  • sich im Laufe der Zeit verbessern

Das ist ein sinnvolleres Designziel, als zu versuchen, jede E-Mail auf der Filterebene so aussehen zu lassen, dass sie von einem echten Angriff nicht zu unterscheiden ist.

Schritt 5: Erstelle Berichte, die E-Mail-Probleme von menschlichen Problemen unterscheiden können

Ein ausgereiftes Programm sollte folgende Fragen beantworten können:

  • Wie viele Nachrichten wurden tatsächlich zugestellt?
  • Welcher Anbieter oder welche Richtlinie hat sie gefiltert?
  • In welchen Abteilungen war die Sichtbarkeit geringer?
  • Haben Nutzer die Nachricht gemeldet?
  • Haben sich dieselben Nutzer im Laufe der Zeit verbessert?

Das ist es, was Simulationen von „einem Haufen gefälschter E-Mails“ in etwas operativ Nützliches verwandelt.

Wenn du diese Art von Struktur willst, ist das Reporting genauso wichtig wie der Inhalt. Siehe: Phishing-Simulations-Reporting: 12 Funktionen, die Sicherheitsteams vergleichen sollten.

Wie eine „gute“ Whitelist aussieht

Eine gute Regel sollte so eng gefasst sein, dass dein Sicherheitsteam damit leben kann und deine Prüfer sie verstehen.

Das bedeutet in der Regel:

  • Sie beschränkt sich auf die Infrastruktur für den Versand von Simulationen
  • Sie ist an bekannte Domains, Absenderidentitäten oder eine dedizierte IP-Adresse gebunden
  • Sie vertraut keinen nicht verwandten E-Mails desselben übergeordneten Anbieters
  • Sie schafft keine pauschale Bedingung „immer zustellen, nie scannen“, es sei denn, es gibt einen sehr triftigen Grund
  • Sie wird als Teil des Awareness-Programms nachverfolgt, nicht als versteckter Workaround

Hier spielt auch die Architektur des Anbieters eine Rolle. Wenn eine Plattform aus einem gemeinsamen Pool versendet, der von vielen Kunden genutzt wird, lässt sich eine langfristige Zulassung auf die Whitelist schwerer rechtfertigen. Wenn sie von einer dedizierten IP-Adresse mit einer kleinen, dokumentierten Absenderfläche versendet, lässt sich eine eng gefasste Zulassung auf die Whitelist viel leichter verteidigen.

Eine kurze Checkliste, wenn E-Mails zur Phishing-Simulation im Spam landen

Verwende diese Checkliste, wenn deine Ergebnisse verdächtig aussehen.

Authentifizierung und Absenderidentität

  • Ist die sichtbare Absenderdomain diejenige, die du verwenden wolltest?
  • Sind SPF, DKIM und DMARC auf diese Domain abgestimmt?
  • Hat sich in letzter Zeit etwas am DNS oder an der Versandkonfiguration geändert?
  • Zeigen die Test-Header die erwarteten Ergebnisse?

Versandarchitektur

  • Verwendest du eine dedizierte Simulations-Subdomain?
  • Ist die Versandinfrastruktur von der Produktions-Mail isoliert?
  • Ist die Reputationshistorie des Absenders stabil?
  • Verwendest du einen gemeinsamen Absender-Pool oder eine dedizierte IP?

Regeln und Ausnahmen

  • Hat jemand eine pauschale Umgehung eingerichtet, damit „es einfach funktioniert“?
  • Könnte die Regel auf exakte Absenderidentitäten oder eine dedizierte IP eingegrenzt werden?
  • Ist die Ausnahme dokumentiert und überprüfbar?
  • Führst du weiterhin Scans durch, wo immer dies sinnvoll ist?

Inhalt und Messung

  • Sind die URLs sauber und vorhersehbar?
  • Gibt es unnötige Weiterleitungsketten?
  • Misst du die Zustellung getrennt vom Engagement?
  • Verfolgst du die Melderate und die Zeit bis zur Meldung, nicht nur die Klicks?

FAQ

Sollten wir E-Mails zur Phishing-Simulation auf die Whitelist setzen?

Manchmal ja.

Was du vermeiden solltest, ist pauschales Vertrauen. Was oft akzeptabel ist, ist eingeschränktes Vertrauen: eine dedizierte Absender-IP, bekannte Absenderidentitäten, ein klar dokumentierter Zweck und keine übermäßige Umgehung, die den Rest deiner E-Mail-Sicherheit schwächt.

Sollten diese Regeln nur vorübergehend gelten?

Nicht unbedingt.

Breit angelegte Notfallausnahmen sollten vorübergehend sein. Aber präzise, klar abgegrenzte Regeln können bestehen bleiben, wenn sie Teil des genehmigten Betriebsmodells sind, weiterhin angemessen eng gefasst sind und regelmäßig überprüft werden.

Können wir Simulationen von unserer Haupt-Unternehmensdomain aus durchführen?

Das geht, ist aber in der Regel mit mehr Reibungsverlusten und höheren Risiken verbunden.

Eine eigene Simulations-Subdomain ist einfacher zu authentifizieren, leichter zu erklären und kollidiert seltener mit deinen produktiven Anti-Spoofing- und Identitätsbetrugs-Kontrollen.

Verringert eine bessere Zustellbarkeit den Realismus?

Nein.

Gute Simulationen messen das Erkennungs- und Meldeverhalten. Sie benötigen keine schlampige Infrastruktur oder unsichere Umgehungen, um nützlich zu sein.

Wie beweisen wir, dass die Ergebnisse vertrauenswürdig sind?

Dokumentiere beide Seiten des Systems:

  1. was eigentlich zugestellt werden sollte
  2. was die Nutzer nach der Zustellung tatsächlich getan haben

Das ist weitaus besser zu verteidigen, als ein Diagramm zur Klickrate ohne Zustellkontext zu zeigen.

Bist du bereit, Simulationen durchzuführen, die die Widerstandsfähigkeit messen, statt nur Unfälle im E-Mail-Verkehr?

AutoPhish wurde für Teams entwickelt, die sichere Simulationen, datenschutzbewusste Berichterstattung und auditfreundliche Nachweise ohne hohen betrieblichen Aufwand wünschen.

Wenn du eine genaue Anleitung zur Einrichtung benötigst, lies unseren Hilfeartikel zum Thema So stellst du sicher, dass Kampagnen-E-Mails gut ankommen.

Anmelden

Bildnachweis: Foto von Krsto Jevtic auf Unsplash.

Zurück zu allen Beiträgen

Starte deinen ersten Phishing-Test in 10 Minuten.

Kostenlose Anmeldung — keine Kreditkarte. Probiere Pro 7 Tage gratis, wenn du so weit bist.

Jetzt Simulation startenDemo für ein größeres Team gewünscht? Sprich mit uns →