SPF, DKIM und DMARC einrichten: Bedeutung und Anleitung

Wahrscheinlich haben Sie schon von SPF-, DKIM- oder DMARC-Protokollen gehört, oder jemand hat Ihnen gesagt, dass Sie beim Versand Ihrer E-Mail-Kampagnen darauf achten sollten, dass Sie diese eingerichtet haben.

Das liegt daran, dass diese Authentifizierungsmethoden sich zu einem globalen Standard in der E-Mail-Sicherheit entwickelt haben.

In Zeiten von Phishing und Spoofing bilden diese drei Protokolle ein Schutzschild gegen derartige Angriffe für Nutzer, indem sie dabei helfen, E-Mail-Absender zu authentifizieren.

Im Prinzip funktionieren DKIM, SPF und DMARC wie Türsteher. Absender, die der Prüfung an der Pforte standhalten, werden (in den Posteingang) eingelassen. Wer die Voraussetzungen wiederum nicht erfüllt, wird abgewiesen – und die E-Mail wird entweder nicht zugestellt oder landet im Spam.

Entsprechend stellen diese Authentifizierungsmethoden eine wichtige Komponente des E-Mail-Marketings dar. Wer DKIM, SPF und DMARC eingerichtet hat, kann nämlich bessere Zustellungsraten erzielen.

Wie bei allem anderen auch, wissen wir bei vielen Abkürzungen im Englischen oft nicht sofort, wofür sie stehen. Werfen wir einen Blick auf die verschiedenen Begriffe.

Das Sender Policy Framework, kurz SPF (früher Sender Permitted From) ist ein Verfahren, um das Fälschen von E-Mail-Absenderadresse zu verhindern, indem es einer Domain erlaubt, alle Server aufzulisten, von denen diese Domain E-Mails verschickt.

Man kann sich SPF vereinfacht wie ein Unternehmensverzeichnis vorstellen, das zeigt, ob ein Unternehmen gelistet ist.

Diese Listenprüfung erfolgt, indem der Absender einen speziellen TXT Resource Record in das Domain Name System (DNS) einträgt.

Diese DNS-Einträge enthalten weitere Information zu den Mailservern, die die E-Mail auf dem Weg vom Absender zum Empfänger passiert hat.

Der empfangende E-Mail-Server wiederum prüft den SPF-Eintrag (oder SPF-Record), um zu schauen, ob die eingegangene E-Mail einem autorisierten oder von einem nicht-autorisierten Server stammt.

So funktioniert SPF. (Quelle: spf-record.de)

Der SPF-Eintrag selbst beginnt stets mit einer Versionsnummer, beispielsweise. „v=spf1„, gefolgt von einem Leerzeichen und weiteren Ausdrücken.

v=spf1 include:spf.mailjet.com ?all

DomainKeys Identified Mail, kurz DKIM, ist eine Authentifizierungsmethode, die einen Domainnamen mit einer E-Mail verknüpft. Sie wird von Internet Service Providern (ISPs), Webmail-Providern und E-Mail-Servern verwendet, um festzustellen, ob die versendete E-Mail in den Posteingang des Empfängers gelangen darf oder nicht.

Das DKIM-Protokoll erlaubt das Signieren einer E-Mail mit einem Domainnamen.

DKIM basiert auf einer asymmetrischen Verschlüsselung. Es funktioniert daher mit jedem für diesen Zweck entwickeltem Tool. Und so läuft die DKIM-Prüfung ab:

1. Zuerst wird ein öffentliches Schlüsselpaar (DKIM-Eintrag) generiert. Im Anschluss wird der öffentliche Teil des Schlüssels als TXT-Datensatz in die Domain gesetzt, die als Absenderadresse verwendet. Dieser öffentliche Eintrag kann später vom Empfänger geprüft werden, um den öffentlichen Schlüssel zu erhalten.
2. Wenn Absender eine E-Mail verschicken, generieren Sie dann auch einen privaten Schlüssel. Diese Signatur ist im Grunde genommen ein Hashcode. Dieser ergibt sich, indem man den Inhalt der E-Mail nimmt und ihn mit dem privaten Schlüssel unter Verwendung eines Sicherheitsalgorithmus kombiniert. Diese geheime Signatur ist im Header der versendeten E-Mail enthalten.
3. Empfänger können nun den öffentlichen Schlüssel nutzen, um den privaten Schlüssel des Absenders zu prüfen. Das funktioniert so: Wenn ein empfangender SMTP-Server eine signierte Kopfzeile erkennt, sucht er den öffentlichen Teil des Schlüssels. Hierbei erfragt er beim Domain Name System (DNS) nach dem TXT-Datensatz. Mit diesem öffentlichen, asymmetrischen Schlüssel kann jeder erkennen, ob die E-Mail vom Eigentümer der Domain gesendet wurde oder nicht.

