E-Mail-Sicherheit für Kanzleien: SPF, DKIM und DMARC verständlich erklärt

Ihre Kanzlei kommuniziert täglich per E-Mail mit Gerichten, Mandanten und Gegenparteien. Doch ohne SPF, DKIM und DMARC kann jeder E-Mails in Ihrem Namen versenden — und Ihre echten Nachrichten landen im Spam.

Warum E-Mail-Authentifizierung für Kanzleien unverzichtbar ist

Kanzleien übertragen per E-Mail regelmässig vertrauliche Dokumente: Verträge, Schriftsätze, Fristen-Mitteilungen. Wenn ein Dritter Ihre Domain fälscht und Phishing-Mails verschickt, schadet das nicht nur Ihrem Ruf — es kann dazu führen, dass Ihre echten E-Mails von Gerichten und Ämtern nicht mehr zugestellt werden.

Die drei Protokolle im Detail

SPF (Sender Policy Framework)

Ein DNS-Eintrag, der festlegt, welche Server E-Mails für Ihre Domain versenden dürfen. Empfangende Mailserver prüfen, ob die Absender-IP autorisiert ist.

• Ohne SPF: Jeder kann E-Mails als @ihrekanzlei.ch versenden
• Mit SPF: Nur Ihre autorisierten Mailserver werden akzeptiert

DKIM (DomainKeys Identified Mail)

Eine digitale Signatur, die jede ausgehende E-Mail mit einem kryptografischen Schlüssel versieht. Der Empfänger kann verifizieren, dass die Nachricht tatsächlich von Ihrem Server stammt und unterwegs nicht verändert wurde.

DMARC (Domain-based Message Authentication)

DMARC verbindet SPF und DKIM und legt fest, was mit E-Mails passieren soll, die die Prüfung nicht bestehen: nichts tun, in Quarantäne verschieben, oder ablehnen. Zusätzlich erhalten Sie Berichte über alle E-Mail-Aktivitäten Ihrer Domain.

Die häufigsten Fehler bei Kanzlei-E-Mails

• Kein SPF-Eintrag vorhanden Ohne SPF kann jeder Server E-Mails in Ihrem Namen versenden — ein Einladungsschild für Phishing-Angriffe.
• SPF mit ~all statt -all Der Softfail (~all) ist nur eine Empfehlung. Erst der Hardfail (-all) weist unautorisierte Absender konsequent ab.
• DMARC auf p=none belassen Viele Kanzleien haben DMARC zwar eingerichtet, die Policy aber auf „none" belassen. Das ist so, als hätten Sie ein Schloss an der Tür, das nie abgeschlossen wird.
• Subdomains nicht gesichert Angreifer nutzen oft Subdomains (z.B. mail.ihrekanzlei.ch), die nicht in SPF/DMARC geschützt sind.

Was AidSec für Sie tut

Im Rahmen von Cyber-Mandat Pro / ComplianceOps überwachen wir Ihre Domain-Reputation rund um die Uhr:

• SPF-, DKIM- und DMARC-Konfiguration und laufende Überwachung
• Blacklist-Monitoring auf über 100 Listen
• Monatlicher Zustellbarkeits-Report für die Kanzleileitung
• Sofortige Benachrichtigung bei auffälligem E-Mail-Verkehr

Fazit

E-Mail-Authentifizierung ist keine technische Spielerei — sie ist eine grundlegende Schutzmassnahme für jede Kanzlei, die digital kommuniziert. In Kombination mit Security Headers und WordPress-Härtung bildet sie das Fundament einer sicheren digitalen Präsenz.