Was sind SPF, DKIM, DMARC und wie implementiert man sie?

Dieser Guide soll das komplexe Thema der E-Mail-Authentifizierungsprotokolle entmystifizieren, einschließlich SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) und DMARC (Domain-based Message Authentication, Reporting, and Conformance).

Wir werden uns auf die zentrale Rolle konzentrieren, die diese Protokolle bei der Stärkung der E-Mail-Sicherheit, der Reduzierung von Betrug und der Verbesserung der Deliverability spielen, einschließlich der praktischen Schritte, die zu befolgen sind, um SPF, DKIM und DMARC erfolgreich in deiner E-Mail-Kommunikation zu implementieren.

SPF (Sender Policy Framework) verstehen

Was ist SPF?

SPF, oder Sender Policy Framework, ist ein wichtiges E-Mail-Authentifizierungsprotokoll, das entwickelt wurde, um E-Mail-Spoofing und die unbefugte Nutzung von Domains zu reduzieren. SPF dient als robustes Framework, das es Domaininhabern ermöglicht, zu deklarieren, welche Mailserver berechtigt sind, E-Mails im Namen ihrer Domain zu versenden. Mit anderen Worten, seine Hauptaufgabe ist es, böse Akteure daran zu hindern, vorzugeben, E-Mails im Namen deiner Domain zu versenden.

Dies wird durch die Erstellung eines DNS-Eintrags (Domain Name System) erreicht, der die genehmigten Mailserver auflistet und im Wesentlichen als digitale "Absenderadresse" für E-Mails dient, die von dieser Domain stammen. Als Domaininhaber erstellst du also eine spezielle Liste mit DNS (Domain Name System), deinem digitalen Adressbuch. Diese Liste enthält die IP-Adressen der Server, die berechtigt sind, E-Mails von einer bestimmten Domain zu senden – stelle dir das als eine vertrauenswürdige "Absenderadresse" vor.

Das grundlegende Konzept besteht darin, eine bestimmte IP-Adresse oder einen Bereich von IP-Adressen mit einer bestimmten Domain zu verknüpfen. Wenn dann eine E-Mail, die vorgibt, von einer bestimmten Domain zu stammen, an ihrem Ziel ankommt, überprüft der Mailserver des Empfängers den SPF-Eintrag im DNS, um zu überprüfen, ob der sendende Server tatsächlich autorisiert ist.

Wenn eine E-Mail vorgibt, von einer bestimmten Domain zu stammen, überprüft der Mailserver des Empfängers dieses digitale Adressbuch (den SPF-Record), um festzustellen, ob der sendende Server wirklich berechtigt ist, E-Mails für deine Domain zu versenden. Das ist wie eine Sicherheitsprüfung.

Eine der Hauptaufgaben von SPF ist die Verhinderung von E-Mail-Spoofing, einem Akt, bei dem Cyberkriminelle den E-Mail-Header manipulieren, um den Eindruck zu erwecken, dass die Nachricht von einer vertrauenswürdigen Quelle stammt, obwohl dies in Wirklichkeit nicht der Fall ist. Durch die Einrichtung einer klaren und authentifizierten Verbindung zwischen autorisierten Mailservern und einer Domain schafft SPF eine Frontline-Verteidigung gegen unbefugte Stellen, die versuchen, die Glaubwürdigkeit einer Domain auszunutzen.

Wie funktioniert SPF?

Der SPF-Prozess umfasst mehrere Schritte, wie zum Beispiel:

Initiierung: Wenn eine E-Mail an ihrem Ziel ankommt, identifiziert der Mailserver des Empfängers die angebliche Absenderdomain aus dem E-Mail-Header; DNS-Lookup: Der Server führt dann einen DNS-Lookup durch, um den SPF-Record (das digitale Adressbuch der Domain) abzurufen, der mit der Absenderdomain verknüpft ist. Dieser SPF-Record ist im Wesentlichen eine Reihe von Regeln, die vom Domaininhaber festgelegt werden; Verifizierung: Der abgerufene SPF-Record listet die autorisierten IP-Adressen oder -Bereiche auf, die berechtigt sind, E-Mails im Namen der Domain zu versenden, einschließlich der Absenderreputation. Der Mailserver des Empfängers gleicht die Quell-IP-Adresse der eingehenden E-Mail mit den Informationen im SPF-Record ab (der Server vergleicht diese Informationen mit der Quell-IP-Adresse der eingehenden E-Mail und prüft, ob sie übereinstimmen); Entscheidungspunkt: Basierend auf diesem Vergleich trifft der Server eine entscheidende Entscheidung. Wenn die Quell-IP mit dem SPF-Record übereinstimmt, ist die E-Mail legitim und besteht den SPF-Check. Wenn es eine Nichtübereinstimmung gibt, was darauf hindeutet, dass die E-Mail nicht von einem autorisierten Server stammt, schlägt der SPF-Check fehl.

