E-Mail-Sicherheit: SPF, DKIM und DMARC richtig konfigurieren

Written by ExposIQ | März 13, 2026

E-Mail ist nach wie vor der wichtigste Kommunikationskanal für Schweizer Unternehmen – und gleichzeitig eines der beliebtesten Angriffsziele. Phishing, Business Email Compromise (BEC) und E-Mail-Spoofing verursachen weltweit Milliardenschäden. Die gute Nachricht: Mit den drei DNS-Standards SPF, DKIM und DMARC lässt sich E-Mail-Spoofing effektiv verhindern. Die schlechte Nachricht: Viele KMU haben diese Standards nicht oder fehlerhaft konfiguriert.

Warum E-Mail-Spoofing so gefährlich ist

E-Mail-Spoofing bedeutet, dass ein Angreifer E-Mails versendet, die aussehen, als kämen sie von Ihrer Domain. Der Absender zeigt «info@ihrefirma.ch» an – aber die E-Mail kommt von einem völlig fremden Server. Ohne entsprechende Schutzmassnahmen gibt es keine technische Möglichkeit für den Empfänger, die Fälschung zu erkennen.

Die Folgen können gravierend sein:

  • Business Email Compromise (BEC): Angreifer geben sich als Geschäftsführer oder Finanzverantwortlicher aus und weisen Zahlungen an. Gemäss FBI-Statistiken verursacht BEC mehr finanziellen Schaden als Ransomware.
  • Phishing an Kunden und Partner: Ihre Geschäftspartner erhalten täuschend echte E-Mails mit Ihrer Absenderadresse, die auf Phishing-Seiten oder Malware verlinken. Der Reputationsschaden ist enorm.
  • Zustellprobleme: Wenn Ihre Domain für Spam missbraucht wird, landen auch Ihre legitimen E-Mails auf Blocklisten. Die Zustellbarkeit leidet.

In der Schweiz beobachtet das BACS (Bundesamt für Cybersicherheit, ehemals NCSC) seit Jahren eine Zunahme von BEC-Angriffen, die gezielt Schweizer KMU treffen. Die Schadenssummen reichen von einigen Tausend bis zu mehreren Hunderttausend Franken pro Vorfall.

Die drei Schutzmechanismen erklärt

SPF (Sender Policy Framework)

SPF ist der einfachste der drei Standards. Ein SPF-Record ist ein DNS-Eintrag (TXT-Record), der definiert, welche Server E-Mails im Namen Ihrer Domain versenden dürfen.

Ein typischer SPF-Record sieht so aus:

v=spf1 include:_spf.google.com include:spf.hostpoint.ch ip4:203.0.113.5 -all

Dieser Record sagt: «Nur Google Workspace, Hostpoint-Mailserver und der Server mit IP 203.0.113.5 dürfen E-Mails für diese Domain versenden. Alle anderen werden abgelehnt.»

Häufige SPF-Fehler:

  • ~all statt -all: Das Tilde-Zeichen bedeutet «Softfail» – verdächtige E-Mails werden markiert, aber nicht abgelehnt. Nur «-all» (Hardfail) bietet echten Schutz.
  • Fehlende Einträge: Newsletter-Dienste, CRM-Systeme oder Webformulare versenden E-Mails über Drittanbieter-Server, die im SPF-Record fehlen.
  • Zu viele DNS-Lookups: SPF erlaubt maximal 10 DNS-Lookups. Wer zu viele «include»-Einträge hat, überschreitet das Limit und der SPF-Record wird ungültig.
  • Mehrere SPF-Records: Pro Domain darf es nur einen SPF-Record geben. Zwei Records führen dazu, dass SPF komplett ignoriert wird.

DKIM (DomainKeys Identified Mail)

DKIM geht einen Schritt weiter als SPF: Es signiert jede ausgehende E-Mail mit einem kryptografischen Schlüssel. Der empfangende Server prüft die Signatur anhand eines öffentlichen Schlüssels, der ebenfalls als DNS-Record hinterlegt ist.

DKIM bietet zwei Vorteile gegenüber SPF:

  • Integritätsschutz: DKIM prüft nicht nur den Absender, sondern auch, ob die E-Mail auf dem Transportweg verändert wurde.
  • Weiterleitung: SPF versagt bei weitergeleiteten E-Mails (der weiterleitende Server steht nicht im SPF-Record). DKIM-Signaturen überleben Weiterleitungen, solange der Inhalt nicht verändert wird.

Die Einrichtung von DKIM erfordert die Zusammenarbeit mit dem E-Mail-Provider: Der Provider generiert das Schlüsselpaar, signiert ausgehende E-Mails und stellt den öffentlichen Schlüssel bereit, der als DNS-Record eingetragen werden muss.

