Defaults.Exposed › Behebungen › Guides
Der Sicherheitsfragebogen eines Kunden fragt nach E-Mail-Authentifizierung — beantworten Sie ihn (und schließen Sie die Lücken) an einem Nachmittag (2026)
Veröffentlicht 2026-07-08
Zahlen mit Stand 2026-06-29 · Methodik v7. Aggregierte Zensusdaten über 261 Millionen bewertete Domains — wir veröffentlichen niemals die Ergebnisse einer einzelnen Domain. Siehe wie wir bewerten.
Ihr Kunde fragt, weil europäische Vorschriften zur Lieferkettensicherheit ihn inzwischen verpflichten, seine Lieferanten zu überprüfen. Die Fragen haben einen Zwei-Minuten-Ausgangspunkt: Ein kostenloser Scan bewertet genau das, was abgefragt wird. Nur 7,4% der Domains haben ihre E-Mail-Authentifizierung vollständig ausgerichtet und durchgesetzt, laut dem Defaults.Exposed-Zensus über 261.086.232 Domains (Stand 2026-06-29) — die meisten Lieferanten können ebenfalls noch nicht mit „Ja“ antworten.
Hier ist der Plan für den Nachmittag: den kostenlosen Scan durchführen, den einseitigen bewerteten Bericht lesen, ehrlich beantworten, was bereits stimmt, und die kostenlosen Quick Wins noch am selben Tag beheben. Für alles Tiefergehende ist ein datierter Bericht plus eine kurze Nachbesserungsnotiz eine akzeptable Zwischenantwort — und eine bessere als ein unbelegtes „Ja“.
Warum fragt unser größter Kunde plötzlich nach unserer E-Mail-Sicherheit?
Es ist nichts Persönliches. Fällt Ihr Kunde unter NIS2 — die EU-Richtlinie zur Netzwerk- und Informationssicherheit —, verpflichtet ihn Artikel 21 Absatz 2 Buchstabe d, die Sicherheit seiner Lieferkette zu managen, und die Durchführungsverordnung (EU) 2024/2690 der Kommission konkretisiert die Maßnahmen und nennt E-Mail-Sicherheit ausdrücklich. Also schickt der Einkauf jedem Lieferanten einen Fragebogen; Sie selbst fallen vielleicht gar nicht unter NIS2, aber so kaskadiert die Pflicht zu Ihnen herunter. Die Frist und die Konsequenz — auf der Liste der zugelassenen Lieferanten zu bleiben — existieren, weil Ihr Kunde einer Aufsichtsbehörde nachweisen muss, dass er geprüft hat. (Wir haben aufgeschrieben, was NIS2 tatsächlich zur E-Mail-Authentifizierung sagt.) Versicherer stellen inzwischen dieselben Fragen — wenn Ihr Verlängerungsformular auch schon damit angefangen hat, ist das die Versicherungsvariante dieses Nachmittags.
Was bedeuten die Fragen eigentlich?
Der E-Mail-Sicherheitsteil eines typischen Lieferantenfragebogens besteht aus vier Fragen, die sich hinter Akronymen verstecken. Einmal übersetzt, dann lassen wir sie weg.