Daher musst du wissen, dass die Grundlage von SPF in der Erstellung von SPF-Einträgen innerhalb der DNS-Konfiguration einer Domain liegt. Hier sind einige Beispiele für die Schlüsselkomponenten:

v=spf1 : Dieser Tag markiert den Beginn des SPF-Records und wird in der Regel von den Mechanismen gefolgt, die die Regeln definieren ; Mechanismen : Dies sind die Regeln, die festlegen, welche IP-Adressen berechtigt sind, E-Mails im Namen der Domain zu senden. Gängige Mechanismen sind "a" (erlaubt den A-Record der Domain), "mx" (erlaubt den MX-Record der Domain) und "ip4" oder "ip6" (legt bestimmte IP-Adressen oder Bereiche fest) ; Modifikatoren : Zusätzliche Anweisungen, sogenannte Modifikatoren, können hinzugefügt werden, um die SPF-Richtlinie zu verfeinern und zukünftige Erweiterungen des Frameworks zu ermöglichen. Zum Beispiel zeigt "-all" eine strikte Richtlinie an, bei der alle anderen Quellen als nicht autorisiert betrachtet werden.

DKIM (DomainKeys Identified Mail) entdecken

Was ist DKIM?

DKIM, oder DomainKeys Identified Mail, ist eine E-Mail-Authentifizierungstechnik, die entwickelt wurde, um die Echtheit von E-Mail-Nachrichten zu überprüfen. Man kann es als digitalen Notar für deine E-Mails bezeichnen, der sicherstellt, dass sie echt sind und nicht verändert wurden.

Im Kern verwendet DKIM digitale Signaturen, um sicherzustellen, dass eine E-Mail während ihrer Übertragung nicht verändert wurde und vom richtigen Absender stammt.

Du kannst dir DKIM wie ein digitales Siegel vorstellen, das an jede ausgehende E-Mail angebracht wird. Dieses mit kryptografischen Schlüsseln erstellte Siegel dient als eindeutige Kennung und bestätigt, dass die E-Mail von der sendenden Domain autorisiert wurde. Auf diese Weise trägt dieser Prozess dazu bei, Vertrauen zwischen dem Absender und dem Empfänger aufzubauen und Letzterem zu versichern, dass die E-Mail legitim und unverfälscht ist.

Das Hauptziel von DKIM ist die Stärkung der E-Mail-Sicherheit durch die Berücksichtigung der folgenden Schlüsselaspekte:

Nachrichtenintegrität: DKIM verhindert, dass böswillige Akteure den Inhalt einer E-Mail verändern, während sie durch das Internet geht. Die digitale Signatur, die mit der E-Mail einhergeht, dient als Echtheitssiegel und versichert dem Empfänger, dass die Nachricht intakt und unverändert bleibt; Absenderauthentifizierung: DKIM authentifiziert die Identität des Absenders und mindert die mit E-Mail-Fälschungen verbundenen Risiken. Durch die Validierung des Ursprungs der E-Mail trägt DKIM dazu bei, Phishing-Versuche zu reduzieren und sicherzustellen, dass die Empfänger der Legitimität des Absenders vertrauen können.

DKIM's Mechanismus

Das Herzstück des DKIM-Mechanismus ist das Konzept der digitalen Signaturen, die in E-Mail-Headern integriert sind:

Signaturprozess: Wenn eine E-Mail gesendet wird, versieht der sendende Server den E-Mail-Header mit einer digitalen Signatur unter Verwendung eines privaten Schlüssels, der für die sendende Domain eindeutig ist. Diese Signatur dient als kryptografischer Stempel, ähnlich einer handschriftlichen Unterschrift auf einem Brief, und kennzeichnet die Authentizität des Absenders; Header-Felder: Die DKIM-Signatur wird typischerweise zu bestimmten Header-Feldern innerhalb der E-Mail hinzugefügt, wie z. B. dem Feld "DKIM-Signature". Dieses Feld enthält die entscheidenden Informationen, die für die Empfänger erforderlich sind, um die Signatur zu überprüfen.

