Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

E-Mail-Security-Gateway: Phishing und Malware stoppen

E-Mail-Security-Gateway-Implementierung: SPF/DKIM/DMARC-Durchsetzung, Anti-Phishing (URL-Rewriting, Sandboxing), Anti-Malware (Attachment-Scanning, Zero-Day-Protection), Business-Email-Compromise (BEC) Erkennung, Sichere E-Mail-Gateways im Vergleich (Microsoft Defender for Office 365, Proofpoint, Mimecast, Hornetsecurity), E-Mail-Archivierung für Compliance, TLS-Verschlüsselung erzwingen und Konfiguration von DMARC-Reports.

Inhaltsverzeichnis (5 Abschnitte)

E-Mail ist nach wie vor der wichtigste Angriffsvektor - 90%+ aller Erstinfektionen starten mit einer E-Mail. Ein gut konfiguriertes E-Mail-Security-Gateway ist die erste und wichtigste Verteidigungslinie.

E-Mail-Authentifizierung: SPF, DKIM, DMARC

SPF (Sender Policy Framework) legt per DNS TXT-Record fest, welche Server E-Mails für eine Domain senden dürfen. Der entscheidende Qualifier ist -all (Hardfail): nicht autorisierte IPs werden abgelehnt. ~all (Softfail) ist nur ein temporäres Stadium beim Rollout, da E-Mails dabei nur in den Spam-Ordner landen statt abgelehnt zu werden. Häufige Fehler: zu viele include:-Einträge (das DNS-Lookup-Limit liegt bei 10), ~all als Dauerlösung, und vergessene Drittanbieter wie Newsletter-Dienste oder CRM-Systeme.

DKIM (DomainKeys Identified Mail) signiert E-Mails digital - der private Schlüssel liegt auf dem Mail-Server, der öffentliche Schlüssel ist im DNS hinterlegt. Die Schlüssellänge sollte mindestens 2048 Bit betragen (1024 Bit ist veraltet), und Schlüssel sollten alle 6-12 Monate rotiert werden.

DMARC verbindet SPF und DKIM und definiert, was passiert wenn beide Checks fehlschlagen. Die Policy p=none dient nur der Beobachtungsphase, p=quarantine leitet fehlerhafte E-Mails in den Spam-Ordner, p=reject lehnt sie vollständig ab - das ist das Ziel und entspricht der BSI-Empfehlung. Der Rollout beginnt mit p=none plus Monitoring (welche Systeme senden überhaupt?), gefolgt von p=quarantine; pct=10 (schrittweise erhöhen), bis nach 3-4 Monaten p=reject; pct=100 erreicht ist.

Anti-Phishing Techniken

URL-Rewriting ersetzt Links in eingehenden E-Mails durch Gateway-eigene Proxy-URLs. Wenn ein Nutzer klickt, prüft das Gateway die Ziel-URL erst in Echtzeit gegen Reputationsdatenbanken und Sandboxing-Ergebnisse, bevor die Weiterleitung erfolgt. Dieser "Time-of-Click"-Schutz ist entscheidend, da sich Links nach dem Eingang der E-Mail noch ändern können. Microsoft Safe Links leitet dabei über safelinks.protection.outlook.com, Proofpoint URL Defense über urldefense.proofpoint.com.

Attachment-Sandboxing führt Anhänge in einer isolierten VM aus und analysiert ihr Verhalten dynamisch. Das dauert je nach Tiefe der Analyse 1-10 Minuten, erkennt aber auch unbekannte (Zero-Day-)Malware, da echte Schadsoftware ihr Verhalten zeigen muss.

Anti-Impersonation-Schutz (BEC) erkennt Display-Name-Spoofing (sichtbarer Name täuscht, aber Absenderadresse ist extern), Domain-Lookalikes (company-invoice.com statt company.com) und prüft ob als intern ausgewiesene E-Mails wirklich intern zugestellt wurden. ML-basierte Lösungen lernen Kommunikationsmuster und schlagen bei Abweichungen von der Baseline an.

E-Mail-Gateways im Vergleich

Microsoft Defender for Office 365 (Plan 1/2) ist in M365 Business Premium und E3/E5 enthalten - für M365-Kunden also ohne Zusatzprodukt verfügbar. Die native Integration liefert Safe Attachments, Safe Links und ML-basiertes Anti-Phishing. Plan 2 erweitert um Threat Explorer und Automated Investigation and Response (AIR). Der Nachteil gegenüber dedizierten Gateways ist weniger granulare Konfigurationskontrolle.

Proofpoint Email Protection gilt als Marktführer im Enterprise-Segment. Besonders wertvoll: die "Very Attacked People"-Funktion zeigt, welche Mitarbeiter am häufigsten angegriffen werden. TRAP (Threat Response Auto-Pull) löscht bereits zugestellte Phishing-Mails retroaktiv aus Postfächern. Empfehlung für Unternehmen ab 1.000 Mitarbeitern und in High-Risk-Branchen.

