SPF & DKIM: 7 Buchstaben für vertrauenswürdige E-Mails

Wer sich mit Themen wie E-Mails und Spam beschäftigt, stolpert unweigerlich über die Abkürzungen SPF und DKIM. SPF steht für den Begriff «Sender Policy Framework» und bezeichnet einen Abwehrmechanismus gegen Spam-Nachrichten. DKIM kürzt den Begriff «DomainKeys Identified Mail» ab und steht für einen Standard, mit dem das Fälschen von Absenderdaten in E-Mails – dem sogenannten Spoofing – verhindert werden soll. Gleichzeitig soll sichergestellt werden, dass die wesentlichen Teile der E-Mail nicht verändert wurden.

SPF & DKIM: 7 Buchstaben für vertrauenswürdige E-Mails

SPF: Zutritt nur mit Platz auf der Gästeliste

Mithilfe von SPF definiert die Inhaberin einer Domain, welche Server E-Mails für diese Domain verschicken dürfen und was mit E-Mails geschehen soll, die von einem nicht autorisierten Server stammen. Diese SPF-Regeln werden mittels eines DNS-Eintrags definiert, den Server beim Entgegennehmen der E-Mails prüfen können. Damit ist sichergestellt, dass E-Mails für die gewünschte Domain nur dann angenommen werden, wenn sie von einem «freigeschalteten» Server stammen. Natürlich vorausgesetzt, der empfangende Server prüft den SPF-Eintrag, was nicht zwingend der Fall sein muss.

DKIM: Mittel gegen Spoofing und Phishing

Neben SPF lässt sich mit DKIM die Vertrauenswürdigkeit von E-Mails weiter verbessern. Unterstützt der Mailserver der Empfängerin nämlich DKIM, kann dieser so feststellen, ob die E-Mail von einem Server stammt, den die Absenderin als legitime Quelle definiert hat und ob der Inhalt der E-Mail unterwegs verändert wurde. Ziel dieses Verfahrens ist es, Spammern und Phishern ihre kriminellen Vorhaben zu erschweren.

Damit die Empfängerin zweifelsfrei feststellen kann, ob die E-Mail aus legitimer Quelle stammt, wird vom sendenden Mailserver für jede ausgehenden E-Mail eine digitale Signatur («Hash») erstellt. Diese Signatur wird aus einem privaten Schlüssel sowie dem Inhaltstext der E-Mail generiert und im Header der E-Mail abgelegt. Mit dem öffentlichen Schlüssel, der als DNS-Eintrag des Domainnamens abgelegt ist, kann der empfangende Mailserver daraufhin diesen «Hash» verifizieren.

Ist die Signatur gültig, stammt die E-Mail tatsächlich von der behaupteten Domain. Ist die Signatur ungültig, wurde die Absenderadresse oder der Inhalt der E-Mail manipuliert. Die Empfängerin kann diese Informationen verwenden, um die Bewertungssysteme und Filtertechniken ihrer Spamfilter wirkungsvoller zu gestalten.

Mehr Vertrauen für E-Mails von Mailchimp und Co.

SPF und DKIM sorgen auch bei externen E-Mail-Diensten dafür, dass darüber verschickte E-Mails weniger oft im Spam-Ordner der Empfängerinnen landen. E-Mail-Marketing-Provider wie Mailchimp oder mailXpert bieten an, E-Mails mit SPF und DKIM noch vertrauenswürdiger zu machen. Die Einrichtung ist in der Regel unkompliziert, wie das Beispiel Mailchimp zeigt.

Um SPF und DKIM für den beliebten E-Mail-Marketing-Anbieter zu aktivieren, sind 3 einfache Schritte nötig:

  1. Als erstes muss die eigene Domain von Mailchimp verifiziert sein. Dazu loggen Sie sich in die Mailchimp-Administrationsoberfläche ein und starten den Verifikationsprozess, der in der passenden Mailchimp-Anleitung Schritt-für-Schritt beschrieben ist. Mailchimp schickt im ersten Schritt eine E-Mail, die Sie mit einem Klick auf den Link in der E-Mail bestätigen müssen.
  2. Danach hinterlegen Sie in der DNS-Zone Ihrer Domain den DKIM-Eintrag, was im DNS-Editor Ihres my.cyon-Kontos in etwa folgendermassen aussieht:
    Einfach eingerichtet: DNS-Eintrag um DKIM für Mailchimp zu aktivieren

    Einfach eingerichtet: DNS-Eintrag um DKIM für Mailchimp zu aktivieren

  3. Zu guter Letzt hinterlegen Sie noch den von Mailchimp angezeigten SPF-Eintrag im DNS-Editor. Erweitern Sie in diesem Fall einfach den bereits bestehenden Eintrag mit include:servers.mcsv.net. Und schon sind E-Mails, die Sie ab diesem Zeitpunkt über Mailchimp versenden, um ein Stückchen vertrauenswürdiger.
    Mit dem passenden SPF-Eintrag sind E-Mails von Mailchimp noch vertrauenswürdiger.