DMARC (Domain-based Message Authentication, Reporting and Conformance)

DMARC ist das entscheidende Puzzleteil. Es definiert, was mit E-Mails passieren soll, die weder SPF noch DKIM bestehen – und liefert Berichte darüber.

Ein DMARC-Record sieht so aus:

v=DMARC1; p=reject; rua=mailto:dmarc@ihrefirma.ch; ruf=mailto:dmarc@ihrefirma.ch; adkim=s; aspf=s

Die wichtigsten Parameter:

  • p=none: Monitoring-Modus – E-Mails werden zugestellt, aber Berichte werden generiert. Geeignet zum Einstieg.
  • p=quarantine: Verdächtige E-Mails werden in den Spam-Ordner verschoben.
  • p=reject: Verdächtige E-Mails werden komplett abgelehnt. Das ist das Ziel.
  • rua: Adresse für aggregierte Berichte (tägliche Zusammenfassung)
  • ruf: Adresse für forensische Berichte (einzelne fehlgeschlagene E-Mails)

Schritt-für-Schritt-Einrichtung

Die folgende Anleitung beschreibt die Einrichtung bei den gängigsten Schweizer Hosting-Providern.

Schritt 1: IST-Zustand prüfen

Bevor Sie Änderungen vornehmen, prüfen Sie den aktuellen Stand Ihrer DNS-Records. Ein automatisierter DNS-Scanner zeigt sofort, ob SPF, DKIM und DMARC vorhanden und korrekt konfiguriert sind. Viele KMU entdecken dabei, dass SPF zwar existiert, aber fehlerhaft ist – oder dass DMARC komplett fehlt.

Schritt 2: SPF-Record erstellen oder korrigieren

Listen Sie alle Dienste auf, die E-Mails über Ihre Domain versenden:

  • Ihr E-Mail-Provider (Hostpoint, Infomaniak, Google Workspace, Microsoft 365)
  • Newsletter-Dienste (Mailchimp, CleverReach, Brevo)
  • CRM- und ERP-Systeme
  • Webseiten-Formulare (oft über den Webserver)
  • Ticketing- oder Helpdesk-Systeme

Bei Hostpoint: Melden Sie sich im Control Panel an, navigieren Sie zu «Domains» → Ihre Domain → «DNS-Editor». Erstellen Sie einen TXT-Record für die Hauptdomain mit dem SPF-Wert. Hostpoint nutzt typischerweise: include:spf.hostpoint.ch

Bei Infomaniak: Unter «Web & Domain» → «DNS Zone» → «Eintrag hinzufügen». Infomaniak nutzt: include:_spf.infomaniak.ch

Bei cyon: Unter «my.cyon.ch» → «Domains» → «DNS/Nameserver». cyon nutzt: include:spf.cyon.ch

Schritt 3: DKIM aktivieren

DKIM-Aktivierung hängt stark vom Provider ab:

  • Hostpoint: DKIM wird automatisch für E-Mail-Konten eingerichtet. Prüfen Sie im Control Panel, ob die DNS-Records korrekt gesetzt sind.
  • Infomaniak: DKIM ist standardmässig aktiviert. Der DNS-Record wird automatisch gesetzt.
  • Google Workspace: DKIM muss manuell in der Admin-Konsole unter «Apps» → «Google Workspace» → «Gmail» → «E-Mail authentifizieren» aktiviert werden. Den generierten TXT-Record müssen Sie selbst im DNS eintragen.
  • Microsoft 365: DKIM wird im Exchange Admin Center unter «Schutz» → «DKIM» konfiguriert. Es werden zwei CNAME-Records benötigt.

Schritt 4: DMARC-Record einrichten

Beginnen Sie immer im Monitoring-Modus (p=none), um zu sehen, welche E-Mails SPF und DKIM bestehen und welche nicht.

Erstellen Sie einen TXT-Record für _dmarc.ihredomain.ch mit dem Wert:

v=DMARC1; p=none; rua=mailto:dmarc@ihredomain.ch

Lassen Sie diesen Modus 2 bis 4 Wochen aktiv und werten Sie die eingehenden Berichte aus. Die Berichte zeigen, welche Server E-Mails für Ihre Domain versenden und ob diese SPF/DKIM bestehen. So erkennen Sie, ob noch Server im SPF-Record fehlen, bevor Sie zu «quarantine» oder «reject» wechseln.

Schritt 5: Verschärfen

Nachdem Sie sichergestellt haben, dass alle legitimen E-Mail-Quellen korrekt authentifiziert sind, verschärfen Sie die DMARC-Policy schrittweise:

  1. Zuerst p=quarantine für 2 Wochen
  2. Dann p=reject als dauerhafte Einstellung

Achten Sie darauf, dass Sie die rua-Berichte weiterhin überwachen, um Probleme frühzeitig zu erkennen.

