SPF & DKIM: 7 Buchstaben für vertrauenswürdige E-Mails
Philipp Zeder
Kategorie:in
Entwicklung & Performance
Veröffentlicht am 4. Apr. 2019
Aktualisiert am 8. Apr. 2022
Wer sich mit Themen wie E-Mails und Spam beschäftigt, stolpert unweigerlich über die Abkürzungen SPF und DKIM. SPF steht für den Begriff «Sender Policy Framework» und bezeichnet einen Abwehrmechanismus gegen Spam-Nachrichten. DKIM kürzt den Begriff «DomainKeys Identified Mail» ab und steht für einen Standard, mit dem das Fälschen von Absenderdaten in E-Mails – dem sogenannten Spoofing – verhindert werden soll. Gleichzeitig soll sichergestellt werden, dass die wesentlichen Teile der E-Mail nicht verändert wurden.
SPF: Zutritt nur mit Platz auf der Gästeliste
Mithilfe von SPF definiert die Inhaberin einer Domain, welche Server E-Mails für diese Domain verschicken dürfen und was mit E-Mails geschehen soll, die von einem nicht autorisierten Server stammen. Diese SPF-Regeln werden mittels eines DNS-Eintrags definiert, den Server beim Entgegennehmen der E-Mails prüfen können. Damit ist sichergestellt, dass E-Mails für die gewünschte Domain nur dann angenommen werden, wenn sie von einem «freigeschalteten» Server stammen. Natürlich vorausgesetzt, der empfangende Server prüft den SPF-Eintrag, was nicht zwingend der Fall sein muss.
DKIM: Mittel gegen Spoofing und Phishing
Neben SPF lässt sich mit DKIM die Vertrauenswürdigkeit von E-Mails weiter verbessern. Unterstützt der Mailserver der Empfängerin nämlich DKIM, kann dieser so feststellen, ob die E-Mail von einem Server stammt, den die Absenderin als legitime Quelle definiert hat und ob der Inhalt der E-Mail unterwegs verändert wurde. Ziel dieses Verfahrens ist es, Spammern und Phishern ihre kriminellen Vorhaben zu erschweren.
Damit die Empfängerin zweifelsfrei feststellen kann, ob die E-Mail aus legitimer Quelle stammt, wird vom sendenden Mailserver für jede ausgehenden E-Mail eine digitale Signatur («Hash») erstellt. Diese Signatur wird aus einem privaten Schlüssel sowie dem Inhaltstext der E-Mail generiert und im Header der E-Mail abgelegt. Mit dem öffentlichen Schlüssel, der als DNS-Eintrag des Domainnamens abgelegt ist, kann der empfangende Mailserver daraufhin diesen «Hash» verifizieren.
Ist die Signatur gültig, stammt die E-Mail tatsächlich von der behaupteten Domain. Ist die Signatur ungültig, wurde die Absenderadresse oder der Inhalt der E-Mail manipuliert. Die Empfängerin kann diese Informationen verwenden, um die Bewertungssysteme und Filtertechniken ihrer Spamfilter wirkungsvoller zu gestalten.
Mehr Vertrauen für E-Mails von Mailchimp und Co.
SPF und DKIM sorgen auch bei externen E-Mail-Diensten dafür, dass darüber verschickte E-Mails weniger oft im Spam-Ordner der Empfängerinnen landen. E-Mail-Marketing-Provider wie Mailchimp oder mailXpert bieten an, E-Mails mit SPF und DKIM noch vertrauenswürdiger zu machen. Die Einrichtung ist in der Regel unkompliziert, wie das Beispiel Mailchimp zeigt.
Um SPF und DKIM für den beliebten E-Mail-Marketing-Anbieter zu aktivieren, sind 3 einfache Schritte nötig:
- Als erstes muss die eigene Domain von Mailchimp verifiziert sein. Dazu loggen Sie sich in die Mailchimp-Administrationsoberfläche ein und starten den Verifikationsprozess, der in der passenden Mailchimp-Anleitung Schritt-für-Schritt beschrieben ist. Mailchimp schickt im ersten Schritt eine E-Mail, die Sie mit einem Klick auf den Link in der E-Mail bestätigen müssen.
- Danach hinterlegen Sie in der DNS-Zone Ihrer Domain den DKIM-Eintrag, was im DNS-Editor Ihres my.cyon-Kontos in etwa folgendermassen aussieht:
- Zu guter Letzt hinterlegen Sie noch den von Mailchimp angezeigten SPF-Eintrag im DNS-Editor. Erweitern Sie in diesem Fall einfach den bereits bestehenden Eintrag mit
include:servers.mcsv.net
. Und schon sind E-Mails, die Sie ab diesem Zeitpunkt über Mailchimp versenden, um ein Stückchen vertrauenswürdiger.
Der Einsatz von SPF und DKIM wirkt sich positiv auf die Zustellbarkeit der E-Mails aus und sorgt in der Regel dafür, dass Ihre Versände weniger in den Spamfiltern der Empfängerinnen und Empfänger landen. Zudem wird mit SPF und DKIM dann auch der Einsatz von «Domain-based Message Authentication, Reporting and Conformance», kurz DMARC genannt, möglich. DMARC hilft dabei, den Missbrauch von E-Mails noch weiter zu reduzieren. Wir werden Ihnen die Technologie in den kommenden Wochen in einem weiteren Blogbeitrag genauer vorstellen.
Beteilige dich an der Diskussion
10 Kommentare
Die Links https://wp-content/uploads/2019/04/spf-mailchimp-mycyon.png zu den Bildern in der Anleitung sind verwaist.
Merci für den Hinweis, Emanuel. Wir haben das korrigiert.
Kommt der DMARC Post noch? ;)
Hey Manuel, merci für die Nachfrage. Der damals angekündigte Beitrag ist mit neuen Features verknüpft, die wir in Sachen DNS anbieten werden und ist darum noch nicht erschienen. Stay tuned 😊
Google unterstützt seit kurzem auch MTA-STS:
https://security.googleblog.com/2019/04/gmail-making-email-more-secure-with-mta.html
Ich bin neugierig, was Ihr über DMARC schreibt. Bei MailChimp & Co.scheint mir DMARC nämlich noch nicht gelöst zu sein …
Eine entsprechende Anleitung habe ich bei Mailchimp nicht finden können. Allerdings müsste DMARC auch mit Mailchimp funktionieren, da hier der empfangende Server die tragende Rolle spielt. Die Global Cyber Alliance behandelt das Thema in diesem Youtube-Video und zeigt Stolpersteine auf: https://www.youtube.com/watch?v=beUEa6Ft3f4
Werden DANE und DMARC unterstützt?
Hi Laurin, ich gehe davon aus, dass Du mit Unterstützung die Validierung von ankommenden E-Mails meinst. Wir validieren zurzeit weder DANE noch DMARC für ankommende E-Mails.
Für den Versand Deiner E-Mails kannst Du DANE nutzen, wenn Du für Deine Domain DNSSEC im Einsatz hast. Dazu ist momentan noch ein externer Nameserver nötig. Die DNSSEC-Unterstützung für unsere Nameserver ist in Arbeit.
Den für DMARC nötigen DNS-Eintrag kannst Du jederzeit über den DNS-Editor im my.cyon hinterlegen. Im Netz finden sich viele Tools, die beim Generieren eines DMARC-Eintrags helfen. Eines dieser Tools stammt von der Global Cyber Alliance: https://dmarc.globalcyberalliance.org/
Danke liebes Cyon-Team für den umfassenden und einfach verständlichen Blogeintrag! 💯% was wir gesucht haben!
Liebe Grüsse
Team UBIQ AG