ESENRODEFRIT
Kontakt

2026-08-10 · Ibida Black Level S.L.

DMARC erklärt: warum Ihre E-Mail anfällig ist und wie Sie sie in 24h absichern

Warum die meisten Mittelständler weiterhin schwaches DMARC haben, wie eine funktionierende Konfiguration aussieht und ein 24-Stunden-Pfad zu p=reject ohne Mailprobleme.

DMARC erklärt: warum Ihre E-Mail anfällig ist und wie Sie sie in 24h absichern

DMARC ist eine der günstigsten Cybersicherheitskontrollen, die ein europäisches mittelständisches Unternehmen einsetzen kann. Eine korrekte Implementierung erfordert keinen Lizenzkauf, keine neue Infrastruktur, kein zusätzliches Personal und kein Compliance-Zertifikat. Eine falsche Implementierung kostet genauso wenig. Der Unterschied ist ein paar Tage operative Disziplin.

Wir beginnen jeden OSINT-Defensiv-Einsatz mit einer Prüfung von DMARC, SPF und DKIM auf den primären Domänen des Kunden. 2025 und in der ersten Hälfte von 2026 hatte das mediane mittelständische Unternehmen, das wir uns angesehen haben, mindestens eine dieser drei Kontrollen fehlkonfiguriert. Am häufigsten lag DMARC seit dem Tag der Veröffentlichung auf `p=none`, ohne dass jemand die aggregierten Berichte beobachtete, die es eigentlich erzeugen sollte.

Dieser Artikel ist ein Arbeitsplan, um von "Wir haben DMARC auf dem Papier" zu "Wir sind auf dem Niveau geschützt, das die Richtlinie erwartet" zu kommen. Wir nehmen an, dass Ihr Unternehmen Microsoft 365 oder Google Workspace als primäre Mailplattform betreibt; die Schritte sind in beiden Fällen gleichwertig, mit anbieterspezifischen Details, wo sie sich unterscheiden.

Was DMARC leistet und was nicht

DMARC steht für Domain-based Message Authentication, Reporting and Conformance. Es ist eine in einem DNS-TXT-Record ausgedrückte Richtlinie, die empfangenden Mailservern sagt, wie sie mit einer Nachricht umgehen sollen, die vorgibt, von Ihrer Domäne zu stammen, aber die zugrundeliegenden SPF- oder DKIM-Prüfungen nicht besteht. Die Richtlinie kann `none` (nur überwachen), `quarantine` (in den Spam-Ordner) oder `reject` (Annahme verweigern) lauten.

DMARC verschlüsselt nicht Ihre E-Mail, verhindert nicht die Kompromittierung Ihrer Konten durch Credential Reuse und schützt nicht vor Nachrichten von ähnlich aussehenden Domänen. Es schützt die Zustellbarkeit und Authentizität echter Nachrichten aus Ihrer Domäne und macht Ihre Domäne sehr schwer im großen Maßstab zu spoofen.

Für Business E-Mail Compromise (BEC), die kostspieligste E-Mail-Bedrohung für mittelständische europäische Unternehmen der letzten Jahre, schneidet DMARC auf `p=reject` einen der vier häufigsten Vorwände ab: eine Nachricht, die vorgibt, von der CEO-Domäne selbst zu kommen, nicht von einer ähnlichen.

Warum die meisten Mittelständler auf p=none stehen

Der Grund ist selten mangelndes Bewusstsein. Der Grund ist Angst, die Mailzustellung zu brechen. Der Wechsel von `p=none` zu `p=quarantine` oder `p=reject` kann ohne Sorgfalt dazu führen, dass legitime Post im Spam landet oder direkt abgelehnt wird. Die Geschäftsleitung erinnert sich tendenziell lebhafter an den Tag, an dem eine Vorstands-Mitteilung im Spam landete, als an den Tag, an dem eine betrügerische Rechnung nicht ankam.

