Angreifer fälschen Absenderadressen („Spoofing“), um vertrauliche Daten oder Zahlungen zu erschleichen.
Mit unserem kostenlosen Spoofing-Test erfahren Sie in Sekunden, ob SPF, DKIM und
DMARC korrekt eingerichtet sind – und wie Sie Lücken sofort schließen.
Beim Email-Spoofing geben sich Angreifer als legitimer Absender Ihrer Domain aus
(z. B. [email protected]), ohne Zugriff auf Ihr Postfach zu haben.
Ziel ist Social Engineering: Mitarbeitende klicken auf Links, öffnen Anhänge oder autorisieren Zahlungen.
Die wirksamste Abwehr beruht auf drei DNS-basierenden Bausteinen:
SPF (Wer darf senden?), DKIM (wurde die Mail unverändert übermittelt?)
und DMARC (Policy, Auswertung und wie Empfänger mit Fälschungen umgehen sollen).
www, z. B. ihre-domain.de).SPF definiert in einem DNS-TXT-Record, welche Server im Namen Ihrer Domain E-Mails
versenden dürfen. Fehlt SPF oder ist er unvollständig, können Gateways Fälschungen schwerer erkennen.
DKIM signiert ausgehende Nachrichten kryptografisch. Empfänger prüfen die Signatur via öffentlichem
Schlüssel im DNS. Manipulationen am Inhalt werden dadurch erkennbar.
DMARC legt fest, wie Empfänger mit Mails umgehen sollen, die SPF/DKIM-Prüfungen nicht bestehen.
Die Policy kann auf none (nur Bericht), quarantine (in Spam) oder
reject (ablehnen) stehen. Zusätzlich liefert DMARC wertvolle Aggregate-Reports (RUA) und
Forensik-Reports (RUF).
| Mechanismus | Zweck | Minimaler Soll-Zustand | Best Practice |
|---|---|---|---|
| SPF | Versender autorisieren | Ein korrekter v=spf1 Eintrag mit allen genutzten Sendequellen |
Keine übermäßig weiten Mechanismen (+a/+mx nur wenn nötig), -all am Ende |
| DKIM | Inhaltsintegrität prüfen | Aktiver DKIM-Key pro sendendem System | 2048-Bit Schlüssel, Key-Rotation, mehrere Selector für getrennte Systeme |
| DMARC | Policy & Reporting | p=none mit rua= Reports |
Schrittweise auf quarantine → reject, Alignment adkim/aspf=s, Subdomain-Policy sp= |
| Fehlerbild | Risiko | Empfohlene Maßnahme |
|---|---|---|
| Kein SPF vorhanden | Hohe Spoofing-Gefahr; Zustellprobleme | SPF erstellen, alle legitimen Sendequellen aufnehmen, mit -all abschließen |
| SPF zu lang / zu viele Lookups | SPF-Permerror; E-Mails werden abgewiesen | Mechanismen konsolidieren, Subnetze statt Einzel-IPs, DNS-Flattening nutzen |
| Kein DKIM / veralteter Key (1024 Bit) | Integritätsprüfung schwach; höhere Spam-Quote | DKIM aktivieren, 2048 Bit Schlüssel, jährliche Rotation, korrekte Selector-Pflege |
DMARC auf p=none ohne Auswertung |
Fälschungen werden zwar erkannt, aber nicht konsequent behandelt | RUA/RUF aktiv auswerten, dann Policy stufenweise auf quarantine → reject anheben |
| Kein Alignment (SPF/DKIM „relaxed“ trifft nicht) | Legitime Mails fallen durch, Fälschungen passieren | aspf/adkim prüfen, Absender-Domain (From) und Sende-Domains harmonisieren |
p=none, rua=mailto:... aktivierenquarantine (z. B. pct=25) setzenaspf=s, adkim=s)p=reject (ggf. stufenweise via pct)sp= setzenquarantine/rejectNein. SPF allein schützt nicht zuverlässig (Stichwort: Weiterleitungen). Sie benötigen mindestens SPF und DKIM, idealerweise gesteuert über DMARC.
p=none bedeutet, dass Empfänger nur berichten, aber nicht eingreifen. Das ist für die Startphase gut – dauerhaft sollten Sie auf quarantine oder reject erhöhen.
Nein. Der Test liest ausschließlich öffentliche DNS-Einträge. Änderungen an SPF/DKIM/DMARC wirken sich erst aus, wenn Sie Ihre DNS-Records anpassen.
Nicht, wenn alle Systeme korrekt in SPF/DKIM/DMARC abgebildet sind. Unser Test hilft, fehlende Einträge zu identifizieren.
Diese Befehle lesen nur öffentliche DNS-Informationen. Erfordern Terminal-Zugriff.
| Ziel | Befehl | Erwartung |
|---|---|---|
| SPF prüfen | nslookup -type=TXT ihre-domain.tld |
Eintrag mit v=spf1 und legitimen Sendern, Abschluss -all |
| DKIM prüfen | nslookup -type=TXT selector._domainkey.ihre-domain.tld |
Eintrag mit v=DKIM1 und öffentlichem Schlüssel |
| DMARC prüfen | nslookup -type=TXT _dmarc.ihre-domain.tld |
v=DMARC1; p=none/quarantine/reject; rua=mailto:… |
Post Tags:
Share:
