30 AUGUST 2022

SPF, DMARC und DKIM zur Optimierung von Emailzustellbarkeit

Email Schutz vor SPAM über SPF, DKIM und DMARC zur Optimierung von Email-Zustellbarkeit

Wenn Sie E-Mails versenden, müssen Anbieter von E-Mail-Konten (wie Google Mail, Outlook, AOL und Yahoo) feststellen, ob es sich bei der Nachricht um eine legitime E-Mail handelt, die vom Inhaber des Domainnamens oder der E-Mail-Adresse gesendet wurde, oder um eine gefälschte E-Mail, die von einem Spammer oder Phisher gesendet wurde.

Es gibt 3 gängige Methoden zur Überprüfung der Identität eines Absenders. Diese sind SPF, DKIM und DMARC.

Wir empfehlen aus mehreren Gründen das Einrichten dieser E-Mail-Authentifizierungsmethoden.

  • Rufaufbau als E-Mail-Absender auf Ihrem eigenen Domain-Namen. Das Versenden von E-Mails ohne Authentifizierung ist wie das Einreichen von Hausaufgaben ohne Ihren Namen darauf. Möglicherweise haben Sie den Auftrag mit Erfolg erfüllt, aber ohne Ihren Namen darauf können Sie die Lorbeeren nicht ernten. Insbesondere die DKIM-Authentifizierung trägt dazu bei, Ihren Ruf als E-Mail-Absender aufzubauen.
  • Sicherstellen einer strengeren Sicherheit für Ihren Domainnamen Authentifizierungsstandards wie DMARC helfen, Ihren Domainnamen vor betrügerischer Verwendung durch Spammer und Phisher zu schützen, die Ihrem Ruf schaden oder Ihre Kunden betrügen wollen.
  • E-Mail-Authentifizierung ist kein Königsweg zur Lösung von Zustellbarkeitsproblemen. Die Authentifizierung löst das Problem der Feststellung, von wem die E-Mail kommt, und nicht, ob die E-Mail vom Empfänger gewünscht wird.

Ein Absender, der Best Practices befolgt, wie z. B. das Versenden qualitativ hochwertiger, personalisierter E-Mails an eine Bestätigungsliste und regelmäßige Listenpflege, wird bei der Verwendung der E-Mail-Authentifizierung in der Regel eine höhere Zustellbarkeit feststellen. Ihre Domain wird bei Empfängern, die sich mit ihren E-Mails beschäftigen wollen, einen guten Ruf als guter Absender aufbauen.

Ein Absender, der sich nicht an Best Practices hält, z. B. eine gemietete oder gekaufte Liste verwendet, während des Bestätigungsprozesses keine klare Mitteilung darüber gibt, welche Art von E-Mails mit welcher Häufigkeit gesendet werden, oder der nie Listenpflege betreibt, wird in der Regel eine geringere Zustellbarkeit bei der E-Mail-Authentifizierung feststellen. Ihre Domain kann einen Ruf als Absender unerwünschter E-Mails aufbauen.

Die Authentifizierung ermöglicht es guten Absendern, ihren Ruf weiter zu festigen und ihre Domain vor schlechten Absendern zu schützen, die versuchen könnten, ihre Domain zu kapern.

Wir ermutigen Sie daher, eine Authentifizierung einzurichten, Sie sind jedoch nicht dazu verpflichtet.

  • DKIM (DomainKeys Identified Mail) ist eine Methode, über die mithilfe von Verschlüsselungsauthentifizierung die Identität eines Domainnamens mit einer ausgehenden Nachricht verknüpft und die Identität des Domainnamens einer eingehenden Nachricht validiert werden kann.
  • DMARC (Domain-based Message Authentication, Reporting and Conformance) ist eine Technologie, mit der die Funktionen der SPF- und DKIM-Methoden erweitert werden. In der DMARC-Richtlinie wird festgelegt, wie der Empfänger abhängig von den Ergebnissen der DKIM- und SPF-Überprüfung E-Mail-Nachrichten behandeln soll.
  • SPF (Sender Policy Framework) ist eine Methode, um die Fälschung von Absenderadressen zu vermeiden. Damit soll zum Beispiel verhindert werden, dass falsche Absenderadressen eingesetzt werden können. Damit kann in Mailservern überprüft werden, ob eine eingehende E-Mail einer Domain von einem Host stammt, der vom Administrator der Domain autorisiert wurde.

DKIM

Wenn Sie DKIM für eine Domain aktivieren, wird an jede von der Domain gesendete E-Mail ein spezieller Header angehängt. Dieser Header enthält einen privaten Kryptografieschlüssel. Die E-Mail-Empfängerserver verwenden einen öffentlichen Schlüssel, um zu überprüfen, ob eine E-Mail tatsächlich von der Domain gesendet wurde und niemand den Inhalt der E-Mail während der Übertragung manipuliert hat. E-Mails, die diesen Header nicht enthalten, werden als nicht authentisch eingestuft.

Bemerkung: Wenn Sie Domain-Aliasse zum Senden von E-Mails verwenden, fügen Sie die DKIM-DNS-Einträge auch für diese hinzu. Verwenden Sie die gleichen Einträge wie für die Hauptdomain, aber mit dem Domain-Aliasnamen.

