Die Sicherheit von E-Mails ist ein zentrales Thema für Unternehmen, da täglich Milliarden von E-Mail-Nachrichten versendet und empfangen werden – oft mit sensiblen Inhalten. Angriffe wie Phishing und Spoofing bedrohen nicht nur den Datenschutz, sondern auch die Vertrauenswürdigkeit der Absenderdomain. Genau hier setzen die E-Mail-Sicherheitsprotokolle DKIM und DMARC an: Sie stellen sicher, dass E-Mails authentifiziert und die Absender verifiziert sind und der E-Mail-Verkehr vor Manipulationen geschützt ist.
Damit DKIM und DMARC jedoch effektiv funktionieren, benötigen sie auch das «Sender Policy Framework», kurz SPF. Diese Methode zur Authentifizierung legt fest, welche Server im Namen einer Domain E-Mails versenden dürfen. SPF, DKIM und DMARC bilden zusammen ein starkes Schutzsystem, das Angreifern die Manipulation von E-Mails deutlich erschwert. In diesem Artikel erläutern wir, weshalb Domaininhaber diese Schutzmassnahmen auf jeden Fall aktivieren sollten.
SPF – Schutz vor gefälschten Absendern
Das SPF («Sender Policy Framework») ist ein wichtiger Bestandteil der E-Mail-Authentifizierung und arbeitet Hand in Hand mit DKIM und DMARC, um eine umfassende Sicherheitslösung zu bieten. Mittels SPF wird kontrolliert, ob der sendende Server autorisiert ist, E-Mails im Namen einer bestimmten Domain zu versenden.
Der Inhaber einer Domain hinterlegt einen SPF-Record in der DNS-Zone seiner Domain. Dieser Eintrag («Record») enthält eine Liste von IP-Adressen und Servern, die E-Mails im Namen dieser Domain versenden dürfen. Wenn ein empfangender Mailserver ein E-Mail erhält, überprüft er den SPF-Record der Absenderdomain und vergleicht die IP-Adresse des sendenden Servers mit den zulässigen Adressen im SPF-Record. Wenn die Prüfung erfolgreich ist, gilt dies als Indiz für ein legitimes E-Mail. Andernfalls kann es abgelehnt oder als Spam markiert werden.
Ein SPF-Record schützt somit davor, dass Angreifer E-Mails von nicht authorisierten Servern versenden können, die vorgeben, von einer legitimen Domain zu stammen. Um eine zuverlässige Zustellung von E-Mails sicherzustellen, sollte der gültige Postausgangsserver verwendet werden, der von Webhosting-Anbietern wie Hostpoint vorgegeben wird. Dadurch wird das Risiko reduziert, dass E-Mails aufgrund einer negativen SPF-Prüfung vom Empfänger abgelehnt werden.
DKIM – Schutz vor E-Mail-Manipulation
DKIM («DomainKeys Identified Mail») ist eine Methode zur E-Mail-Authentifizierung, bei der die E-Mails mit einer digitalen Signatur versehen werden. Diese Signatur ermöglicht es dem Empfänger, zu überprüfen, ob das E-Mail tatsächlich vom Server der Absenderdomain stammt und ob der Inhalt der Nachricht unverändert geblieben ist.
Dafür nutzt DKIM ein asymmetrisches Verschlüsselungsverfahren, das aus zwei Schlüsseln besteht. Wenn ein E-Mail von einer Domain gesendet wird, erstellt der Mailserver des Absenders eine digitale Signatur, die in einem speziellen Header im E-Mail gespeichert wird. Diese Signatur wird mithilfe eines privaten Schlüssels erstellt, der nur dem Absender bekannt ist.
Der empfangende Mailserver wiederum kann den öffentlichen Schlüssel, der in der DNS-Zone der Absenderdomain hinterlegt ist, nutzen, um die Signatur zu überprüfen. Stimmt der von ihm errechnete Hashwert mit dem im E-Mail enthaltenen überein, ist klar, dass die Nachricht authentisch und unverändert ist.
Mit DKIM wird es einfacher, manipulierte E-Mails zu entdecken. Dies schützt sowohl den Absender als auch den Empfänger vor Phishing-Angriffen und E-Mail-Spoofing. Für Unternehmen reduziert DKIM zudem die Wahrscheinlichkeit, dass ihre E-Mails fälschlicherweise im Spam-Ordner landen. Bei einem Massenversand von E-Mails ist die Verwendung von DKIM bei einigen Anbietern (z. B. Google, Yahoo) bereits Pflicht.
Hostpoint aktiviert DKIM seit Mai 2024 automatisch für alle Domains, die einem Webhosting oder einer Cloud Office-Gruppe zugeordnet wurden. Bei älteren Domains muss dies manuell erfolgen, was in dieser Anleitung genauer erklärt wird. Standardmässig werden bei Hostpoint drei DKIM-Records pro Domain mit unterschiedlichen Schlüsseltypen (rsa1024, rsa2048, ed25519) erstellt, damit möglichst alle Empfänger die Signatur validieren können. Für eine erfolgreiche DKIM-Prüfung reicht es, wenn mindestens eine der Signaturen verifiziert werden kann.
