Was ist Sender Policy Framework (SPF)?

SPF (Sender Policy Framework) ist wie eine Gästeliste für Ihre Domäne. Es teilt den empfangenden Mailservern mit, welche IP-Adressen in Ihrem Namen E-Mails versenden dürfen. Stellen Sie sich SPF als den Türsteher Ihrer Domäne vor. Seine Aufgabe ist es, zu überprüfen, ob der Server, der eine E-Mail in Ihrem Namen sendet, eingeladen ist. Dazu richten Sie einen SPF-Eintrag im Domain Name System (DNS) Ihrer Domäne ein, in dem genau festgelegt ist, welche IP-Adressen in Ihrem Namen senden dürfen.

Was ist SPF, DKIM und DMARC?

Q: Was ist DomainKeys Identified Mail (DKIM)?

DKIM (DomainKeys Identified Mail) ist wie ein fälschungssicheres Siegel für jede E-Mail, die Ihr Unternehmen versendet. Bevor Ihre Nachrichten den Server verlassen, lässt DKIM Ihr Mailsystem sie mit einem privaten kryptografischen Schlüssel signieren. Sobald sie ihren Bestimmungsort erreicht haben, überprüfen die empfangenden Server diese digitale Signatur und verwenden Ihren öffentlichen Schlüssel, der in den DNS-Einträgen Ihrer Domäne veröffentlicht ist, um die Authentizität der Nachricht zu bestätigen.

Q: Was bedeutet Domain-based Message Authentication, Reporting and Conformance (DMARC)?

DMARC (Domain-based Message Authentication, Reporting and Conformance) ist im Wesentlichen der Richtlinienarchitekt hinter der E-Mail-Authentifizierung. Es verbindet die Punkte zwischen SPF und DKIM und bietet eine einheitliche Stimme, die den empfangenden E-Mail-Servern mitteilt, wie sie mit Nachrichten umgehen sollen, die die Authentifizierungsprüfungen nicht bestehen.

August 28, 2025
Thomas Thurman

Die E-Mail ist das Rückgrat der modernen Geschäftskommunikation. Sie ist aber auch eine der am häufigsten missbrauchten Kommunikationsformen. Phishing, Spoofing und Spam können teure und gefährliche Konsequenzen haben und das Vertrauen untergraben. Das Problem? Bei der Entwicklung von E-Mails hat die Sicherheit nie im Vordergrund gestanden.

Hier kommt die Authentifizierung auf Domain-Ebene ins Spiel. Das Protokolltrio aus Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) und Domain-based Message Authentication, Reporting and Conformance (DMARC) hilft dabei, die Identität von Absendern zu überprüfen und Ihre Marke zu schützen. Und es kann das Vertrauen in das wiederherstellen, was in Ihren Posteingang gelangt. In Kombination mit sichtbaren Vertrauenszeichen, wie beispielsweise Markenlogos durch die Brand Indicators for Message Identification (BIMI) und Verified Mark Certificates (VMCs) werden Ihre E-Mails nicht nur gesichert, sondern verbessert.

Was ist das Sender Policy Framework?
Was ist DomainKeys Identified Mail?
Was ist Domain-based Message Authentication, Reporting and Conformance?
Wie SPF, DKIM und DMARC zusammenarbeiten
Warum sollte man diese Protokolle implementieren?
Erste Schritte zur Implementierung
Hilfreiche Tools für den Einstieg

Was ist das Sender Policy Framework (SPF)?

Das SPF (Sender Policy Framework) ist wie eine Gästeliste für Ihre Domain. Es teilt den empfangenden Mailservern mit, welche IP-Adressen in Ihrem Namen E-Mails versenden dürfen.

Stellen Sie sich das SPF als eine Art Türsteher für Ihre Domain vor. Es muss prüfen, ob der Server, der in Ihrem Namen eine E-Mail versendet, tatsächlich eingeladen ist. Dazu richten Sie im Domain Name System (DNS) Ihrer Domain einen SPF-Eintrag ein, der genau angibt, welche IP-Adressen in Ihrem Namen etwas versenden dürfen. Ein typischer Eintrag könnte wie folgt aussehen: v=spf1 include:_spf.example.com ~all. Dadurch wird den Mailservern mitgeteilt, dass sie E-Mails von bestimmten Quellen vertrauen und alles andere als potenziell verdächtig markieren sollen.

