E-Mail-Sicherheit: 70% der Phishing-Mails passieren DMARC-Prüfung

Ohne SPF, DKIM und DMARC landen Nachrichten im Spam-Ordner.

Die Zeiten, in denen E-Mail-Authentifizierung eine optionale Empfehlung war, sind endgültig vorbei. Seit Februar 2024 setzen Google und Yahoo die Protokolle für Massenversender verbindlich voraus, Microsoft zog im Mai 2025 nach. Wer seine Domain nicht absichert, verliert den Zugang zu den Posteingängen seiner Empfänger.

Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern und neue gesetzliche Anforderungen ohne teure Investitionen erfüllen. Experten-Checkliste jetzt kostenlos anfordern

Warum drei Protokolle nötig sind

Die technische Absicherung einer E-Mail-Domain beruht auf einem Dreiklang: SPF (Sender Policy Framework) legt fest, welche Server überhaupt berechtigt sind, E-Mails im Namen der Domain zu versenden. DKIM (DomainKeys Identified Mail) fügt eine kryptografische Signatur hinzu, die die Unversehrtheit der Nachricht garantiert. DMARC (Domain-based Message Authentication, Reporting, and Conformance) schließlich definiert, wie empfangende Server mit Nachrichten umgehen sollen, die diese Prüfungen nicht bestehen.

Die Wirkung ist beeindruckend: Eine Studie von Validity aus dem Jahr 2025 zeigte, dass korrekt authentifizierte Domains eine Inbox-Quote erreichten, die rund 60 Prozentpunkte höher lag als bei ungeschützten Absendern. Doch die richtige Konfiguration bleibt eine Hürde. Technische Vorgaben limitieren SPF-Einträge auf maximal zehn DNS-Abfragen, um permanente Fehler zu vermeiden. DMARC-Implementierungen durchlaufen in der Regel eine Progression von der reinen Überwachung (p=none) über die Quarantäne (p=quarantine) bis zur vollständigen Ablehnung (p=reject).

Japan als Vorreiter, Europa mit Nachholbedarf

Die weltweite Verbreitung der Protokolle ist höchst unterschiedlich. Eine Analyse von TwoFive vom Mai 2026 untersuchte 225 japanische Top-Level-Domains: 94,7 Prozent der .jp-Domains hatten DMARC implementiert, davon 89,1 Prozent auf dem strikten Niveau reject oder quarantine. Grund dafür ist eine staatliche Vorgabe für behördliche Domains, die im Oktober 2025 in Kraft trat.

Ganz anders sieht es im breiten Markt aus. Eine Umfrage von GMO Brand Security vom März 2026 ergab, dass nur 28,1 Prozent der befragten Absender DMARC einsetzten. 54,2 Prozent der Empfänger berichteten von nahezu monatlichen Spoofing-Versuchen – also E-Mails mit gefälschten Absenderadressen.

Das Potenzial zusätzlicher Sicherheitsfeatures bleibt weitgehend ungenutzt. Das BIMI-Protokoll (Brand Indicators for Message Identification), das ein verifiziertes Firmenlogo im Posteingang anzeigt, steigert laut Harvard- und Forbes-Studien die Öffnungsrate um 23 Prozent und den Umsatz um 3 Prozent. Dennoch lag die Adoption in der März-2026-Umfrage bei mageren 16,3 Prozent.

In Europa haben etwa 55 bis 60 Prozent der großen Domains in Irland und Großbritannien DMARC implementiert – aber nur rund 30 Prozent sind in die Durchsetzungsphase übergegangen.

Wenn die Sicherheitslücke im Protokoll selbst liegt

Doch selbst die beste Konfiguration bietet keinen Rundumschutz. Der Darktrace Threat Report 2026, der Daten aus dem Jahr 2025 auswertete, enthüllt eine alarmierende Zahl: 70 Prozent aller bösartigen E-Mails passierten die DMARC-Prüfung erfolgreich. Die Sicherheitsforscher registrierten 1,6 Millionen neu erstellte Phishing-Domains und einen massiven Anstieg von QR-Code-basiertem Phishing – sogenanntem „Quishing" – mit 1,2 Millionen erfassten E-Mails allein im Jahr 2025.

Rekord-Schäden durch Phishing zeigen, dass technische Filter allein oft nicht ausreichen, um moderne Cyber-Attacken zu stoppen. In 4 Schritten zum sicheren Unternehmen: Dieser kostenlose Leitfaden zeigt Ihnen, wie Sie Ihr Team effektiv vor psychologischen Tricks der Hacker schützen. Anti-Phishing-Paket gratis herunterladen

Ein besonders perfides Beispiel lieferte eine Phishing-Kampagne vom Juni 2026 gegen Nutzer einer Finanzplattform. Die Angreifer nutzten eine „Gmail-Punkt-Alias"-Technik und HTML-Injection bei der Kontoerstellung, um täuschend echte E-Mails zu versenden, die sämtliche Authentifizierungsprüfungen bestanden. Das zeigt: Selbst technisch einwandfreie Authentifizierung schützt nicht vor Credential-Harvesting, wenn Angreifer legitime Konten kapern.

Die finanziellen Schäden bleiben enorm. Allein im ersten Quartal 2026 beliefen sich die Verluste durch Phishing im Kryptowährungssektor auf rund 306 Millionen Euro.

Infrastruktur als zusätzlicher Risikofaktor

Selbst authentifizierter Traffic ist nicht vor Ausfällen gefeit. Am 2. Juni 2026 legte eine Störung bei Microsoft Exchange Online Teile Nordamerikas, Europas und des asiatisch-pazifischen Raums lahm. Die Folge: SMTP-Deferral-Fehler und Zustellverzögerungen von über einer Stunde. Einmal mehr zeigte sich, dass die Stabilität großer Hosting-Umgebungen zum Nadelöhr werden kann.

Für Nutzer von Shared-Hosting-Diensten kommt ein weiteres Problem hinzu: Die IP-Reputation ist eine variable Größe. Wenn andere Mandanten auf demselben Server Spam versenden, kann die gesamte IP-Adresse auf Blacklists landen – unabhängig von der eigenen, korrekten Domain-Authentifizierung.

de | wissenschaft | 69480335 |