Fachartikel · E-Mail & Sicherheit
Warum Ihre E-Mails
im Spam landen
Die unsichtbare Bedrohung für Ihre Geschäftskommunikation — und wie DKIM + DMARC das verhindern.
aller Geschäfts-E-Mails
landen branchentypisch im Spam-Ordner des Empfängers — ohne Benachrichtigung an den Absender.
durchschnittliche Reaktionszeit
Wenn eine wichtige E-Mail im Spam landet, dauert es typischerweise Tage bis das Problem auffällt.
Kosten der Einrichtung
SPF, DKIM und DMARC sind DNS-Einträge — einmalige Konfiguration, kein laufendes Budget nötig.
Stellen Sie sich vor: Sie senden einem potenziellen Kunden ein Angebot. Die E-Mail kommt an — aber landet ungesehen im Spam-Ordner. Der Kunde denkt, Sie haben nie geantwortet. Der Auftrag geht an den Wettbewerb.
Oder umgekehrt: Jemand versendet Phishing-E-Mails im Namen Ihrer Domain. Ihre Kunden erhalten gefälschte Rechnungen — scheinbar von Ihnen. Ihr Ruf ist beschädigt, bevor Sie überhaupt davon erfahren.
Beide Szenarien sind real. Und beide lassen sich mit drei DNS-Einträgen verhindern: SPF, DKIM und DMARC. Für Unternehmen mit Office 365 sind diese Einträge schnell eingerichtet — werden aber erschreckend häufig übersprungen.
Typische Symptome
Keine Antwort auf Angebote
Kunden haben die E-Mail nicht gesehen — sie lag im Spam.
Rechnungen kommen nicht an
Mahnungen für bezahlte Rechnungen — weil die Rechnung nie ankam.
Kunden melden Phishing-Mails
Gefälschte E-Mails "von" Ihrer Domain erreichen Ihre Kunden.
Zustellrate sinkt über Zeit
Spam-Filter lernen — eine schlechte Reputation verschlechtert sich selbst.
Grundlagen
SPF, DKIM, DMARC — was steckt dahinter?
Drei Abkürzungen, ein Ziel: sicherstellen, dass E-Mails von Ihnen wirklich von Ihnen stammen. Hier die Analogie, die das verständlich macht.
SPF
Die Absenderadresse
SPF ist wie die Absenderadresse auf einem Briefumschlag — und eine Liste, welche Poststellen überhaupt Briefe für Sie abschicken dürfen. Empfangs-Server prüfen: Kommt diese E-Mail von einem Server, der für diese Domain zugelassen ist?
Technisch
v=spf1 include:spf.protection.outlook.com -all
DKIM
Das Siegel
DKIM ist das Lacksiegel auf dem Umschlag. Jede E-Mail wird beim Versand mit einer digitalen Unterschrift versehen. Der Empfangs-Server prüft: Wurde diese E-Mail auf dem Weg verändert? Stammt sie wirklich vom angegebenen Absender?
Aktivierung
Microsoft Defender 365 → E-Mail-Authentifizierung → DKIM
DMARC
Die Anweisung
DMARC ist die Anweisung auf dem Umschlag: "Wenn Siegel und Absenderadresse nicht stimmen — bitte vernichten, nicht zustellen." Ohne DMARC entscheidet jeder Empfangs-Server selbst, was mit verdächtigen E-Mails passiert.
Technisch
v=DMARC1; p=reject; rua=mailto:dmarc@domain.de
Das Zusammenspiel: Erst wenn alle drei Einträge korrekt konfiguriert sind, haben Sie vollständigen Schutz. SPF allein verhindert nicht, dass jemand Ihre Domain fälscht — DKIM und DMARC schließen diese Lücke. Viele KMUs haben SPF konfiguriert, aber DKIM und DMARC fehlen.
Office 365 in der Praxis
Was die meisten KMUs übersehen
Microsoft richtet bei Office 365 einen SPF-Eintrag ein — aber das war es. DKIM und DMARC müssen manuell aktiviert werden. Dieser Schritt fehlt in den meisten Standardinstallationen.
SPF-Eintrag prüfen
Ihr Hosting-Anbieter oder IT-Dienstleister kann den aktuellen Eintrag in wenigen Minuten prüfen. Für Office 365 lautet der korrekte Wert: v=spf1 include:spf.protection.outlook.com -all
DKIM in Microsoft 365 aktivieren
Im Microsoft Defender Portal (security.microsoft.com) unter E-Mail-Authentifizierung > DKIM. Nach der Aktivierung erhalten Sie zwei CNAME-Einträge, die in Ihr DNS müssen. Ohne diesen Schritt bleibt DKIM stumm.
DMARC-Eintrag setzen
Neuer TXT-Eintrag im DNS: Name "_dmarc", Wert: v=DMARC1; p=reject; rua=mailto:dmarc@ihredomain.de; pct=100. Der "rua"-Parameter sendet wöchentliche Berichte an Ihre gewählte Adresse.
Zustellung beobachten
Nach der Einrichtung erhalten Sie automatisch Berichte, welche Server E-Mails "von" Ihrer Domain versenden. Damit erkennen Sie sofort, ob jemand Ihre Domain für Phishing missbraucht.
