1. Kundenservice - Cloud86
  2. E-Mail
  3. E-Mail-Adresse erstellen und einrichten

E-Mail-Sicherheit und Spoofing (SPF/DKIM/DMARC)

E-Mail bleibt eine der am weitesten verbreiteten Kommunikationsformen – sowohl im privaten als auch im geschäftlichen Bereich. Wie bei anderen digitalen Kommunikationskanälen ist es wichtig, Deinen E-Mail-Verkehr sicher zu gestalten. Ohne geeignete Schutzmaßnahmen können böswillige Akteure versuchen, Deine E-Mail-Adresse oder Deinen Domainnamen zu fälschen. Dies nennt man Spoofing und es kann zu Verwirrung, Reputationsschäden und sogar zu Sicherheitsrisiken für die Empfänger führen.

Um solchen Missbrauch zu verhindern, wurden verschiedene E-Mail-Sicherheitsstandards entwickelt, darunter SPF, DKIM und DMARC. Diese Technologien arbeiten zusammen, um zu überprüfen, ob eine E-Mail tatsächlich von Deiner Domain stammt und ob sie während der Übertragung verändert wurde. Durch eine korrekte Konfiguration erhöhst Du die Wahrscheinlichkeit, dass Deine E-Mails zuverlässig im Posteingang des Empfängers landen und nicht fälschlich als Spam markiert werden. Gleichzeitig verringerst Du das Risiko, dass Deine Domain für gefälschte E-Mails missbraucht wird.

In diesem Artikel erklären wir, was SPF, DKIM und DMARC sind, wie sie gemeinsam den E-Mail-Verkehr absichern und warum es entscheidend ist, sie korrekt einzurichten.

Spoofing

Beim Spoofing gibt ein böswilliger Akteur vor, jemand anderes zu sein, indem er eine E-Mail mit einer gefälschten Absenderadresse verschickt. Es kann so aussehen, als stamme die Nachricht von einer vertrauenswürdigen Quelle – zum Beispiel info@cloud86.io – obwohl das in Wirklichkeit nicht der Fall ist.

Solche gefälschten E-Mails werden häufig für Phishing, Betrugsversuche oder zur Verbreitung von Schadsoftware eingesetzt. Spoofing ist nicht nur gefährlich für die Empfänger, sondern schadet auch Deinem Ruf als Absender.

.

DE Email_ Security, spoofing.png

Um dies zu verhindern, gibt es drei zentrale Techniken, die zusammen für eine zuverlässige und sichere E-Mail-Kommunikation sorgen: SPF, DKIM und DMARC.

SPF: who is allowed to send emails on behalf of your domain?

Sender Policy Framework (SPF) ist eine Technik, mit der Du über einen DNS-Eintrag angibst, welche Server berechtigt sind, E-Mails im Namen Deiner Domain zu versenden. Man kann sich das wie eine Liste zulässiger Absender vorstellen.

Wenn ein empfangender Mailserver eine E-Mail erhält, prüft er, ob der sendende Server in dem SPF-Eintrag Deiner Domain aufgeführt ist. Ist das nicht der Fall, wird die E-Mail als verdächtig markiert oder sogar direkt abgewiesen. Das trägt dazu bei, dass andere Deine Domain nicht fälschlich verwenden können, und erhöht die Wahrscheinlichkeit, dass Deine legitimen E-Mails zuverlässig im Posteingang landen.

Bei Cloud86 wird ein korrekter SPF-Eintrag automatisch eingerichtet, wenn Du ein Webhosting-Paket erwirbst oder eine neue DNS-Zone über unsere Plattform anlegst.

Beispiel SPF-Eintrag:

Name Typ TTL RDATA
@ TXT 14400 "v=spf1 +a +mx +ip4:45.82.188.XX -all"

 

DNS Eintrag:

  • @: Das @-Symbol bedeutet, dass der SPF-Eintrag für die Root-Domain gilt, z. B. cloud86example.com.
  • TXT: SPF-Einträge werden als TXT-Einträge im DNS gespeichert, damit Mailserver den Inhalt auslesen können.

  • TTL (Time To Live): Die Zeit in Sekunden, wie lange der Eintrag im Cache verbleibt; 14400 Sekunden = 4 Stunden. Deshalb kann es bis zu 4 Stunden dauern, bis DNS-Änderungen sichtbar werden.

  • RDATA: Der Inhalt des SPF-Eintrags, der definiert, welche Absender erlaubt sind.

SPF Wert:

  • v=spf1: Gibt eine SPF-Eintragsversion 1 an.
  • +a: Erlaubt den Versand von E-Mails von der IP-Adresse, die mit dem A-Record der Domain verknüpft ist (also dem Server, auf dem die Website läuft).
    +mx: Gestattet den Versand von E-Mails über die in den MX-Einträgen der Domain definierten Mailserver (also die Server, auf denen die E-Mail-Dienste laufen).
  • +mx: Permits emails to be sent from the mail servers set up in your domain's MX records (the servers where your mail runs).
  • +ip4:45.82.188.XX: Autorisiert ausdrücklich die IP-Adresse 45.82.188.XX zum Versand von E-Mails im Namen der Domain (diese IP ist die eines bestimmten Servers; der genaue Wert ist im Plesk unter Plesk: Wo finde ich meinen Servernamen und die IP-Adresse?).
  • -all: Alle anderen Server werden ausdrücklich abgelehnt (Hard Fail).