Funktionsweise des DKIM beim E-Mail-Versand.

Diese digitale Signatur hat folgende zwei Vorteile:

1. Sie beweist, dass der Domainname nicht widerrechtlich in Besitz genommen wurde.
2. Sie stellt sicher, dass die E-Mail während der Übertragung nicht verändert wird.

Übrigens haben größere ISPs wie Microsoft (Outlook) oder Google (Gmail) eine digitale Signatur im E-Mail-Header von versendeten Mails und überprüfen eingehende Nachrichten gegen ihre eigenen Richtlinien.

Domain-based Message Authentication, Reporting and Conformance, kurz DMARC, ist ein Authentifizierungsstandard, der SPF und DKIM ergänzt, um Phishing und andere Spamming-Praktiken wirksamer zu bekämpfen.

Wenn SPF und DKIM die Sicherheitschecks sind, die es zu bestehen gilt, dann entscheidet DMARC darüber, was passiert, wenn eine E-Mail bei diesen Prüfungen durchfällt.

DMARC teilt Domainbesitzern, ISPs und E-Mail-Clients mit, was zu tun ist, wenn eine signierte Nachricht von ihrer Domain nicht formal durch einen SPF- oder DKIM-Standard identifiziert wird. Dabei gibt es drei Optionen:

1. Nichts tun (E-Mail wird zugestellt): p=none
2. Eine E-Mail in Quarantäne setzen: p=quarantine
3. Eine Mail ablehnen: p=reject

Die Authentifizierungsmethoden SPF und DKIM zählen zu den Schlüsselpunkten zur Optimierung Ihrer Zustellbarkeit und haben sich zum Standard in der E-Mail-Welt entwickelt.

Aber das ist nicht der einzige Vorteil. Tatsächlich verbessert die Implementierung dieser Protokolle die Zustellbarkeit von E-Mails. Dank dieser Methoden werden Ihre E-Mails besser von ISPs und den E-Mail-Clienten Ihrer Empfänger identifiziert.

Diese Protokolle dienen zur Überprüfung der Identität von Absendern. Sie zählen zu den effektivsten Möglichkeiten, um zu verhindern, dass Phisher (betrügerische E-Mails mit dem Ziel, sensible Daten wie Kundenlogin, Bankverbindungen etc. zu erbeuten) und andere Betrüger sich als legitimer Absender unter demselben Domainnamen ausgeben.

Entsprechend schlagen viele E-Mail-Dienstleister Alarm, wenn die SPF und DKIM-Prüfung fehlschlägt Hier drohen Spam-Markierungen und/oder eine Blockierung der IP-Adresse des Absenders. Beides ist für E-Mail Marketer der Super-GAU.

Bis 2024 lag die Entscheidung, Authentifizierungsprotokolle zu verwenden, bei den einzelnen Absendern. Insgesamt gab es keine verbindliche Vorgabe von Seiten der Branche, dies zu tun.

Gmail und Yahoo haben jedoch seit Februar 2024 neue Anforderungen an Massenversender, die Sie befolgen müssen, wenn Sie mehr als 5 000 Nachrichten am Tag verschicken. Diese E-Mail-Absender müssen nun verbesserte Authentifizierungsstandards erfüllen, die Abmeldung von Werbe-Mails erleichtern und die Spam-Beschwerderate unter 0,3 % halten.

Yahoo und Gmail haben diese Standards erstellt, damit der E-Mail-Versand sicherer wird und weniger Spam in den Posteingängen landet.

Wie genau sich diese Sicherheitsupdates auf Ihren E-Mail-Versand auswirken und was Sie tun sollten, erfahren Sie hier. Zusätzlich gibt es ein englisches YouTube-Video über die neuen Versandanforderungen mit Informationen direkt von Yahoo und Google.