Das Verständnis der Verwendung von öffentlichen und privaten Schlüsseln durch DKIM ist ebenfalls grundlegend, um den Mechanismus vollständig zu verstehen. Die sendende Domain besitzt einen privaten Schlüssel, der sicher gespeichert ist und nur dem Domaininhaber oder seinen autorisierten Stellen bekannt ist. Dieser private Schlüssel wird verwendet, um die digitale Signatur während des Signiervorgangs zu erzeugen.

Auf der anderen Seite wird der öffentliche Schlüssel, wie der Name schon sagt, in den DNS-Einträgen der sendenden Domain öffentlich zugänglich gemacht, so dass die Empfänger auf diesen öffentlichen Schlüssel zugreifen können, um die der E-Mail beigefügte digitale Signatur zu überprüfen.

Die Rolle von DMARC (Domain-based Message Authentication, Reporting & Conformance)

DMARC verstehen

DMARC, oder Domain-based Message Authentication, Reporting & Conformance, kombiniert die Stärken von SPF und DKIM, um die E-Mail-Authentifizierung noch stärker zu machen. Lass uns tiefer in diese Synergie eintauchen:

SPF-Integration: DMARC nutzt SPF, indem es Absendern ermöglicht, in ihren DMARC-Records anzugeben, wie SPF behandelt werden soll. Dies stellt sicher, dass die Übereinstimmung zwischen der Domain des Absenders und der SPF-Authentifizierung vollständig überprüft wird, was den E-Mail-Authentifizierungsprozess stärkt; DKIM-Integration: Ähnlich wie SPF harmoniert DMARC mit DKIM. Es ermöglicht Absendern, die gewünschte Behandlung zu definieren, wenn die DKIM-Übereinstimmung fehlschlägt, wodurch die Validierung der Identität des Absenders verstärkt wird.

Das bedeutet, dass DMARC durch die Zusammenführung von SPF und DKIM in einem kohärenten Rahmen die allgemeine Sicherheit der E-Mail-Kommunikation verbessert und einen umfassenden Schutz vor der unbefugten Nutzung einer Domain bietet.

DMARC führt auch einen klaren und effektiven Mechanismus zur Festlegung von Richtlinien ein, um die E-Mail-Authentifizierung zu stärken. Hier ist eine vereinfachte Zusammenfassung:

Policy Optionen: DMARC bietet drei Policy Optionen für den Umgang mit E-Mails, die die SPF- oder DKIM-Prüfung nicht bestehen: ‘none’, ‘quarantine’ und ‘reject’. ‘None’: Diese Option ist eine anfängliche Überwachungsphase, in der DMARC Berichte sendet, ohne Maßnahmen zu ergreifen. Sie ermöglicht es Absendern, die Auswirkungen auf legitime E-Mails zu beurteilen; ‘Quarantine’: In dieser Phase werden verdächtige E-Mails direkt in den Spam- oder Quarantäneordner des Empfängers geleitet, was einen vorsichtigen Umgang mit potenziellen Bedrohungen darstellt; ‘Reject’: Die strengste Option, 'reject', stellt sicher, dass E-Mails, die die Authentifizierungsprüfung nicht bestehen, vollständig abgelehnt werden, wodurch das Risiko betrügerischer Aktivitäten minimiert wird. Reporting Mechanism: DMARC führt einen robusten Reporting Mechanismus ein, der Feedback zum E-Mail-Authentifizierungsprozess generiert. Dieses wertvolle Feedback unterstützt Absender bei der Verfeinerung ihrer E-Mail-Authentifizierungseinrichtung und bei der Behebung von Problemen, die auftreten können.

Die Auswirkungen von DMARC auf die E-Mail-Zustellung

DMARC übt einen starken Einfluss auf das E-Mail-Routing aus und weist einen Weg, der deine E-Mail-Zustellbarkeit verbessert. In der Praxis prüft DMARC die Übereinstimmung zwischen der Domain im "From"-Header und den authentifizierten Domains durch SPF und DKIM. Wenn die Übereinstimmung bestätigt wird, signalisiert dies den E-Mail Service Providern (ESPs), dass die E-Mail legitim ist und zugestellt werden kann.

Basierend auf der vom Absender festgelegten Richtlinie ('none', 'quarantine' oder 'reject') weist DMARC den ESP an, wie mit E-Mails umzugehen ist, die die Authentifizierung nicht bestehen. Diese Entscheidung beeinflusst maßgeblich die Wahrscheinlichkeit, dass E-Mails den Posteingang des Empfängers erreichen.

