1. Hintergrundwissen
  2. SPF, DKIM und DMARC

SPF, DKIM und DMARC

Du möchtest sicherstellen, dass deine E-Mails nicht im Spam-Ordner deiner Empfänger landen? Dann solltest du dich mit SPF, DKIM und DMARC beschäftigen. Diese drei Methoden helfen dabei, die Zustellbarkeit von E-Mails zu verbessern und das Risiko zu minimieren, dass sie als Spam eingestuft werden.

Informationsstand

alphaNEXT v3.2.3

Stand: 04/2023


HINWEIS! 
Da die auf dieser Seite genannten technischen Konfigurationen i.d.R. auf deinem Webserver vorgenommen werden müssen und der genaue Prozess bei jedem Webhoster abweichen kann, dient diese Hilfestellung lediglich als Anhaltspunkt. Wende dich am besten direkt an deinen Webhoster.

Was ist SPF?

SPF steht für "Sender Policy Framework" und ist eine Methode zur Authentifizierung von E-Mail-Absendern. Wenn du eine E-Mail verschickst, kann der Empfänger anhand des SPF-Eintrags im DNS-Record deiner Domain prüfen, ob die E-Mail tatsächlich von einem berechtigten Absender stammt oder ob es sich um eine gefälschte E-Mail handelt. Der SPF-Eintrag enthält eine Liste von IP-Adressen, die dazu berechtigt sind, E-Mails von deiner Domain zu verschicken.


Wie aktiviere und konfiguriere ich SPF?

Um SPF zu aktivieren, musst du einen SPF-Eintrag in den DNS-Record deiner Domain eintragen. Dazu solltest du die Anweisungen deines E-Mail-Providers oder Hosting-Anbieters befolgen. In der Regel musst du eine TXT-Datei mit dem SPF-Eintrag erstellen und diese in deinem DNS-System hochladen. Der SPF-Eintrag sollte alle IP-Adressen und Server enthalten, von denen aus du E-Mails verschickst.


Beispiel

Hier ist ein Beispiel für einen SPF-Eintrag für die Domain alphanext.de:

"v=spf1 include:_spf.google.com ~all"

Dieser Eintrag besagt, dass E-Mails von der Domain alphanext.de nur von Servern gesendet werden dürfen, die in der SPF-Aufzeichnung des Hosts _spf.google.com autorisiert sind. Der "~all"-Mechanismus gibt an, dass E-Mails von anderen Servern als den autorisierten Servern möglicherweise zugelassen werden, aber markiert werden sollten.


Was ist DKIM?

DKIM steht für "DomainKeys Identified Mail" und ist eine Methode zur Signierung von E-Mails. Wenn du eine E-Mail signierst, fügst du einen digitalen Schlüssel hinzu, der bestätigt, dass die E-Mail von dir stammt und nicht manipuliert wurde. Der Empfänger kann anhand des DKIM-Schlüssels prüfen, ob die E-Mail tatsächlich von einem berechtigten Absender stammt und nicht gefälscht wurde.


Wie aktiviere und konfiguriere ich DKIM?

Um DKIM zu aktivieren, musst du einen DKIM-Schlüssel generieren und diesen in den DNS-Record deiner Domain eintragen. Dazu solltest du die Anweisungen deines E-Mail-Providers oder Hosting-Anbieters befolgen. In der Regel musst du einen öffentlichen DKIM-Schlüssel in deinem DNS-System hochladen und einen privaten DKIM-Schlüssel auf deinem Server speichern. Der öffentliche Schlüssel wird von deinem E-Mail-Provider oder Hosting-Anbieter genutzt, um die Signatur deiner E-Mails zu prüfen.


Beispiel

Kopfzeilen des E-Mail-Beispiels:

From: "Max Mustermann"  
To: "Anna Beispiel"  
Subject: Beispiel-E-Mail mit DKIM-Signatur 
Date: Wed, 07 Apr 2023 10:00:00 +0200


DKIM-Signatur

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;    d=alphanext.de; s=mail;    h=from:to:subject:date;    bh=J+3T...w3Tn; b=XvJ...Y98=;


Diese DKIM-Signatur gibt an, dass die E-Mail von der Domain alphanext.de stammt und von einem Server signiert wurde, der über den privaten Schlüssel für das DNS-Subdomainschlüsselpaar "mail._domainkey.alphanext.de" verfügt. Die "h"-Angabe gibt an, welche Header-Felder für die Signatur verwendet wurden, während "bh" die Hash-Werte für die Nachricht enthält. "b" enthält die Signatur selbst, die zur Überprüfung der Gültigkeit der Nachricht verwendet wird.