SPF und SRS

SPF (Sender Policy Framework) ist eine Methode, um die Fälschung von Absenderadressen zu vermeiden. Damit soll zum Beispiel verhindert werden, dass falsche Absenderadressen eingesetzt werden können. Mit SPF können Domain-Administratoren eine Richtlinie festlegen, damit bestimmte Hosts E-Mails von der Domain senden dürfen. In empfangenden Mailservern wird überprüft, ob eine eingehende E-Mail einer Domain von einem Host stammt, der vom Administrator der Domain autorisiert wurde. SPF beruht auf den Regeln, die vom Administrator in der DNS-Zone des Absenders festgelegt werden.

Wenn SPF eingerichtet ist, werden eingehende E-Mails vom Mailserver mithilfe der folgenden Algorithmusschritte überprüft:

  1. Lokale Regeln lesen.
    Lokale Regel sind vom Spamfilter verwendete Regeln. Beispiel: a:test.mail.com
  2. DNS-SPF-Eintrag des Senders suchen (falls vorhanden).
    Beispiel für einen SPF-Eintrag: example.com. TXT v=spf1 +a +mx -all
  3. Lokale Regeln und den SPF-Eintrag in Richtlinie zusammenführen.
    Die resultierende Richtlinie lautet für unser Beispiel: example.com. TXT v=spf1 +a +mx +a:test.mail.com -all

Bemerkung: Wenn der Mailserver keinen SPF-Eintrag erkennt, kompromittiert die resultierende Richtlinie nur die lokalen Regeln.

  1. E-Mails im Hinblick auf die Richtlinie (aus dem vorherigen Schritt) überprüfen.
  2. Schätzungsregeln lesen.

Schätzungsregeln sind globale Regeln, mit denen der SPF-Eintrag überschrieben wird.
Beispiel für eine Schätzungsregel: v=spf1 +a/24 +mx/24 +ptr ?all.

  1. E-Mails nur im Hinblick auf Schätzungsregeln überprüfen.
  2. Ergebnis der beiden Überprüfungen vergleichen: eine im Hinblick auf die Richtlinie aus Schritt 4 und die andere nur im Hinblick auf die Schätzungsregeln aus dem vorherigen Schritt. Übernehmen Sie die Überprüfung, deren Ergebnis weniger restriktiv ist.

Weitere Informationen zu den verschiedenen Status der SPF-Überprüfung

So richten Sie eine SPF-Richtlinie für ausgehende E-Mails ein:

Gehen Sie zu Tools & Einstellungen > DNS-Template und bearbeiten Sie den TXT-DNS-Eintrag für SPF.
Beispiel: example.com. TXT v=spf1 +a +mx +a:test.mail.com -all

Eine Beschreibung der einzelnen Bestandteile des Eintrags finden Sie hier:

Bestandteil Beschreibung
v=spf1 Für die Domain wird SPF der Version 1 verwendet.
+a Alle Hosts der A-Einträge sind autorisiert, E-Mails zu senden.
+mx Alle Hosts der MX-Einträge sind autorisiert, E-Mails zu senden.
+a:test.mail.com Von der Domain test.mail.com können E-Mails gesendet werden.
-all Von allen anderen Domains dürfen keine E-Mails gesendet werden.

 

Weitere Informationen zur Syntax von DNS-Einträgen für SPF finden Sie hier: Die Notation der Richtlinie finden Sie unter RFC7208.

Verwenden von SRS

Neben SPF unterstützen einige Mailserver in Plesk auch SRS (Sender Rewriting Scheme). Dabei handelt es sich um eine Methode, um die Absenderadresse einer weitergeleiteten E-Mail so umzuschreiben, dass die E-Mail weiterhin den Anforderungen von SPF entspricht. Mit SRS können Sie sich vergewissern, dass die Nachrichten auch beim Einsatz von SPF geliefert werden.

DMARC

DMARC (Domain-based Message Authentication, Reporting and Conformance) ist eine Technologie, mit der die Funktionen der SPF– und DKIM-Senderichtlinien erweitert werden. In der DMARC-Richtlinie wird festgelegt, wie der Empfänger abhängig von den Ergebnissen der DKIM- und SPF-Überprüfung E-Mail-Nachrichten behandeln soll. Diese Technologie beruht auf den Regeln, die in der DNS-Zone des Absenders festgelegt werden.

So richten Sie eine benutzerdefinierte DMARC-Richtlinie für ausgehende E-Mails ein:

Gehen Sie zu Tools & Einstellungen > DNS-Template und bearbeiten Sie die DNS-Einträge für die DMARC-Richtlinie. Im Gegensatz dazu werden DNS-Einträge für DKIM zu DNS-Zonen einzelner Domains hinzugefügt, wenn Sie DKIM für die Domain aktivieren.

Die DMARC-Standardrichtlinie von Plesk ist zum Beispiel in diesem Eintrag definiert:

_dmarc.<domain>. TXT v=DMARC1; p=none

In dieser Richtlinie wird empfohlen, dass der empfangende Mailserver Nachrichten nicht löschen sollte, auch wenn die Überprüfung fehlgeschlagen ist. Sie können jedoch eine strengere Richtlinie festlegen. Beachten Sie jedoch, dass für den Empfangsserver möglicherweise eigene Richtlinien zu eingehenden E-Mails gelten.

Weitere Informationen zu DMARC inklusive Richtliniennotation finden Sie unter https://datatracker.ietf.org/doc/rfc7489/.

eco e.V.

Sicher sicher sein mit der Unternehmens-IP!

Lassen Sie sich jetzt beraten.

Kontakt