04.06.2025

Sichere E-Mail beginnt beim Absender

 

Warum Standards wie SPF, DKIM, DMARC und DNSSEC jetzt Pflicht sind

E-Mail bleibt das Rückgrat digitaler Kommunikation. Doch genau darin liegt eine zentrale Schwachstelle: Tagtäglich werden Milliarden von E-Mails verschickt – ein erheblicher Teil davon ist gefälscht, betrügerisch oder nicht korrekt authentifiziert. Die Folgen sind weitreichend: Legitime E-Mails landen im Spamfilter, Angriffe dringen unbemerkt zu Nutzenden durch, und die Reputation ganzer Organisationen kann Schaden nehmen.

Aus diesem Grund engagiert sich der eco – Verband der Internetwirtschaft e. V. in enger Partnerschaft mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) für die Stärkung von E-Mail-Sicherheit durch konkrete technische Maßnahmen und flächendeckende Umsetzung etablierter Standards.

Technische Standards – kurz erklärt

Damit E-Mails sicher und vertrauenswürdig zugestellt werden können, braucht es eine Reihe technischer Standards. Einer davon ist SPF (Sender Policy Framework). Er definiert, welche Mailserver berechtigt sind, E-Mails im Namen einer bestimmten Domain zu versenden. So lassen sich gefälschte Absender frühzeitig erkennen.

DKIM (DomainKeys Identified Mail) ergänzt diesen Schutz durch eine digitale Signatur im Header der E-Mail, die eine Überprüfung der Echtheit und Unverändertheit der Nachricht ermöglicht.

DMARC (Domain-based Message Authentication, Reporting and Conformance) wiederum verbindet SPF und DKIM zu einer übergeordneten Richtlinie: Es gibt dem empfangenden Server klare Anweisungen, wie mit Nachrichten umzugehen ist, die diese Prüfungen nicht bestehen – beispielsweise sie abzulehnen oder als verdächtig zu kennzeichnen. DMARC ermöglicht zusätzlich umfassende Berichte über den E-Mail-Verkehr, was Transparenz schafft und Handlungsbedarf sichtbar macht.

Damit diese Mechanismen zuverlässig greifen, müssen DNS-Einträge abgesichert werden – hier kommt DNSSEC (Domain Name System Security Extensions) ins Spiel. DNSSEC schützt die Integrität der DNS-Einträge und ist die Grundlage für DANE (DNS-based Authentication of Named Entities), das wiederum zur Absicherung der Transportverschlüsselung eingesetzt wird.

Erkenntnisse aus der Praxis: Rückmeldungen aus dem BSI-Workshop

Bei einem Workshop des BSI am 26. Mai 2025 waren Kolleg:innen von eco und der Certified Senders Alliance (CSA) aktiv beteiligt. Die Diskussionen machten deutlich, dass es nicht an Wissen mangelt – sondern an Vertrauen in die technische Umsetzbarkeit, an Ressourcen und an klaren Zuständigkeiten.

Besonders auffällig war der äußerst geringe Einsatz von DNSSEC. In den Gruppen, an denen eco teilnahm, bestätigte sich, dass DNSSEC von kaum einem Unternehmen in nennenswertem Umfang produktiv eingesetzt wird. Die Ursachen liegen vor allem in der Angst vor Fehlkonfigurationen: Viele IT-Abteilungen befürchten, dass fehlerhafte DNSSEC-Einträge im laufenden Betrieb zu massiven Problemen führen könnten – etwa dazu, dass Unternehmenswebsites oder Mailserver unerreichbar werden.

Ein weiteres Thema war DMARC – genauer: die Überraschung, die viele Unternehmen erleben, sobald sie erste Auswertungen ihrer DMARC-Reports erhalten. Denn häufig wird dann erst sichtbar, wie viele fremde Systeme im Namen des Unternehmens E-Mails versenden. Diese zu identifizieren, zu prüfen und gezielt auszuschließen stellt eine erhebliche organisatorische und technische Herausforderung dar.

Ein weiteres Hindernis ergibt sich im internationalen Kontext: Unternehmen, die mit Partnern außerhalb Europas – insbesondere in Asien – zusammenarbeiten, sehen sich häufig mit einer geringen Verbreitung oder gänzlichen Abwesenheit von Authentifizierungsstandards konfrontiert. Kommt es zu Missbrauch oder Konfigurationsproblemen, greifen Eskalationsprozesse oft zu spät oder gar nicht.

Nicht zuletzt wurde auch die menschliche Komponente mehrfach genannt: Selbst gut geschulte Mitarbeitende klicken in stressigen Situationen auf Phishing-Links. Entsprechend bleibt es essenziell, Awareness-Kampagnen durchzuführen und regelmäßig zu aktualisieren. Hinzu kommt, dass in vielen größeren Organisationen die IT dezentral organisiert ist. Dadurch fehlt es oft an einheitlichen Vorgaben, klarer Verantwortlichkeit und technischem Überblick über das gesamte Domain-Setup.

Warum eco und BSI gemeinsam agieren

Die Partnerschaft zwischen eco und dem BSI ist naheliegend und effektiv. Während das BSI über regulatorische Kompetenz, Sicherheitsanalysen und die politische Rahmensetzung verfügt, bringt eco seit 30 Jahren technisches Know-how, Marktnähe und operative Umsetzungskompetenz in der Internetwirtschaft mit. Mit Initiativen wie der CSA hat eco Standards und Qualitätssicherung im E-Mail-Versand schon früh aktiv mitgestaltet.

Gemeinsam arbeiten beide Partner daran, nicht nur Empfehlungen zu formulieren, sondern Unternehmen auf Augenhöhe zu begleiten – von der Wissensvermittlung über die Motivation bis hin zur konkreten technischen Umsetzung.

Fazit: Sicherheit beginnt beim Versand

E-Mail-Sicherheit kann nur funktionieren, wenn sie bereits beim Absender beginnt. Wer als Organisation Vertrauen schaffen will, muss dafür sorgen, dass eigene Domains sauber konfiguriert, eindeutig authentifiziert und zuverlässig überwacht sind. Nur so wird E-Mail-Kommunikation zukunftsfähig – und das Internet ein Stück sicherer.

eco ruft dazu auf: Mach deine Domain ready – für Vertrauen, Sichtbarkeit und sichere Zustellung.

 

Sichere E-Mail beginnt beim Absender – warum Standards wie SPF, DKIM, DMARC und DNSSEC jetzt Pflicht sin