    Mit dem passenden SPF-Eintrag sind E-Mails von Mailchimp noch vertrauenswürdiger.

Der Einsatz von SPF und DKIM wirkt sich positiv auf die Zustellbarkeit der E-Mails aus und sorgt in der Regel dafür, dass Ihre Versände weniger in den Spamfiltern der Empfängerinnen und Empfänger landen. Zudem wird mit SPF und DKIM dann auch der Einsatz von «Domain-based Message Authentication, Reporting and Conformance», kurz DMARC genannt, möglich. DMARC hilft dabei, den Missbrauch von E-Mails noch weiter zu reduzieren. Wir werden Ihnen die Technologie in den kommenden Wochen in einem weiteren Blogbeitrag genauer vorstellen.

Internet-Pionierin Elizabeth Feinler: Warum aus .com fast .bus geworden wäre

Wer im Internet surft, kommt über kurz oder lang mit dem Domain Name System, kurz DNS, in Kontakt. Zumindest im Hintergrund, denn ausser uns Technikfreaks weiss keiner so genau, was es mit dem DNS wirklich auf sich hat. Vereinfacht gesagt dienen DNS-Server als Übersetzer, sie liefern zum Beispiel einem Webbrowser die zur aufgerufenen Domain gehörige IP-Adresse zurück. Gibt also jemand in seinem Webbrowser https://www.cyon.ch ein, muss der Computer des Nutzers erst wissen, welche IP-Adresse zu www.cyon.ch gehört. Erst wenn ihm diese bekannt ist, weiss der Computer, mit welchem Server er sich verbinden muss, um die Website anzuzeigen.

Internet-Pionierin Elizabeth Feinler: Warum aus .com fast .bus geworden wäre

Was heute automatisch und in Bruchteilen von Sekunden im Hintergrund passiert, machte Elizabeth Feinler früher in echter Handarbeit. «Jake», wie sie von Ihren Freunden genannt wird, war von 1972 bis 1989 für das Network Information Center (NIC) des Stanford Research Institute verantwortlich, wo sie damals auch die sogenannte Host-Tabelle führte – von Hand und auf Papier. Elizabeth, die am 2. März 2019 ihren 88. Geburtstag feiert, ist damit eine wahre Pionierin des Internets, auch wenn sie namentlich nur Insidern bekannt sein dürfte.

Denn: Jake erledigte das in Handarbeit. Kam ein neuer Computer dazu oder fiel einer weg, korrigierte sie die papierene Liste, am Schluss mehrmals wöchentlich. Und nicht nur das: Wer wollte, konnte auch beim NIC anrufen und entsprechende Auskünfte bekommen. Jeder Computer-Administrator erhielt eine jeweils aktualisierte Hostnamen-Liste auf Papier, um auch mal selber nachschlagen zu können. Erst später wurde dieser Prozess automatisiert, indem die Liste als ASCII-Datei mit dem Namen «hosts.txt» zur Verfügung gestellt wurde. Computer-Administratoren wurden angehalten, mehrmals wöchentlich die aktuelle Version der «hosts.txt» via FTP herunterzuladen. Und wer das nicht tat und damit für Fehler im Netzwerk sorgte, bekam es mit Jake zu tun, die Stunden damit verbrachte, Sysadmins davon zu überzeugen, dass regelmässige Updates nötig sind.

Auszug aus dem ARPANET-Directory 1974

Auszug aus dem ARPANET-Directory 1974 (Quelle: hyfen.net)

Wie .com sich doch noch gegen .bus durchsetzte

Feinler und das NIC waren es auch, die später beschlossen haben, ARPANET, den Vorgänger des heutigen Internets, aus administrativen Gründen in verschiedene Top-Level-Domains aufzuteilen. Künftig sollte es also die Top-Level-Domains .mil, .gov, .edu, .org und .bus für «Business» geben. Erst im letzten Moment realisierten die Beteiligten, dass der Begriff «bus» bereits in Zusammenhang mit Hardware-Controllern genutzt wurde und entschieden sich am Ende für die Endung .com («Commercial»). Rückwirkend eine ziemlich spannende Anekdote, wenn man bedenkt, dass es heute über 134 Millionen registrierte .com-Domains gibt.