| Was der Fragebogen fragt | Was es auf gut Deutsch bedeutet | Wie der Scan-Bericht es beantwortet |
|---|---|---|
| „Setzen Sie eine DMARC-Richtlinie durch?“ (DMARC — Domain-based Message Authentication, Reporting and Conformance) | Haben Sie den Mailservern der Welt gesagt, dass sie E-Mails abweisen sollen, die Ihre Domain fälschen? Die Zeile, an der die meisten Lieferanten scheitern: Nur 7,4% der 261.086.232 bewerteten Domains haben das ausgerichtet und durchgesetzt (Zensus, Stand 2026-06-29). | Nennt und bewertet Ihre Richtlinie. „Durchgesetzt“ heißt reject oder quarantine; „nur Beobachtung“ blockiert noch nichts — sagen Sie ehrlich, was zutrifft. |
| „Ist SPF mit einer restriktiven Richtlinie konfiguriert?“ (SPF — Sender Policy Framework) | Haben Sie die Liste der Server veröffentlicht, die im Namen Ihres Unternehmens E-Mails senden dürfen — und endet sie bestimmt („niemand sonst“) oder mit einem Achselzucken („und vielleicht noch andere“)? | Zeigt, ob die Liste existiert, gültig ist und bestimmt oder weich endet. |
| „Werden ausgehende E-Mails digital signiert (DKIM)?“ (DKIM — DomainKeys Identified Mail) | Trägt Ihre E-Mail eine manipulationssichere Signatur, die belegt, dass sie von Ihrer Domain stammt — in Ihrem Namen, nicht im Standardnamen Ihres Providers? | Zeigt, ob eine Signatur im Namen Ihrer Domain existiert — die Provider-Standard-Falle ist die häufigste Lücke, die der Scan findet. |
| „Überwachen Sie Ihre Domain auf Spoofing?“ | Würden Sie es erfahren, wenn jemand gefälschte E-Mails in Ihrem Namen verschickt — oder wäre das erste Anzeichen ein wütender Anruf? | Zeigt, ob die Berichtsadresse aktiviert ist, sodass Nachahmungsversuche Sie erreichen. |
Jede dieser Fragen wird aus den öffentlichen Einstellungen Ihrer Domain beantwortet — kein Audit, keine Agentur, kein Zugriff auf Ihre Systeme. Deshalb funktioniert der Nachmittagsplan. Diese vier sind zudem nur die E-Mail-Zeilen einer längeren Liste: Was Cyberversicherungs- und Lieferantenfragebögen an Ihrer Domain prüfen tabelliert jede abgefragte Kontrolle, mit der internetweiten Bestehensquote für jede. Diese Seite bleibt bei Ihrem Nachmittag — was Sie antworten und was Sie zuerst beheben sollten.
Wie beantworten wir ihn bis zur Frist? Der Ein-Nachmittag-Plan
- Führen Sie den kostenlosen Scan bei defaults.exposed durch — zwei Minuten, bevor irgendjemand etwas anfasst. Er liest die öffentlichen Einstellungen Ihrer Domain und bewertet genau die vier Bereiche oben. Keine Registrierung, kein Zugriff auf Ihre E-Mails.
- Lesen Sie den bewerteten Bericht. Eine Seite, klare Sprache, datiert — jede Note lässt sich einer Frage des Fragebogens zuordnen, sodass Sie Ihre tatsächlichen Antworten kennen, statt zu raten.
- Beantworten Sie, was bereits stimmt. Wo der Bericht ein Bestehen zeigt, sagen Sie Ja und begründen Sie es („durch unabhängigen Scan verifiziert“, mit Datum).
- Beheben Sie die kostenlosen Quick Wins noch am selben Tag. Die häufigen Lücken sind Einstellungen, keine Anschaffungen: eine weich endende Absenderliste (der SPF-Fix), eine fehlende oder im Beobachtungsmodus feststeckende Spoofing-Regel (der DMARC-Fix), eine Signatur im Standardnamen des Providers. Alles kostenlos, meist je ein DNS-Eintrag — leiten Sie die Fix-Seite an die Person weiter, die Ihre Domain verwaltet, und mehrere „Nein“-Antworten werden zu „Ja“, bevor das Formular zurückgeht.
- Für alles Tiefergehende senden Sie den datierten Bericht mit einer Nachbesserungsnotiz. Der Wechsel zu einer vollständig durchgesetzten Richtlinie braucht, richtig gemacht, zunächst Wochen der Beobachtung — behaupten Sie nie, es sei erledigt, wenn es das nicht ist. „Unabhängiger Scan anbei; Durchsetzung in Umsetzung, Ziel September“ ist für jedes kompetente Einkaufsteam eine akzeptable Zwischenantwort. Ein falsches „Ja“ ist es nicht: Einkaufsteams prüfen nach, oft mit genau dieser Art von Scan.
Kann dieser Fragebogen tatsächlich zu unserem Vorteil sein?
