⚡ RFC 7208 · RFC 6376 · RFC 7489

E-Mail Security Stack

SPF · DKIM · DMARC · TLS — Vollständiges Sicherheitsmodell

✉

Mail Client

Outlook · Thunderbird · Web App

MUA Compose SMTP Auth

SMTP Submission · Port 587

▼

⚙

Sender Mailserver

Exchange · Postfix · MTA

MTA DKIM Sign SPF Publish

🔐

DKIM Signatur

Kryptografische Signatur
von Header + Body
via RSA / Ed25519 Private Key

Integrität Authentizität

📋

SPF Policy

DNS TXT-Record autorisiert
Sender-IPs der Domain
(include / ip4 / ip6 / ~all)

Autorisierung IP-basiert

🔒

SMTP Transfer — TLS-Verschlüsselung

STARTTLS / MTA-STS · Opportunistic or Enforced

TLS 1.3

▼

🌐

Internet Mail Transport

BGP Routing · DNS MX Lookup · Öffentliches SMTP

▼

📥

Empfangender Mailserver

Exchange · Gateway · SEG

SMTP Port 25 MX Endpoint DNS Lookup

✅

SPF Prüfung

Sender-IP gegen SPF-Record
der Envelope-From Domain
abgleichen (DNS Lookup)

Pass Softfail Fail

🔍

DKIM Prüfung

Signatur verifizieren via
Public Key im DNS TXT
der Signing Domain (d=)

Valid Fail None

🛡

DMARC Check

Domain-based Message Authentication, Reporting & Conformance

Alignment: SPF/DKIM-Domain muss mit Header-From übereinstimmen (strict / relaxed)

Identifier Alignment Reporting (RUA/RUF) Policy Enforcement

▼

⚖

Policy Entscheidung

Basierend auf DMARC DNS-Record (_dmarc.domain TXT)

none

Monitoring only — kein Eingriff

quarantine

Spam-Ordner / Quarantäne

reject

Abweisung via SMTP 5xx

▼

📫

Mailbox Zustellung

Inbox · Spam-Ordner · Quarantäne

Authentifiziert Integritätsgeprüft Policy-konform

Transport / Client

DKIM

SPF

DMARC

Zustellung

Reject / Fail