Unternehmen und Privatpersonen, die Custom Domains für ihre E-Mail-Kommunikation verwenden, sollten ihre DNS-Einstellungen um SPF- und DMARC-Records erweitern. Diese Authentifizierungsverfahren bieten wirksamen Schutz vor E-Mail-Spoofing und Phishing-Angriffen, unabhängig vom gewählten E-Mail-Hosting-Provider.
DKIM-Integration bei externen Hostern möglich
Während Nutzer von Microsoft 365 Business-Accounts ihre DKIM-Werte über das Security Center unter https://security.microsoft.com/dkimv2 abrufen können, haben Anwender externer E-Mail-Hosting-Services in der Regel ebenfalls Zugang zu den erforderlichen DKIM-Konfigurationsdaten. Die Implementierung aller drei Authentifizierungsstandards – SPF, DKIM und DMARC – bildet die Grundlage für eine umfassende E-Mail-Sicherheitsstrategie.
DMARC-Konfiguration: Flexible Richtlinieneinstellungen
DMARC-Records werden als TXT-Einträge im DNS implementiert. Der Eintrag erfolgt unter dem Namen „_dmarc“, wobei einige DNS-Provider die vollständige Eingabe als „_dmarc.domain.com“ erfordern. Die Grundkonfiguration folgt dem Schema „v=DMARC1; p=none“, wobei der Policy-Parameter drei verschiedene Werte unterstützt:
- „none„: Überwachungsmodus ohne Durchsetzung
- „quarantine„: Verdächtige E-Mails werden in Quarantäne verschoben
- „reject„: Nicht authentifizierte E-Mails werden abgelehnt
SPF-Implementierung mit verschiedenen Sicherheitsstufen
SPF-Records definieren autorisierte Mailserver für eine Domain. Die Konfiguration erfolgt als TXT-Record, wobei das Namensfeld typischerweise „@“ lautet oder bei manchen DNS-Anbietern als vollständiger Domainname eingegeben wird.
Für Microsoft 365-Nutzer mit personalisierten Domains lautet der SPF-Record: „v=spf1 include:outlook.com ~all“. Die Endung des Records bestimmt die Durchsetzungsstrenge:
- „-all“ (strict): Ausschließliche Zustellung über autorisierte Server
- „~all“ (soft fail): Zustellung auch von nicht autorisierten Servern möglich, jedoch mit erhöhter Spam-Wahrscheinlichkeit
Hilfstools für Konfiguration und Validierung
Administratoren können den SPF Record Generator unter https://mxtoolbox.com/SPFRecordGenerator.aspx für die Erstellung maßgeschneiderter SPF-Einträge nutzen. Die Überprüfung der implementierten MX-, SPF- und DMARC-Records erfolgt über das SuperTool unter https://mxtoolbox.com/SuperTool.aspx.
Fazit: Standardisierte Sicherheit für professionelle E-Mail-Kommunikation
Die Implementierung von SPF- und DMARC-Records stellt mittlerweile einen Industriestandard dar, der sowohl die Zustellbarkeit eigener E-Mails verbessert als auch vor Missbrauch der eigenen Domain schützt. Die technische Umsetzung erfordert lediglich grundlegende DNS-Kenntnisse und sollte bei jeder professionellen E-Mail-Konfiguration berücksichtigt werden.