In Bezug auf die Berichterstattung und Compliance solltest du bedenken, dass DMARC detaillierte Berichte erstellt, die wertvolle Einblicke in den Alignment-Status, die Authentifizierungsergebnisse und sogar die Disposition von E-Mails geben. Diese Feedbackschleife ermöglicht es Absendern, Probleme zu identifizieren, wie z. B. fehlgeschlagene Authentifizierungen oder potenziellen Missbrauch ihrer Domain.

Darüber hinaus können Absender durch DMARC-Berichte auch Einblick gewinnen, wie ihre E-Mails mit SPF und DKIM übereinstimmen, also mit den angegebenen Richtlinien und Authentifizierungseinstellungen, um eine optimale Zustellbarkeit zu gewährleisten.

Implementierung von SPF, DKIM und DMARC

Schritt-für-Schritt-Anleitung für die SPF-Einrichtung

Die Schaffung eines sicheren E-Mail-Ökosystems beginnt mit der sorgfältigen Einrichtung von SPF (Sender Policy Framework). Vereinfachen wir den Prozess in umsetzbare Schritte für eine effektive SPF-Implementierung:

Schritt 1: Liste deine E-Mail-Dienstleister auf. Bevor du mit der SPF-Einrichtung beginnst, erstelle eine umfassende Liste aller E-Mail-Dienstleister (ESPs), die du zum Senden von E-Mails verwendest. Dieser Schritt ist entscheidend, um sicherzustellen, dass dein SPF-Eintrag alle autorisierten Quellen umfasst.

Schritt 2: Gehe zu den DNS-Einstellungen deiner Domain. Greife auf die Domain Name System (DNS)-Einstellungen deiner Domain zu. Dies ist das virtuelle Adressbuch, das den Fluss des Internetverkehrs steuert.

Schritt 3: Erstelle oder aktualisiere deinen SPF-Record. Suche in den DNS-Einstellungen den Bereich für SPF-Records. Wenn deine Domain keinen bestehenden SPF-Record hat, erstelle einen neuen. Wenn du bereits einen hast, aktualisiere ihn, um die Informationen aller deiner ESPs einzubeziehen.

Schritt 4: Speichern und 48 Stunden warten. Nachdem du deinen SPF-Eintrag konfiguriert oder aktualisiert hast, speichere die Änderungen in deinen DNS-Einstellungen. Es ist wichtig zu beachten, dass die Änderungen an den DNS-Einträgen einige Zeit in Anspruch nehmen können, bis sie sich im Internet verbreitet haben. Warte mindestens 48 Stunden, bis der aktualisierte SPF-Eintrag wirksam wird.

Hier ist ein Formatierungsbeispiel:

v=spf1 include:_spf.example.com include:_spf.anotherprovider.com -all

und ersetze dann "example.com" und "anotherprovider.com" durch die tatsächlichen SPF-Einträge deiner ESPs.

Wenn du mehrere ESPs verwendest, solltest du deren "Include"-Anweisungen in einem einzigen SPF-Eintrag zusammenfassen, um potenzielle Konflikte zu vermeiden.

Um die Effektivität deines SPF zu maximieren, solltest du diese Best Practices beachten:

Überprüfe und aktualisiere regelmäßig deinen SPF-Record, um Änderungen in deiner E-Mail-Infrastruktur widerzuspiegeln und deine Checkliste zur E-Mail-Zustellbarkeit zu vervollständigen. Vermeide es, das von SPF auferlegte DNS-Lookup-Limit (10) zu überschreiten, um Authentifizierungsprobleme zu vermeiden, und teste deinen SPF-Record mit Tools wie dem MailReach SPF Checker, um seine Genauigkeit und Effektivität sicherzustellen.

DKIM einrichten

Die Sicherung deiner E-Mail-Kommunikation beinhaltet auch die Implementierung von DKIM (DomainKeys Identified Mail) durch Schritte, die den SPF-Schritten sehr ähnlich sind:

Schritt 1: Liste deine E-Mail-Dienstleister auf. Zuerst musst du eine Liste der E-Mail-Dienstleister (ESPs) erstellen, die du zum Senden von E-Mails verwendest. Im Gegensatz zu SPF benötigt DKIM einen separaten Eintrag für jeden ESP.

Schritt 2: Finde die DNS-Einstellungen deiner Domain. Greife dann auf die Domain Name System (DNS)-Einstellungen zu, die spezifisch für deine Domain sind. Diese findest du normalerweise im Domain-Verwaltungsportal unter Abschnitten wie "DNS-Einstellungen", "DNS verwalten" oder ähnlichen Titeln.

