E-Mail Brand Protection mit DMARC

Du möchtest verhindern, dass unbefugte Dritte deine E-Mail-Adresse vortäuschen können? 

Oder landen deine E-Mails bei anderen häufig im Spamordner?

Dann haben wir wichtige Infos für Dich.

Der Schock saß tief.

"Warum hat niemand früher gemerkt, dass die Bestätigungs-E-Mails unseres Newsletters bei vielen Kunden nicht angekommen sind?

In unserem E-Mail-Monitoring hat es doch keine Auffälligkeiten gegeben.

Auch ein Test des Newsletterformulars mit unserer eigenen E-Mail-Adresse hat tadellos geklappt."

Weil die Bestätigungs-E-Mails des Newsletter die Empfänger nach der Anmeldung nicht erreichten, konnten sich hunderte ernsthafte Interessenten nicht zum Newsletter angemelden. Und weder die Interessenten noch das betroffene mittelständische IT-Systemhaus haben das bemerkt.

Das bedeutete einen entgangen Umsatz in mindestens 6-stelliger Höhe.

Doch wie konnte das passieren und was hat das Ganze mit dem Schutz vor gefälschten E-Mails und der E-Mail-Zustellbarkeit zu tun?

Das betroffene Unternehmen hatte eine gute Intention. Sie haben die Risiken, die von gefälschten E-Mail-Absenderadressen ausgehen, erstgenommen. Oder Maßnahmen zur besseren Reputation bei Spamfiltern unternommen. Daher haben sie für ihre Domains sogenannte SPF-Einträge und eine DMARC-Richtlinie gesetzt. Was versteht man unter SPF und DMARC?

Beide Standards stellen gemeinsam mit der digitalen Signatur DKIM allen Spamfiltern weltweit eine wichtige Information bereit: Ob eine eingehende E-Mail von einem dazu berechtigten System versendet wurde oder nicht. Und was ein Spamfilter tun soll, wenn er eine E-Mail von einem System erhält, das nicht dazu berechtigt war, im Namen dieser E-Mailadresse zu versenden.

Ein sauber implementierter DMARC-Eintrag schickt E-Mails, die deine Absenderadresse fälschen, weltweit in Spamordner oder ins Nirvana.

Und er sorgt dafür, dass deine echten E-Mails und Newsletter deutlich seltener in den Spamordern Deiner Empfänger landen.

Wer diese Einträge setzt, orientiert sich meist an Anleitungen von E-Mail-Providern oder Newsletterdiensten.

Doch wenn dort steht: "Setze diesen SPF- und diesen DMARC-Record", dann bedeutet das in 99% der Fälle NICHT, dass man diesen Eintrag auch exakt so für die eigenen Domains setzen soll.

Denn bei der Implementierung von SPF, DKIM und DMARC müssen immer alle Systeme berücksichtigt werden, die E-Mails im Namen der eigenen Domains versenden. Dazu gehören neben den eigenen Mailservern auch Cloud-Services wie CRM-Tools, Newsletter und auch Webseiten.

Zusätzlich sind verschiedene Sondereffekte zu berücksichtigen, beispielsweise

  • das Verhalten bei automatischen Weiterleitungen,
  • die Vererbung bei Subdomains,
  • das Limit von 10 DNS-Abfragen pro SPF-Eintrag,
  • die Integration von E-Mail-Diensten, die DMARC nicht vollständig unterstützen,
  • dass die angegebene E-Mail-Adresse für Benachrichtungen auch von allen anerkannt wird
  • manche Konfigurationen datenschutzrechtlich bedenklich sein können
  • dass E-Mail-Provider und Spamfilter sich in der Praxis manchmal anders verhalten, als es in den allgemeinen Spezifikationen festgelegt wurde.

Wenn E-Mails bestimmter Absender häufig in Spamordnern landen, haben fehlerhafte oder nicht vorhandene SPF-, DKIM- und DMARC-Einträge meist einen bedeutenden Anteil daran.