Ja — wegen dem, was alle anderen zurückschicken. Die meisten Lieferanten antworten mit einem bloßen „Ja“ ohne jeden Beleg, während nur 7,4% der 261.086.232 bewerteten Domains tatsächlich die abgefragte ausgerichtete und durchgesetzte Konfiguration haben (Zensus, Stand 2026-06-29). Ein datierter, unabhängig bewerteter Bericht — selbst einer, der eine Lücke und ein Nachbesserungsdatum zeigt — schlägt ein unbelegtes „Ja“, denn das eine ist überprüfbar und das andere ist Hoffnung. Von Ihnen wird nicht Perfektion verlangt; von Ihnen wird verlangt, überprüfbar zu sein. Nur wenige Ihrer Wettbewerber auf dieser Liste werden es sein.
Und wenn Sie eigentlich die Rechnungsbetrugs-Geschichte vom Netzwerkabend nicht loslässt — dieselben Einstellungen, derselbe Zwei-Minuten-Check.
Häufig gestellte Fragen
Was ist, wenn ich nicht alles vor der Frist beheben kann? Senden Sie, was stimmt: den datierten Bericht, was Sie diese Woche behoben haben, und einen datierten Plan für den Rest. NIS2-Lieferkettenprüfer bewerten, ob Lieferanten Risiken managen, nicht ob sie fehlerfrei sind — ein bewerteter Bericht mit einer Nachbesserungsnotiz ist Risikomanagement, schriftlich. Was Prüfungen scheitern lässt, ist Schweigen oder eine Behauptung, die eine Nachprüfung nicht übersteht.
Kann mein IT-Dienstleister das übernehmen? Die kostenlosen Einstellungen, ja — die Absenderliste, Ihre eigene Signatur, die Spoofing-Regel sind DNS-Routinearbeit, und die Fix-Seiten oben sind für genau diese Übergabe geschrieben. Was Dienstleister zu Recht als außerhalb ihres Auftrags bezeichnen, ist die Urteilsebene: welche Richtlinie durchzusetzen ist, wann das Verschärfen sicher ist, was dem Kunden in der Zwischenzeit zu sagen ist. Der bewertete Bericht macht aus diesen Entscheidungen ein Dokument, sodass keiner von Ihnen improvisiert.
Werden sie uns wirklich als Lieferant fallen lassen? Bei einer leeren Antwort oder einer aufgeflogenen Falschangabe — irgendwann ja; der Kunde muss sich vor einer Aufsichtsbehörde verantworten. Bei einer ehrlichen Lücke mit Nachbesserungsdatum — sehr unwahrscheinlich: Über alle 261.086.232 bewerteten Domains hinweg setzen nur 10,59% die Spoofing-Richtlinie durch, nach der diese Fragebögen fragen (Zensus, Stand 2026-06-29). Ehrlich-mit-Plan hält Sie auf der Liste.
Wir fallen nicht unter NIS2 — können wir den Fragebogen ignorieren? Die Pflicht liegt bei Ihrem Kunden, und er erfüllt sie, indem er überprüfbare Lieferanten wählt. Der Raum, sich abzuheben, ist enorm: Nur 7,4% aller 261.086.232 bewerteten Domains haben ihre E-Mail-Authentifizierung ausgerichtet und durchgesetzt (Zensus, Stand 2026-06-29). Ein Nachmittag bringt Sie vor fast jeden anderen Namen auf dieser Lieferantenliste.
Leiten Sie den Bericht an Ihren IT-Kontakt weiter
Tippen Sie nichts davon ab. Führen Sie den kostenlosen Scan durch und leiten Sie dann zwei Dinge an die Person weiter, die sich um Ihre Domain kümmert: den bewerteten Bericht und diesen Artikel. Der Bericht sagt genau, welche Einstellungen zu ändern sind; die Fix-Seiten liefern die Schritte. Wenn der korrigierte Bericht zurückkommt, schreiben sich die Fragebogen-Antworten von selbst — Note für Note. Dann ablegen: Der nächste Kunde wird dieselben vier Dinge fragen, Ihre Versicherungsverlängerung tut es bereits, und ein datierter Bericht, den Sie in fünf Minuten anhängen können, ist der Unterschied zwischen einem Nachmittag und einer Feuerwehrübung.
Prüfen Sie Ihre Domain → · Was Fragebögen an Ihrer Domain prüfen → · Die Rechnungsbetrugs-Geschichte, die Sie gehört haben → · Nur aggregierte Daten. Daten werden in der EU gespeichert und verarbeitet.