Die Lösung dieser Angst ist der aggregierte Bericht. Das `rua`-Tag von DMARC bittet empfangende Server, tägliche Berichte zu senden, die zusammenfassen, wer von Ihrer Domäne aus Mail zu senden versucht hat und ob SPF und DKIM bestanden haben. Mit zwei Wochen dieser Berichte können Sie ein vollständiges Bild aller legitimen Absender erstellen, die Sie autorisieren müssen, bevor Sie die Richtlinie verschärfen.

Der 24-Stunden-Fix, Stunde für Stunde

Wir nehmen an, Sie haben bereits einen DMARC-Record mit `p=none` und einer funktionierenden `rua`-Adresse veröffentlicht. Falls nicht, ist die erste Aktion, dies zu tun und zwei Wochen abzuwarten. Der untenstehende Plan gilt für die zweite Phase.

Stunde 0 bis 4 · Inventar legitimer Absender

Ziehen Sie die letzten 14 Tage aggregierter Berichte. Klassifizieren Sie die Quell-IPs in vier Kategorien:

1. Ihre primäre Mailplattform (M365 oder Google Workspace).

2. Ihre transaktionalen und Marketing-Plattformen (AWS SES, Mailgun, SendGrid, Mailchimp, Acumbamail, eine eigene Auctimail-Instanz, falls vorhanden).

3. Ihre Support- und CRM-Tools, die in Ihrem Namen Mail senden (Zendesk, HubSpot, Intercom, Front).

4. Unbekannte Quellen.

Die vierte Kategorie ist die Arbeit. Jede IP darin ist entweder ein nicht dokumentierter legitimer Absender oder ein Spoofing-Versuch. Verfolgen Sie jede. Häufige Überraschungen: ein veralteter On-Premise-Applikationsserver, der weiterhin Rechnungen über ein vergessenes Relay versendet; ein HR-Tool, das letztes Jahr von einem Team ohne Abstimmung mit der IT abonniert wurde; ein externer Steuerberater, der Ihre Domäne in seinem eigenen Mailclient konfigurierte, weil niemand es ihm verboten hatte.

Stunde 4 bis 8 · SPF-Bereinigung

Ihr SPF-Record ist eine Liste autorisierter Absender. Bearbeiten Sie ihn so, dass:

Ein sauberer SPF-Record für einen Mittelständler auf Google Workspace plus AWS SES plus HubSpot liest sich etwa so: `v=spf1 include:_spf.google.com include:amazonses.com include:_spf.hubspot.com -all`. Alles wesentlich Komplexere ist ein Zeichen für angesammelte Drift.

Stunde 8 bis 12 · DKIM-Verifizierung

Verifizieren Sie für jeden legitimen Absender, der DKIM-Signatur in Ihrem Namen unterstützt, dass der Selektor veröffentlicht und der öffentliche Schlüssel aktuell ist. Microsoft 365 nutzt `selector1` und `selector2`. Google Workspace nutzt einen konfigurierbaren Selektor, typischerweise `google`. AWS SES nutzt drei CNAME-Records, die auf seine DKIM-Signatur-Infrastruktur zeigen.

Die Prüfung ist einfach: Senden Sie eine Testnachricht von jeder Plattform an ein Postfach, das die Rohheader sichtbar macht (`mailtester.com`, `dmarcian.com` Test-Inbox oder ein Gmail-Konto mit "Original anzeigen"), und verifizieren Sie sowohl `spf=pass` als auch `dkim=pass` für das relevante Alignment.

Unterstützt ein legitimer Absender DKIM in Ihrem Namen nicht, haben Sie eine strategische Entscheidung. Entweder akzeptieren Sie, dass diese Nachrichten das DMARC-Alignment nicht bestehen (und bitten den Absender, aufzurüsten oder zu ersetzen), oder Sie belassen die Richtlinie auf `p=quarantine` statt `p=reject`, bis die Lücke geschlossen ist. Wir empfehlen Letzteres nicht mehr; Anbieter, die 2026 nicht mit Ihrem DKIM signieren können, sind Anbieter, von denen Sie sich entfernen sollten.

