Wie lange dauert die Einrichtung von SPF, DKIM und DMARC?

Technische Einrichtung etwa ein halber Tag. Voller DMARC-Schutz mit p=reject über 4-6 Wochen mit Stufenplan, um legitime Versender nicht versehentlich zu blockieren.

Funktioniert das auch ohne Microsoft 365?

Ja. SPF, DKIM, DMARC sind offene Standards und funktionieren bei jedem Mail-Anbieter. Bei Microsoft 365 ist die Konfiguration aber am komfortabelsten.

Was passiert, wenn nach der Umstellung Mails nicht ankommen?

Der Stufenplan verhindert das. Erst Beobachtungsphase mit p=none, dann Quarantäne, dann erst Reject. So sind Überraschungen ausgeschlossen.

Gehört eine Schulung zur E-Mail-Sicherheit dazu?

Ja, eine 30-60 minütige Awareness-Schulung mit echten Phishing-Beispielen und PDF-Checkliste gehört dazu. Optional Phishing-Simulation.

E-Mail-Sicherheit aus München

Damit deine Mails ankommen — und keiner in deinem Namen schreibt

Du kennst das vielleicht: Eine wichtige Mail an einen Kunden landet im Spam-Ordner. Oder schlimmer — jemand fälscht deine Absender-Adresse und versendet Phishing-Mails an deine eigenen Kunden. Beides passiert, wenn SPF, DKIM und DMARC nicht richtig eingerichtet sind.

Die gute Nachricht: Mit den richtigen DNS-Einträgen und Microsoft-Defender-Policies löst sich beides. Ich richte das für dich ein, dokumentiere es verständlich und schule dein Team gegen Phishing — damit du dich auf dein Geschäft konzentrieren kannst.

Kostenloses Erstgespräch Stufenplan ansehen

Das passiert ohne Schutz

Phishing-Mails mit deinem Namen landen bei Kunden
Wichtige Mails landen im Spam — du verlierst Aufträge
Microsoft & Google blocken deine Absender-Domain
Reputationsschaden, schwer rückgängig zu machen
Versicherungen kürzen Cyber-Schadensleistungen

So sieht es danach aus

Mails kommen zuverlässig an, auch bei großen Kunden
Niemand kann sich als deine Domain ausgeben
Defender filtert Phishing automatisch raus
Monatliche Reports zeigen, was geblockt wurde
Dein Team erkennt Betrug, bevor jemand klickt

Die drei Bausteine

SPF, DKIM und DMARC — kurz erklärt, ohne Fachchinesisch

Keine Sorge, du musst das nicht selbst können. Aber es hilft, zu verstehen, was ich einrichte und warum es wichtig ist.

Protokoll 1

SPF

Eine Liste, welche Server überhaupt im Namen deiner Domain Mails versenden dürfen. Wie die Gästeliste am Türsteher.

v=spf1 include:_spf.protection.outlook.com -all

Protokoll 2

DKIM

Eine kryptografische Unterschrift unter jeder Mail. Wenn jemand den Inhalt verändert, merkt der Empfänger es sofort.

selector1._domainkey.deinefirma.de

Protokoll 3

DMARC

Die Regel, was passiert, wenn SPF/DKIM fehlschlagen: durchlassen, in Quarantäne oder ablehnen. Plus monatliche Reports.

v=DMARC1; p=quarantine; rua=mailto:dmarc@deinefirma.de

Mein Stufenplan

In 3 Stufen zum vollen DMARC-Schutz

DMARC scharf zu schalten ist wie ein scharfes Messer — wenn du es zu früh machst, schneidest du dir in den Finger. Deshalb arbeite ich immer mit einem Stufenplan über 4–6 Wochen.

1

Beobachten

p=none

Wir schauen 2–4 Wochen lang, welche Server im Namen deiner Domain Mails verschicken. Manchmal sind das auch legitime: dein Newsletter-Tool, dein CRM, dein Buchhaltungssystem. Ich werte die Reports aus.

2

Filtern

p=quarantine

Sobald wir alle legitimen Versender kennen, wechseln wir auf „in Quarantäne". Verdächtige Mails landen im Spam des Empfängers, nicht im Posteingang. Falls etwas schiefgeht, korrigieren wir es sofort.

3

Blockieren

p=reject

Nach weiteren 2 Wochen ohne Probleme stellen wir auf „ablehnen". Gefälschte Mails kommen gar nicht mehr durch — der Empfänger sieht sie nie. Maximaler Schutz erreicht.

Mehr als nur DNS-Einträge

Was zur kompletten E-Mail-Sicherheit dazugehört

SPF, DKIM, DMARC sind die Basis. Aber damit du wirklich gut geschützt bist, kommen noch ein paar Bausteine dazu — alle mit Microsoft 365 oder Standard-Werkzeugen.

🛡️

Microsoft Defender / EOP

Anti-Spam und Anti-Phishing-Filter, sichere Anhänge, sichere Links — fest in deinem Microsoft 365 Tenant verankert.

🔒

MTA-STS & TLS-RPT

Verschlüsselte Zustellung erzwingen — und Berichte bekommen, falls jemand versucht, die Verschlüsselung zu umgehen.

🎫

BIMI (optional)

Dein Logo erscheint direkt im Posteingang neben deinen Mails — sieht professioneller aus und schafft Vertrauen.

📋

Quarantäne-Workflow

Klare Rollen, wer Quarantäne-Mails freigibt. Plus Benachrichtigungen, damit nichts Wichtiges verloren geht.