Ohne SPF ist Ihre Domain anfällig für Betrüger, die Ihre Identität fälschen und zum Versenden von Phishing-E-Mails oder Spam verwenden können. Aber wenn SPF eingerichtet wurde, signalisiert dies den Posteingangsfiltern, dass Sie sich an die Regeln halten. Dadurch werden die Voraussetzungen für fortschrittlichere E-Mail-Authentifizierungstools wie DMARC und BIMI geschaffen. SPF stellt Ihre erste Verteidigungslinie dar und ist eine Grundlage für die Bewahrung Ihres Rufs sowie für den Aufbau von Vertrauen.

Was ist DomainKeys Identified Mail (DKIM)?

DomainKeys Identified Mail (DKIM) ist ähnlich wie das Anbringen eines manipulationssicheren Siegels an jeder E-Mail, die Ihr Unternehmen versendet. Bevor Ihre Nachrichten Ihren Server verlassen, lässt DKIM Ihr Mailsystem sie mit einem privaten kryptografischen Schlüssel signieren. Und sobald die Mails ihr Ziel erreichen, prüfen die empfangenden Server, ob diese digitale Signatur vorliegt. Dazu verwenden sie Ihren öffentlichen Schlüssel, der in den DNS-Einträgen Ihrer Domain enthalten ist und die Authentizität der E-Mails bestätigt.

DKIM spielt eine entscheidende Rolle bei der Gewährleistung, dass E-Mails auf dem Weg zwischen Absender und Empfänger nicht verändert oder gefälscht wurden. Kurz gesagt sagt es den Systemen Ihrer Empfänger Folgendes: „Ja, diese E-Mail stammt von uns und wurde nicht manipuliert.“

DKIM ist auch deshalb so wichtig, weil es für VMCs obligatorisch ist. Wenn Ihr Logo also in Posteingängen angezeigt werden soll, die BIMI unterstützen, ist DKIM keine Option, sondern eine grundlegende Voraussetzung.

Was ist Domain-based Message Authentication, Reporting and Conformance (DMARC)?

Domain-based Message Authentication, Reporting and Conformance (DMARC) ist im Wesentlichen der Architekt der Richtlinien für die E-Mail-Authentifizierung. Es verbindet die Punkte zwischen SPF und DKIM und teilt den empfangenden Mailservern auf einheitliche Weise mit, wie sie mit Nachrichten umgehen sollen, die Authentifizierungsprüfungen nicht bestehen.

Das Herzstück von DMARC sind seine Richtlinienoptionen. Wenn Sie es auf „Keine“ einstellen, befinden Sie sich im Beobachtungsmodus und können beobachten und lernen, ohne dass etwas passiert. Eine Richtlinie im „Quarantäne“-Modus verfolgt einen vorsichtigeren Ansatz, der fragwürdige Nachrichten in den Spam-Ordner verschiebt. Der Modus „Ablehnen“ sorgt für strenge Sicherheit, indem nicht authentifizierte E-Mails komplett blockiert werden und gar nicht in den Posteingang gelangen. Jeder Modus bietet Ihnen also einen anderen Grad an Kontrolle. Beginnen Sie mit „Keine“, um alles zu überwachen, nutzen Sie „Quarantäne“, um Verdächtiges zu markieren, und „Ablehnen“ für die vollständige Durchsetzung.

Warum ist das alles von Bedeutung? Weil DMARC nicht nur die E-Mail-Sicherheit erhöht, sondern weil es Ihnen auch wertvolle Einblicke in den Gebrauch (oder den Missbrauch) Ihrer Domain im Internet bietet. Sie können Bedrohungen erkennen, Ihren Ruf schützen und die Geschichte Ihrer Marke lenken. Und wenn Sie BIMI mit VMCs implementieren möchten, ist DMARC die Brücke dorthin. Denn ohne es erscheint Ihr Logo nicht im Posteingang Ihrer Empfänger.

Wie arbeiten SPF, DKIM und DMARC zusammen?

SPF, DKIM und DMARC sind wie ein gut abgestimmtes Team, das Ordnung und Integrität in Ihr E-Mail-Ökosystem bringt. SPF fungiert als Torwächter Ihrer Domain und überprüft, ob der Server, der Ihre Nachrichten sendet, entsprechend berechtigt ist. DKIM überprüft die Integrität des E-Mail-Inhalts selbst und beweist durch eine kryptografische Signatur, dass der Inhalt unterwegs nicht manipuliert wurde. Im Anschluss verknüpft DMARC die ersten beiden Verfahren. Dazu passt es die Authentifizierungsergebnisse an und setzt die Richtlinien Ihrer Domain hinsichtlich des Umgangs mit Nachrichten durch, die diese Prüfungen nicht bestehen. Das kann bedeuten, dass sie überwacht, als Spam markiert oder direkt abgelehnt werden.

