Publiziert am 22.04.2024, von Gregor Favre
Aktualisiert am 18.06.2026

DKIM und DMARC: einfach erklärt – und warum E-Mail-Sicherheit für KMU geschäftskritisch ist

E-Mail ist der häufigste Angriffsvektor auf Schweizer KMU. Gefälschte Absenderadressen, Phishing im Namen deines Unternehmens, Rechnungsbetrug – all das lässt sich mit DKIM, DMARC und SPF wirkungsvoll einschränken. Was diese Begriffe bedeuten, wie sie funktionieren, und warum du sie nicht ignorieren kannst.
Inhaltsverzeichnis

Warum E-Mail-Sicherheit für KMU ein Geschäftsrisiko ist

E-Mail ist das älteste digitale Kommunikationsmittel – und nach wie vor das anfälligste. Kein anderer Kanal wird häufiger für Betrug, Manipulation und Datenmissbrauch eingesetzt. Und das betrifft nicht nur Grosskonzerne.

Schweizer KMU sind zunehmend Ziel von drei konkreten Angriffsformen:

Domain-Spoofing: Angreifer versenden E-Mails, die scheinbar von deiner Domain stammen – mit deinem Firmennamen im Absenderfeld. Kunden, Lieferanten oder Partner erhalten täuschend echte Nachrichten, die sie zu Überweisungen, Klicks auf Schadsoftware oder zur Herausgabe von Zugangsdaten verleiten.

CEO-Fraud: Eine besonders kostspielige Variante. Der Angreifer gibt sich als Geschäftsführer aus und weist einen Mitarbeitenden per E-Mail an, dringend eine Zahlung ins Ausland zu tätigen. Solche Angriffe verursachen in der Schweiz regelmässig Schäden im fünf- bis sechsstelligen Bereich.

Phishing im Namen deines Unternehmens: Gefälschte E-Mails werden an deine Kundenliste gesendet – mit deinem Logo, deinem Ton, deiner Absenderadresse. Du bist nicht der Angreifer, aber du trägst den Reputationsschaden.

Seit Februar 2024 verlangen zudem Google und Yahoo, dass Massenversender DKIM, DMARC und SPF korrekt konfiguriert haben. Wer das ignoriert, riskiert, dass seine E-Mails schlicht nicht mehr zugestellt werden.

Die gute Nachricht: Diese drei technischen Standards – SPF, DKIM und DMARC – sind die wichtigsten Schutzmassnahmen gegen diese Angriffe. Und sie lassen sich mit vertretbarem Aufwand einrichten.

Was ist SPF?

SPF steht für Sender Policy Framework. Es ist der erste Schutzwall: Du legst in den DNS-Einstellungen deiner Domain fest, welche Server überhaupt berechtigt sind, E-Mails in deinem Namen zu versenden. Empfangende Mailserver prüfen bei eingehenden E-Mails, ob der absendende Server auf dieser Liste steht.

Kommt eine E-Mail von einem nicht autorisierten Server, kann der Empfänger-Mailserver die Nachricht als verdächtig markieren oder direkt ablehnen.

SPF allein reicht aber nicht aus – denn SPF schützt nur den technischen Versandweg, nicht den Inhalt oder die sichtbare Absenderadresse. Deshalb braucht es DKIM.

Was ist DKIM?

DKIM steht für DomainKeys Identified Mail. Es ist eine Methode zur Prüfung der Echtheit von E-Mails – um sicherzustellen, dass der Absender tatsächlich der ist, für den er sich ausgibt.

DKIM nutzt eine unsichtbare digitale Signatur, die an die E-Mail angehängt wird. Diese Signatur enthält Informationen über den Absender und den Inhalt der Nachricht. Wenn der Empfänger die E-Mail erhält, prüft sein Mailserver die Signatur und vergleicht sie mit den Einstellungen in der DNS-Zone des Absenders.

In der Praxis funktioniert das zum Beispiel so:

  • Eine E-Mail von @insor.ch erreicht dich
  • Dein Mailprovider prüft die DKIM-Signatur der E-Mail
  • Dafür verbindet er sich mit der DNS-Zone von insor.ch und liest den hinterlegten öffentlichen Schlüssel
  • Stimmt die Signatur in der E-Mail mit dem Schlüssel überein, ist die Mail authentisch

Technisch handelt es sich um ein Public-Key-Verfahren. Der grosse Vorteil: Niemand kann eine E-Mail mit deiner Absenderadresse versenden, ohne im Besitz des privaten Schlüssels zu sein – und der liegt ausschliesslich bei dir.