📊

Monatliche Reports

Du bekommst regelmäßig Auswertungen — was geblockt wurde, ob neue Versender auftauchen, ob Anpassungen nötig sind.

👥

Awareness-Schulung

30–60 Minuten für dein Team mit echten Beispielen aus dem Alltag. Damit Mitarbeitende Phishing erkennen, bevor sie klicken.

Was du am Ende in der Hand hast

📦 Deliverables

SPF, DKIM, DMARC-Einträge fertig konfiguriert
Microsoft Defender / EOP Policies eingerichtet
MTA-STS und TLS-RPT optional aktiviert
Runbook (PDF) mit allen Einstellungen
Quarantäne-Prozess inklusive Rollen
Awareness-Schulung als Aufzeichnung
Vorlage für DMARC-Reports-Auswertung

🛣️ So gehen wir vor

IST-Analyse: Aktuelle DNS-Einträge prüfen, Defender-Status checken
Konzept: Was muss rein, was umgebaut, welche Risiken?
Umsetzung Phase 1: SPF, DKIM, DMARC=none, Reports einsammeln
Auswertung: Welche Versender sind legitim?
Umsetzung Phase 2: DMARC=quarantine, Defender-Policies finalisieren
Schulung: Team-Workshop, Quarantäne-Workflow trainieren
Phase 3: DMARC=reject, Übergabe, optional Managed-Service

Ali Sasanipour, IT-Berater aus München

E-Mail-Sicherheit ist eines meiner Lieblingsthemen — weil hier die meisten Unternehmen unbewusst die größte Lücke haben. Ich habe SPF/DKIM/DMARC für Münchner Steuerberater, Anwaltskanzleien und Handwerksbetriebe eingerichtet — vom 5-Personen-Büro bis zum 80-Personen-Mittelständler. Wenn du unsicher bist, ob bei dir alles passt: schreib mir kurz — ich mache dir einen kostenlosen Quick-Check.

Passt gut dazu

E-Mail-Sicherheit greift nahtlos mit anderen Bausteinen. Diese Services kombiniere ich besonders oft mit dem Mail-Schutz:

📧

Exchange Online

Wenn deine E-Mail noch bei einem alten Hoster liegt, lohnt sich oft der Umzug zu Microsoft 365 — dort ist die Sicherheit von Anfang an sauberer.

📱

Intune & Conditional Access

E-Mail-Schutz auf der Server-Seite ist eine Hälfte. Die andere: nur sichere, gemanagte Geräte dürfen deine Postfächer öffnen.

📦

Microsoft 365 Migration

Wenn du noch mit IMAP/POP3 oder einem Exchange-Server lebst — der Umzug zu Microsoft 365 ist meist der größte Quick-Win für Sicherheit und Komfort.

Häufige Fragen

Was Kunden mich oft fragen

Wie lange dauert die Einrichtung?

Die technische Einrichtung von SPF, DKIM und initialem DMARC dauert etwa einen halben Tag. Den vollen DMARC-Schutz (also bis p=reject) erreichen wir aber bewusst über 4–6 Wochen, weil wir vorher die Reports auswerten müssen, um legitime Mail-Versender nicht versehentlich zu blockieren.

Funktioniert das auch, wenn meine E-Mail nicht bei Microsoft 365 liegt?

Ja. SPF, DKIM und DMARC sind offene Standards und funktionieren bei jedem Mail-Anbieter (Strato, IONOS, Google Workspace, eigene Server). Allerdings ist die Konfiguration bei Microsoft 365 am komfortabelsten — viele Bausteine wie Defender oder Quarantäne-Workflow sind dort schon eingebaut.

Brauche ich BIMI wirklich?

Nein, BIMI ist Kür, nicht Pflicht. Es zeigt dein Logo neben deinen Mails bei unterstützten Anbietern (Gmail, Yahoo, Apple Mail). Sieht professionell aus und schafft Vertrauen — kostet aber je nach Variante extra (verifiziertes Marken-Zertifikat ca. 1.500€/Jahr). Für die meisten KMU lohnt sich das nicht. Wenn du es willst, richte ich es gerne ein.

Was, wenn meine Mails nach der Umstellung nicht mehr ankommen?

Genau deshalb der Stufenplan — ich stelle nicht direkt auf reject, sondern beobachte erst, dann filtere ich, dann blockiere ich. In der Beobachtungsphase (p=none) wird nichts geblockt, du siehst nur in den Reports, was passieren würde. So sind Überraschungen ausgeschlossen.

Schulst du auch das Team gegen Phishing?

Ja — eine kompakte Awareness-Schulung von 30 bis 60 Minuten gehört zum Paket dazu. Mit echten Beispielen aus dem Alltag, einer PDF-Checkliste zum Mitnehmen und optional einer Phishing-Simulation, bei der wir testen, ob das Gelernte sitzt.

Was kostet das Ganze?

Für ein typisches KMU mit 5–30 Postfächern bewegt sich die einmalige Einrichtung inklusive Stufenplan und Schulung im niedrigen vierstelligen Bereich. Bei laufendem Monitoring kommt ein kleiner monatlicher Betrag dazu. Konkrete Zahlen nenne ich gerne nach einem kurzen Erstgespräch — dann sehe ich, was bei dir konkret nötig ist.

Dein nächster Schritt

Mach den kostenlosen E-Mail-Sicherheits-Check

15 Minuten — ich schaue mir deine aktuelle SPF/DKIM/DMARC-Konfiguration an und sage dir ehrlich, wie es um deine E-Mail-Sicherheit steht. Ohne Verpflichtung, ohne Verkaufsdruck.

Quick-Check buchen Lieber schreiben