.dev – Neuer Treffpunkt der Entwickler-Gemeinde

Google schickt mit .dev eine weitere Domainendung ins Rennen. Domainnamen mit der neuen Endung gelangen ab 28. Februar 2019 in den öffentlichen Verkauf, um 17:00 Uhr Schweizer Zeit geht’s los. Domains mit der Endung .dev sind dann auch bei uns erhältlich.

.dev – Neuer Treffpunkt der Web-Gemeinde

Top-Level-Domain für Entwicklerinnen und Entwickler

Die Endung .dev richtet sich klar an die weltweite Entwickler-Gemeinde. Restriktionen für die Registration eines .dev-Domainnnamens gibt es grundsätzlich keine, die Endung steht also allen Interessierten zur Registrierung offen. Wie bereits .page und .app ist auch die neueste Endung aus dem Hause Google auf der sogenannten HSTS-Preload-Liste eingetragen. Das macht diese Top-Level-Domains (TLDs) generell sicherer als andere, denn entsprechende Domainnamen sind in den Browsern nur über das verschlüsselte, sichere Protokoll HTTPS erreichbar.

Einige .dev-Adressen sind bereits in Betrieb und geben Inspiration, welche Inhalte unter der neuen Domainendung ein Zuhause finden könnten. So dient mdn.dev zum Beispiel als Einstiegsseite für die MDN Web Docs, das beliebte Nachschlagewerk für alles Wissenswerte rund um Web-Technologien von Mozilla. Und unter web.dev betreibt Google eine Lernplattform, ebenfalls zum Thema Web-Technologien. Ausserdem findet man dort auch Google Lighthouse als Online-Tool.

Der CDN-Provider Cloudflare betreibt unter workers.dev sein «Serverless»-Angebot. Interessierte können denn auch eine Subdomain unter workers.dev für ihre Projekte beantragen. Und unter github.dev und grow.dev finden sich Informationen zu den Static-Site-Generators Jekyll und Grow. Weitere Interessante .dev-Projekte sind auf der Website der Registrierstelle zu finden: get.dev

Informationen zum Start von .dev

Das Angebot an Domainendungen ist bekanntlicht riesig. Da fehlt gelegentlich der Durchblick. Die Endung .dev hat aber durchaus Potential, zum beliebten Adressraum für die Entwickler-Gemeinde zu werden. Wir sind gespannt, welche Projekte zukünftig auf einen .dev-Domainnamen setzen werden.

Domainnamen mit der Endung .dev sind ab 28.02.2019, 17:00 Uhr zu den folgenden Preisen bei uns erhältlich:

Domain CHF EUR USD GBP
.dev 29.90 29.90 30.90 18.90

Wichtige Hinweise

Der Preis gilt für eine Vertragsdauer von einem Jahr. Preisänderungen und Irrtum sind vorbehalten. Der verbindliche Preis wird Ihnen während einer Bestellung angezeigt.
Am oben genannten Datum beginnt die sogenannte General Availability-Phase, in der die Domains frei registriert werden können.

Bei der Registrierung gilt das Prinzip «First come – first served». Zögern Sie also nicht, Ihre Lieblings-Domains gleich ab Verfügbarkeit zu registrieren, bevor jemand anderes schneller ist.

10 Jahre Automatisierung: Happy Birthday froox!

Die Geschichte der Automation bei cyon beginnt früh. Im Oktober 2006, also knapp drei Jahre nach der Gründung, schrieb cyon-Gründer David Burkardt in einem Blogbeitrag von einem Programm, das im Hintergrund unter anderem die Vorgänge nach Eingang einer Bestellung automatisierte:

Es erfolgt automatisch eine Adressprüfung, anschliessend wird der Benutzername und ein Passwort generiert, es wird ein Zielserver zur Erstellung des Accounts vorgeschlagen und am Schluss wird dem Kunden ein E-Mail zugestellt, welches alle Informationen zum neuen Webserver enthält.

Gleichzeitig kündigte David die Entwicklung einer mächtigen neuen Applikation mit dem Projektnamen «momo» an, die zum Herzstück der Verwaltung von cyon werden sollte. Es war der Startschuss für das heutige «froox», das seit Februar 2009 grosse Teile unseres Verwaltungsaufwands automatisiert und damit einen runden Geburtstag feiern darf.

10 Jahre Automatisierung: Happy Birthday froox!

Ohne «froox» stellen wir uns das Arbeitsleben inzwischen ganz schön schwer vor. Die zehntausenden von Codezeilen sorgen zum Beispiel dafür, dass Hostings und Domainnamen, aber auch Vermittlerprämien dem richtigen Kontakt zugewiesen sind, dass Abonnemente regelmässig korrekt erneuert, verrechnet und zur Not auch mal gemahnt werden oder Mehrwertsteuersätze je nach Wohnsitz des Kunden korrekt erhoben werden.

