DMARCPulse
Kostenlos starten
Alle Beiträge Sender Inventory als Production Infrastructure: Warum Unternehmen E-Mail-Sender registrieren müssen

Sender Inventory als Production Infrastructure: Warum Unternehmen E-Mail-Sender registrieren müssen

DMARCPulse Team

E-Mail-Versand ist Production Infrastructure – und wird trotzdem wie ein Hobby behandelt

Stell dir vor, ein Entwickler deployt einen neuen Microservice ohne Ticket, ohne Monitoring, ohne jemanden zu informieren. Das würde in den meisten Unternehmen sofort auffallen. Aber genau das passiert täglich mit E-Mail-Sendern: Marketing bucht ein neues Tool, der Vertrieb richtet eine Drittanbieter-Plattform ein, jemand aus der IT konfiguriert einen neuen Cronjob – und niemand trägt das irgendwo ein.

Das Ergebnis: DMARC-Reports voller unbekannter Quellen, SPF-Records kurz vor dem Überlaufen, und ein Enforcement-Modus, der nie wirklich erreichbar ist.

Was ein Sender Inventory eigentlich ist

Ein Sender Inventory ist eine strukturierte Liste aller Systeme und Dienste, die E-Mails im Namen deiner Domain versenden. Für jeden Eintrag gehören mindestens diese vier Felder dazu:

  • From-Domain: Die sichtbare Absender-Domain (z. B. [email protected])
  • Return-Path / Bounce-Address: Die technische Envelope-Absender-Adresse, die für SPF relevant ist
  • DKIM-Selector: Der Selektor, unter dem der öffentliche Schlüssel im DNS liegt
  • Zweck / Owner: Wer ist verantwortlich, wofür wird der Sender genutzt?

Das klingt nach Bürokratie. Es ist aber das Gegenteil: Ohne diese Liste ist jede DMARC-Auswertung Rätselraten.

Warum das ohne Inventar nicht funktioniert

DMARC-Aggregate-Reports liefern IP-Adressen und DKIM-Selektoren. Wenn du nicht weißt, welcher Selektor zu welchem Dienst gehört, kannst du einen fehlschlagenden Report nicht zuordnen – und damit auch nicht entscheiden, ob du einen Sender reparieren oder blockieren musst.

Ein konkretes Beispiel: Ein Marketing-Tool sendet über eine Subdomain mit einem DKIM-Selektor mk1. Im DMARC-Report taucht dieser Selektor mit 12 % DMARC-Fails auf. Ohne Inventar weißt du nicht: Ist das ein legitimer Sender mit Konfigurationsproblem? Oder jemand, der deine Domain spooft? Mit Inventar ist die Antwort in Sekunden klar.

Dasselbe gilt für SPF. Viele Domains haben SPF-Records, die über die Jahre gewachsen sind – mit include:-Einträgen für Tools, die längst nicht mehr genutzt werden. Ohne Inventar weißt du nicht, was du bedenkenlos entfernen kannst.

Sender-Registrierung als Prozess, nicht als Einmalaktion

Der entscheidende Schritt ist, Sender-Registrierung als festen Bestandteil des Onboarding-Prozesses zu etablieren – genau wie das Anlegen eines Tickets oder das Eintragen in ein CMDB.

Das bedeutet konkret:

  • Vor dem Go-Live: Jeder neue E-Mail-Sender (internes System, SaaS-Tool, Agentur) muss registriert werden, bevor er produktiv geht.
  • DNS-Änderungen als Pflicht: SPF-Eintrag erweitern, DKIM-Selektor veröffentlichen, ggf. DMARC-Subdomain-Policy prüfen.
  • Owner-Zuweisung: Jeder Sender braucht einen technischen Ansprechpartner, der bei Problemen erreichbar ist.
  • Regelmäßige Überprüfung: Quartalsweise abgleichen, ob alle Einträge im Inventar noch aktiv sind.

Dieser Prozess muss nicht komplex sein. Eine einfache Tabelle oder ein Ticket-Template reicht als Anfang. Wichtig ist, dass der Prozess existiert und eingehalten wird.

DMARC-Enforcement ist ohne Inventar nicht möglich

Viele Unternehmen stecken seit Monaten oder Jahren in der DMARC-Policy p=none fest. Der häufigste Grund: Sie wissen nicht, welche Sender noch nicht korrekt konfiguriert sind – und trauen sich deshalb nicht, auf p=quarantine oder p=reject zu wechseln.

Das ist kein technisches Problem. Es ist ein Inventar-Problem.

Sobald du weißt, welche Sender existieren, kannst du systematisch vorgehen:

  1. Alle bekannten Sender auf DMARC-Konformität prüfen (SPF-Alignment, DKIM-Alignment)
  2. Unbekannte Quellen in DMARC-Reports identifizieren und entweder ins Inventar aufnehmen oder als Spoofing-Versuche klassifizieren
  3. Enforcement aktivieren, wenn alle legitimen Sender konform sind

Schritt 2 ist der kritische: DMARC-Reports zeigen dir, was wirklich passiert – aber nur, wenn du die Daten lesen und zuordnen kannst.

Was passiert, wenn du es nicht tust

Spoofing-Angriffe auf Domains mit p=none sind trivial. Angreifer müssen keine Infrastruktur kompromittieren – sie setzen einfach eine beliebige From-Adresse und versenden. Empfänger sehen deine Domain, du siehst es erst in den Reports, wenn überhaupt.

Aber auch ohne aktive Angriffe entstehen Schäden: Deliverability-Probleme durch fehlerhafte SPF-Records, DKIM-Rotationen, die niemand mitbekommt, oder Bounce-Adressen, die auf nicht mehr existierende Postfächer zeigen.

Sender Inventory und DMARCPulse

DMARCPulse wertet deine DMARC-Aggregate-Reports automatisch aus und zeigt dir, welche Quellen E-Mails unter deiner Domain versenden – inklusive IP-Adressen, DKIM-Selektoren und Alignment-Status. Das ist der schnellste Weg, ein erstes Inventar aufzubauen: aus den Reports, die du ohnehin empfängst.

Wenn du noch nicht weißt, wie deine Domain aktuell aufgestellt ist, starte mit einem kostenlosen Domain-Check: dmarcpulse.io/de/free-domain-check