Fehlerhafte Konfigurationen in Bezug auf diese Standards betreffen nicht nur Selbstständige ohne IT-Abteilung, sondern auch Mittelständler und millardenschwere Konzerne.

Sowohl im Sinne der Sicherheit als auch der Zustellbarkeit von E-Mails ist es wichtig, solche Konfigurationen nicht einer zufällig über Google entdeckten SEO-optimierten Anleitung zu überlassen.

Wie bei jeder Securitymaßnahme, zählt auch bei SPF, DKIM und DMARC nicht, ob man auf einer Checkliste "ist gesetzt" abhaken kann, sondern ob sie richtig implementiert ist.  

Unserer Erfahrung nach laufen DMARC-Implementationen meisten so ab:

  • Die meisten bleiben dauerhaft in einem (wirkungslosen) Testmodus (fachlich korrekt ausgedrückt: DMARC Policy "none"). Der lässt sich zwar einfach konfigurieren, ist aber nur der ein erster Schritt. Er bietet weder Schutz vor Sicherheitsrisiken noch steigert er die Reputation der Domain bei Spamfiltern merklich. 
  • Bei denjenigen, die vom Testmodus in einen strikten Modus wechseln möchten, sind häufiger Trial und Error-Implementationen zu beobachten. Nach mehreren Tagen mit Zustellungsproblemen im strikten Modus wechseln sie wieder zurück in den (wirkungslosen) Testmodus. Das sorgt für Ärger bei Anwendern und wirkt wenig professionell.
  • Andere wiederrum wechseln in einen strikten Modus und bemerken über Monate oder Jahre nicht, dass ihre E-Mails den Empfänger in bestimmten Szenarien nicht erreichen (so war es bei dem Anfangs erwähnten IT-Systemhaus). Übrigens: Auch der Verzicht auf das Setzen eines DMARC-Eintrags hilft nicht, denn ein falsch gesetzter SPF-Eintrag reicht in diesem Szenario bereits aus. Die Rückmeldungen anderer E-Mail-Servern werden in diesem Szenario entweder nicht angefordert oder nicht regelmäßig ausgewertet.
  • Manche Implementationen bleiben lückenhaft, so es Betrügern weiterhin möglich bleibt, trotz korrekt gesetzter Spamfilter auf der Empfängerseite gefälschte E-Mails zuzustellen.


Die Variante mit dem dauerhaften Testmodus trifft meistens auch dann zu, wenn die Implementierung durch Marketingagenturen oder nicht darauf spezialisierte IT-Dienstleister erfolgt. Da der strikte Modus deutlich aufwändiger zu implementieren ist, tiefergehendes KnowHow erfordert und falsche Konfigurationen negative Konsequenzen für die Zustellbarkeit haben können, ist es für die meisten Dienstleister einfacher, lediglich den Testmodus zu konfigurieren.

Daher unsere dringende Empfehlung: 

Schluss mit halbgaren Implementationen von DMARC, SPF und DKIM.

Spamfilter weltweit werden dich dafür mit einer besseren Zustellbarkeit und Sicherheit belohnen.

Doch wie sieht der Weg zu meiner optimalen DMARC-Implementation aus? 

Du kannst es so machen wie ich (Thomas Fauser, Gründer und Inhaber von DMARC24) und dich aufwändig in das Thema einarbeiten. Dann über ein Jahr lang alles nur im Testmodus lassen und versuchen die Rückmeldungen der anderen Mailserver zu verstehen. Dabei ständig nach Erklärungen googlen oder dem Support von DMARC-Tool-Herstellern Löcher in den Bauch fragen, warum sich dies oder jenes so seltsam verhält. Um dann irgendwann nach über 100 investierten Stunden für ein Setup mittlerer Kompexität am Ziel anzukommen. 

Oder du suchst dir Experten, die tagtäglich mit DMARC, SPF und DKIM arbeiten und mit dir gemeinsam einen Implementierungsplan erarbeiten.

