E-Mail-Zustellbarkeit: SPF, DKIM und DMARC leicht gemacht

Jazmie Jamaludin

Sie senden eine wichtige E-Mail an einen Kunden. Ein Angebot, eine Rechnung, eine Antwort, auf die er gewartet hat. Stunden vergehen. Dann ein Tag. Irgendwann meldet er sich über einen anderen Kanal: "Ich habe Ihre E-Mail nie erhalten." Sie überprüfen Ihren Ordner "Gesendete Elemente", und dort ist sie, erfolgreich gesendet. Wohin ist sie also verschwunden? Höchstwahrscheinlich ist sie in einem Spam-Ordner gelandet oder wurde stillschweigend abgelehnt, bevor sie überhaupt ankam. Dieses frustrierende, unsichtbare Versagen hat einen Namen: schlechte E-Mail-Zustellbarkeit.

Die gute Nachricht ist, dass die Zustellbarkeit kein Glücksspiel ist. Sie wird durch drei kleine, aber leistungsstarke Einstellungen mit einschüchternden Namen gesteuert: SPF, DKIM und DMARC. Sobald sie eingerichtet sind, ist die Wahrscheinlichkeit, dass Ihre E-Mails im Posteingang ankommen, viel höher, und Betrügern fällt es viel schwerer, gefälschte Nachrichten zu senden, die vorgeben, von Ihnen zu stammen. Dieser Leitfaden erklärt alle drei in einfacher Sprache, warum sie existieren und wie man sie ohne technischen Hintergrund einrichtet.

Warum E-Mails überhaupt geschützt werden müssen

E-Mails wurden in einer vertrauensseligeren Ära erfunden. Das ursprüngliche Design erlaubte es jedem, vorzugeben, von jeder Adresse zu senden, ein bisschen wie das Versenden eines Briefes mit einem fremden Namen in der Absenderzeile. Diese Offenheit machte E-Mails wunderbar flexibel, aber auch leicht zu missbrauchen. Betrüger senden jeden Tag Milliarden gefälschter Nachrichten, viele davon geben vor, von echten Unternehmen zu stammen. Um sich zu wehren, bauten Postfach-Anbieter ein System von Prüfungen auf, die eine einfache Frage stellen: Kann dieser Absender beweisen, dass er der ist, für den er sich ausgibt?

SPF, DKIM und DMARC sind die Art und Weise, wie Sie diese Frage mit "Ja" beantworten. Sie sind der Unterschied zwischen einer E-Mail, die im Posteingang landet, und einer, die markiert, gefiltert oder gelöscht wird. Sie alle existieren als Datensätze in den DNS-Einstellungen Ihrer Domain. Wenn dieser Begriff für Sie neu ist, ist unser Leitfaden "DNS-Datensätze für nicht-technische Inhaber erklärt" der perfekte Ausgangspunkt, und "Domain-Verlängerung und DNS-Grundlagen" behandelt, wo diese Einstellungen zu finden sind.

Der Großteil des gesamten E-Mail-Verkehrs ist Spam oder Betrug
Postfach-Anbieter filtern aggressiv, weshalb legitime Absender ihre Identität nachweisen müssen, um den Posteingang zu erreichen.
Quelle: E-Mail-Sicherheitsforschung der Branche, einschließlich Berichten von Cisco und Google

SPF: die Gästeliste

SPF steht für Sender Policy Framework, aber es ist einfacher, es sich als Gästeliste vorzustellen. Es ist ein Datensatz, den Sie veröffentlichen und der im Wesentlichen besagt: "Dies sind die Server, die berechtigt sind, E-Mails im Namen meiner Domain zu versenden." Wenn eine Nachricht ankommt, überprüft der empfangende Server, ob sie von einem Server auf Ihrer Liste stammt. Wenn ja, besteht die E-Mail die SPF-Prüfung. Wenn nicht, sieht die Nachricht verdächtig aus.

Der praktische Haken ist, dass viele Unternehmen E-Mails von mehr als einem Ort senden: ihrem Haupt-E-Mail-Dienst, einer Newsletter-Plattform, einem Fakturierungstool, einem Support-Desk. Jedes davon muss in Ihrem SPF-Eintrag enthalten sein, sonst können die Nachrichten die Prüfung nicht bestehen. Ein häufiger Grund, warum gute E-Mails gefiltert werden, ist einfach, dass ein neues Tool hinzugefügt wurde, ohne SPF zu aktualisieren. Diese Liste aktuell zu halten, ist ein kleiner, aber echter Teil der laufenden Pflege Ihrer Online-Präsenz im Laufe der Zeit.

