Kurz vorweg: Wer eine Microsoft-365- oder Google-Workspace-Domain betreibt und Mails an Gmail-, Yahoo- oder Outlook-Adressen sendet, kommt 2026 ohne DMARC nicht mehr durch. Phishing- und Spoofing-Angriffe sind die häufigste Eintrittstür für Ransomware und CEO-Fraud bei Schweizer KMU. SPF + DKIM + DMARC kostet wenig, schützt Ihre Marke und steigert nachweislich die Zustellrate Ihrer Rechnungen und Newsletter.
Was sind SPF, DKIM und DMARC?
Sender Policy Framework
Ein DNS-TXT-Eintrag, der definiert, welche Mailserver (IP-Adressen / Hostnames) im Namen Ihrer Domain Mails versenden dürfen. Empfangsserver prüfen: Kommt die Mail von einer erlaubten Quelle? Limit: max. 10 DNS-Lookups pro SPF-Eintrag.
DomainKeys Identified Mail
Eine kryptografische Signatur, die der versendende Mailserver an jede Mail anhängt. Der Empfänger holt sich den öffentlichen Schlüssel via DNS und prüft: Wurde die Mail unterwegs verändert? Stammt sie wirklich von dieser Domain?
Authentication & Reporting
DMARC verknüpft SPF und DKIM mit einer Policy: Was tun, wenn weder SPF noch DKIM stimmen? p=none (nur Reports), p=quarantine (Spam-Ordner) oder p=reject (ablehnen). Zusätzlich liefert DMARC Tagesreports an Ihre Mailbox.
Warum 2026 faktisch Pflicht
- Google & Yahoo Bulk-Sender-Anforderungen (seit Februar 2024): Wer mehr als 5’000 Mails pro Tag an Gmail-/Yahoo-Adressen sendet, muss SPF, DKIM und mindestens DMARC p=none erfüllen. 2025 wurde die Schwelle de facto auch für kleinere Sender enforced – Newsletter ohne DMARC landen im Spam.
- Microsoft Outlook.com folgt schrittweise: Auch consumer-seitige Microsoft-Mail-Infrastruktur priorisiert authentifizierte Sender und straft Domains ohne DMARC ab.
- NIS2-Indirekteffekt: Auch wenn die Schweiz nicht direkt unter NIS2 fällt – Schweizer Lieferanten von EU-Unternehmen werden vertraglich zur E-Mail-Authentifizierung verpflichtet. Ohne DMARC fliegen Sie aus dem Lieferantenpool.
- Markenschutz und Reputationsschutz: Jede Domain ohne DMARC ist für Spoofing offen. Angreifer verschicken in Ihrem Namen Fake-Rechnungen an Ihre Kunden – Sie erfahren es erst, wenn die ersten Beschwerden kommen.
- Phishing-Welle 2025/2026: Laut NCSC ist Phishing weiterhin die häufigste gemeldete Cyber-Vorfallsart in der Schweiz. CEO-Fraud-Schäden bei KMU erreichen regelmässig sechsstellige Beträge.
- Cyber-Versicherungen verlangen DMARC: Viele Schweizer Cyber-Policen prüfen seit 2025 SPF/DKIM/DMARC im Underwriting. Ohne saubere Authentifizierung steigt die Prämie oder die Deckung wird eingeschränkt.
SPF, DKIM, DMARC, BIMI & MTA-STS im Vergleich
| Standard | Zweck | DNS-Typ | Aufwand | Wirkung |
|---|---|---|---|---|
| SPF | Erlaubte Versandserver definieren | TXT (RFC 7208) | Niedrig (1 DNS-Eintrag) | Schutz gegen plumpe Spoofs, Pflicht-Basis |
| DKIM | Mails kryptografisch signieren | TXT mit Public Key (RFC 6376) | Mittel (pro Sender 1 Selector) | Manipulationsschutz + Sender-Authentizität |
| DMARC | Policy + Reporting für SPF/DKIM-Failures | TXT (RFC 7489) | Mittel (Reports auswerten) | Zustellrate, Markenschutz, Spoofing-Sichtbarkeit |
| BIMI | Logo im Posteingang von Gmail/Apple Mail | TXT mit SVG-URL + VMC-Zertifikat | Hoch (VMC kostet) | Marken-Wiedererkennung, höhere Open-Rate |
| MTA-STS | TLS-Verschlüsselung erzwingen | TXT + HTTPS-Policy-Datei | Niedrig–Mittel | Schutz gegen Downgrade-Angriffe (z. B. Spy-Proxies) |
| TLS-RPT | Reports über TLS-Probleme | TXT | Sehr niedrig | Frühwarnsystem für MTA-STS-Fehler |
Minimum 2026 für Schweizer KMU: SPF + DKIM + DMARC. Wer Marketing-Mails versendet oder eine wertvolle Marke schützen will, fügt BIMI und MTA-STS hinzu. TLS-RPT ist ein kostenloser Bonus mit hoher Diagnosewirkung.