Gerade um Zustellungsprobleme und Sicherheitslücken zu vermeiden, habe ich aus meiner Praxiserfahrung heraus ein 24-Schritte-DMARC-Implementierungssystem entwickelt, das auf jeden Kunden mit seinen individuellen Wünschen und bestehenden Systemen angepasst wird.

Mit DMARC24 kommst du deutlich schneller ans Ziel und musst nicht auch in all die Fallen tappen, in die ich bei früheren Projekten getappt bin. So profitierst du schnell und einfach von allen Sicherheits- und Zustellungsvorteilen, die DMARC bietet.

Warum lohnt es sich, die Implementierung von DMARC zu priorisieren?

Damit deine E-Mails und Newsletter noch zuverlässiger zugestellt werden und seltener im Spamordner landen. Erhalte Rückmeldungen, wenn deine Mails aufgrund von Fehlkonfigurationen im Spamordner landen. Je länger du wartest, desto mehr Umsatz bleibt liegen.

Damit Phishing, CEO-Fraud, Fake-Rechnungen und Malware im Namen deiner E-Mail-Adresse den Empfänger nicht erreicht. Zusätzlich wirst du über Spoofing-Attacken, informiert, die im Namen deiner E-Mail-Adressen durchgeführt werden.

Das schützt deine Marke, steigert die Öffnungsraten und erhöht das Vertrauen bei Kunden und Partnern. Auch das Einblenden deines Markenlogos im Posteingang z.B. bei Gmail und Apple Mail wird damit möglich.

Viele Unternehmen schulen in ihre Mitarbeiter in der Erkennung schädlicher E-Mails. Dabei wird gerne die Empfehlung genannt, zu prüfen, ob der Absender auch die richtige E-Mail-Adresse hat. Das ist auch richtig, denn es gibt weiterhin viele E-Mails, bei der die Absenderangaben nicht übereinstimmen. Doch wenn die Absenderadresse der E-Mail gefälscht ist, ist die Gefahr höher, dass Mitarbeiter auf die E-Mail reinfallen.

Das häufig bei vielen Domains bereits implemtierte SPF hilft hier alleine nicht weiter, da damit nicht die für den Endanwender sichtbare Absenderadresse geschützt wird, sondern nur der sogenannte "Envelope-From". Und der ist nur für technisch versiertere Anwender im Header zu erkennen.

Auch das BSI empfiehlt die Implementierung von DMARC als Baustein zur Abwehr von Ransomware-Attacken.

Wer profitiert am meisten von einer DMARC-Implementation?

Grundsätzlich profitiert natürlich jedes Unternehmen mit einer eigenen Internet-Domain. Denn fast jeder hat Mitarbeiter, Kunden oder Lieferanten, die mit gefälschten E-Mails hereingelegt werden können. 

Bei einigen Unternehmen lohnt es sich aufgrund der Gefährdungslage oder den Vorteilen in der E-Mail-Zustellung besonders:

  • Unternehmen und Verwaltungen,  denen sensible Informationen anvertraut werden oder deren Kunden häufiger das Ziel von Phishing-Attacken werden  
    Zum Beispiel Banken, Versicherungen, Zahlungsdienstleister, Öffentliche Verwaltung, Fintechs, Gesundheitssektor, Berufsgeheimnisträger wie Steuerberater, Anwälte, Wirtschaftsprüfer, Ärzte, ...
  • Unternehmen, die einen signifikanten Anteil ihres Umsatzes über E-Mail-Marketing (Newsletter) verdienen.
    Zum Beispiel Online-Portale und andere Online-Unternehmen, Webshops, Einzelhandelsketten, Agenturen, Influencer und Experten mit großer E-Mail-Liste, ...
  • Unternehmen, die regelmäßig Transaktions-E-Mails am Kunden versenden   
    Zum Beispiel SaaS-Unternehmen, Webshops, Zahlungsdienstleister, StartUps, ...
  • Unternehmen mit bekannten Marken oder mindestens 250 Mitarbeitern 
    Zum Beispiel Markenhersteller, Dienstleister, NGOs, Bildungseinrichtungen, ...