Natürlich gibt es auch bei den Protokollen Beschränkungen. Bei dem SPF-Protokoll ist es so, dass wenn die E-Mail beispielsweise weitergeleitet wird, die Überprüfung nicht stattfinden kann.

Dies liegt daran, dass die Adresse, die die E-Mail weiterleitet, möglicherweise nicht in der Liste, der vom SPF überprüften Adressen enthalten ist.

Daher ist es wichtig, dass beim Hinzufügen neuer Adressen zum SPF-Eintrag so sorgfältig wie möglich vorgegangen wird.

Die DKIM-Signatur schützt Sie wiederum nicht davor, als Spammer eingestuft zu werden, wenn Sie sich nicht an die Regeln für den E-Mail-Versand halten.

Das heißt, obwohl sie als Authentifizierungsmethode funktioniert, müssen Sie bei der Gestaltung des Inhalts Ihrer E-Mails die folgenden Grundregeln beachten. Dazu gehören das passende oder das Vermeiden von Wörtern, die von Spamfiltern als gefährlich eingestuft werden.

Ein weiterer Punkt ist, dass SPF und DKIM nicht festlegen, was zu tun ist, wenn die Überprüfung fehlschlägt. Hier kommt das DMARC-Protokoll ins Spiel, das dem Server des Empfängers mitteilt, wie er sich verhalten soll, wenn die E-Mail-Authentifizierung des Absenders fehlschlägt.

Um die SPF-, DKIM- und DMARC-Authentifizierungseinstellungen für Ihre Domain zu konfigurieren, benötigen Sie Zugang zu den DNS-Einträgen Ihres Hosting-Accounts (OVH, 1&1, HostGator usw.).

Wenn Sie diese nicht finden können oder keinen Zugang zu ihnen haben, kann Ihnen Ihr Hosting-Provider helfen.

Bei der Konfiguration sind zwei Dinge über SPF-Einträge zu beachten:

• Ein SPF-Record ist ein TXT-Record-Typ – nicht zu verwechseln mit dem SPF-Typ (verwendbar, aber nicht empfohlen).
• Es sollte nur einen SPF-Eintrag pro Domain geben. Wenn Sie mehrere DNS-SPF-Einträge haben, wissen E-Mail-Betreiber nicht, welchen sie verwenden sollen. Dies kann zu Authentifizierungsproblemen führen.
• Überprüfen Sie Ihre DNS-Einträge in Ihrem Hosting-Konto. Wenn Sie keine SPF-Einträge sehen, erstellen Sie einen. Andernfalls aktualisieren Sie einfach den schon vorhandenen SPF-Eintrag.

Denken Sie auch daran, dass Sie in manchen Fällen einen SPF-Eintrag für eine bestimmte Subdomain hinzufügen sollten, unabhängig vom SPF-Eintrag für Ihre Hauptdomain.

Obwohl es den Rahmen dieses Artikels sprengen würde, möchten wir Ihnen vier der acht Mechanismen, die in einem SPF-Eintrag verwendet werden können, kurz vorstellen:

• ip4: ermöglicht die Angabe einer IPv4.
• ip6: ermöglicht die Angabe einer IPv6 anstelle einer IPv4
• mx: ermöglicht die Angabe der IP, zu der der MX-Eintrag einer Domain aufgelöst wird
• ptr: verwandt mit den PTR-Einträgen, etwas komplexer

Um die DKIM-Authentifizierung zu verwenden, müssen Sie einen neuen Eintrag für DKIM erstellen. Im Gegensatz zur SPF-Authentifizierung kann Ihre Domain problemlos mehrere DKIM-DNS-Einträge enthalten. Erstellen Sie in Ihrem Hosting-Konto einen neuen DNS-Eintrag des Typen TXT.

Je nach Host müssen Sie möglicherweise Anführungszeichen um den TXT-Wert herum einfügen. Wenn Sie unsicher sind, ob Sie Anführungszeichen einfügen müssen, können Sie sich an Ihren Hosting-Provider wenden.

Bevor Sie mit der Implementierung von DMARC beginnen, stellen Sie sicher, dass die SPF- und DKIM-Einträge korrekt implementiert wurden. Wie bereits erwähnt, definiert DMARC über einen speziellen DNS-Eintrag die Richtlinie, die im Falle eines Versagens der SPF- und DKIM-Protokolle anzuwenden ist. Dies erfordert eine Übereinstimmung zwischen den SPF- und DKIM-Domainnamen und dem „From“-Header.

