SPF-, DKIM- und DMARC-Setup für eine Google-Workspace-Sicherheitsdomain

Eine Unternehmenswebsite kann professionell wirken, während die E-Mail-Domain weiterhin leicht zu imitieren ist. SPF, DKIM und DMARC schließen diese Lücke, indem sie Empfängern Belege liefern, wer senden darf und wie Fehler behandelt werden sollen.

Für ein sicherheitsorientiertes Unternehmen ist das keine optionale Politur. Es gehört zur öffentlichen Vertrauensfläche, besonders wenn die Website Kontakt-, Support-, Security-, Privacy-, Legal- und Sales-Mailboxen veröffentlicht.

• Legen Sie zuerst die operativen Mailboxen an, inklusive einer DMARC-Reporting-Mailbox wie dmarc@example.com.
• Veröffentlichen Sie SPF für den aktiven Sender, zum Beispiel Google Workspace.
• Aktivieren Sie DKIM-Signaturen in Google Workspace und veröffentlichen Sie den DKIM-TXT-Record.
• Starten Sie DMARC mit p=none und aktiviertem Reporting, damit Fehler vor der Durchsetzung beobachtet werden können.
• Wechseln Sie erst zu quarantine oder reject, wenn legitime Sender ausgerichtet sind.

Die Verifikation sollte über DNS und über echte Nachrichten-Header erfolgen. DNS bestätigt, dass die Records existieren. Header zeigen, ob E-Mails über den produktiven Pfad tatsächlich SPF, DKIM und DMARC Alignment bestehen.

• SPF enthält nur Dienste, die wirklich für die Domain senden.
• DKIM nutzt einen aktuellen Selector und zeigt in empfangenen Nachrichten pass.
• DMARC-Reports werden an eine überwachte Mailbox zugestellt.
• Die Policy ist dokumentiert, damit künftige Mail-Tools die Zustellbarkeit nicht brechen.

Wenn die Reports sauber aussehen, sollte DMARC schrittweise verschärft werden. Der stärkste Zielzustand ist reject, aber der richtige Zeitplan hängt davon ab, ob Newsletter, transaktionale E-Mails, CRM-Tools oder Support-Tools ebenfalls von der Domain senden.