10 Jahre «froox»

Das Alter merkt man «froox» dabei nicht an. Zumindest auf den ersten Blick. Dafür sorgen unsere Software Engineers (die übrigens gerade noch zwei weitere Kolleginnen oder Kollegen suchen), die die Applikation nicht nur up-to-date halten, sondern auch regelmässig neue Funktionen «nachrüsten» oder verfeinern. Trotzdem kommt «froox» heute auch schon mal an seine Grenzen. Und das ist ganz sicher auch dem Alter geschuldet, schliesslich wird «froox» in diesen Tagen ganze 10 Jahre alt.

Ein schönes Jubiläum für ein Helferlein, ohne das cyon wahrscheinlich heute nicht da stehen würde, wo wir heute tatsächlich stehen. Allerdings zeigt das Jubiläum auch: Es wird Zeit für einen würdigen Nachfolger. Und deshalb haben bereits vor einiger Zeit die Arbeiten für ein komplett neues «froox» begonnen. In Anlehnung und als Hommage an damals auch heute wieder unter dem Projektnamen «momo».

Bis es soweit ist und das neue Projekt «momo» auch wirklich produktiv im Einsatz steht, dürfte allerdings noch einige Zeit vergehen. Nichtsdestotrotz: Wir halten Sie auf dem Laufenden!

Transparenzbericht 2018

Seit 2017 veröffentlichen wir jährlich einen Transparenzbericht zum Vorjahr (2016, 2017) und informieren darin über Anfragen von Behörden, Unternehmen und Privaten, die Inhalte unserer Kundinnen und Kunden betreffen. Wir sind damit nach wie vor eines von nur ganz wenigen Schweizer Unternehmen, die mit der Veröffentlichung der entsprechenden Zahlen Transparenz schaffen.

Transparenzbericht 2018

Im vergangenen Jahr haben uns insgesamt 44 Anfragen erreicht. Wer sie gestellt hat, wie wir damit umgegangen sind und um welches Thema sich die Anfrage drehte, zeigen wir nachfolgend auf.

Anfragen zu unzulässigen Inhalten

Anfragen zu unzulässigen Inhalten stammen in der Regel von Privatpersonen und Unternehmen und werden von uns nach dem Code of Conduct Hosting der simsa bzw. des SWICO behandelt. Im Zeitraum vom 01.01.2018 – 31.12.2018 haben wir 38 Anfragen zu unzulässigen Inhalten erhalten:

Anfragesteller

Anfragesteller Anzahl Anfragen
Unternehmen 27
Privatperson 8
Eidgenössische Finanzmarktaufsicht (FINMA) 3

Land des Anfragestellers

Land Anzahl Anfragen
Schweiz 15
USA 9
Grossbritannien 6
Niederlande 3
Deutschland 2
Italien 1
Luxemburg 1
Frankreich 1

Grund der Anfrage

Rechtsgebiet Anzahl Anfragen
Markenrecht 10
Urheberrecht 8
Phishing 7
Spam 5
Persönlichkeitsrecht 2
Verstoss gegen AGB 2
Unbewilligtes Institut 1
Täuschung 1
Betrug 1
Rufschädigung 1

Verfahren nach Code of Conduct

Verfahren Anzahl Anfragen
Notice-and-Notice 24
Notice-and-Takedown 14

Auskunftsersuchen von Behörden

Im Zeitraum 01.01.2018 – 31.12.2018 haben wir 6 Auskunftsersuchen von Behörden erhalten. Dabei handelte es sich um Anfragen der folgenden Instanzen:

Behörde Art der Anfrage Anzahl erhaltener Anfragen Anfragen, bei denen Daten geliefert wurden
Staatsanwaltschaft, Polizei Editionsverfügung
(Art. 263/265 StPO)
4 4
EJPD, ÜPF Rückwirkende Verkehrsdaten, Überwachung des Fernmeldeverkehrs
(Art. 18 Abs. 5 VÜPF)
2 2

Fazit

Die Anzahl der Anfragen steigt zwar kontinuierlich. Augenfällig ist aber, dass die Anzahl der nicht behördlichen Anfragen im Vergleich zum Vorjahr von 13 auf 38 Fälle massiv angestiegen ist, währenddessen sich die Auskunftsersuchen von Behörden halbiert haben (2017: 13 Anfragen, 2018: 6 Anfragen). Ob es sich dabei um Zufall oder einen Trend handelt, dürfte sich im Transparenzbericht für 2019 zeigen, den wir in einem Jahr wiederum veröffentlichen werden.