Was sind DKIM, SPF und DMARC?

Veröffentlicht: 2022-10-07

Werden Ihre E-Mails ständig von den Spamfiltern Ihrer Empfänger gestoppt? Schlimmer noch, tauchen sie überhaupt nicht auf?

Die Zustellbarkeit von E-Mails ist für viele Unternehmen ein Problem – und die Lösung des Problems kann manchmal eine dunkle Kunst sein. In diesem Leitfaden diskutieren wir drei erstklassige Lösungen zur Verbesserung der E-Mail-Zustellbarkeit: DKIM, SPF und DMARC.

Das Einrichten von DKIM, SPF und DMARC für Ihre Domain kann die E-Mail-Zustellbarkeit verbessern und gleichzeitig das Risiko verringern, dass Betrüger und Spoofer erfolgreich E-Mails senden, die vorgeben, von Ihrer Organisation zu stammen.

Was sind DKIM und SPF?

DKIM und SPF sind zwei digitale Methoden, die zur E-Mail-Validierung verwendet werden. Sie können sowohl den Absender als auch den Empfänger einer E-Mail vor Spoofing, Phishing und Identitätsdiebstahl schützen.

Wenn das E-Mail-Konto einer Person eine E-Mail mit einer DKIM- oder SPF-Signatur erhält, überprüfen ihre Spamfilter die Domäne des Absenders, um sicherzustellen, dass die E-Mail gültig und nicht gefälscht ist. E-Mails, die die DKIM- oder SPF-Prüfung bestehen, können zugestellt werden; E-Mails, die nicht bestanden werden, werden abgelehnt oder unter Quarantäne gestellt.

DKIM wird verwendet, um E-Mails zu validieren, die von einer bestimmten Domain gesendet werden, während SPF auch E-Mails validiert, die von Dritten im Namen der „Absender“-Domain gesendet werden.

Was ist DKIM?

Lassen Sie uns ausführlicher über DKIM und SPF sprechen, beginnend mit DKIM.

DKIM (DomainKeys Identified Mail) ist ein Sicherheitsprotokoll, das dem E-Mail-Konto einer Person mitteilen kann, ob eine E-Mail wirklich von der Domäne gesendet wurde, von der sie angeblich gesendet wurde.

Im Jahr 2005, vor dem Start von DKIM, war E-Mail-Spoofing besonders weit verbreitet. Dies veranlasste eine Gruppe hochkarätiger Teilnehmer der Internetbranche, darunter Yahoo!, Cisco und Microsoft, eine Lösung zu entwickeln: DKIM. Die Gruppe stellte fest, dass die behauptete Verbindung zwischen einer E-Mail und einer Domain validiert werden konnte, indem den Metadaten jeder E-Mail ein Sicherheitsschlüssel hinzugefügt wurde. Dies würde Domains eine Möglichkeit bieten, die Legitimität ihrer eigenen E-Mails zu beweisen, während es für Betrüger schwieriger wird, eine Verbindung zwischen ihren gefälschten E-Mails und der Domain eines anderen vorzutäuschen.

Wenn für eine Domain DKIM eingerichtet ist und diese Domain eine E-Mail an einen Empfänger sendet, vergleicht das E-Mail-Konto des Empfängers die DKIM-Signatur in der E-Mail mit den DNS-Einträgen der Domain. (Ein DNS-Eintrag ist der Online-Eintrag der Domain mit ihren grundlegenden Identifizierungsinformationen). Stimmt die Signatur überein, besteht die E-Mail den DKIM-Check und kann somit zugestellt werden.

So richten Sie DKIM auf Ihrer Domain ein

Die Einrichtung von DKIM ist eine wichtige, zugängliche Methode, um das Risiko von E-Mail-Spoofing zu verringern und gleichzeitig die E-Mail-Zustellbarkeit zu verbessern.

