⚡ RFC 7208 · RFC 6376 · RFC 7489 · RFC 8617
E-Mail Security Stack
SPF · DKIM · DMARC · TLS · ARC — Vollständiges Sicherheitsmodell inkl. Forwarding
Mail Client
Outlook · Thunderbird · Web App
MUA Compose SMTP Auth
SMTP Submission · Port 587
Sender Mailserver
Exchange · Postfix · MTA
MTA DKIM Sign SPF Publish
🔐
DKIM Signatur
Kryptografische Signatur
von Header + Body
via RSA / Ed25519
Integrität Authentizität
📋
SPF Policy
DNS TXT-Record autorisiert
Sender-IPs der Domain
(ip4 / ip6 / ~all)
Autorisierung IP-basiert
🔒
SMTP Transfer — TLS-Verschlüsselung
STARTTLS / MTA-STS · Enforced or Opportunistic
TLS 1.3
🌐
Internet Mail Transport
BGP Routing · DNS MX Lookup · SMTP Port 25
📥
Empfangender Mailserver
Exchange · Gateway · SEG
SMTP Port 25 MX Endpoint DNS Lookup ARC Verify
SPF Prüfung
Sender-IP gegen SPF-Record
der Envelope-From Domain
Pass Softfail Fail
🔍
DKIM Prüfung
Signatur verifizieren via
Public Key im DNS TXT
Valid Fail None
🛡
DMARC Check
Domain-based Authentication, Reporting & Conformance
Alignment: SPF/DKIM-Domain muss mit Header-From übereinstimmen
Bei Forwarding: ARC-Ergebnis kann fehlgeschlagene Checks kompensieren
Identifier Alignment Reporting (RUA/RUF) ARC-aware
Policy Entscheidung
Basierend auf DMARC DNS-Record (_dmarc.domain TXT)
none
Monitoring only
quarantine
Spam / Quarantäne
reject
SMTP 5xx Abweisung
📫
Mailbox Zustellung
Inbox · Spam-Ordner · Quarantäne
Authentifiziert Integritätsgeprüft Policy-konform
ARC — Forwarding-Pfad
🔀
Intermediary MTA
Mailing List · Forwarder
Empfängt Original-Mail,
modifiziert Header / Body
(bricht DKIM/SPF-Alignment)
Forwarding Relay
🔐
ARC-Seal hinzufügen
RFC 8617 · Instance i++
Drei Header ergänzt:
ARC-Authentication-Results
ARC-Message-Signature
ARC-Seal
Signiert Auth-Status
mit eigenem Private Key
i=1..50 Chain
📤
Mail weitergeleitet
SMTP → Empfänger MTA
Mail enthält vollständige
ARC-Header-Chain
(i=1, i=2, …)
ARC-Chain SPF fail erwartet
ARC Verifizierung
Beim Empfänger MTA
Public Key aller Hops
prüfen. Chain komplett
und integer?
ARC pass → DMARC-Fail
kann toleriert werden
ARC pass ARC fail
→ DMARC-Entscheidung
© 2026 IT-Service Walter
Transport
DKIM
SPF
DMARC
ARC (Forwarding)
Zustellung
Reject / Fail