Dieser Eintrag bedeutet: Nur der Server im A-Record, die MX-Server und die IP-Adresse 45.82.188.14 dürfen E-Mails im Namen dieser Domain versenden – alle anderen werden abgelehnt.

DKIM: Überprüfung der Authentizität und des Inhalts

DomainKeys Identified Mail (DKIM) stellt sicher, dass E-Mails, die im Namen deiner Domain versendet werden, mit einer digitalen Signatur versehen sind. Diese Signatur wird automatisch vom versendenden Server hinzugefügt und ist mit einem DNS-Eintrag deiner Domain verknüpft.

Wenn der Empfänger deine E-Mail erhält, kann sein Mailserver prüfen:

  • ob die E-Mail wirklich von deiner Domain stammt,

  • ob der Inhalt auf dem Übertragungsweg nicht verändert wurde.

Diese zusätzliche Prüfung trägt dazu bei, das Vertrauen in deine E-Mails zu erhöhen und die Wahrscheinlichkeit zu verringern, dass deine Nachrichten im Spam-Ordner landen.

Bei Cloud86 ist DKIM standardmäßig nicht aktiv, kann jedoch anhand unserer Anleitung aktiviert werden:

Wenn du unseren Migrationsservice nutzt, stellen wir sicher, dass bestehende DKIM-Einstellungen korrekt übernommen oder angepasst werden. So bleibt deine E-Mail-Kommunikation sicher – ganz ohne technisches Vorwissen.

DMARC: Deine E-Mail-Richtlinie und Sicherheitskontrolle

Domain-based Message Authentication, Reporting & Conformance (DMARC) ist eine Sicherheitsebene, die auf den Ergebnissen von SPF und DKIM basiert. Mit einem DMARC-Eintrag legst du fest, was geschehen soll, wenn eine E-Mail im Namen deiner Domain diese Prüfungen nicht besteht.

Du kannst zum Beispiel angeben, dass:

  • die E-Mail abgewiesen werden soll (reject),

  • die E-Mail im Spam-Ordner landen soll (quarantine),

  • die E-Mail trotzdem zugestellt wird, z. B. zu Überwachungszwecken (none).

DMARC hilft dir, die Zuverlässigkeit deines E-Mail-Verkehrs zu erhöhen und den Missbrauch deiner Domain zu begrenzen.
Du möchtest wissen, ob deine Domain bereits einen DMARC-Eintrag hat oder wie dieser aussieht? Prüfe es unter: https://mxtoolbox.com/DMARC.aspx.

Beispiel DMARC-Eintrag

Name Typ TTL RDATA
_dmarc TXT 14400 "v=DMARC1; p=quarantine; rua=mailto:dmarc@cloud86example.com"

 

DMARC Value:

  • v=DMARC1: Gibt an, dass es sich um eine DMARC-Version 1 handelt.
  • p=quarantine: E-Mails, die die Überprüfung nicht bestehen, sollen im Spam-Ordner landen.
  • rua=mailto:...: Aggregierte Berichte über fehlgeschlagene Nachrichten werden an die hinterlegte E-Mail-Adresse gesendet. Wir empfehlen, hierfür eine separate E-Mail-Adresse zu verwenden. Zusätzlich zu "rua" gibt es auch "ruf", das statt aggregierter Berichte einzelne Fehlermeldungen separat verschickt.

Beispiel für eine E-Mail-Ablehnung

Wenn ein empfangender Mailserver eine E-Mail ablehnt, weil sie die DMARC-Prüfung nicht besteht (und deine Richtlinie auf „reject“ gesetzt ist), kann der Absender die folgende Nachricht erhalten:

Ihre Nachricht wurde nicht zugestellt, da der E-Mail-Anbieter des Empfängers sie abgelehnt hat.

Diagnoseinformationen für Administratoren:

Generierender Server: [Servername] [Empfängeradresse].

Der Remote-Server meldete: '550 5.7.509 Zugriff verweigert, die absendende Domain [Absenderdomain] besteht die DMARC-Verifizierung nicht und hat eine DMARC-Richtlinie von reject.'

Zuverlässige und sichere E-Mail bei Cloud86

Um sicherzustellen, dass dein E-Mail-Verkehr bei Cloud86 zuverlässig, sicher und korrekt funktioniert, ist es wichtig, dass die richtigen DNS-Einträge gesetzt sind. Die folgende Tabelle enthält alle wichtigen Einstellungen, die erforderlich sind für:

  • die korrekte Zustellung von E-Mails (A- und MX-Einträge)

  • den Schutz vor Spam und Spoofing (SPF, DKIM, DMARC)

Wenn du diese Einträge setzt – oder sie automatisch über unsere Webhosting- oder DNS-Verwaltungsumgebung erstellen lässt – schaffst du eine solide Grundlage für die Sicherheit deiner E-Mails und eine zuverlässige Zustellbarkeit.

Name Typ TTL RDATA
@ A 14400 <ip server>
@ MX 14400 10 <domainn>
_dmarc TXT 14400 "v=DMARC1; p=quarantine; sp=quarantine;"
_domainkey TXT 14400 "o=-"
cloud86._domainkey TXT 14400 <dkim record (DKIM aktivieren)>
@ TXT 14400 "v=spf1 +a +mx +ip4:<ip server> -all"

 

Hinweis: Nutzt Du unseren Migrationsservice oder überträgst Du Deinen Domainnamen zu Cloud86? Dann sorgen wir automatisch dafür, dass diese Einstellungen korrekt und vollständig erstellt bzw. übernommen werden.