Skip to content

Erkläre, wie SPF, DKIM und DMARC zusammenarbeiten, um E-Mail-Spoofing zu verhindern.

Kurzantwort

SPF veröffentlicht, welche IPs für eine Domain Mail senden dürfen. DKIM fügt eine kryptografische Signatur hinzu, damit der Empfänger prüfen kann, dass die Nachricht nicht verändert wurde und von der Domain stammt. DMARC bindet die SPF/DKIM-Ergebnisse über das Alignment an den sichtbaren From:-Header, sagt Empfängern, was bei Fehlschlag zu tun ist (none/quarantine/reject), und sendet Berichte. SPF und DKIM allein schützen das vom Nutzer gesehene From nicht – DMARC erzwingt das.

E-Mail wurde ohne Absender-Authentifizierung gebaut, sodass jeder die From:-Adresse fälschen kann. SPF, DKIM und DMARC sind drei im DNS veröffentlichte Schichten, die einem empfangenden Server zusammen erlauben zu entscheiden, ob Mail, die von deiner Domain zu stammen behauptet, legitim ist. Interviewer wollen wissen, dass du verstehst, dass sie komplementär und nicht austauschbar sind.

SPF – wer senden darf

Das Sender Policy Framework ist ein DNS-TXT-Record, der die IP-Adressen und Hosts auflistet, die für eine Domain Mail senden dürfen. Der Empfänger prüft die IP des verbindenden Servers gegen den Record. SPF validiert die Envelope-Domain (Return-Path), nicht den Header, den der Nutzer sieht, und es bricht bei Weiterleitung, weil sich die weiterleitende IP ändert.

DKIM – wurde die Nachricht manipuliert?

DomainKeys Identified Mail signiert ausgewählte Header und den Text mit einem privaten Schlüssel; der öffentliche Schlüssel liegt im DNS. Der Empfänger verifiziert die Signatur und beweist damit, dass die Nachricht unverändert und echt mit der signierenden Domain verknüpft ist. Da die Signatur mit der Nachricht reist, übersteht DKIM die Weiterleitung meist.

DMARC – an das sichtbare From binden

DMARC ist der Klebstoff. Es verlangt, dass ein bestandenes SPF- oder DKIM-Ergebnis mit der Domain im sichtbaren From:-Header aligned – und schließt so die Lücke, in der SPF/DKIM für eine vom Angreifer kontrollierte Domain bestehen, während der Nutzer deine sieht. Es veröffentlicht außerdem eine Richtlinie (p=none, quarantine oder reject), die Empfängern sagt, was bei Fehlschlag zu tun ist, und erzeugt aggregierte Berichte, sodass du siehst, wer in deinem Namen sendet.

Warum das wichtig ist

Eine saubere Antwort: SPF = autorisierte IPs, DKIM = Integritätssignatur, DMARC = Alignment + Durchsetzung + Sichtbarkeit. Erwähne, dass p=none nichts blockiert, aber die Berichte liefert, die nötig sind, um sicher auf reject hochzufahren. Genau diese Progression rollen Blue Teams in der Praxis aus.

Wahrscheinliche Anschlussfragen

  • Was bedeutet DMARC-«Alignment» und warum können SPF/DKIM bestehen, während DMARC fehlschlägt?
  • Warum ist eine DMARC-Richtlinie p=none zum Blockieren nutzlos, aber dennoch wertvoll?
  • Wie übersteht DKIM eine weitergeleitete E-Mail, während SPF oft bricht?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.