SPF, DKIM und DMARC einrichten: Bedeutung und Anleitung

Was sind SPF, DKIM und DMARC?

Wie bei allem anderen auch, wissen wir bei vielen Abkürzungen im Englischen oft nicht sofort, wofür sie stehen. Werfen wir einen Blick auf die verschiedenen Begriffe.

SPF Definition

Das Sender Policy Framework, kurz SPF (früher Sender Permitted From) ist ein Verfahren, um das Fälschen von E-Mail-Absenderadresse zu verhindern.

Dies wird erreicht, indem der Absender einen speziellen TXT Resource Record in das Domain Name System (DNS) einträgt. Diese DNS-Einträge enthalten weitere Information zu den Mailservern, die die E-Mail auf dem Weg vom Absender zum Empfänger passiert hat.

Der empfangende E-Mail-Server wiederum prüft den SPF-Eintrag (oder SPF-Record), um zu schauen, ob die eingegangene E-Mail einem autorisierten oder von einem nicht-autorisierten Server stammt.

So funktioniert SPF. Bild von spf-record.de

Der SPF-Eintrag selber beginnt stets mit einer Versionsnummer, beispw. "v=spf1", gefolgt von einem Leerzeichen und weiteren Ausdrücken.

v=spf1 include:spf.mailjet.com ?all

DKIM Definition

DomainKeys Identified Mail, kurz DKIM, ist eine Authentifizierungsmethode, die einen Domainnamen mit einer E-Mail verknüpft. Es wird von ISPs, Webmail Providern und E-Mail-Servern verwendet, um festzustellen, ob die versendete E-Mail in den Posteingang des Empfängers gelangen darf oder nicht.

Das DKIM-Protokoll erlaubt das Signieren einer E-Mail mit einem Domainnamen. Diese digitale Signatur hat folgende zwei Vorteile:

1. Sie beweisen, dass der Domainname nicht widerrechtlich in Besitz genommen wurde.

2. Sie stellen sicher, dass die E-Mail während der Übertragung nicht verändert wird.

Funktionsweise des DKIM beim E-Mail Versand.

Das DKIM basiert auf einer asymmetrischen Verschlüsselung. Es funktioniert daher mit jedem für diesen Zweck entwickeltem Tool:

1. Zuerst wird ein privates/öffentliches Schlüsselpaar generiert.

2. Im Anschluss wird der öffentliche Teil des Schlüssels als TXT-Datensatz in die Domain gesetzt, die als Absenderadresse verwendet.

Der private Schlüssel wird wie bereits erwähnt immer dann verwendet, um eine Signatur für jede E-Mail-Nachricht zu generieren. Die Signatur ist im Grunde genommen ein Hashcode. Dieser ergibt sich, indem man den Inhalt der E-Mail nimmt und ihn mit dem privaten Schlüssel unter Verwendung eines Sicherheitsalgorithmus kombiniert. Die Signatur wird im Kopf der E-Mail (auch E-Mail Header genannt) gespeichert. Wenn ein empfangender SMTP-Server nun eine solche Kopfzeile erkennt, sucht er den öffentlichen Teil des Schlüssels. Hierbei erfragt er beim Domain Name System (DNS) nach dem TXT-Datensatz. Mit diesem öffentlichen, asymmetrischen Schlüssel kann jeder erkennen, ob die E-Mail vom Eigentümer der Domain gesendet wurde oder nicht.

Übrigens haben größere ISPs wie Microsoft (Outlook) oder Google (Gmail) eine digitale Signatur im E-Mail-Header von versendeten Mails und überprüfen eingehende Nachrichten gegen ihre eigenen Richtlinien.

DMARC Definition

Domain-based Message Authentication, Reporting and Conformance, kurz DMARC, ist ein Authentifizierungsstandard, der SPF und DKIM ergänzt, um Phishing und andere Spamming-Praktiken wirksamer zu bekämpfen.

Er ermöglicht es Domainbesitzern, ISPs (Internet Service Providers) und E-Mail-Clients mitzuteilen, was zu tun ist, wenn eine signierte Nachricht von ihrer Domain nicht formal durch einen SPF- oder DKIM-Standard identifiziert wird.

Warum sollten Sie SPF, DKIM und DMARC verwenden?

Die Authentifizierungsmethoden SPF und DKIM zählen zu den Schlüsselpunkten zur Optimierung Ihrer Zustellbarkeit und hat sich zum Standard in der E-Mail-Welt entwickelt.

Aber das ist nicht der einzige Vorteil. Tatsächlich verbessert die Implementierung dieser Protokolle die Zustellbarkeit von E-Mails. Dank dieser Methoden werden Ihre E-Mails besser von ISPs (Internet Service Providern) und den E-Mail-Clienten Ihrer Empfänger identifiziert.

