Domain-Spoofing stoppen: SPF, DKIM, DMARC

Der unangenehme Moment vorweg

Stell dir vor, ein Kunde bekommt eine E-Mail. Absender: deine Firma. Logo im Text, dein Name in der Signatur, eine freundlich formulierte Bitte, die nächste Rechnung bitte auf eine neue Bankverbindung zu überweisen. Der Kunde zahlt. Nur: Du hast diese Mail nie geschrieben. Geschickt hat sie jemand, der einfach deine Adresse als Absender eingetragen hat.

Das Unangenehme daran: Eine E-Mail-Adresse als Absender einzutragen ist ungefähr so schwer, wie auf einen Briefumschlag einen fremden Absender zu schreiben. Es gibt keine eingebaute Hürde. Ohne zusätzlichen Schutz kann das gerade wahrscheinlich jeder mit deiner Firmen-Adresse tun – und weder du noch dein Kunde würden es im Moment des Empfangs bemerken.

Ehrlich gesagt: Auch wir hatten eine Lücke

Damit das nicht nach erhobenem Zeigefinger klingt, ein ehrliches Eingeständnis: nadooit.de hatte lange zwei der drei Schutzmechanismen aktiv – SPF und DKIM. Der dritte, DMARC, fehlte. Vereinfacht gesagt hieß das: Wir hatten Schlösser an der Tür, aber niemandem gesagt, was der Türsteher mit jemandem tun soll, der keinen Schlüssel hat. Inzwischen ist das behoben.

Wir erzählen das, weil es zeigt, wie leicht diese Lücke entsteht. SPF und DKIM werden bei der Einrichtung eines Postfachs oft mitgeliefert. DMARC – der Teil, der Fälschungen aktiv abweist und dich informiert – muss man bewusst ergänzen. Genau dieser letzte Schritt wird in den meisten Betrieben vergessen. Wenn es uns passieren konnte, passiert es vielen.

SPF, DKIM und DMARC – ohne Fachjargon

Hinter den drei Abkürzungen steckt nichts Magisches. Es sind drei kleine Einträge bei deiner Internet-Adresse (deiner Domain), die zusammen eine einfache Frage beantworten: Darf dieser Absender wirklich in deinem Namen schreiben? Am Bild eines Briefs wird es greifbar:

• SPF ist die Liste der erlaubten Absender. Sie legt fest, welche Server überhaupt E-Mails in deinem Namen verschicken dürfen – wie eine Gästeliste am Eingang. Kommt eine Mail von einem Server, der nicht auf der Liste steht, ist das verdächtig.
• DKIM ist das Echtheits-Siegel. Jede echte E-Mail bekommt eine unsichtbare, fälschungssichere Unterschrift. Stimmt das Siegel nicht, wurde die Mail unterwegs verändert oder stammt gar nicht von dir.
• DMARC ist die Hausordnung. Sie sagt dem Empfänger, was zu tun ist, wenn Gästeliste oder Siegel nicht passen: durchlassen, in den Spam schieben oder ganz abweisen. Und sie sorgt dafür, dass du einen Bericht bekommst, wenn jemand es in deinem Namen versucht.

Erst alle drei zusammen ergeben einen sinnvollen Schutz. SPF und DKIM stellen die Fragen, DMARC zieht die Konsequenz. Fehlt DMARC, werden Fälschungen vielleicht erkannt, aber nicht gestoppt – und niemand erfährt davon.

Warum Outlook das nicht einfach für dich erledigt

Ein verbreiteter Irrtum lautet: „Wir nutzen Outlook und Microsoft 365, da ist das doch dabei.“ Microsoft 365 sorgt zuverlässig dafür, dass deine eigenen E-Mails sauber raus­gehen. Aber es prüft eingehende Absender nicht von Haus aus streng darauf, ob sie wirklich echt sind. Diese zusätzliche Sicherheit – das konsequente Erkennen und Abweisen gefälschter Absender – bekommst du nicht einfach so mitgeliefert.

Das ist kein Vorwurf an Microsoft, sondern eine Frage der Einrichtung. SPF, DKIM und DMARC werden nicht im Postfach angeschaltet, sondern bei deiner Domain hinterlegt und müssen zueinander passen. Wer das nie bewusst eingerichtet hat, verlässt sich auf einen Schutz, der gar nicht existiert. Und das Tückische ist: Im Alltag fällt nichts auf – bis der Schadensfall da ist.

Wie wir als externe IT-Abteilung das übernehmen

Hier kommt unser Verständnis von IT als Dienstleistung ins Spiel: Du sollst dich nicht mit SPF-Einträgen und DMARC-Regeln beschäftigen müssen. Wir richten den Schutz für deine Domain korrekt ein, prüfen, dass alle drei Bausteine sauber zusammenspielen, und sorgen dafür, dass Fälschungen abgewiesen werden statt durchzurutschen.

Genauso wichtig: Wir bemerken Angriffe. Die DMARC-Berichte laufen bei uns auf und werden ausgewertet. Versucht jemand, in deinem Namen zu schreiben, sehen wir das und handeln – statt dass es unbemerkt bleibt, bis ein Kunde sich beschwert. Das ist Teil der laufenden Betreuung, kein einmaliges Extra-Projekt. So bleibt Sicherheit auf dem aktuellen Stand, ohne dass du daran denken musst.

Warum du dich langfristig auf uns verlassen kannst

Sicherheit ist nichts Einmaliges, deshalb ist die Frage berechtigt: Bleibt das auch in zehn Jahren verlässlich? Vier Dinge sind uns dabei wichtig:

• Offenheit: Unsere Software Launchpad ist offen. Gäbe es NADOO eines Tages nicht mehr, ließe sie sich – gerade mit heutiger KI-Unterstützung – problemlos eigenständig weiterentwickeln. Niemand sitzt auf einer Blackbox fest, die mit uns verschwindet.
• Ausbildung: Wir bilden kontinuierlich eigenen Nachwuchs aus – einer der wenigen Betriebe, die wirklich junge Fachleute heranziehen, die gelernt haben, mit dem System zu arbeiten und es weiterzuentwickeln. Das sorgt für stetiges Wachstum und verhindert, dass alles an einer einzelnen Person hängt.
• Genossenschaft: Langfristig ist die Umwandlung in eine Genossenschaft vorgesehen, über die Launchpad gemeinschaftlich weiterentwickelt wird. So ist die Zukunft der Software breit getragen und nicht von einzelnen Interessen abhängig.
• Netzwerk: Rund um die Software wächst ein Ökosystem aus Agenturen und Partnern – darunter auch unsere Absolventen. Wissen wird geteilt, Probleme werden einmal gelöst und vielen zugänglich gemacht.

Kurz: Hinter der korrekten Einrichtung von SPF, DKIM und DMARC steht kein Einzelkämpfer, sondern eine Struktur, die auf Dauer angelegt ist – mit Nachwuchs, gemeinschaftlicher Trägerschaft und offener Technik.

Quellen und Weiterlesen

• BSI: E-Mail-Sicherheit (SPF, DKIM, DMARC)
• RFC 7489: Domain-based Message Authentication, Reporting, and Conformance (DMARC)
• Microsoft Learn: E-Mail-Authentifizierung in Microsoft 365 (SPF, DKIM, DMARC)
• BSI: Lage der IT-Sicherheit