🛡️Sicherheit & Notfall

E-Mail-Sicherheit für kleine Unternehmen: SPF, DKIM & DMARC verständlich

Wie Sie mit wenigen Schritten Ihr Firmenpostfach deutlich sicherer machen – inklusive SPF, DKIM, DMARC und praktischen Sofortmaßnahmen für Ihr Team.

⏱ 7–9 min • 🔄 24.11.2025

Warum E-Mail für Angriffe so attraktiv ist

E-Mail ist für die meisten kleinen Unternehmen der wichtigste Kommunikationskanal – und gleichzeitig der einfachste Weg für Angreifer, ins Unternehmen zu kommen. Typische Szenarien:

Phishing: Mitarbeiter:innen klicken auf Links und geben Zugangsdaten preis.
Business E-Mail Compromise (BEC): Angreifer geben sich als Geschäftsführung oder Lieferant aus.
Spoofing: Fremde versenden Mails mit Ihrer Absenderadresse, um Vertrauen auszunutzen.

Die gute Nachricht: Gerade für Unternehmen mit 1–50 Mitarbeitenden lassen sich mit überschaubarem Aufwand viele Risiken deutlich reduzieren.

Grundbegriffe in Klartext

Spam: Unerwünschte Massenmails. Nervig, aber oft harmlos.
Phishing: Mails, die Zugangsdaten oder vertrauliche Informationen abgreifen sollen.
Spoofing: Jemand verschickt Mails unter Ihrer Domain, ohne dazu berechtigt zu sein.
BEC: Gezielt formulierte Mails, die aussehen, als kämen sie z. B. von der Geschäftsführung („Bitte diese Rechnung heute noch überweisen…“).

SPF, DKIM, DMARC – was ist was?

Diese drei Begriffe tauchen häufig zusammen auf. Kurzfassung:

SPF (Sender Policy Framework): Legt fest, welche Server E-Mails für Ihre Domain versenden dürfen. Der empfangende Mailserver prüft, ob die IP/der Dienst auf der Liste steht.
DKIM (DomainKeys Identified Mail): Signiert ausgehende E-Mails kryptographisch. Der Empfänger kann prüfen, ob der Inhalt unterwegs verändert wurde und ob die Mail wirklich „von Ihrer Domain“ kommt.
DMARC (Domain-based Message Authentication, Reporting & Conformance): Legt fest, was der empfangende Server tun soll, wenn SPF/DKIM fehlschlagen (nur beobachten, in den Spam-Ordner legen oder ablehnen) – und sammelt Berichte.

In Kombination sorgen diese drei dafür, dass es deutlich schwieriger wird, Ihre Domain für gefälschte E-Mails zu missbrauchen.

Minimal-Setup für kleine Unternehmen

Viele KMU nutzen bereits Microsoft 365 oder einen vergleichbaren Anbieter. Dort sind SPF, DKIM und DMARC oft vorbereitet – aber nicht zwingend aktiviert oder sauber konfiguriert.

SPF einrichten oder prüfen: Im DNS Ihrer Domain gibt es einen TXT-Eintrag, der mit v=spf1 beginnt. Er sollte alle legitimen Mailquellen enthalten (z. B. Microsoft 365, ggf. Newsletter-Tools).
DKIM aktivieren: Beim jeweiligen E-Mail-Anbieter (z. B. Microsoft 365 Admin Center) DKIM aktivieren und die benötigten DNS-Einträge übernehmen.
DMARC mit Beobachtungsmodus starten: Zunächst mit einer „soften“ Policy starten, z. B. p=none, und Berichte auswerten. Später schrittweise auf quarantine oder reject umstellen.

Tipp: Viele Probleme entstehen, wenn zusätzliche Systeme Mails im Namen Ihrer Domain versenden (Shop, Zeiterfassung, Ticketsystem, Newsletter). Jedes dieser Systeme muss in SPF/DKIM/DMARC berücksichtigt werden.

Praktische Sofortmaßnahmen – auch ohne DNS-Zugriff

Neben der Technik gibt es ein paar einfache Stellschrauben, die den Unterschied machen:

MFA für Mailkonten: Mehr-Faktor-Authentifizierung für alle Benutzer:innen aktivieren.
Admin-Konten trennen: Kein „alles-mit-einem-Konto“ – separate Admin-Logins mit MFA.
Weiterleitungen prüfen: Keine unkontrollierten Auto-Forwards auf private Postfächer.
Regeln im Postfach überprüfen: Angreifer legen oft Regeln an („alle Mails weiterleiten“).
Standard-Anti-Spam nutzen: In Microsoft 365 die Standard-Richtlinien prüfen und verschärfen.
Phishing-Schulung light: Einmal im Quartal 15 Minuten investieren und Beispiele zeigen.

Checkliste für Geschäftsführung & Standortleitung

Wenn Sie keine eigene IT-Abteilung haben, können Sie mit ein paar Fragen schnell ein Bild bekommen:

Wer ist verantwortlich für E-Mail-Sicherheit (intern oder Dienstleister)?
Ist für alle Konten MFA aktiviert – auch bei der Geschäftsführung?
Gibt es einen aktuellen DNS-/Domain-Überblick (Mailprovider, zusätzliche Systeme)?
Sind SPF, DKIM und DMARC mindestens im Beobachtungsmodus aktiv?
Wissen Mitarbeitende, wie sie einen verdächtigen Vorfall melden (Mailadresse, Telefon)?

Wann Unterstützung sinnvoll ist

Spätestens wenn mehrere Systeme Mails in Ihrem Namen verschicken oder wenn Sie bereits einen Vorfall hatten, lohnt es sich, das Thema strukturiert aufzusetzen:

Review der aktuellen Konfiguration (DNS, Mailprovider, Weiterleitungen)
Einrichtung von SPF/DKIM/DMARC inklusive Test
Dokumentation & einfache Handlungsanweisungen für Ihr Team
Optional: regelmäßiger Security-Check im Rahmen von Managed Services

Security-Quickcheck für Ihr Postfach anfragen