Der DKIM-Einrichtungsprozess variiert je nachdem, welchen E-Mail-Dienstanbieter Sie verwenden. Beispielsweise führt Gmail einige Schritte automatisch im Namen der Domain aus. Wenn Sie lieber eine vollständig manuelle DKIM-Einrichtung durchführen möchten, sind die folgenden Schritte erforderlich:

  1. Installieren Sie ein DKIM-Paket auf dem E-Mail-Server der Domain
  2. Verwenden Sie ein DKIM Wizard-Tool, um ein öffentliches und ein privates DKIM-Schlüsselpaar zu erstellen
  3. Laden Sie einen TXT-Eintrag des öffentlichen DKIM-Schlüssels in den DNS-Eintrag der Domain hoch
  4. Speichern Sie den privaten DKIM-Schlüssel sicher (dort, wo das DKIM-Paket sagt, dass er gespeichert werden soll)
  5. Überprüfen Sie, ob der E-Mail-Anbieter eine zusätzliche DKIM-Konfiguration erfordert, und führen Sie alle entsprechenden weiteren Schritte aus

Agari.com bietet detaillierte Anleitungen zu jedem Schritt des DKIM-Einrichtungsprozesses.

Sobald DKIM eingerichtet ist, sollte die Domain gut positioniert sein, um die Vorteile der verbesserten Zustellbarkeit und Sicherheit zu nutzen. Spamfilter haben jetzt ein klares Signal, dass die E-Mails der Domain legitim sind, wodurch einer der wahrscheinlichsten Gründe beseitigt wird, warum diese E-Mails möglicherweise als Spam behandelt wurden.

Wenn ein böswilliger Absender versucht, E-Mails unter dem Deckmantel der Domain zu senden, sollten die E-Mails außerdem von den Spamfiltern der Empfänger abgeholt werden, da sie keinen DKIM-Schlüssel haben, der mit dem zum DNS der Domain hinzugefügten übereinstimmt.

Was ist SPF?

SPF (Sender Policy Framework) ist eine Möglichkeit, alle Parteien zu validieren, die E-Mails im Namen einer Domain senden, von den verschiedenen sendenden Domains, die dem Absender gehören können, bis hin zu E-Mail-Marketing-Tools wie MailChimp und Campaign Monitor.

SPF erleichtert dies, indem es das E-Mail-Konto des Empfängers auffordert, eine Liste zulässiger Sendedetails in der Domänenregistrierung des Absenders zu überprüfen. Wenn die Angaben des sendenden Kontos mit den Angaben in der Registrierung übereinstimmen, kann die E-Mail zugestellt werden; stimmen die Angaben nicht überein, wird die E-Mail abgelehnt oder unter Quarantäne gestellt.

Die Ideen und Technologien, aus denen SPF werden sollte, wurden Anfang der 2000er Jahre gemeinsam von einer großen Gemeinschaft von E-Mail-Experten entwickelt.

So richten Sie SPF ein

Das Einrichten von SPF für eine Domain ist glücklicherweise einfach.

Erstellen Sie zunächst einen TXT-Eintrag, der alle Domains und Server auflistet, die zum Senden von E-Mails im Namen einer Domain zugelassen sind. Dazu können Webserver, interne Mailserver, ISP-Mailserver, Postfachserver von Endbenutzern und Mailserver von Drittanbietern gehören, die zum Senden von E-Mails im Namen der Domäne verwendet werden. Die Aktionen, die Sie ausführen müssen, sind also:

  1. Erstellen Sie eine Liste relevanter Domains und Server;
  2. Erstellen Sie einen TXT-Eintrag mit den aufgelisteten Domänen und Servern in diesem Format.

Als Nächstes können Sie SPF aktivieren, indem Sie dem DNS Ihrer Domain einen SPF-TXT-Eintrag hinzufügen. Google bietet eine detaillierte Anleitung zum Einrichten von SPF.

Sobald SPF eingerichtet ist, haben E-Mail-Konten die Möglichkeit, alle legitimen E-Mails zu überprüfen, die im Namen Ihrer Domain gesendet werden. Dadurch wird die Zustellbarkeit Ihrer E-Mails verbessert und gleichzeitig der Schutz aufrechterhalten, den Spamfilter gegen gefälschte E-Mails bieten können, die vorgeben, von Ihrer Domain zu stammen.