DMARC ermöglicht es Ihnen dann, im Falle einer Nichtübereinstimmung eine der drei folgenden Richtlinien anzuwenden:

1. Überwachen: Keine Aktion, lokale DMARC-Richtlinien werden angewendet
   • “v=DMARC1; p=none; rua=mailto:admin@ihrunternehmen.com"
2. Quarantäne: Hierbei werden E-Mails analysiert und in Quarantäne (Spam-Ordner) verschoben
   • "v=DMARC1; p=quarantine; rua=mailto:admin@ihrunternehmen.com"
3. Zurückweisen: Nachrichten werden zurückgewiesen
   • "v=DMARC1; p=reject; rua=mailto:admin@ihrunternehmen.com"

Und was ist jetzt BIMI? Auch das mag ein Ausdruck sein, den Sie im Zusammenhang mit E-Mail-Protokollen und Zustellbarkeit gehört haben.

BIMI steht für Brand Indicators for Message Identification (in etwa: Markenidentifikatoren für Nachrichtenidentifikation). Diese Indikatoren sind so etwas wie der Bonus-Track auf einem neuen Album.

Nachdem Sie mit SPF, DKIM und DMARC die Pflicht der Authentifizierungsprotokolle absolviert haben, kommen Sie am Ende mit BIMI eine Belohnung.

Was genau ist also BIMI?

Im Grunde erlaubt BIMI es Unternehmen, ihr Logo direkt neben dem Absendernamen in der E-Mail zu platzieren. Im Posteingang erscheint somit neben Ihrem Unternehmensnamen mit BIMI auch Ihr Logo.

E-Mail ohne BIMI und mit im direkten Vergleich.

BIMI ist für E-Mail-Sender aus zwei Gründen wichtig:

1. Es zeigt Empfängern auf den ersten Blick, dass die E-Mail wirklich authentisch ist.
2. BIMI ist ein DNS TXT Eintrag, der zusätzliche Authentifizierung bietet.

Damit kommen wir wieder zur Belohnung. Denn die Voraussetzung für ein BIMI-Logo ist, dass Ihre DMRAC-Einstellungen entweder auf p=quarantine (Quarantäne) oder p=reject (abweisen) gesetzt sein müssen.

Auch wenn Google und Yahoo lange die Einstellung p=none gefordert haben (also die E-Mail trotzdem durchzulassen, wenn eine E-Mail bei SPF- und DKIM-Prüfungen durchfellt), ist es nicht die beste Praxis gegen Phishing oder Spoofing.

Und wie Kate Nowrouzi, Vice President of Deliverability bei Sinch Mailgun voraussagt: Der Standard wird sich vermutlich schon bald zu p=reject verschieben. Es ist daher empfehlenswert, sich jetzt schon mit strengeren DMARC-Einstellungen auseinanderzusetzen.

E-Mail-Authentifizierung über Sicherheitsprotokolle wie SPF und DKIM ist also enorm wichtig für die Zustellbarkeit Ihrer E-Mails sowie die Glaubwürdigkeit Ihrer Marke.

Der nächste Schritt ist es entsprechend, diese Protokolle einzurichten. Wir haben eine detaillierte Anleitung für die von Gmail und Yahoo verlangten SPF- und DKIM-Protokolle.

Wenn Sie zudem als Vielversender eine individuellere Unterstützung benötigen, haben wir einen speziellen Zustellbarkeitsservice. Hier steht Ihnen unser Expertenteam zur Seite, um gemeinsam mit Ihnen eine Zustellbarkeitsstrategie zu entwickeln, die genau auf Ihr Unternehmen zugeschnitten ist.

Denn letztlich profitiert nicht nur Ihr Unternehmen von diesen Authentifizierungsprotokollen, sondern auch Ihre Kunden und Abonnenten, die dadurch einen sichereren Posteingang haben.

Sie wissen jetzt was DKIM, SPF und DMARC sind, warum diese wichtig sind und wie Sie diese bei Mailjet einrichten.

Setzten Sie Ihr Wissen gleich ein: Melden Sie sich bei Mailjet an und folgen Sie unserer Anleitung, um sichere E-Mails zu verschicken.

*** Dies ist eine Überarbeitung eines Artikels, der ursprünglich von Laura Itner verfasst und im Mai 2021 erstmals publiziert wurde.