DKIM: das fälschungssichere Siegel

DKIM steht für DomainKeys Identified Mail. Wenn SPF eine Gästeliste ist, ist DKIM ein Wachssiegel auf dem Umschlag. Wenn Sie eine Nachricht senden, fügt Ihr E-Mail-Dienst eine versteckte digitale Signatur hinzu, die mit einem geheimen Schlüssel erstellt wird, den nur Sie besitzen. Der empfangende Server überprüft diese Signatur anhand eines passenden öffentlichen Schlüssels, den Sie im DNS veröffentlicht haben. Ist die Signatur gültig, sind zwei Dinge bewiesen: Die Nachricht stammt tatsächlich von Ihrer Domain, und sie wurde unterwegs nicht verändert.

Dies ist wichtig, da es Fälschungen erheblich erschwert. Ein Betrüger könnte Ihre Adresse in der Absenderzeile fälschen, aber er kann Ihre DKIM-Signatur ohne Ihren geheimen Schlüssel nicht fälschen. Die meisten seriösen E-Mail-Anbieter können DKIM mit wenigen Klicks für Sie einrichten, indem sie die Schlüssel generieren und Ihnen genau mitteilen, welchen DNS-Eintrag Sie hinzufügen müssen.

DMARC: das Regelwerk und der Bericht

DMARC steht für Domain-based Message Authentication, Reporting and Conformance. Es verbindet die beiden anderen und leistet zwei wertvolle Dinge. Erstens teilt es den empfangenden Servern mit, was mit Nachrichten zu tun ist, die SPF- und DKIM-Prüfungen nicht bestehen: sie durchlassen, in den Spam-Ordner verschieben oder direkt ablehnen. Zweitens sendet es Ihnen Berichte, die zeigen, wer E-Mails unter Verwendung Ihrer Domain sendet, einschließlich aller Betrüger. Allein diese Transparenz ist die Mühe wert.

DMARC wird normalerweise sanft eingeführt. Sie beginnen im "Nur-Überwachungs"-Modus, der nichts ändert, aber Berichte sammelt, so dass Sie Ihre echte E-Mail-Landschaft risikofrei sehen können. Sobald Sie sicher sind, dass jeder legitime Absender die Prüfungen besteht, verschärfen Sie die Richtlinie auf Quarantäne oder Ablehnung. Direkt zu einer strengen Richtlinie überzugehen, ist der klassische Fehler, der versehentlich Ihre eigenen Newsletter blockiert.

SPF, DKIM und DMARC im Vergleich
Einstellung Rolle in einfacher Sprache Wovor es schützt
SPF Eine Gästeliste genehmigter sendender Server. Unautorisierte Server, die sich als Sie ausgeben.
DKIM Eine fälschungssichere Signatur auf jeder Nachricht. Fälschung und veränderte Inhalte.
DMARC Das Regelwerk plus Berichte über Missbrauch. Identitätsdiebstahl und Markenspoofing.
Alle drei zusammen Eine vollständige Identitätsprüfung für Ihre E-Mails. Spamfilterung und Reputationsverlust.

Warum dies Ihre Reputation schützt, nicht nur Ihren Posteingang

Hier gibt es ein größeres Bild. Wenn Betrüger Ihre Domain erfolgreich imitieren, entsteht der Schaden nicht nur bei den Personen, die sie täuschen. Jede betrügerische Nachricht, die in Ihrem Namen gesendet wird, nagt an der Reputation Ihrer Domain, dem unsichtbaren Wert, den Postfach-Anbieter verwenden, um zu entscheiden, ob sie Ihnen vertrauen. Eine beschädigte Reputation bedeutet, dass selbst Ihre ehrlichen E-Mails im Spam landen. Die Einrichtung dieser drei Datensätze ist daher eine Form des Markenschutzes, ähnlich wie die Sicherung Ihrer Website und deren Vertrauenswürdigkeit. Sie passt gut zu anderen Vertrauenssignalen wie Ihrem SSL-Zertifikat und dem Schloss im Browser.

Eine sinnvolle Reihenfolge zum Einrichten

Wenn Sie bei Null anfangen, arbeiten Sie sie in dieser Reihenfolge ab. Beginnen Sie mit SPF und listen Sie jeden Dienst auf, der E-Mails für Sie sendet. Aktivieren Sie als Nächstes DKIM über jeden Ihrer E-Mail-Anbieter und fügen Sie die von ihnen bereitgestellten Schlüssel hinzu. Veröffentlichen Sie schließlich einen DMARC-Datensatz im Überwachungsmodus und lesen Sie die Berichte einige Wochen lang. Erst dann sollten Sie die Richtlinie verschärfen. Schritt für Schritt vorzugehen bedeutet, dass Sie niemals Ihre eigenen Nachrichten blockieren und ein klares Bild davon erhalten, wer Ihre Domain nutzt.

