Wie SPF, DKIM, DMARC Drive E-Mail-Zustellung, Sicherheit

Veröffentlicht: 2022-11-28

Drei E-Mail-Authentifizierungsstandards arbeiten zusammen, um die E-Mail-Zustellbarkeit für den Absender und die E-Mail-Sicherheit für den Empfänger zu verbessern.

Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) und Domain-based Message Authentication, Reporting, and Conformance (DMARC) tragen dazu bei sicherzustellen, dass die von Ihrem Unternehmen gesendeten E-Mails echt sind und dass böswillige Akteure nicht fälschen oder anderweitig manipulieren Sie.

SPF, DKIM, DMARC

SPF, DKIM und DMARC zeigen dem empfangenden E-Mail-Server, dass eine bestimmte Nachricht von einer autorisierten IP-Adresse gesendet wurde, dass der Absender authentisch ist und dass der Absender seine Identität transparent macht.

Nehmen wir jeden der Reihe nach.

Das Einrichten von SPF-Einträgen für Ihre Domain umfasst das Hinzufügen einer Art TXT-Eintrag, der eine autorisierte Liste von Postausgangsservern zum Domain Name System (DNS) enthält. SPF überprüft, ob E-Mails von der Domäne Ihres Unternehmens von einer authentifizierten Quelle und nicht von einem Betrüger stammen.

DKIM-Schlüssel bestehen aus zwei Teilen: einem im DNS gespeicherten öffentlichen Schlüssel und einem privaten Schlüssel, der auf dem sendenden Mailserver gespeichert ist. Die DKIM-Signatur, die an jede ausgehende E-Mail angehängt ist, wird von den Mailservern der Empfänger verwendet, um ihre Authentizität zu überprüfen. DKIM kann auch anzeigen, ob eine bestimmte E-Mail-Nachricht geändert wurde.

DMARC ist ein Richtlinienmechanismus, mit dem ein Unternehmen steuern kann, wie eingehende E-Mails von seiner Domäne behandelt werden sollen, wenn sie die SPF- oder DKIM-Authentifizierung nicht bestehen. Die Optionen sind „Ablehnen“, „Quarantäne“ oder „Keine“. Dies kann wie eine Alarmglocke wirken, wenn ein Übeltäter versucht, Ihre Domain zu verwenden.

SPF-Einträge

Das Einrichten eines SPF-Eintrags erfordert Zugriff auf die DNS-Einträge Ihrer Domain beim Registrar, wie z. B. GoDaddy oder ähnlichem. Wenn Sie Ihre Domain jemals verifizieren oder auf einen neuen Server verschieben mussten, haben Sie wahrscheinlich ihren DNS-Eintrag aktualisiert.

Screenshot of an SPF record in a DNS settings interface

Ein SPF-Eintrag ist einfach ein TXT-Eintrag im DNS Ihrer Domain.

Der SPF-Eintrag wird vom Typ „TXT“ sein. Und es beginnt mit der Version von SPF, die Sie verwenden.

 v=spf1

Auf die Version folgt eine Liste autorisierter IP4- oder IP6-Adressen, wie in:

 v=spf1 ip4:192.168.0.1

Dieser SPF-Eintrag würde E-Mails von der IP-Adresse 192.168.0.1 autorisieren. Um einen Bereich von IP-Adressen zuzulassen, können Sie die Classless Inter-Domain Routing (CIDR)-Notation (manchmal auch als „Slash“-Notation bezeichnet) verwenden.

 v=spf1 ip4:192.168.0.0 /16

Der obige SPF-Eintrag würde einen Bereich von IP-Adressen von 192.168.0.0 bis 192.168.255.255 autorisieren – das ist es, was das „/16“ anzeigt.

Mit dem Präfix „a“ kann ein SPF-Eintrag eine Domain nach Namen autorisieren. Der folgende Datensatz autorisiert einen Server, der der Domäne example.com zugeordnet ist.

 v=spf1 a:example.com

Ebenso autorisiert das Präfix „mx“ („Mail Exchange“) bestimmte Mailserver.

 v=spf1 mx:mail.example.com

Um einen externen Absender zu autorisieren, verwenden Sie das Präfix „include“. Das folgende Beispiel lässt sowohl einen IP-Bereich als auch Google-Server zu.

 v=spf1 ip4:192.168.0.0/16 include:_spf.google.com

Es gibt auch zwei SPF-Qualifikanten. Das erste ist ~all mit einer Tilde (~). Die zweite ist -alle mit einem Bindestrich (-).

Die Tilde-Version (~all) ist ein Soft-Fail-Qualifizierer. In den meisten Fällen akzeptiert der empfangende E-Mail-Server Nachrichten von Absendern, die nicht im zugehörigen SPF-Eintrag enthalten sind, diese aber als verdächtig einstufen.

Die Bindestrichversion (-all) ist ein Hard-Fail-Qualifizierer. Der empfangende E-Mail-Server wird wahrscheinlich Nachrichten, die von einem im SPF-Eintrag nicht autorisierten Server gesendet werden, als Spam kennzeichnen und ablehnen.

Schließlich können all diese zusammen für relativ komplexe Autorisierungen verwendet werden.

 v=spf1 ip4:192.168.0.0/16 a:example.com include:_spf.google.com

Denken Sie daran, dass SPF-Einträge den empfangenden E-Mail-Servern helfen, authentische E-Mail-Nachrichten von der Domäne Ihres Unternehmens zu identifizieren.