Häufige Fehler und Fallstricke

Aus der Praxis von hunderten DNS-Analysen ergeben sich typische Fehlermuster:

  • SPF ohne DMARC: SPF allein hat nur begrenzten Nutzen. Ohne DMARC entscheidet jeder empfangende Server selbst, was er mit fehlgeschlagenen SPF-Prüfungen macht – meistens nichts.
  • DMARC auf p=none belassen: Viele KMU richten DMARC im Monitoring-Modus ein und vergessen, die Policy zu verschärfen. «p=none» schützt nicht – es beobachtet nur.
  • Newsletter-Dienste vergessen: Der häufigste Grund für DMARC-Fehlschläge nach Verschärfung: Ein Newsletter-Dienst, der nicht im SPF-Record steht und kein DKIM für Ihre Domain nutzt.
  • Subdomains nicht berücksichtigt: DMARC kann mit «sp=reject» auch Subdomains abdecken. Ohne diese Einstellung können Angreifer spoofing@beliebig.ihredomain.ch verwenden.
  • DMARC-Berichte nicht auswerten: Die Berichte sind im XML-Format und nicht besonders benutzerfreundlich. Es gibt kostenlose Dienste, die diese Berichte aufbereiten – nutzen Sie sie.

Automatisierte Prüfung: Warum manuelles Checken nicht skaliert

SPF-, DKIM- und DMARC-Records manuell zu prüfen ist bei einer Domain machbar. Aber die meisten KMU betreiben mehrere Domains: die Hauptdomain, eine .com-Variante, eventuell eine Produktdomain oder die Domain einer Tochterfirma. Jede Domain braucht eigene Records, und jede Änderung am E-Mail-Setup (neuer Newsletter-Provider, neues CRM) erfordert Anpassungen.

Automatisierte DNS-Scanner prüfen alle Domains eines Unternehmens regelmässig und melden:

  • Fehlende SPF-, DKIM- oder DMARC-Records
  • Syntaxfehler in bestehenden Records
  • SPF-Records mit zu vielen DNS-Lookups
  • DMARC im reinen Monitoring-Modus (p=none)
  • Fehlende Subdomain-Policies
  • Abgelaufene oder schwache DKIM-Schlüssel

Was Schweizer KMU jetzt tun sollten

Die Einrichtung von SPF, DKIM und DMARC ist kein Mammutprojekt. Für ein typisches KMU mit einer Domain und einem E-Mail-Provider ist die Konfiguration in wenigen Stunden erledigt. Der Aufwand steht in keinem Verhältnis zum Schutz, den diese Massnahmen bieten.

Prioritätenliste:

  1. Prüfen Sie den IST-Zustand aller Ihrer Domains mit einem automatisierten DNS-Scanner
  2. Korrigieren Sie fehlerhafte SPF-Records und stellen Sie auf «-all» (Hardfail) um
  3. Aktivieren Sie DKIM bei Ihrem E-Mail-Provider
  4. Richten Sie DMARC im Monitoring-Modus ein und werten Sie die Berichte aus
  5. Verschärfen Sie DMARC auf «p=reject» nach erfolgreicher Testphase

Fazit

E-Mail-Spoofing ist ein gelöstes Problem – zumindest technisch. SPF, DKIM und DMARC bieten gemeinsam einen wirksamen Schutz gegen Absenderfälschung. Was fehlt, ist die konsequente Umsetzung. Viele Schweizer KMU lassen ihre wichtigste Kommunikationsinfrastruktur ungeschützt, obwohl die Lösung verfügbar und kostenlos ist.

ExposIQ prüft im Rahmen jedes Scans automatisch die E-Mail-Sicherheitskonfiguration Ihrer Domains: SPF, DKIM, DMARC, MX-Records und DNSSEC. Fehlkonfigurationen werden klar aufgezeigt und priorisiert. Kombiniert mit über 35 weiteren Scan-Engines für Netzwerk-, Web- und Infrastruktursicherheit. Gehostet in der Schweiz, nDSG-konform, ab CHF 99 pro Monat. Erfahren Sie mehr unter exposiq.ch.

ExposIQ ist die Schweizer Plattform für automatisiertes Vulnerability Management. Wir helfen KMU und IT-Dienstleistern, Schwachstellen zu erkennen und zu beheben – sicher, verständlich und nDSG-konform.

Zürich, Schweiz

info@exposiq.ch
+41 43 200 02 52

Firma

Über uns Kontakt Blog
 Datenschutzerklärung Nutzungsbedingungen

Newsletter

Copyright © ExposIQ Schweiz 2026. Alle Rechte vorbehalten.