E-Mail-Sicherheit 2025 – Mitschwimmen reicht nicht

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat das Jahr 2025 zum Jahr der E-Mail-Sicherheit ausgerufen. Ein starkes Signal für ein Thema, das im digitalen Alltag oft übersehen wird – aber entscheidend ist, um Identität, Vertraulichkeit und Integrität in der Unternehmenskommunikation zu sichern. Als führender Anbieter für sichere E-Mail-Kommunikation in der Cloud nimmt SEPPmail diese Initiative zum Anlass, Einblick zu geben, wie wir aktiv an der Verbesserung der E-Mail-Sicherheitslandschaft arbeiten – insbesondere dort, wo selbst die großen Player Schwächen zeigen.

Wenn große Namen stolpern: Das DKIM-Dilemma bei M365

Aktuell sehen unsere Experten einen wiederkehrenden Befund: Bei bestimmten E-Mails, die von Microsoft 365 (M365) versendet werden, fehlen kritische DNS-Einträge für die DKIM-Signatur (DomainKeys Identified Mail). Das bedeutet: Diese Signaturen können durch einen empfangenden Server nicht korrekt validiert werden. Das ist eine automatisiert aktivierte Fehlkonfiguration seitens Exchange Online, die bei einer nicht ignorierbaren Anzahl von M365-Tenants auftritt. Leider kann man bei einer E-Mail aus so einem Tenant die Integrität der Nachricht auf Empfängerseite nicht überprüfen. Wir sehen diese Fälle bei uns in der SEPPmail-Cloud bei 5-10% (!) der mit .onmicrosoft.com DKIM-signierten ankommenden E-Mails aus Microsoft Tenants.

Da wir das Problem kennen und unsere SEPPmail.cloud sehr flexibel darauf reagieren kann, konnten wir rasch einen Workaround bauen und solche Mails trotzdem annehmen. Traurigerweise misst Microsoft aber bei der internen Zustellung an den Empfänger mit zweierlei Maßen. Wenn ein Mailserver, wie der von SEPPmail.cloud, nämlich eine solche Nachricht über eine IPv6-Verbindung an M365 übermitteln möchte, lehnt Microsoft diese häufig temporär ab, weil die DKIM-Validierung fehlschlägt. Trotz Einsatz moderner Standards wie ARC (Authenticated Received Chain) oder spezieller Konnektoren muss ein vor die M365 Cloud vorgeschaltetes System einige Handstände machen und die Security wieder aufweichen um das E-Mail zuzustellen. Dies bedeutet Mehraufwand der bei korrektem Handling von DKIM durch Microsoft vermieden werden könnte.

Das alles ist mehr als eine traurige Randnotiz in unserem Kampf um sichere E-Mail Kommunikation und zeigt vor allem wieder einmal, wie wichtig konsequentes Handling von Sicherheitsmechanismen ist, und dass sich die großen Player leider nicht daran halten.

Was SEPPmail anders macht

Bei SEPPmail haben wir uns bewusst entschieden, solche Schwächen nicht zu ignorieren, sondern sie lösungsorientiert abzufedern. Unser Cloud-System analysiert eingehende Nachrichten und erkennt, wenn ein DKIM-Schlüssel nicht per DNS abrufbar ist. Anstatt die Nachricht ersatzlos abzulehnen – was zu Kommunikationsabbrüchen führen würde – setzen wir auf Transparenz und Nutzerinformation:

  • Verdächtige Nachrichten werden in Quarantäne verschoben.
  • Der Absender erhält eine sofortige Rückmeldung, inklusive Hinweis, dass seine Nachricht aufgrund eines nicht validierbaren DKIM-Eintrags blockiert wurde.
  • Für IT-Administratoren liefern wir eine praxisnahe Anleitung, wie der Fehler behoben werden kann.
    Dieser Ansatz schützt nicht nur Empfänger vor potenziell kompromittierten E-Mails, sondern befähigt auch Versender, ihre Systeme korrekt zu konfigurieren – ein Beitrag zu mehr E-Mail-Sicherheit im gesamten Ökosystem.

Verantwortung und Kompetenz im E-Mail-Sicherheitsjahr

Das BSI ruft Unternehmen explizit dazu auf, technologische Verantwortung zu übernehmen und Sicherheitsstandards aktiv zu fördern. Genau das tun wir. SEPPmail steht für praxisnahe, automatisierte und datenschutzkonforme Sicherheitslösungen, die den realen Herausforderungen moderner Kommunikation gerecht werden.

E-Mail-Sicherheit endet für uns nicht beim Signieren und Verschlüsseln von Nachrichten – sie schließt auch die intelligente Behandlung fehlerhafter oder verdächtiger Zustellversuche ein. Denn nur wer versteht, wie komplexe Mail-Interaktionen zwischen Systemen funktionieren, kann wirklich Schutz bieten.

Fazit

2025 markiert einen Wendepunkt in der Wahrnehmung von E-Mail-Sicherheit in Deutschland und Europa. Während mancher Global Player noch mit unvollständigen DKIM-Einträgen kämpft, setzt SEPPmail in der Cloud auf konsequente Analyse, Transparenz und aktive Kommunikation mit allen Beteiligten.

So stellen wir sicher, dass E-Mail-Kommunikation nicht nur funktioniert – sondern sicher, nachvollziehbar und vertrauenswürdig bleibt. Ganz im Sinne des BSI-Jahres der E-Mail-Sicherheit 2025.