Diese Protokolle dienen zur Überprüfung der Identität von Absendern und zählen zu den effektivsten Möglichkeiten, um zu verhindern, dass Phisher (Betrügerische E-Mails mit dem Ziel sensible Daten wie Kundenlogin, Bankverbindungen etc. zu erbeuten) und andere Betrüger sich als legitimer Absender ausgeben, dessen Identität sie unter demselben Domainnamen angeben könnten.

Doch warum?

Wenn die SPF und DKIM-Prüfung fehlschlägt, schlagen viele E-Mail-Dienstleister Alarm. Hier drohen Spam-Markierungen und/oder eine Blockierung der IP-Adresse des Absenders. Beides ist für E-Mail Marketer der Super-GAU.

Neue Absenderanforderungen von Gmail und Yahoo

Bis 2024 lag die Entscheidung, Authentifizierungsprotokolle zu verwenden, bei den einzelnen Absendern. Insgesamt gab es keine verbindliche Vorgabe von Seiten der Branche, dies zu tun.

Gmail und Yahoo haben jedoch seit Februar 2024 neue Anforderungen an Massenversender, die Sie befolgen müssen, wenn Sie mehr als 5 000 Nachrichten am Tag verschicken. Diese E-Mail-Absender müssen nun verbesserte Authentifizierungsstandards erfüllen, die Abmeldung von Werbemails erleichtern und die Spam-Beschwerderate unter 0,3 % halten.

Yahoo und Gmail haben diese Standards erstellt, damit der E-Mail-Versand sicherer wird und weniger Spam in den Posteingängen landet.

Wie genau sich diese Sicherheitsupdates auf Ihren E-Mail-Versand auswirken und was Sie tun sollten, erfahren Sie hier. Zusätzlich gibt es ein englisches Youtube-Video über die neuen Versandanforderungen mit Informationen direkt von Yahoo und Google.

Beschränkungen der SPF- und DKIM-Protokolle

Natürlich gibt es auch bei den Protokollen Beschränkungen. Bei dem SPF-Protokoll ist es so, dass wenn die E-Mail beispielsweise weitergeleitet wird, die Überprüfung nicht stattfinden kann. Dies liegt daran, dass die Adresse, die die E-Mail weiterleitet, möglicherweise nicht in der Liste, der vom SPF überprüften Adressen enthalten ist.

Daher ist es wichtig, dass beim Hinzufügen neuer Adressen zum SPF-Eintrag so sorgfältig wie möglich vorgegangen wird.

Die DKIM-Signatur schützt Sie nicht davor, als Spammer eingestuft zu werden, wenn Sie sich nicht an die Regeln für den E-Mail-Versand halten. Das heißt, obwohl sie als Authentifizierungsmethode funktioniert, müssen Sie bei der Gestaltung des Inhalts Ihrer E-Mails die folgenden Grundregeln beachten: Achten Sie auf das Verhältnis zwischen Text und Bild, vermeiden Sie Wörter, die von Spamfiltern als gefährlich eingestuft werden, usw.

Ein weiterer Punkt ist, dass SPF und DKIM nicht festlegen, was zu tun ist, wenn die Überprüfung fehlschlägt. Hier kommt das DMARC-Protokoll ins Spiel, das dem Server des Empfängers mitteilt, wie er sich verhalten soll, wenn die E-Mail-Authentifizierung des Absenders fehlschlägt.

Authentifizierung Ihrer Domains mit SPF, DKIM und DMARC

Um die SPF-, DKIM- und DMARC-Authentifizierungseinstellungen für Ihre Domain zu konfigurieren, benötigen Sie Zugang zu den DNS-Einträgen Ihres Hosting-Accounts (OVH, 1&1, HostGator usw.). Wenn Sie diese nicht finden können oder keinen Zugang zu ihnen haben, kann Ihnen Ihr Hosting-Provider helfen.

So konfigurieren Sie einen DNS-Eintrag für die SPF-Authentifizierung

Bei der Konfiguration sind zwei Dinge über SPF-Einträge zu beachten:

• Ein SPF-Record ist ein TXT-Record-Typ - nicht zu verwechseln mit dem SPF-Typ (verwendbar, aber nicht empfohlen).

•  Es sollte nur einen SPF-Eintrag pro Domain geben. Wenn Sie mehrere DNS-SPF-Einträge haben, wissen E-Mail-Betreiber nicht, welchen sie verwenden sollen. Dies kann zu Authentifizierungsproblemen führen.

Überprüfen Sie Ihre DNS-Einträge in Ihrem Hosting-Konto. Wenn Sie keine SPF-Einträge sehen, erstellen Sie einen. Andernfalls aktualisieren Sie einfach den schon vorhandenen SPF-Eintrag. Denken Sie auch daran, dass Sie in manchen Fällen einen SPF-Eintrag für eine bestimmte Subdomain hinzufügen sollten, unabhängig vom SPF-Eintrag für Ihre Hauptdomain. Obwohl es den Rahmen dieses Artikels sprengen würde, möchten wir Ihnen vier der acht Mechanismen, die in einem SPF-Eintrag verwendet werden können, kurz vorstellen:

• ip4: ermöglicht die Angabe einer IPv4.