Ein Tool zum Testen von DKIM- und SPF-E-Mail-Signaturen

Nachdem Sie die Einrichtung von DKIM und SPF abgeschlossen haben, sollten Sie testen, ob beide Technologien ordnungsgemäß funktionieren. Wir empfehlen die Verwendung des kostenlosen Tools von mail-tester.com: Überprüfen Sie Ihre SPF- und DKIM-Schlüssel.

Das Testen Ihrer DKIM- und SPF-Vorkehrungen ist von entscheidender Bedeutung, da eine falsche Konfiguration die Zustellbarkeit Ihrer E-Mails beeinträchtigen könnte.

Was ist DMARC?

DMARC ist ein fortschrittliches E-Mail-Sicherheitsprotokoll, das den Schutz von DKIM und SPF um Berichtsfunktionen erweitert. Für Domains, die E-Mail in großem Umfang verwenden, kann DMARC ein besonders leistungsfähiges und effizientes Tool sein, um Zustellbarkeitsprobleme zu melden und Informationen über problematische E-Mails zu sammeln, die mit der Domain verbunden sind.

Als DKIM und SPF zum ersten Mal auf den Markt kamen, hoffte man, dass die Technologien eine wasserdichte Lösung für die Validierung von E-Mails darstellen würden. Leider haben sich DKIM und SPF nicht immer als absolut effektiv erwiesen, um betrügerische E-Mails zu verhindern – insbesondere in Fällen, in denen der Domaininhaber E-Mails in großem Umfang und mit mehreren E-Mail-Systemen verwendet.

Im Jahr 2012 hat eine Koalition von Internetgiganten wie PayPal, Google, Microsoft und Yahoo! versammelt, um an einer Möglichkeit zu arbeiten, die Schwächen von DKIM und SPF auszugleichen. Sie entwickelten ein Sicherheitsprotokoll namens DMARC, das den bestehenden DKIM- und SPF-Signaturen eines E-Mail-Kontos eine umfassende Berichtsfunktion hinzufügt.

Mit DMARC wird jede E-Mail weiterhin basierend auf ihrer DKIM- oder SPF-Signatur weitergeleitet, abgelehnt oder unter Quarantäne gestellt; der Unterschied kommt danach. Immer wenn eine E-Mail abgelehnt oder unter Quarantäne gestellt wird, sendet DMARC einen Fehlerbericht an die Domäne. Und in regelmäßigen Abständen sendet DMARC der Domain einen „Gesamtbericht“, der Informationen über weitergeleitete, abgelehnte und unter Quarantäne gestellte E-Mails zusammenfasst.

Die DMARC-Berichte enthalten Details zum Autoren-Domainnamen sowie Informationen zur Interaktion zwischen Absender und Empfänger. Dies gibt dem Domaininhaber einen sehr klaren Überblick darüber, wie sein E-Mail-Kanal verwendet wird und wer ihn verwendet – einschließlich potenzieller Betrüger.

So verwenden Sie DMARC-Berichte

DMARC-Berichte können in Bezug auf die Zustellbarkeit von E-Mails von großem Vorteil sein. Die von den Berichten hervorgehobenen Fehler helfen Unternehmen dabei, Fälle bösartiger E-Mails im Zusammenhang mit ihrer Domain zu identifizieren und zu behandeln. Dadurch wird die Menge an negativen Signalen rund um eine Domain reduziert, die von E-Mail-Dienstleistern aufgegriffen werden, was sich positiv auf die E-Mail-Zustellbarkeit der Domain insgesamt auswirken kann.

E-Mail-Dienste wie Gmail und Outlook können detaillierte DMARC-Berichte erstellen, die alle von einer Domain gesendeten E-Mails abdecken, einschließlich Informationen zu allen IP-Adressen, die die Domain zum Senden einer E-Mail verwendet haben.