Falls Hostpoint für den E-Mail-Verkehr genutzt und DKIM für extern verwaltete Domains eingerichtet werden soll, muss DKIM bei Hostpoint aktiviert werden. Anschliessend müssen die DKIM-Angaben beim externen DNS-Anbieter hinterlegt werden. Für eine genaue Anleitung empfehlen wir einen Blick auf den Artikel in unserem Support Center.
Tipp:
Im Internet existieren diverse Tools (z. B. mit den Namen «DKIM-Test» oder «DKIM-Record-Checker»), mit denen Sie testen können, ob DKIM richtig konfiguriert ist und Ihre E-Mails korrekt signiert werden.
DMARC – Regeln für nicht authentifizierte E-Mails
DMARC («Domain-based Message Authentication, Reporting and Conformance») bietet eine zusätzliche Schutzschicht und baut auf DKIM und SPF auf, damit diese ihre volle Wirkung entfalten können.
Mit DMARC können Domaininhaber festlegen, wie E-Mails behandelt werden sollen, die die SPF- oder DKIM-Prüfung nicht bestehen. Sie können entscheiden, ob solche E-Mails in den Spam-Ordner verschoben oder direkt abgelehnt werden. Es gibt dazu drei DMARC-Richtlinien:
-
None (keine): E-Mails werden unabhängig vom Ergebnis der Authentifizierungsprüfung zugestellt und im Posteingang des Empfängers angezeigt. Diese Option ist bei Hostpoint nicht verfügbar.
-
Quarantine (Quarantäne): E-Mails werden vom Mailserver des Empfängers angenommen, aber in den Spam- oder Junk-Ordner verschoben.
-
Reject (ablehnen): E-Mails werden vom Mailserver abgelehnt und nicht zugestellt, wobei der Absender in der Regel über die fehlgeschlagene Zustellung informiert wird.
Bei Hostpoint ist standardmässig die Richtlinie «Quarantine» eingestellt. Diese kann über das Hostpoint Control Panel angepasst werden.
Es wird empfohlen, zunächst die DMARC-Quarantäne-Richtlinie zu verwenden. Dadurch werden verdächtige E-Mails in den Spam-Ordner verschoben, um die Zustellbarkeit zu testen, bevor striktere Massnahmen wie das vollständige Ablehnen eingeführt werden.
Mit DMARC können Unternehmen den Missbrauch ihrer Domains durch Phishing-Angriffe und E-Mail-Spoofing deutlich reduzieren. Es schützt nicht nur den E-Mail-Empfänger, sondern auch die Reputation des Absenders, indem sichergestellt wird, dass nur legitimierte Nachrichten die Empfänger erreichen.
Hinweis:
Seit August 2024 aktiviert Hostpoint DMARC automatisch für alle Domains, die einem Webhosting oder einer Cloud Office-Gruppe zugeordnet wurden. In allen anderen Fällen ist eine manuelle Aktivierung möglich. Eine Anleitung zur Aktivierung von DMARC ist hier abrufbar.
Warum Domaininhaber DKIM und DMARC nutzen sollten
Für Domaininhaber und Unternehmen ist die Implementierung von DKIM und DMARC ein wichtiges Instrument, um die E-Mail-Kommunikation sicherer zu gestalten. Diese Technologien bieten Schutz vor Phishing, Spoofing und anderen Bedrohungen, die durch manipulierte oder gefälschte E-Mails entstehen können.
Ein häufig auftretendes Szenario sind Phishing-Angriffe, bei denen Angreifer gefälschte E-Mails versenden und vorgeben, von einem legitimen Unternehmen zu stammen. Bei Spoofing-Attacken versuchen Betrüger, die Absenderadresse zu fälschen, um E-Mails mit schädlichem Inhalt zu versenden.
Mit DKIM und DMARC werden solche Manipulationsversuche von E-Mails je nach Konfiguration entweder erfolglos im Spam-Ordner landen oder direkt blockiert, noch bevor sie den Empfänger erreichen. Gleichzeitig werden legitime E-Mails, die mit diesen Technologien gesichert sind, seltener von Spam-Filtern blockiert. Dies erhöht die Wahrscheinlichkeit, dass diese Nachrichten sicher im Posteingang des Empfängers ankommen. Trotzdem ist eine gewisse Achtsamkeit gegenüber Phishing immer angebracht, da auch die sichersten Methoden keinen perfekten Schutz bieten.
Wenn Sie Fragen zu DKIM, DMARC oder anderen Themen zur E-Mail-Sicherheit haben, steht Ihnen der Hostpoint-Support gerne zur Verfügung. Unser Team hilft Ihnen bei der Einrichtung und Konfiguration dieser Schutzmassnahmen, damit Ihre E-Mail-Kommunikation sicher bleibt.
Kontaktieren Sie uns per E-Mail an support@hostpoint.ch oder telefonisch unter 0844 04 04 04 – wir sind an sieben Tagen die Woche von 8 bis 18 Uhr in Ihrer Sprache für Sie da!