Was ist DMARC?

DMARC ist ein Protokoll, das dazu dient, die E-Mail-Authentifizierung zu verbessern und Spoofing und Phishing zu verhindern. Wenn du DMARC aktivierst, kannst du eine Richtlinie festlegen, die bestimmt, was mit E-Mails passieren soll, die von deiner Domain gesendet werden, aber nicht von dir autorisiert sind.

Um DMARC zu aktivieren, musst du zuerst eine DMARC-Richtlinie für deine Domain erstellen. Diese Richtlinie kann verschiedene Aktionen definieren, die ausgeführt werden sollen, wenn E-Mails von deiner Domain gefunden werden, die nicht ordnungsgemäß authentifiziert sind. Zum Beispiel könntest du DMARC so konfigurieren, dass E-Mails, die nicht von dir autorisiert sind, entweder direkt abgewiesen oder in den Spam-Ordner verschoben werden.

Um eine DMARC-Richtlinie zu erstellen, musst du einen DMARC-Eintrag in deinem DNS erstellen. Hier ist ein Beispielcode, den du anpassen und in dein DNS integrieren kannst:

_dmarc.example.com IN TXT "v=DMARC1; p=reject; rua=mailto:; ruf=mailto:; fo=1"

In diesem Beispiel definiert der DMARC-Eintrag, dass alle E-Mails von der Domain "example.com", die nicht von einem der in SPF oder DKIM autorisierten Server stammen, abgelehnt werden sollen. Zudem gibt es eine Empfängeradresse für DMARC-Reports an.

Um DMARC zu aktivieren, musst du sicherstellen, dass deine E-Mails korrekt mit SPF und DKIM signiert sind, da DMARC diese Technologien verwendet, um E-Mails zu authentifizieren. Sobald du dies getan hast, kannst du deine DMARC-Richtlinie aktivieren, indem du sie in der DNS-Zone deiner Domain veröffentlichst.

Um sicherzustellen, dass DMARC korrekt funktioniert, empfiehlt es sich, einen DMARC-Record-Checker zu verwenden, der überprüft, ob dein DMARC-Eintrag korrekt konfiguriert ist und ob dein SPF- und DKIM-Setup richtig funktioniert. Es gibt verschiedene kostenlose Tools online, die dies tun können.

Indem du DMARC aktivierst und deine E-Mails korrekt authentifizierst, kannst du dazu beitragen, dass deine E-Mails nicht als Spam oder Phishing klassifiziert werden und somit die Zustellrate erhöhen.


INFO! 

Spoofing und Phishing sind zwei Arten von betrügerischen Aktivitäten im Internet, die darauf abzielen, persönliche oder vertrauliche Informationen von ahnungslosen Opfern zu stehlen.

Spoofing ist ein Begriff, der verwendet wird, wenn jemand absichtlich falsche Informationen sendet, um seine wahre Identität oder Absichten zu verschleiern. Ein Beispiel für Spoofing ist das Versenden einer E-Mail, bei der der Absendername manipuliert wurde, um zu suggerieren, dass die E-Mail von einer vertrauenswürdigen Quelle stammt, obwohl sie tatsächlich von einem Betrüger stammt.

Phishing hingegen ist eine Art von Spoofing-Angriff, bei der Betrüger eine gefälschte Website oder E-Mail erstellen, um persönliche Informationen wie Benutzernamen, Passwörter, Kreditkarteninformationen oder Sozialversicherungsnummern zu sammeln. Ein Beispiel für Phishing ist eine gefälschte E-Mail, die vorgibt, von einem Bankinstitut zu stammen und Sie dazu auffordert, auf einen Link zu klicken und Ihre persönlichen Informationen einzugeben.

Die Betrüger nutzen diese Techniken, um Zugang zu Ihren Online-Konten zu erlangen oder um auf Ihre Kosten Online-Käufe zu tätigen. Es ist wichtig, immer vorsichtig zu sein, wenn Sie auf Links in E-Mails klicken oder persönliche Informationen online eingeben. Achten Sie auf verdächtige E-Mails, insbesondere solche, die Sie auffordern, sofort zu handeln oder persönliche Informationen preiszugeben. Vermeiden Sie auch das Öffnen von E-Mail-Anhängen von unbekannten Absendern. Um sich vor Spoofing und Phishing zu schützen, sollten Sie Ihre Passwörter regelmäßig ändern und starke Passwörter verwenden. Darüber hinaus können Sie Anti-Virus-Software und Firewalls verwenden, um Ihre Systeme zu schützen.

Zurück zur Übersicht