DMARC in 4 Wochen: die Praxis-Roadmap
Woche 1 – Inventur & Beobachtung
Alle Versandquellen erfassen: M365/Exchange Online, ERP (Bexio, Abacus, SAP), Newsletter-Tool (Mailchimp, Brevo, MailerLite), Helpdesk (Zendesk, Freshdesk), Lohnsoftware, eigene Webserver, Bewerbermanagement, Drucker mit Scan-to-Mail. DMARC mit p=none veröffentlichen und Reports an eine dedizierte Mailbox senden.
Woche 2 – SPF härten & DKIM für alle Sender
SPF-Eintrag konsolidieren, 10-Lookup-Limit beachten (Flattening-Service verwenden wenn nötig). DKIM für jeden gefundenen Sender aktivieren – M365: 2048-Bit-Keys, eigener Selector pro Service. Reports auswerten: Welche Quellen sind legitim, welche unbekannt?
Woche 3 – DMARC auf p=quarantine
Wenn alle legitimen Quellen 100% DMARC-aligned sind, Policy auf p=quarantine schrittweise erhöhen: pct=25 → pct=50 → pct=100. Empfangsserver verschieben nicht authentifizierte Mails in den Spam-Ordner. Weiter Reports beobachten.
Woche 4 – p=reject + BIMI + MTA-STS
Final auf p=reject: Spoofing-Mails werden komplett abgelehnt. Optional BIMI (mit VMC-Zertifikat) für Logo im Gmail-Posteingang. MTA-STS aktivieren (DNS-Eintrag + HTTPS-Policy-File auf mta-sts.ihredomain.ch). TLS-RPT als Diagnose.
Typische Stolpersteine
- Subdomains vergessen: DMARC auf ihredomain.ch schützt nicht automatisch newsletter.ihredomain.ch oder hr.ihredomain.ch. Mit sp=reject und separaten Subdomain-Records nachziehen.
- SPF 10-Lookup-Limit überschritten: Wer M365 + Mailchimp + Sendgrid + Bexio + eigener Webserver kombiniert, sprengt schnell die 10 erlaubten DNS-Lookups. Lösung: SPF-Flattening-Service (EasyDMARC, dmarcian) oder Sender konsolidieren.
- Marketing-Tool ohne DKIM aktiviert: Default-Einstellung vieler Newsletter-Tools signiert mit deren Domain (z. B. mailchimpapp.net), nicht mit Ihrer Domain. DKIM-CNAME-Records in DNS setzen, sonst DMARC-Fail trotz aktivem Versand.
- Kein DMARC-Report-Empfänger eingerichtet: Reports gehen ins Nirvana, Spoofing bleibt unerkannt. Mindestens eine dedizierte Mailbox einrichten oder einen Report-Aggregator (Postmark DMARC, dmarcian) verwenden.
- BIMI ohne VMC-Zertifikat: BIMI funktioniert bei Gmail und Apple Mail nur mit Verified Mark Certificate – nicht mit blossem SVG. Dazu muss die Marke geschützt und beim TLD-Register dokumentiert sein.
- Lieferanten-Versand übersehen: Bewerbermanagement-Tool, Fakturierungs-SaaS oder externe HR-Tools senden in Ihrem Namen. Werden sie nicht in SPF/DKIM aufgenommen, blockt p=reject deren Mails – inklusive Lohn-/Bewerbungsmails.