Führen Sie eine Liste Ihrer Absender

Das nützlichste Dokument, das Sie führen können, ist eine einfache Liste aller Tools und Dienste, die E-Mails in Ihrem Namen versenden. Neue Plattformen werden ständig in ein Unternehmen integriert, und jede davon ist ein potenzielles Zustellbarkeitsproblem, wenn sie nicht autorisiert ist. Das Überprüfen dieser Liste beim Hinzufügen oder Entfernen von Tools verwandelt die E-Mail-Sicherheit in eine ruhige Routine statt in einen Notfall. Diese Art der Haushaltsführung passt gut zur regelmäßigen Überwachung Ihrer breiteren Online-Dienste.

Wann man Expertenhilfe in Anspruch nehmen sollte

Für ein kleines Unternehmen mit einem E-Mail-Anbieter ist die Einrichtung von SPF, DKIM und DMARC an einem Nachmittag sehr gut machbar. Für ein Unternehmen, das von vielen Plattformen aus sendet, kann das Interpretieren von DMARC-Berichten und das Anpassen von Richtlinien knifflig werden, und die Risiken sind hoch, da ein Fehler dazu führen kann, dass Ihre E-Mails niemanden mehr erreichen. Wenn es entmutigend wirkt, ist es durchaus sinnvoll, jemanden einmal korrekt konfigurieren zu lassen und es Ihnen dann zur Wartung zu überlassen. Sie können ein Team kontaktieren, das die E-Mail-Authentifizierung für Unternehmen übernimmt, wenn Sie die Berichte lieber nicht alleine navigieren möchten. In jedem Fall ist die korrekte Einrichtung dieser drei Datensätze eine der wertvollsten Maßnahmen, die Sie für Ihre Kommunikation ergreifen können.

Häufig gestellte Fragen

Brauche ich wirklich alle drei: SPF, DKIM und DMARC?+
Ja, idealerweise. SPF und DKIM beweisen jeweils einen Teil Ihrer Identität, und DMARC verbindet sie miteinander, während es über Missbrauch berichtet. Viele Postfachanbieter erwarten heute alle drei, und Absender ohne sie werden eher gefiltert oder abgelehnt.
Werden diese Einstellungen verhindern, dass meine E-Mails vollständig im Spam landen?+
Sie beseitigen einen wichtigen Grund für die Filterung, aber Inhalt und Sendegewohnheiten spielen immer noch eine Rolle. Vermeiden Sie Spam-Formulierungen, halten Sie Ihre Listen sauber und senden Sie konsistent. Die Authentifizierung ist die Grundlage, die Ihre guten Praktiken belohnt.
Was bewirkt der DMARC-Überwachungsmodus eigentlich?+
Er ändert nichts an der Zustellung Ihrer E-Mails, sendet Ihnen aber Berichte, die jede Quelle zeigen, die E-Mails unter Ihrer Domain versendet. Dies ermöglicht es Ihnen, sowohl legitime Tools, die Sie vergessen haben, als auch Betrüger zu erkennen, bevor Sie die Richtlinie verschärfen.
Ich habe ein neues E-Mail-Tool hinzugefügt und Nachrichten begannen abzuprallen. Warum?+
Das neue Tool ist wahrscheinlich nicht in Ihrem SPF-Eintrag enthalten oder es fehlt ihm DKIM, so dass seine Nachrichten die Authentifizierung nicht bestehen. Fügen Sie die Absenderdetails des Tools zu SPF hinzu und aktivieren Sie DKIM dafür; die Abpraller sollten dann aufhören, sobald das DNS aktualisiert wird.

Referenzen

  1. Internet Engineering Task Force. "Domain-based Message Authentication, Reporting, and Conformance (RFC 7489)." ietf.org.
  2. Google. "Email sender guidelines, Workspace Help." google.com.
  3. Cybersecurity and Infrastructure Security Agency. "Enhance Email and Web Security." cisa.gov.
Zurück zum Blog

AUTOMATISIEREN. OPTIMIEREN. DOMINIEREN.

Optimieren Sie Ihre Betriebsabläufe und bieten Sie ein reibungsloses Kundenerlebnis. Unsere Experten implementieren modernste Technologien und optimierte Arbeitsabläufe, damit Sie sich auf Ihre Kernkompetenzen konzentrieren können.

DISKUTIEREN SIE IHRE IDEEN