Technische Maßnahme
E-Mail-Sicherheit
Die drei Standards: SPF, DKIM, DMARC
SPF – Sender Policy Framework
SPF definiert in einem DNS-Eintrag, welche Server berechtigt sind, E-Mails für Ihre Domain zu versenden. Empfangende Mail-Server prüfen dies und können gefälschte E-Mails zurückweisen.
Beispiel DNS-Eintrag:
v=spf1 include:spf.protection.outlook.com -all
Das -all am Ende bedeutet: Alle anderen Server werden abgelehnt (hart). Einrichtung: über den DNS-Provider der Domain.
DKIM – DomainKeys Identified Mail
DKIM fügt jeder ausgehenden E-Mail eine digitale Signatur hinzu. Der öffentliche Schlüssel liegt im DNS. Empfänger können damit verifizieren, dass die E-Mail tatsächlich von Ihrer Domain stammt und nicht verändert wurde.
Microsoft 365 und Google Workspace können DKIM automatisch einrichten. Im Admin-Panel unter E-Mail-Sicherheit oder Authentifizierung aktivieren.
DMARC – Domain-based Message Authentication
DMARC baut auf SPF und DKIM auf und definiert, was mit E-Mails passiert, die beide Prüfungen
nicht bestehen: none (nur überwachen),
quarantine (in Spam) oder
reject (abweisen).
Empfehlung: Start mit p=none,
Berichte auswerten, dann auf p=reject wechseln.
v=DMARC1; p=reject; rua=mailto:dmarc@ihredomain.de
Weitere E-Mail-Schutzmaßnahmen
- Externe E-Mails mit Banner
[EXTERN]kennzeichnen – erleichtert Erkennung von Spoofing - Anti-Phishing-Schutz aktivieren (Microsoft Defender for Office 365, Google Workspace Advanced Protection)
- Gefährliche Anhang-Typen (.exe, .ps1, .vbs) serverseitig blockieren
- Makros in Office-Anhängen standardmäßig deaktivieren
- MFA für alle E-Mail-Konten aktivieren
- E-Mail-Regeln und -Weiterleitungen regelmäßig prüfen (häufiges Angriffsziel)