- Strenge Policy ohne Monitoring: Wer direkt mit p=reject startet und vergisst, Reports zu lesen, blockt versehentlich Rechnungen, die nie ankommen. Mindestens 4 Wochen p=none → p=quarantine fahren.
- DKIM-Key zu kurz: 1024-Bit-Keys gelten seit 2023 als veraltet. M365 generiert noch teilweise 1024-Bit – manuell auf 2048 rotieren.
DMARC-Tools für KMU im Überblick
| Tool | Standort | Preis (KMU) | Stärke |
|---|---|---|---|
| dmarcian | USA/EU | Ab USD 25/Mt (1 Domain) | Community-Tier kostenlos, gute Visualisierung, Pionier-Anbieter |
| Postmark DMARC Digest | USA | Kostenlos (Wochenreport) | Wöchentlicher PDF-Report per E-Mail, super für 1-Domain-KMU |
| EasyDMARC | EU/USA | Ab USD 35/Mt | Sehr gute UI, integriertes SPF-Flattening, MTA-STS-Generator |
| Valimail Monitor | USA | Free-Tier verfügbar | Bekannt aus dem Enterprise-Bereich, gute Sender-Identifikation |
| Microsoft 365 Defender | EU/CH | In M365 E5 / Defender for O365 P2 inbegriffen | Email Authentication Report im Defender-Portal, nahtlos für M365-Kunden |
| URIports / dmarcReports | NL/EU | Ab EUR 10/Mt | EU-Datenstandort, sehr günstig, weniger Marketing-Speck |
Für ein typisches Schweizer KMU mit 1–3 Domains reicht der kostenlose Postmark-DMARC-Digest oder dmarcian Community. Wer mehrere Tochterdomains, intensives Marketing oder regulatorische Pflichten hat, fährt mit EasyDMARC oder URIports am rundesten – beide mit EU-Datenstandort.
Beispiel: DNS-Einträge für ein Schweizer KMU
- SPF: ihredomain.ch TXT "v=spf1 include:spf.protection.outlook.com include:_spf.mailchimpapp.net -all"
- DKIM (M365): selector1._domainkey.ihredomain.ch CNAME selector1-ihredomain-ch._domainkey.ihrtenant.onmicrosoft.com
- DMARC: _dmarc.ihredomain.ch TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc@ihredomain.ch; ruf=mailto:dmarc@ihredomain.ch; sp=quarantine; adkim=s; aspf=s; pct=100"
- BIMI: default._bimi.ihredomain.ch TXT "v=BIMI1; l=https://ihredomain.ch/logo.svg; a=https://ihredomain.ch/vmc.pem"
- MTA-STS: _mta-sts.ihredomain.ch TXT "v=STSv1; id=20260511T120000;"
- TLS-RPT: _smtp._tls.ihredomain.ch TXT "v=TLSRPTv1; rua=mailto:tls@ihredomain.ch"
Die Einträge müssen an die effektiven Versandquellen angepasst werden. Vor p=reject mindestens vier Wochen Reports im p=none- und p=quarantine-Modus auswerten, sonst riskieren Sie verlorene Rechnungen und Bewerbungs-Mails.
Fazit: Pflicht, nicht Kür
E-Mail-Authentifizierung ist 2026 keine optionale Best Practice mehr. Wer ohne DMARC sendet, verliert Zustellrate bei Gmail/Yahoo, läuft in Cyber-Versicherungs-Probleme und überlässt jeder Person mit DNS-Kenntnissen die eigene Marke zum Spoofing. Der technische Aufwand ist überschaubar – die organisatorische Disziplin (Versandquellen-Inventur, Report-Pflege) ist der eigentliche Engpass.
Drei Schritte für jedes Schweizer KMU: erstens p=none jetzt ausrollen und Reports einsammeln, zweitens binnen vier Wochen auf p=quarantine, drittens auf p=reject. Nach 8 Wochen ist die Domain authentifiziert, Phishing über die eigene Marke deutlich erschwert und die Zustellrate messbar besser.
DMARC sauber aufsetzen
Wir inventarisieren Ihre Versandquellen, konfigurieren SPF/DKIM/DMARC, richten Report-Monitoring ein und begleiten den Weg von p=none zu p=reject – ohne dass Rechnungen oder Bewerbungen verlorengehen.
Beratung anfragen