Zum Hauptinhalt springen
Moderne Web- und E-Mail-Sicherheit: Was sinnvoll ist – und warum
#Sicherheit #Web Security #E-Mail #SPF #DKIM

Moderne Web- und E-Mail-Sicherheit: Was sinnvoll ist – und warum

Einmal richtig einstellen – und dann läuft es. Ein Praxisleitfaden für sichere Domains.

Viele Websites und Domains wirken von außen modern, aber technisch fehlen oft Basics, die eigentlich Standard sein sollten. Das merke ich regelmäßig, wenn ich Projekte oder Kundendomains durch meinen kleinen Check laufen lasse: 👉 https://tools.casoon.dev/

Meist fehlen ein paar Header, die DNS-Einträge sind halbgar oder es gibt gar keine E-Mail-Authentifizierung. Nichts Dramatisches – aber genau diese Lücken nutzen Angreifer gern aus.

Zeit also für einen Blick auf die wichtigsten Stellschrauben, die jede Domain heute sauber gesetzt haben sollte.

Webseiten-Sicherheit: die modernen Pflichtteile

HTTPS & HSTS – verschlüsselt ist gut, geschützt ist besser

HTTPS kennen alle. Das Schloss-Symbol im Browser ist heute keine Option mehr.

Was aber viele nicht wissen: Ohne HSTS kann ein Browser beim ersten Kontakt trotzdem unverschlüsselt kommunizieren. Das öffnet Tür und Tor für Downgrade-Angriffe.

Empfehlung:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Einmal setzen – fertig.

Content-Security-Policy (CSP) – dein Schutzwall gegen XSS

Eine CSP legt fest, von wo Skripte, Bilder oder Fonts geladen werden dürfen. Fehlt sie, können Angreifer viel leichter eigenen Code einschleusen.

Für kleinere Seiten reicht schon eine Basis-Konfiguration:

Content-Security-Policy: default-src 'self';

Später kann man Fonts, APIs oder CDN-Domains sauber hinzufügen.

X-Frame-Options – Clickjacking vermeiden

Damit verhinderst du, dass deine Seite in fremden iFrames landet. Standard und schnell gesetzt:

X-Frame-Options: DENY

X-Content-Type-Options – kleine Einstellung, große Wirkung

Mit nosniff sagst du dem Browser, dass Dateien nur ausgeführt werden, wenn der MIME-Type stimmt. Das verhindert einige böse Überraschungen.

X-Content-Type-Options: nosniff

Referrer-Policy – weniger Daten nach außen

Viele Seiten teilen beim Link-Klick zu viele Infos über die eigene URL. Eine sichere Einstellung ist:

Referrer-Policy: strict-origin-when-cross-origin

Permissions-Policy – moderne Browserrechte steuern

Damit begrenzt du, was Browser-APIs dürfen. Gut für Datenschutz – und für Ruhe im Code.

Beispiel:

Permissions-Policy: camera=(), microphone=(), geolocation=()

Caching & Performance – schnell und sicher

Ein gutes Cache-Control senkt die Ladezeit. Was viele vergessen: Ohne ETag oder Last-Modified muss der Browser immer neu prüfen.

Ideal ist eine Kombi aus Cache-Header + Validierung:

  • Cache-Control
  • ETag
  • Last-Modified

Das Security-Check-Tool gibt dafür klare Hinweise, wenn etwas fehlt.

E-Mail-Sicherheit – SPF, DKIM, DMARC

Die zweite große Baustelle: Domains, über die E-Mails verschickt werden.

Viele Betreiber wissen gar nicht, dass sie ohne die richtigen DNS-Einträge praktisch jeden Angreifer einladen, in ihrem Namen Spam oder Phishing zu verschicken.

Drei Dinge sind Pflicht:

SPF – wer darf überhaupt Mails in deinem Namen senden?

SPF legt fest: Diese Server dürfen Mails für meine Domain verschicken. Alle anderen fliegen durch.

Beispiel:

v=spf1 include:_spf.google.com -all

Wichtig: das -all am Ende. Ohne das ist die Regel weich und bringt wenig Schutz.

DKIM – jede Mail bekommt ein digitales Siegel

Beim Versenden wird die E-Mail kryptografisch signiert. Der Empfänger prüft diese Signatur per DNS.

Das verhindert:

  • Manipulation
  • gefälschte Absender
  • Spam in deinem Namen

Fehlt DKIM, landet man schneller im Spamfilter, als einem lieb ist.

DMARC – der Boss über SPF und DKIM

DMARC sagt, was passieren soll, wenn SPF oder DKIM nicht passen.

