E-Mails sind für mittelständische Unternehmen weiterhin der wichtigste Kommunikationskanal – und gleichzeitig einer der beliebtesten Angriffswege. Spoofing, Phishing und Identitätsbetrug funktionieren – nicht weil Angreifer „super-hacken“, sondern weil grundlegende Schutzmechanismen fehlen oder nur halb eingerichtet sind.
Genau darauf weist unser CTO Dominik Zöller im Artikel „Verheerende E-Mail-Security im Mittelstand“ hin: In einer Analyse von 11.250 Unternehmen bis 2.000 Mitarbeitende war bei über 80% die E-Mail-Security nicht ausreichend oder fehlerhaft konfiguriert. Zwar setzen 96,8% SPF ein – aber ohne DKIM und DMARC bleibt der Schutz unvollständig.
Das Problem: „SPF ist da“ – und trotzdem werden E-Mails gefälscht
Das Sender Policy Framework (SPF) ist wichtig, aber allein betrachtet ist es eher ein Türschild als ein Türschloss: SPF definiert, welche Systeme im Namen eurer Domain versenden dürfen. Entscheidend ist jedoch, dass E-Mails verlässlich verifiziert werden können (DKIM) und es klare Regeln gibt, was passiert, wenn diese Verifizierung scheitert (DMARC).
Genau diese Kombination ist der Punkt:
- Nur SPF → nicht wirksam
- Nur DKIM oder nur DMARC → nicht vollständig.
Kurz gesagt: Wer DKIM & DMARC nicht sauber aufsetzt, präsentiert eine offene Flanke als Angriffsfläche – auch dann, wenn Microsoft 365 und Defender im Einsatz sind.
Ihr wollt schnell prüfen, ob eure Domain sauber geschützt ist?
Hol dir den kostenfreien Leitfaden „DKIM & DMARC einrichten“ – unsere Schritt-für-Schritt Anleitung, mit der du in 60 Minuten deine E-Mail-Security sicher aufsetzt.
Die Basics: Was leisten DKIM und DMARC konkret
DKIM: Kryptografische Signatur für ausgehende E-Mails
DKIM verknüpft Ihren Domainnamen mit einer E-Mail, indem jede ausgehende Nachricht eine kryptografische Signatur erhält. Empfänger prüfen diese Signatur gegen den öffentlichen Schlüssel im DNS – und entscheiden danach, ob die E-Mail „vertrauenswürdig“ ist.
DMARC: Die Kontrolle
DMARC – nein, das ist kein altes Zahlungsmittel – ergänzt SPF und DKIM, bekämpft Phishing/Spam-Praktiken und sagt empfangenden Servern, was sie tun sollen, wenn Prüfungen fehlschlagen. Außerdem erhaltet ihr über Reports und damit Transparenz, wer alles eure Domain für E-Mails einsetzt.
Warum Microsoft 365 allein nicht automatisch „fertig abgesichert“ ist
In seinem Artikel zeigt Dominik Zöller auch: Selbst im Microsoft-365-Segment haben rund 44% ihre E-Mail-Security nicht besser im Griff. Defender for M365 und Exchange Online Protection helfen – aber ohne Basiskonfiguration können sie ihre volle Wirkung nicht entfalten, und die False Positives (also fälschlicherweise als schädlich identifizierte Nachrichten) können unnötig steigen.
Quick-Wins: So kommen Sie in unter 60 Minuten deutlich weiter
Unser Leitfaden ist pragmatisch aufgebaut – damit ihr nicht im Theorie-Sumpf landet, sondern die Konfiguration direkt umsetzen könnt.
DKIM einrichten (M365 + DNS) – die Kurz-Checkliste
Voraussetzungen: Ihr solltet in Exchange/Global Admin in M365 sein, DNS-Zugriff haben, Domain sollte verifiziert sein und SPF muss vorhanden sein.
Dann: Aktiviert DKIM im Microsoft Defender Portal, erzeugt den DKIM-Schlüssel, und setzt die CNAME-Einträge beim Domain-Provider. Dann heißt es warten und validieren.
DMARC starten – sinnvoller Einstieg ohne Risiko
DMARC läuft über einen TXT-Record im DNS (Host: _dmarc) und ihr könnt mit einer vorsichtigen Policy beginnen:
-
p=none: erst beobachten
-
später p=quarantine: verdächtige Mails in Spam
-
p=reject: maximaler Schutz (blockt komplett)
Zusätzlich: rua=mailto sorgt für tägliche Reports, damit ihr seht, was „in eurem Namen“ passiert.
Ihr möchtet die Konfiguration nicht zusammengoogeln, sondern sauber umsetzen?
Hier den PDF-Leitfaden downloaden:
Die wichtigsten Benefits auf einen Blick
Mit DKIM & DMARC erreicht ihr schnell drei Dinge, die im Mittelstand zählen:
-
Schutz vor Spoofing & Phishing: Eure Domain wird deutlich schwerer missbrauchbar.
-
Bessere Zustellbarkeit & Domain-Reputation: Vertrauenswürdige Mails landen eher im Posteingang.
-
Transparenz & Kontrolle: Ihr seht, wer in Ihrem Namen versendet – und könnt gezielt nachsteuern.
Und das Beste: Laut unserem CTO ist der Aufwand pro Domain oft unter einer Stunde – wenn man weiß, worauf es ankommt.
Wenn Ihr möchtet, prüfen wir eure Domain-Konfiguration auch gemeinsam und bringen SPF/DKIM/DMARC in eine saubere, belastbare Reihenfolge – damit eure E-Mail-Security nicht nur „irgendwie aktiviert“, sondern wirklich wirksam ist.