Um DMARC-Berichte zu aktivieren, muss der Domaininhaber zunächst einen DMARC-Eintrag für die Domain erstellen. Fehler im DMARC-Eintrag einer Domain können ernsthafte Probleme bei der E-Mail-Zustellbarkeit verursachen, daher empfehlen wir immer, einen erfahrenen Auftragnehmer oder Dienst zu beauftragen, um sicherzustellen, dass die DMARC-Einrichtung reibungslos verläuft.

Sobald der DMARC-Eintrag einer Domain aktiv ist, kann sie damit beginnen, DMARC-Berichte von E-Mail-Dienstanbietern zu erhalten.

DMARC-Berichte sind in ihrem Rohformat schwer zu verstehen, daher ist es ratsam, eine DMARC-Analysesoftware wie DMARC Analyzer zu verwenden, um jeden Bericht effizient auf Fälle von böswilliger Nutzung zu scannen. Wenn die Software Phishes aufspürt, kann der Domaininhaber geeignete Maßnahmen ergreifen, z. B. Gmail und andere E-Mail-Dienste anweisen, die böswilligen Absender in Zukunft abzulehnen.

Das Akronym DMARC steht für Domain-based Message Authentication Reporting and Conformance.

Wir möchten noch einmal betonen, dass wir Ihnen bei Interesse an DMARC raten würden, das Tool von einem Experten einrichten zu lassen, der die Leistung überwachen und Anpassungen vornehmen kann, um Ihre DMARC-Richtlinie genau richtig zu machen.

DKIM, SPF und DMARC als Teil der E-Mail-Zustellbarkeitshygiene

DKIM, SPF und DMARC tragen alle zur Zustellbarkeit und Sicherheit von E-Mails bei. Um jedoch die besten Ergebnisse zu erzielen, müssen sie im Rahmen einer gründlichen E-Mail-Hygiene verwendet werden. Das bedeutet, dass die Domain regelmäßig eine Reihe von Prozessen durchläuft – einschließlich der Verwaltung von DKIM, SPF und DMARC – um eine optimale E-Mail-Zustellbarkeit sicherzustellen.

Für viele E-Mail-Vermarkter ist die wichtigste Komponente der E-Mail-Hygiene das Aufräumen Ihrer E-Mail-Liste (auch bekannt als Ihre Mailingliste). Dies kann beinhalten, die Liste durchzugehen, um Empfänger zu identifizieren, die eine E-Mail seit langem nicht geöffnet haben, und diese Empfänger dann aus der E-Mail-Liste zu entfernen. Sie können Ihre E-Mail-Liste auch auf „horizontale Inkonsistenzen“ überprüfen – wenn eine der Informationen über einen Empfänger, wie z. B. der Name, nicht mit der E-Mail-Adresse übereinstimmt (z. B. Name: Dr. Norman Whibley-Castle; E-Mail-Adresse : bikerchickmartha2001[at]gmail[dot]com). Weitere Anleitungen zur E-Mail-Hygiene finden Sie im Artikel von tye.io, „10 Essential Email Hygiene Best Practices for 2021“.

Wir empfehlen die folgenden Schritte zur Verwaltung von DKIM, SPF und DMARC:

  • DKIM und SPF : Testen Sie regelmäßig Ihre DKIM- und SPF-Schlüssel.
  • DMARC : Wenn Sie DMARC verwenden, lassen Sie Ihre DMARC-Berichte regelmäßig von einem Expertenteam oder einem Auftragnehmer überprüfen und die Einstellungen der Domain bei Bedarf anpassen.

Mit DKIM, SPF und möglicherweise DMARC verfügt Ihre Domain über eine hervorragende Grundlage für die Zustellbarkeit und Sicherheit von E-Mails. Denken Sie nur daran, diese Technologien als Teil Ihres E-Mail-Hygieneplans zu verwalten, da dies dazu beiträgt, dass sie ordnungsgemäß funktionieren.

Die Einrichtung dieser E-Mail-Sicherheitstechnologien ist ziemlich arbeitsintensiv – aber letztendlich werden Sie belohnt, indem Sie sehen, dass ein erhöhter Prozentsatz Ihrer E-Mails im Posteingang des Empfängers landet.