• ip6: ermöglicht die Angabe einer IPv6 anstelle einer IPv4

• mx: ermöglicht die Angabe der IP, zu der der MX-Eintrag einer Domain aufgelöst wird

• ptr: verwandt mit den PTR-Einträgen, etwas komplexer

So richten Sie einen DNS-Eintrag für die DKIM-Authentifizierung ein

Um die DKIM-Authentifizierung zu verwenden, müssen Sie einen neuen Eintrag für DKIM erstellen. Im Gegensatz zur SPF-Authentifizierung kann Ihre Domain problemlos mehrere DKIM-DNS-Einträge enthalten. Erstellen Sie in Ihrem Hosting-Konto einen neuen DNS-Eintrag des Typen TXT.

Je nach Host müssen Sie möglicherweise Anführungszeichen um den TXT-Wert herum einfügen. Wenn Sie unsicher sind, ob Sie Anführungszeichen einfügen müssen, können Sie sich an Ihren Hosting-Provider wenden.

So konfigurieren Sie einen DNS-Eintrag für die DMARC-Authentifizierung

Bevor Sie mit der Implementierung von DMARC beginnen, stellen Sie sicher, dass die SPF- und DKIM-Einträge korrekt implementiert wurden. Wie bereits erwähnt, definiert DMARC über einen speziellen DNS-Eintrag die Richtlinie, die im Falle eines Versagens der SPF- und DKIM-Protokolle anzuwenden ist.  Dies erfordert eine Übereinstimmung zwischen den SPF- und DKIM-Domainnamen und dem "From"-Header. DMARC ermöglicht es Ihnen dann, im Falle einer Nichtübereinstimmung eine der drei folgenden Richtlinien anzuwenden:

• Überwachen: Keine Aktion, lokale DMARC-Richtlinien werden angewendet

• “v=DMARC1; p=none; rua=mailto:admin@ihrunternehmen.com"

•  Quarantäne: Hierbei werden E-Mails analysiert und in Quarantäne verschoben

  • "v=DMARC1; p=quarantine; rua=mailto:admin@ihrunternehmen.com"

•  Zurückweisen: Nachrichten werden zurückgewiesen

  • "v=DMARC1; p=reject; rua=mailto:admin@ihrunternehmen.com"

Ablehnen: Ausführlichere Informationen zur Implementierung von DMARC finden Sie in unserem umfassenden DMARC-Leitfaden.

SPF, DKIM und DMARC mit Sinch Mailjet einrichten: So geht’s

Damit Mailjet als legitimer Absender definiert werden kann, empfiehlt es sich SPF, DKIM und DMARC für jeden Ihrer Sendebereiche zu konfigurieren.

Die Einrichtungen von SPF und DKIM mit Mailjet ist sehr einfach. Mailjet gibt Ihnen den öffentlichen Schlüssel, mit dem Sie sich über die Host-Schnittstelle Ihrer Webseite registrieren können. Dort können Sie den öffentlichen Schlüssel in Ihren Registrierungsbereich integrieren.

Auch Mailjet fügt den DKIM per Default ein. Im Vergleich zur Konkurrenz gibt es jedoch einen großen Unterschied. Wir bieten diesen Personifizierungsservice an für alle unsere Mailjet-Kunden an, selbst wenn Sie “nur” ein kostenloses Konto haben.

Alle notwendigen Informationen und eine Schritt-für-Schritt-Anleitung finden Sie in unserer umfassenden Dokumentation unter SPF & DKIM Authentifizierung. Dort finden Sie ebenfalls Support-Anleitungen für jeden der wichtigsten Hosting-Provider (OVH, Gandi, Cloudfare, Hostgator....).

So richten Sie SPF und DKIM ganz einfach bei Mailjet ein.

Auf der gleichen Konfigurationsseite, die Sie für SPF verwendet haben, finden Sie auch die DKIM-Informationen.

Auch hier müssen Sie die Informationen, die Sie dort finden, kopieren und in Ihren Host einfügen. In diesem Fall würden die beiden Texte zum Beispiel wie folgt lauten:

Achtung: Denken Sie daran, dass dies nur ein Beispiel ist. Sie müssen die Informationen, die in Ihrem Mailjet-Konto erscheinen, kopieren und einfügen.

Ihre nächsten Schritte

Sie wissen jetzt was DKIM, SPF und DMARC sind, warum diese wichtig sind und wie Sie diese bei Mailjet einrichten. Setzten Sie Ihr Wissen gleich: Melden Sie sich bei Mailjet an und folgen Sie unserer Anleitung, um sichere E-Mails zu verschicken.

*** Dies ist eine Überarbeitung eines Artikels, der ursprünglich von Laura Itner verfasst und im Mai 2021erstmals publiziert wurde.