Warum ist DMARC24 hierfür der richtige Partner?

  • Durch unsere Praxiserfahrung und unseres bewährtes Implementierungssystem stellen wir sicher, dass sowohl in Bezug auf die Sicherheit als auch auf die Zustellbarkeit der E-Mails alles fachgerecht implementiert wird.
  • DMARC24 ist inhabergeführt, herstellerunabhängig und handelt im Interesse seiner Kunden. DMARC-Software ist nützlich, um Rückmeldungen anderer E-Mailserver zur Zustellbarkeit deiner E-Mails automatisiert auszuwerden.  Wir arbeiten dazu mit verschiedenen Herstellern zusammen. Wenn du das Monitoring der DMARC-Reports selbst übernehmen möchtest, beraten wir dich gerne bei der Auswahl einer geeigneten Lösung, die zu deinen Anforderungen und deinem Budget passt. 
  • Du und deine Mitarbeiter sparen viel Zeit bei der Einarbeitung in die Technologie und deren Implementierung. Deine Mitarbeiter werden von Troubleshooting und auf Wunsch auch vom regelmäßigen Monitoring der DMARC-Reports entlastet.
  • Wir bieten Deutsch- und Englischsprachigen Support durch Experten an.
  • Datenschutz. Die von uns eingesammelten Rückmeldungen anderer Mailserver enthalten keine personenbezogene Daten, sondern nur aggregierte technische Informationen zur Anzahl der zugestellten oder abgewiesenen E-Mails. Wir verzichten im Sinne der Datensparsamkeit komplett auf das Einsammeln forensischer DMARC-Reports, die personenbezogene Daten enthalten könnten.

Das übernehmen wir für unsere Kunden

  • Beratung und Beantwortung aller Fragen im Vorfeld eines Projektes
  • Wir unterstützen bei der Identifizierung der für die Implementierungen relevanten Systeme
  • Wir erstellen eine erste Version des Implementierungsplanes anhand der aktuell vorhandenen Konfiguration und dem gewünschten Zielzustand. Dann stimmen wir das weitere Vorgehen und die Arbeitsaufteilung miteinander ab
  • Wir setzen die SPF-Einträge und unterstützen Euch bei der Konfiguration von DKIM für alle Systeme und Dienste, die eine DKIM-Unterstützung anbieten und E-Mails im Namen Eurer Domain versenden. 
  • Wir konfigurieren die DMARC-Einträge der jeweiligen Domains und richten die Software zur automatisierten Analyse der DMARC-Reports ein.  
  • Wir überwachen die eingehenden DMARC-Reports in der Implementierungsphase, um sicherzugehen, dass keine Systeme übersehen wurden. Ggf. passen wir den Implementierungsplan entsprechend der neuen Erkenntnisse an.
  • Wir trainieren die involvierten Mitarbeiter in Bezug auf das, was sich ändert und was sie für die Übernahme möglicher Aufgaben wissen müssen.  
  • Wir geben eine Empfehlung, wann sich der Wechsel vom Testmodus in den strikten Modus lohnt.
  • Wir führen Überprüfungen durch, um sicherzustellen, dass alles fachgerecht implementiert wurde.
  • Auf Wunsch erstellen wir Dokumentationen anhand der Anforderungen unserer Kunden
  • Auf Wunsch übernehmen wir das regelmäßige Monitoring der DMARC-Reports und stehen als Ansprechpartner für künftige Fragen und Anpassungen zur Verfügung.

Häufige Fragen

Ich nutze bereits SPF. Reicht das nicht aus?

Ich nutze eine E-Mail-Adresse von einem Freemailer wie Web.de, GMX.de oder Gmail. Kann ich ebenfalls DMARC nutzen?

Handelt es sich bei DMARC um einen etablierten Standard?

Was ist der Unterschied zwischen DMARC und einem Spamfilter?

Besteht mit DMARC die Gefahr, dass meine E-Mails nicht mehr beim Empfänger ankommen?

Was bedeutet der Begriff DMARC?