Wie können Unternehmen ihre E-Mail-Kommunikation wirksam vor Manipulation und Missbrauch schützen?
Die meisten E-Mail-Systeme wurden in einer Zeit entwickelt, in der Sicherheit noch kein zentrales Thema war. Sie basieren auf einem offenen Protokoll, das weder die Absenderadresse eindeutig verifiziert noch die Inhalte schützt. Angreifer:innen nutzen diese Schwachstellen gezielt aus, indem sie z. B. gefälschte Absenderadressen verwenden (Spoofing) oder betrügerische Inhalte platzieren, um Empfänger:innen zu manipulieren. Für Unternehmen und Organisationen ist es daher essenziell, auf moderne Schutzmechanismen zu setzen, um die Authentizität und Integrität der E-Mail-Kommunikation zu gewährleisten. Vier zentrale Technologien bieten hier Schutz: SPF, DKIM, DMARC und S/MIME. Diese verfolgen unterschiedliche Ansätze – und lassen sich optimal kombinieren.
1. SPF (Sender Policy Framework)
SPF ist eine der ersten Schutzlinien gegen E-Mail-Spoofing. Unternehmen oder Organisationen legen in ihren DNS-Einträgen fest, welche Mailserver E-Mails im Namen ihrer Domain versenden dürfen. Der empfangende Mailserver prüft bei eingehenden Nachrichten, ob die Absender-IP mit einer autorisierten Quelle übereinstimmt. Ist das nicht der Fall, wird die E-Mail abgelehnt oder markiert. SPF verhindert somit, dass unautorisierte Server im Namen Ihrer Domain auftreten. Allerdings bleibt die Überprüfung auf die Absenderdomain beschränkt – der Inhalt der Nachricht wird nicht verifiziert.
2. DKIM (DomainKeys Identified Mail)
DKIM ergänzt SPF durch eine Art digitale Signatur. Beim Versand wird die E-Mail mit einer kryptografischen Signatur versehen, die bestimmte Inhalte der Nachricht abdeckt. Der öffentliche Schlüssel zur Prüfung dieser Signatur wird im DNS der Domain veröffentlicht. Der:die Empfänger:in kann somit feststellen, ob die Nachricht auf dem Transportweg verändert wurde. DKIM bestätigt nicht direkt den:die Absender:in, sorgt aber für die Integrität der E-Mail-Inhalte. Ein großer Vorteil: Manipulationen lassen sich im Nachhinein nachweisen.
3. DMARC (Domain-based Message Authentication, Reporting and Conformance)
DMARC baut auf SPF und DKIM auf und fungiert als Kontrollinstanz. Unternehmen definieren damit eine Richtlinie, wie empfangende Server mit E-Mails umgehen sollen, die die SPF- oder DKIM-Prüfung nicht bestehen. Gleichzeitig schreibt DMARC vor, dass die Domain in der sichtbaren Absenderadresse mit der in SPF/DKIM verwendeten Domain übereinstimmen muss (sog. Alignment). Unternehmen können zudem Reports anfordern, um Überblick über missbräuchliche Nutzungen ihrer Domains zu erhalten. DMARC ist daher nicht nur ein Schutzmechanismus, sondern auch ein wertvolles Analyseinstrument.
4. S/MIME (Secure/Multipurpose Internet Mail Extensions)
Während SPF, DKIM und DMARC auf Domain-Ebene agieren, arbeitet S/MIME direkt auf Benutzerebene. Jede Person erhält ein individuelles digitales Zertifikat, mit dem sie E-Mails signieren und verschlüsseln kann. Der:die Empfänger:in erkennt damit eindeutig, ob die Nachricht von dem:der tatsächlichen Absender:in stammt und ob der Inhalt seit dem Versand verändert wurde. Zusätzlich schützt S/MIME die E-Mail durch Verschlüsselung vor unbefugtem Mitlesen. Diese Ende-zu-Ende-Verschlüsselung macht S/MIME besonders interessant für Branchen mit hohen Datenschutzanforderungen, etwa das Gesundheitswesen, den Finanzsektor oder die öffentliche Verwaltung.
Warum S/MIME ein unverzichtbarer Bestandteil moderner E-Mail-Sicherheit ist
Im Gegensatz zu SPF, DKIM und DMARC, die lediglich die Authentizität des Absenders oder der Absenderin und die Integrität der Nachricht bestätigen, bietet S/MIME eine ganzheitliche Lösung: Sie verschlüsselt den gesamten Inhalt der E-Mail und stellt sicher, dass nur autorisierte Empfänger:innen Zugriff erhalten. Gerade im beruflichen Kontext oder im Gesundheitsbereich, wo täglich vertrauliche Informationen ausgetauscht werden, ist dieser Schutz unerlässlich. zertmail. unterstützt Unternehmen und Organisationen bei der einfachen und vollautomatischen Integration von S/MIME-Zertifikaten. Ohne technischen Mehraufwand erhalten Ihre Mitarbeitenden maximale Sicherheit – inklusive automatischer Zertifikatsverlängerung und zentraler Verwaltung.
Wie lässt sich die Authentifizierung einer E-Mail überprüfen?
Viele gängige E-Mail-Programme ermöglichen es, über „Original anzeigen“ oder „Details anzeigen“ den technischen E-Mail-Header aufzurufen. Dort lässt sich erkennen, ob eine Nachricht SPF, DKIM und DMARC erfolgreich durchlaufen hat – typischerweise mit Einträgen wie „spf=pass“, „dkim=pass“ oder „dmarc=pass“. Diese Angaben zeigen, ob die Nachricht von einem autorisierten Server stammt und nicht manipuliert wurde. Voraussetzung dafür ist, dass die Domaininhaber ihre DNS-Einträge korrekt konfigurieren – andernfalls können selbst legitime E-Mails blockiert oder als Spam markiert werden.
Die Signatur-Technologien DKIM vs. S/MIME im Vergleich
| DKIM | S/MIME | |
| Zertifikataussteller | self-signed | CA |
| Signierer | beliebig | Absender |
| Scope | nur Domäne | Domäne / E-Mail Adresse |
| Signieren von Mailinhalten | optional | immer |
| Absicherung | via DNSSec, DMARC | integral |
Wichtige Unterschiede auf einen Blick:
- SPF: Schützt vor gefälschten Absender-IP-Adressen – hilft aber nicht bei manipulierten Inhalten
- DKIM: Bietet eine verifizierbare Signatur für Inhalte, verhindert unerkannte Änderungen
- DMARC: Setzt auf SPF & DKIM auf, sorgt für Richtlinien und umfassende Kontrolle
- S/MIME: Verschlüsselt und signiert E-Mails direkt bei dem:der Absender:in – ideal für Datenschutz & Compliance
Fazit: Was ist für Ihr Unternehmen sinnvoll?
Ein starker E-Mail-Schutz setzt auf Kombination statt Einzelmaßnahme. SPF, DKIM und DMARC sind unverzichtbar, um Ihre Domain vor Missbrauch zu schützen und die Zustellbarkeit Ihrer Nachrichten zu sichern. Für besonders sensible Inhalte empfiehlt sich zusätzlich der Einsatz von S/MIME.
Mit zertmail. wird die Nutzung von S/MIME besonders einfach: Die Zertifikate werden automatisch erstellt, verlängert und verwaltet und können auf jedem Endgerät verwendet werden – für einen rechtssicheren E-Mail-Versand ohne IT-Aufwand.