Häufige Fehlerquellen
Standarddomain falsch gesetzt
DKIM wird für eine Domain aktiviert, aber E-Mails werden über eine andere Domain gesendet. Im Microsoft 365 Admin Center unter Domains prüfen.
DKIM ohne SPF aktiviert
Microsoft empfiehlt ausdrücklich: Erst SPF korrekt konfigurieren, dann DKIM aktivieren.
DMARC auf "none" statt "reject"
p=none sendet nur Berichte, blockiert aber keine gefälschten E-Mails. Für echten Schutz: p=reject.
DNS-TTL nicht beachtet
Neue DNS-Einträge brauchen bis zu 48 Stunden, um sich global zu verbreiten. In dieser Zeit kann es zu Zustellproblemen kommen.
Risiko
Was ohne DMARC passieren kann
Domain-Spoofing
Ohne DMARC kann technisch jeder E-Mails versenden, die scheinbar von Ihrer Domain stammen. Ein Angreifer sendet gefälschte Rechnungen an Ihre Kunden — mit Ihrer Absenderadresse, aber seiner Bankverbindung. Ihre Kunden überweisen, Sie erfahren davon erst durch Reklamationen.
Dieses Szenario ist kein Sonderfall — es ist eine bekannte Angriffsmethode, die gezielt gegen KMUs eingesetzt wird.
Phishing-Kampagnen
Angreifer versenden massenweise Phishing-E-Mails "von" Ihrer Domain. Empfänger werden auf gefälschte Login-Seiten geleitet. Selbst wenn Sie nichts damit zu tun haben — Ihre Domain wird auf Sperrlisten gesetzt, und Ihre legitimen E-Mails landen danach flächendeckend im Spam.
Ein einmal beschädigter Domain-Ruf ist schwer zu reparieren und kann Wochen dauern.
Mit DMARC p=reject: Empfangs-Server weltweit wissen, dass E-Mails ohne gültige DKIM-Signatur und SPF-Prüfung von Ihrer Domain abzulehnen sind — bevor sie den Posteingang erreichen. Phishing-Mails mit Ihrer Absenderadresse kommen schlicht nicht mehr an.
Checkliste
Ist Ihre E-Mail-Konfiguration sicher?
Drei Punkte — einmalig einrichten, dauerhaft schützen.
SPF konfiguriert?
Der SPF-Eintrag in Ihrem DNS legt fest, welche Server E-Mails für Ihre Domain versenden dürfen.
TXT-Eintrag "@" mit "v=spf1 include:spf.protection.outlook.com -all" vorhanden
Kein SPF → jeder kann E-Mails "von" Ihrer Domain versenden
DKIM aktiviert?
DKIM versieht jede ausgehende E-Mail mit einer digitalen Unterschrift, die der Empfänger prüfen kann.
Im Microsoft Defender 365 aktiviert, zwei CNAME-Einträge im DNS gesetzt
Kein DKIM → Empfangs-Server können die Echtheit Ihrer E-Mails nicht prüfen
DMARC-Policy gesetzt?
DMARC gibt Empfangs-Servern eine verbindliche Anweisung: Was tun, wenn SPF und DKIM scheitern?
TXT-Eintrag "_dmarc" mit Policy "p=reject" und Bericht-Adresse vorhanden
Kein DMARC → Phishing-Mails "von" Ihrer Domain landen beim Empfänger
Praxis
Typisches Ergebnis nach der Einrichtung
Vorher — ohne DKIM/DMARC
Zustellprobleme
E-Mails landen im Spam oder werden abgewiesen
Domain-Schutz
Jeder kann E-Mails im Namen der Domain versenden
Sichtbarkeit
Kein Bericht über missbräuchliche Nutzung der Domain
Phishing-Risiko
Kunden können keine echten von gefälschten E-Mails unterscheiden
Nachher — mit SPF + DKIM + DMARC
Zustellprobleme
E-Mails erreichen zuverlässig den Posteingang
Domain-Schutz
Gefälschte E-Mails werden von Empfangs-Servern abgewiesen
Sichtbarkeit
Wöchentliche Berichte über alle Versender der Domain
Phishing-Risiko
Empfangs-Server prüfen Echtheit jeder E-Mail automatisch
Die genannten Werte sind typische Erfahrungswerte aus der Praxis — keine garantierten Ergebnisse. Individuelle Ausgangslage und Konfiguration beeinflussen das Ergebnis.
Fazit
SPF, DKIM und DMARC sind keine optionalen Extras — sie sind die Grundlage zuverlässiger Geschäftskommunikation. Die Einrichtung dauert wenige Stunden und schützt dauerhaft: Ihre E-Mails kommen an, und niemand kann Ihre Domain für Phishing missbrauchen. Wer Office 365 nutzt und diese Einträge noch nicht gesetzt hat, handelt fahrlässig gegenüber seinen Kunden.
E-Mail-Zustellung verbessern?
In zwei Stunden eingerichtet
Ich prüfe Ihre aktuelle E-Mail-Konfiguration und richte SPF, DKIM und DMARC korrekt ein — inklusive Monitoring, damit Sie sehen, wenn jemand Ihre Domain missbraucht.