Wenn eine gemeinsame Implementierung erfolgt, stellen sie die technische Grundlage für eine sichtbare Markenauthentifizierung dar. Dazu ermöglichen sie die Anzeige Ihres verifizierten Markenlogos mit Standards wie BIMI, was durch VMC von GlobalSign unterstützt wird. Insgesamt handelt es sich um einen mehrschichtigen Schutz mit realer Wirkung, der sowohl das Vertrauen als auch die Zustellbarkeit verbessert.

Warum sollten Sie die Protokolle SPF, DKIM und DMARC implementieren?

E-Mails sind oft der erste Angriffspunkt, denn 91 % aller Cyberangriffe beginnen mit einer Phishing-E-Mail. Viele Cyberbedrohungen, etwa die Behauptung, dass etwas vom CEO stammt, oder gefälschte Rechnungen, beginnen mit etwas so Einfachem wie einer gefälschten Nachricht. Die Protokolle SPF, DKIM und DMARC verhindern gemeinsam, dass sich böswillige Akteure als Sie ausgeben. Durch die Überprüfung der Absender und die Authentifizierung von Nachrichten verhindern sie Versuche eines Identitätsbetrugs, bevor die Nachrichten Ihren Posteingang erreichen. Dadurch verbessert sich auch die Zustellung. Denn E-Mails, die die Authentifizierung bestehen, landen eher im Posteingang und bleiben seltener in Spamfiltern hängen.

Über den technischen Schutz hinaus signalisieren diese Protokolle Ihren Kunden und Partnern etwas Tiefergehendes: Vertrauen. Wenn die Empfänger wissen, dass Ihre Nachrichten sicher und verifiziert sind, gewinnt Ihre Domain an Glaubwürdigkeit, die kaum nachzumachen ist. Zudem gibt es einen praktischen Aspekt: Große E-Mail-Plattformen wie Google Gmail, Yahoo, Microsoft Outlook und Hotmail fordern von Massenversendern jetzt die Nutzung von SPF, DKIM und DMARC. Wenn Sie also Kampagnen oder Newsletter in großem Umfang versenden, sind diese Protokolle für die Einhaltung von Vorschriften und die Reichweite von entscheidender Bedeutung.

Erste Schritte zur Implementierung

Ihre Checkliste für den Schnellstart:

Veröffentlichen Sie SPF-Einträge im DNS
Richten Sie DKIM-Schlüssel und -Signaturen ein
Implementieren Sie eine DMARC-Richtlinie (zu Beginn im Modus „Keine“) und überwachen Sie Berichte

Hilfreiche Tools für den Einstieg

Ihre Domain ist mehr als nur eine Internetadresse – sie ist wie ein digitaler Handschlag zwischen Ihrer Marke und der Welt. Zu ihrem Schutz müssen Sie nicht nur Ihren Ruf verteidigen, sondern auch das Vertrauen, das Sie bei vorhandenen und potenziellen Kunden sowie bei Partnern aufgebaut haben. Bei richtiger Implementierung stellen die E-Mail-Authentifizierungsprotokolle sicher, dass Ihre Nachrichten aus legitimen Quellen stammen. Zudem bewahren sie die Integrität des Inhalts und ermöglichen den Empfängern die Durchsetzung von Sicherheitsrichtlinien. All das verringert nicht nur das Risiko eines Identitätsbetrugs, sondern es stärkt auch Ihr Ruf als Absender. Die Präsenz im Posteingang verbessert sich, und jede Ihrer ankommenden E-Mails vermittelt Professionalität.

Und sobald diese Abwehrmaßnahmen solide funktionieren, können Sie dieses Vertrauen weiter ausbauen. Mit VMCs können Sie visuelles Branding in Posteingängen freischalten, wodurch Ihr verifiziertes Logo auf unterstützten Plattformen neben den authentifizierten E-Mails erscheint. Schützen Sie also Ihre Domains durch mehr Vertrauen, das im Bereich der Cybersicherheit vor allem durch Sichtbarkeit entsteht.

Sorgen Sie noch heute für mehr Vertrauen in den Posteingan

Verwaltung und Automatisierung

Zertifikate

Konformität

Technologie-Allianzen

Zertifikatsverwaltung und Automatisierung

Unterzeichnung von Dokumenten

Benutzerdefinierte CA/Private PKI

Website- und Serversicherheit (SSL/TLS)

Zugangskontrolle und Authentifizierung

Client-Zertifikate

Werden Sie ein GlobalSign Partner

Unsere Partner

Partner-Programme

Was ist SPF, DKIM und DMARC?

Search Blog

Aktuelle Blogs

GlobalSign-Websites in anderen Sprachen

Zertifikate kaufen

Bitte bestätigen Sie die richtige Region und Währung für Ihre Bestellung.

Product Title