DKIM erhöht auch die Zustellrate: Viele Mailprovider werten eine gültige DKIM-Signatur als positives Signal, dass es sich nicht um Spam handelt.

Was ist DMARC?

DMARC steht für Domain-based Message Authentication, Reporting and Conformance. Es ist die Schaltzentrale, die SPF und DKIM zusammenführt und dir die Kontrolle gibt, was mit nicht authentifizierten E-Mails passiert.

Mit DMARC kannst du festlegen:

  • Nichts tun (none): E-Mails werden normal zugestellt, du erhältst aber Berichte über gefälschte Mails. Gut als Einstieg, um erst mal zu verstehen, was läuft.
  • Quarantäne (quarantine): Nicht authentifizierte E-Mails landen im Spam-Ordner des Empfängers.
  • Ablehnen (reject): Gefälschte E-Mails werden vom Empfänger-Server direkt abgewiesen. Das ist der stärkste Schutz.

Zusätzlich sendet DMARC dir regelmässige Berichte: Du siehst, wer in deinem Namen E-Mails versendet, von welchen Servern, und wie oft. Das ist wertvolle Frühwarninformation – besonders wenn plötzlich eine unbekannte IP-Adresse auftaucht, die vorgibt, deine Domain zu sein.

Das Zusammenspiel der drei Standards

SPF, DKIM und DMARC funktionieren am besten zusammen:

SPF definiert, wer senden darf. DKIM beweist, dass die E-Mail authentisch ist. DMARC entscheidet, was mit E-Mails passiert, die SPF oder DKIM nicht bestehen – und informiert dich darüber.

Wer nur DKIM ohne DMARC betreibt, weiss nicht, ob jemand seine Domain missbraucht. Wer DMARC ohne DKIM konfiguriert, hat eine schwächere Authentifizierungsbasis. Alle drei zusammen bilden einen soliden Schutzschild.

Was das konkret bedeutet – und wie du vorgehst

Ob deine Domain für DKIM korrekt eingerichtet ist, siehst du in deinem INSOR-Kundenportal. Wir prüfen das täglich automatisch – und melden dir proaktiv, wenn etwas fehlt oder fehlerhaft konfiguriert ist.

Ob deine E-Mails im Spam landen, kannst du ausserdem mit einem einfachen Test überprüfen. Wie das geht, zeigt unser Artikel So testest du, ob deine E-Mails im Spam landen.

Wenn du DKIM, SPF oder DMARC für deine Domain einrichten möchtest, melde dich direkt über unseren Helpdesk – wir erledigen das für dich.

Wichtiger Hinweis zum Abschluss: Nur weil deine E-Mails DKIM- und DMARC-konform sind, bedeutet das nicht, dass du nun unbegrenzt Massenmails versenden kannst. DKIM ist eine Komponente unter vielen in modernen Spamfiltern. Du erhöhst die Zustellwahrscheinlichkeit – aber ein Freipass für unerwünschte Werbung ist es nicht.

Dazu passend

Autor dieses Posts

Seit meiner Jugend bin ich tief in der IT- und Web-Welt verwurzelt – schon damals war für mich klar, dass dieses spannende Universum mein Zuhause ist. Vor 20 Jahren habe ich den Schritt gewagt und INSOR gegründet, die inzwischen auf acht kreative Köpfe angewachsen ist. Gemeinsam realisieren wir digitale Projekte, die unsere Kunden begeistern. Wenn ich mich mal nicht in Codezeilen verliere, findest du mich wahrscheinlich auf einem Wanderweg in den Schweizer Bergen oder unterwegs in den schönsten Ecken unseres Landes.

Auf Social Media teilen

Abonniere unser Blog

Tipps und Neuigkeiten aus den Bereichen Web und Marketing.

PS: dein Datenschutz ist uns wichtig. Deshalb fragen wir nur nach deiner E-Mail-Adresse, und keinen weiteren Daten. Die Adresse verwenden wir nur, um dir neue Blog-Beiträge zu senden. Du kannst das Abonnement jederzeit wieder löschen - in jedem Mail steht dir hierfür ein Link zum definitiven Austragen zur Verfügung. Auch steht dir unser freundlicher Support zur Verfügung. Hier ist noch unsere Datenschutzerklärung.

Fragen und Antworten zu diesem Post

Stelle deine Frage zu diesem Blogpost

Hier kannst du uns deine Frage senden. Wenn diese für andere Leser interessant ist, wird sie (anonymisiert) an dieser Stelle veröffentlicht.

Danke! Wir haben deine Frage erhalten und senden dir die Antwort per E-Mail und auf dieser Seite.
Ups, da hat etwas nicht geklappt. Versuche es doch nochmals, oder melde dich bei uns.