DKIM-Schlüssel

DKIM schützt Ihre Domain und verhindert, dass sich jemand als Ihr Unternehmen ausgibt. Mit den beiden DKiM-Schlüsseln kann der E-Mail-Server des Empfängers überprüfen, ob Ihr Unternehmen die Nachricht gesendet hat und dass sie nach dem Senden nicht geändert wurde.

Der erste Schritt bei der Einrichtung von DKIM besteht darin, die Schlüssel zu generieren – einen öffentlichen und einen privaten. Der private Schlüssel ist sicher auf dem Server, der zum Senden von E-Mails von Ihrer Domain verwendet wird. Der öffentliche Schlüssel wird dem DNS als TXT-Eintrag hinzugefügt.

Der knifflige Teil ist das Generieren der Schlüssel, da das genaue Verfahren zur Erstellung von E-Mail-Dienstanbieter zu E-Mail-Anbieter unterschiedlich ist. Und ganz anders ist es, wenn Ihr Unternehmen einen eigenen Mailserver hostet.

E-Mail-Dienstanbieter bieten Anweisungen an. Hier sind einige Beispiele in keiner bestimmten Reihenfolge.

  • Mailchimp: E-Mail-Domain-Authentifizierung einrichten,
  • Klaviyo: So richten Sie eine dedizierte Sendedomäne ein,
  • Zoho Campaigns: So authentifizieren Sie meine Domäne,
  • MailerLite: E-Mail-Domain-Authentifizierung,
  • Aktivist: DKIM, SPF und DMARC,
  • ConvertKit: Verwenden einer verifizierten Domain für den E-Mail-Versand,
  • MailUp: Maximierung der Zustellbarkeit Ihrer E-Mails,
  • ActiveCampaign: SPF-, DKIM- und DMARC-Authentifizierung,
  • Halten: DKIM.

In jedem Fall ist das DKIM abgeschlossen, wenn Sie den CNAME-Eintrag des E-Mail-Anbieters zum DNS Ihrer Domain hinzufügen – kopieren und einfügen. Diese Datensätze stellen den öffentlichen Schlüssel dar, um die ausgehenden E-Mail-Marketingnachrichten Ihres Unternehmens zu authentifizieren.

DMARC

DMARC bietet eine weitere Schutzebene und weist E-Mail-Server an, was mit Nachrichten zu tun ist, die die SPF- oder DKIM-Authentifizierung nicht bestehen.

Die Grundlage von DMARC ist ein TXT-Eintrag, der im DNS Ihrer Domain platziert wird. Diese enthält die DMARC-Richtlinie mit mindestens zwei Elementen:

  • Eine E-Mail-Adresse, um aggregierte Berichte zur E-Mail-Authentifizierung zu erhalten, und
  • Die Aktion für E-Mails, deren Authentifizierung fehlschlägt (dh ablehnen oder isolieren).

Hier ist ein Beispiel für einen DMARC TXT-Eintrag in einem DNS:

 v=DMARC1; p=Quarantäne; rua=mailto:[email protected]; ruf=mailto:[email protected].

Die Aufzeichnung beginnt mit der DMARC-Version.

 v=DMARC1;

Das „p“-Element weist die Aktion für E-Mails zu, bei denen die Authentifizierung fehlschlägt. In diesem Fall ist es auf „Quarantäne“ eingestellt, was den empfangenden Server anweist, solche Nachrichten in einen Wartebereich zu verschieben. Andere Optionen sind „keine“ – was die E-Mail nicht stoppt, aber SPF- oder DKIM-Ausfälle überwacht – oder „ablehnen“.

 p=Quarantäne;

Die Präfixe „rua“ und „ruf“ teilen dem empfangenden Server mit, wohin er aggregierte Berichte (rua – Reporting URI for Aggregate data) und forensische Berichte (ruf – Reporting URI for Failure data) senden soll. Diese Berichte können einen Kriminellen aufdecken, der versucht, sich als Ihr Unternehmen auszugeben.

Zusätzliche Modifikatoren sind:

  • pct – der Prozentsatz der E-Mail-Nachrichten, die der DMARC-Richtlinie unterliegen.
  • sp – die DMARC-Richtlinie für Subdomains.
  • adkim — Weist DKIM den strikten (adkim:s) oder entspannten (adkim:r) Modus zu.
  • aspf — weist SPF den strikten (adkim:s) oder entspannten (adkim:r) Modus zu.

Dienste von Drittanbietern können helfen, einen DMARC-Eintrag basierend auf dem offiziellen Standard zu erstellen. Diese Dienstleistungen umfassen:

  • MXToolBox,
  • PowerDMARC,
  • Dmarcian,
  • EasyDMARC.

Absender und Empfänger schützen

Das Einrichten von SPF-, DKIM- und DMARC-Einträgen für Ihre Domain stellt sicher, dass E-Mail-Server Nachrichten von Ihrem Unternehmen als authentisch erkennen und Betrüger zurückweisen. Das Ergebnis schützt den Ruf Ihres Unternehmens und schützt Kunden vor Phishing-Angriffen und anderen Arten von E-Mail-Betrug.