Drei Modi:

  • none → nur Bericht
  • quarantine → in Spam
  • reject → ablehnen

Beispiel:

v=DMARC1; p=quarantine; rua=mailto:[email protected]

Viele Domains hängen bis heute auf none und denken, das reicht. Tut es nicht.

Bonus: DNSSEC, CAA & kleine Extras

DNSSEC: schützt DNS-Abfragen vor Manipulation

CAA: legt fest, welche Zertifizierungsstellen Zertifikate ausstellen dürfen

MTA-STS (optional): HTTPS für E-Mail-Server

Nicht zwingend nötig – aber sehr sinnvoll.

Wie du herausfindest, was bei dir fehlt

Einfach deine Domain eingeben: 👉 https://tools.casoon.dev/

Das Tool zeigt dir:

  • welche Header fehlen
  • welche DNS-Einträge gesetzt sind
  • wo SPF/DKIM/DMARC Probleme machen
  • und was du direkt verbessern kannst

Ich arbeite selbst regelmäßig damit, um neue Projekte oder Kunden-Domains auf einen sicheren Stand zu bringen.

Cloudflare: Sicherheit per Klick – was die Plattform zusätzlich bietet

Wer seine Seite über Cloudflare betreibt, bekommt viele dieser Einstellungen direkt in der Oberfläche angeboten – und kann sie mit wenigen Klicks aktivieren.

Security Headers zentral verwalten

Cloudflare bietet unter Transform Rules die Möglichkeit, HTTP-Header wie CSP, HSTS, X-Frame-Options und Co. global zu setzen – ohne dass man dafür in der eigenen Anwendung rumfummeln muss.

Das ist besonders praktisch, wenn du mehrere Seiten oder Subdomains betreibst: Einmal zentral konfiguriert, gilt’s überall.

Automatic HTTPS Rewrites & Always Use HTTPS

Cloudflare kann automatisch alle HTTP-Links auf HTTPS umschreiben und erzwingt verschlüsselte Verbindungen. Das verhindert Mixed-Content-Probleme und macht HSTS noch wirksamer.

E-Mail-Security: DMARC Management & Email Routing

Cloudflare bietet ein DMARC Management Dashboard, das dir genau zeigt, welche Mails in deinem Namen versendet werden – und ob sie SPF/DKIM bestehen. Das hilft enorm beim Debugging von E-Mail-Problemen.

Mit Email Routing kannst du E-Mails für deine Domain empfangen und weiterleiten, ohne einen eigenen Mailserver betreiben zu müssen – inkl. automatischer SPF/DKIM-Konfiguration.

DNSSEC mit einem Klick

DNSSEC lässt sich in Cloudflare mit einem einzigen Klick aktivieren. Kein manuelles Schlüssel-Management, keine komplizierten DS-Records – Cloudflare regelt das automatisch.

CAA-Records & Certificate Transparency Monitoring

Cloudflare setzt automatisch CAA-Records, wenn du SSL/TLS über sie beziehst. Außerdem überwacht die Plattform Certificate Transparency Logs und warnt dich, wenn jemand versucht, ein Zertifikat für deine Domain auszustellen.

Bot-Schutz, DDoS-Mitigation & WAF

Darüber hinaus gibt’s natürlich noch die klassischen Cloudflare-Features:

  • Bot Fight Mode – filtert automatisch Bot-Traffic
  • DDoS Protection – absorbiert Angriffe, bevor sie deine Infrastruktur erreichen
  • Web Application Firewall (WAF) – schützt vor OWASP Top 10 Angriffen

Mein Eindruck: Cloudflare macht vieles einfacher, das man sonst manuell konfigurieren müsste. Gerade für kleinere Teams oder Solo-Betreiber ist das eine massive Arbeitserleichterung – und senkt gleichzeitig die Fehlerquote.

Mehr dazu in der offiziellen Cloudflare-Dokumentation: 1

Einmal sauber einstellen – jahrelang Ruhe

Die guten Nachrichten: Diese Dinge muss man nicht täglich anfassen. Es reicht, sie einmal korrekt zu setzen, und dann läuft die Seite sicher und stabil.

Kleine Änderungen – große Wirkung:

  • weniger Angriffsfläche
  • bessere Zustellbarkeit von E-Mails
  • weniger technische Probleme
  • bessere Bewertung durch Browser & Mailserver

Wenn du deine Seite oder Domain noch nie geprüft hast, mach’s einmal gründlich. Kostet dich ein paar Minuten – spart dir später viel Ärger.

Quellen

Footnotes

  1. Cloudflare Docs: Security Headers, DNSSEC, Email Security