Stunde 12 bis 16 · Wechsel zu p=quarantine, pct=100

Aktualisieren Sie den DMARC-Record auf `p=quarantine; pct=100; rua=mailto:[email protected]; ruf=mailto:[email protected]; sp=quarantine; adkim=s; aspf=s`. Die strikten Alignment-Flags (`adkim=s; aspf=s`) sind nicht immer notwendig; der entspannte Standard ist für die meisten Mittelständler akzeptabel. Wichtig ist, sich zu einer echten Quarantäne-Aktion zu verpflichten und zu überwachen.

Beobachten Sie die aggregierten Berichte die nächsten 24 Stunden. Wenn ein zuvor unidentifizierter legitimer Absender beginnt zu scheitern, fügen Sie ihn der SPF- oder DKIM-Konfiguration hinzu, bevor Sie zum nächsten Schritt übergehen.

Stunde 16 bis 24 · Wechsel zu p=reject

Aktualisieren Sie den DMARC-Record auf `p=reject; pct=100; rua=...; ruf=...; sp=reject; adkim=s; aspf=s`. Kommunizieren Sie der Geschäftsleitung, dass Mail, die Ihre Domäne spooft, nunmehr von DMARC-konformen empfangenden Servern abgelehnt wird, was im Wesentlichen die gesamte Population großer Mailanbieter einschließt.

Setzen Sie sich einen Kalendereintrag in 14 Tagen, um die aggregierten Berichte erneut zu prüfen und nach legitimen Absendern zu schauen, die der Schritt gebrochen haben könnte. Zu diesem Zeitpunkt sind die Überraschungen meist klein und leicht zu beheben.

Was ist mit BIMI

BIMI (Brand Indicators for Message Identification) ist eine ergänzende Kontrolle, die es ermöglicht, dass Ihr verifiziertes Logo neben authentifizierten Nachrichten in unterstützenden Mailclients erscheint. Sie erfordert DMARC bei `p=quarantine` oder `p=reject` mit `pct=100`, ein verifiziertes SVG Ihres Logos und ein Verified Mark Certificate einer autorisierten Stelle.

Für Mittelständler ist BIMI ein Nice-to-have, keine Sicherheitsnotwendigkeit. Die ehrliche Reihenfolge ist DMARC zuerst, BIMI danach, nur wenn Ihre Markenexponiertheit die Zertifikatskosten und den operativen Aufwand der VMC-Pflege rechtfertigt.

Ehrliche Fallstricke

> "Wir haben die Zeit von einem `p=none`-DMARC-Record bis zu einer funktionierenden `p=reject`-Position bei Mittelständlern gemessen, wenn die Arbeit von einem einzigen Ingenieur mit Rückendeckung der Geschäftsleitung verantwortet wird. Der Median sind 28 Stunden. Der Sinn des 24-Stunden-Plans ist, den zweiten Tag zum Schleiftag zu machen, nicht zum Panik-Tag." — IBL Field Engineering Note, 2026

Was wir bei IBL tun

Unser DMARC-Sprint ist ein fest gefasster Einsatz: zwei Tage Arbeit, ein Tag Überwachung, ein Tag Schliff. Das Ergebnis ist der funktionierende DMARC-Record, der SPF-Record, die DKIM-Konfigurationsdokumentation, ein Inventar jedes autorisierten Absenders und ein einseitiges Runbook für den Ingenieur, der die Kontrolle künftig verantwortet.

Wenn Sie ein Gespräch über Ihre aktuelle DMARC-Position wünschen, schreiben Sie an [email protected]. Wir antworten innerhalb eines Werktags.

---

Ibida Black Level S.L. ist eine Boutique-Beratung für Cybersicherheit mit Sitz in Málaga, Spanien, und einem operativen Team in Rumänien. Wir arbeiten mit europäischen mittelständischen Unternehmen, die technische Ehrlichkeit der Anbieterverpackung vorziehen. Wir wurden 2026 gegründet; wir erfinden keine längere Geschichte.

Weiterführende Lektüre

Tags: dmarc, spf, dkim, e-mail-sicherheit, anti-spoofing, bec, compliance