Mimecast Email Security ist DSGVO-nativ und stark im UK/DACH-Raum. Besonders gut ist die integrierte E-Mail-Archivierung für eDiscovery-Anforderungen sowie die Continuity-Funktion: bei Exchange-Ausfall läuft E-Mail über Mimecast weiter. Das Brand-Exploit-Protect-Modul überwacht Domain-Lookalikes, die Angreifer zur Imitation registrieren.

Hornetsecurity ist ein deutscher Anbieter aus Hannover mit Rechenzentren in Deutschland, was DSGVO-Konformität ohne vertragliche Umwege ermöglicht. Der Preis ist für KMU attraktiv. Das Produkt 365 Total Protection bündelt E-Mail-Sicherheit, Backup und Security Awareness. QR-Code-Phishing (Quishing) wird aktiv erkannt - eine zunehmend relevante Angriffsmethode.

DMARC-Reports analysieren

DMARC Aggregate Reports (RUA) kommen täglich im XML-Format von empfangenden Mail-Servern und enthalten für jede sendende IP: SPF-Ergebnis, DKIM-Ergebnis und Anzahl der E-Mails. Ein Eintrag mit Pass/Pass bei Microsoft-IPs ist ein legitimer Sender; ein Eintrag mit Fail/Fail von unbekannter IP ist ein Spoofing-Versuch.

<record>
  <row>
    <source_ip>40.107.22.15</source_ip>  <!-- Microsoft IP -->
    <count>1250</count>
    <policy_evaluated>
      <disposition>none</disposition>
      <dkim>pass</dkim>
      <spf>pass</spf>
    </policy_evaluated>
  </row>
  <row>
    <source_ip>185.220.101.55</source_ip>  <!-- Unbekannte IP -->
    <count>12</count>
    <policy_evaluated>
      <disposition>none</disposition>
      <dkim>fail</dkim>
      <spf>fail</spf>
    </policy_evaluated>
  </row>
</record>

Der zweite Eintrag zeigt einen Spoofing-Versuch: jemand versucht als die eigene Domain zu senden. Die IP sollte in Blocklisten eingetragen und p=reject aktiviert werden, falls noch nicht geschehen.

Für DMARC-Report-Visualisierung stehen spezialisierte Tools bereit: dmarcian.com für umfassende Aggregate-Analysen, dmarcanalyzer als DSGVO-konformer europäischer Anbieter, der Postmark DMARC-Wizard für vereinfachten Rollout und easydmarc für geführte Implementierung.

Subdomains werden häufig vergessen: sp=reject im DMARC-Record sichert alle Subdomains ab. Nicht genutzte Domains (Parked Domains) benötigen ebenfalls SPF und DMARC: v=spf1 -all kombiniert mit v=DMARC1; p=reject; sp=reject; adkim=s; aspf=s verhindert, dass inaktive Domains für Spoofing missbraucht werden.

E-Mail-Archivierung und Compliance

Die Archivierungspflichten für E-Mails ergeben sich aus mehreren Rechtsquellen: Handelskorrespondenz muss nach HGB §257 sechs Jahre aufbewahrt werden, steuerrelevante Unterlagen nach AO §147 zehn Jahre. Die GoBD verlangt Unveränderbarkeit und maschinelle Auswertbarkeit - E-Mails dürfen im Archiv nicht nachträglich geändert werden. Technisch wird das durch WORM-Storage (Write Once Read Many) umgesetzt.

Das DSGVO-Spannungsfeld besteht darin, dass DSGVO die Löschung personenbezogener Daten verlangt, HGB und AO aber Aufbewahrung erzwingen. Die Lösung sind separate Archivsysteme mit eigenem Verarbeitungszweck: steuerrelevante Daten bleiben zehn Jahre erhalten (Rechtsgrundlage Art. 6 Abs. 1 lit. c DSGVO), personenbezogene Daten ohne gesetzliche Aufbewahrungspflicht werden nach Ablauf gelöscht.

Microsoft Exchange Archiving (In-Place Archive in M365) ermöglicht Litigation Hold, das alle E-Mails eines Postfachs auf unbestimmte Zeit einfriert, sowie eDiscovery für gerichtliche Verfahren. Mimecast Archiving bietet 99 Jahre Aufbewahrung unabhängig von Exchange - auch wenn das Exchange-Postfach gelöscht wird, bleiben archivierte E-Mails erhalten. Eine GoBD-Zertifizierung ist verfügbar.

Fragen zu diesem Thema?

Unsere Experten beraten Sie kostenlos und unverbindlich.

Erstberatung

Über den Autor

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

E-Mail
PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

10 Publikationen
  • Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
  • Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
  • IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
  • Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
  • Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
  • Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
  • Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
  • IT Security Zertifizierungen - CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
  • Sicherheitsforum Online-Banking - Live Hacking (2021)
  • Nipster im Netz und das Ende der Kreidezeit (2017)
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Dieser Artikel wurde zuletzt am 04.03.2026 bearbeitet. Verantwortlich: Chris Wojzechowski, Geschäftsführender Gesellschafter bei AWARE7 GmbH. Lizenz: CC BY 4.0 - freie Nutzung mit Namensnennung: „AWARE7 GmbH, https://a7.de