Schritt 3: Generiere DKIM-Schlüssel für deine(n) Provider. Starte für jeden ESP den Prozess der Generierung eines DKIM-Schlüssels. Die genauen Schritte können je nach Anbieter variieren. Suche daher spezifisch nach deinem ESP, z. B. "DKIM für [deinen Provider] einrichten", und befolge die Richtlinien deines ESP, um den erforderlichen DKIM-Schlüssel zu generieren (Google Workspace, Outlook / Office365, Mailgun, Brevo, Amazon SES …).

Schritt 4: Füge DKIM zu deinem DNS hinzu. Erstelle in den DNS-Einstellungen deiner Domain einen neuen TXT-Eintrag, um die von deinem ESP bereitgestellten DKIM-Key-Details zu integrieren.

Schritt 5: Speichern und 48 Stunden warten. Nachdem du die DKIM-Einträge zu deinem DNS hinzugefügt hast, speichere die Änderungen, um eine Propagation von mindestens 48 Stunden zu ermöglichen, damit die neuen DKIM-Konfigurationen im Internet wirksam werden.

Nehmen wir an, deine Domain ist mydomain.com:

Wenn du beispielsweise Google Workspace verwendest, um deine täglichen E-Mails zu versenden, und Brevo, um Newsletter an deine Abonnenten zu senden, musst du zwei verschiedene DKIM-Einträge einrichten.

Einen für Gmail (Google Workspace) und einen für Brevo.

Dann greife auf die Domain Name System (DNS)-Einstellungen zu, die für deine Domain spezifisch sind (DNS-Einstellungen).

Erstell einen neuen TXT-Eintrag, um die von deinem ESP bereitgestellten DKIM-Schlüsseldetails einzubinden, also:
Name/Host/Alias: Der Selektor deines Anbieters, oft dargestellt als selector._domainkey, Wert/Antwort/Ziel: Der von deinem Anbieter bereitgestellte öffentliche Schlüssel.

DMARC bereitstellen

Um DMARC bereitzustellen, beginnt der Prozess mit dem Aufrufen der DNS-Einstellungen deiner Domain, so wie du es für SPF und DKIM getan hast. Innerhalb dieser Einstellungen erstellst du einen neuen DNS TXT-Eintrag, um deine DMARC-Richtlinie zu speichern.

Hier ist ein Beispiel:

Ein Beispiel für einen unkomplizierten DMARC-Record, der sich für diejenigen eignet, die mit minimalen Eingriffen beginnen möchten, sieht so aus:

v=DMARC1; p=none;

Dieser Standardeintrag initiiert DMARC, ohne sofort Maßnahmen gegen fehlgeschlagene Nachrichten zu ergreifen, und bietet einen benutzerfreundlichen Einstiegspunkt für diejenigen, die es einfach halten wollen.

Über diese Standardeinstellung hinaus kannst du deine DMARC-Richtlinie anpassen, indem du verschiedene Parameter innerhalb des TXT-Records veränderst:

Wenn du beispielsweise p=none festlegst, signalisierst du E-Mail-Empfängern, DMARC-Berichte zu senden, ohne sofort Maßnahmen gegen fehlgeschlagene Nachrichten zu ergreifen. Zusätzlich bestimmen die Angabe von rua- und ruf-E-Mail-Adressen, wohin aggregierte bzw. forensische Berichte gesendet werden.

Was die Überwachung und Analyse der DMARC-Berichte betrifft, kannst du regelmäßig die in rua und ruf angegebenen E-Mail-Adressen überprüfen, um wertvolle Einblicke in die Authentifizierungsergebnisse zu erhalten. Dies hilft dir, potenzielle Probleme zu erkennen und zu beheben.

Fehlerbehebung bei SPF-, DKIM- und DMARC-Problemen

Die Protokolle SPF, DKIM und DMARC erfordern ein gewisses Maß an Präzision und ein klares Verständnis potenzieller Fallstricke. Wenn du mit Authentifizierungsproblemen konfrontiert bist, solltest du gängige Konfigurationsfehler in Betracht ziehen und verfügbare Tools und Ressourcen für die Diagnose nutzen.

Du kannst überprüfen, ob dein SPF-Eintrag mit deinen E-Mail-Versandpraktiken übereinstimmt. Wenn du den Email Warmer von MailReach verwendest, überprüfe, ob dein SPF-Eintrag dem während des MailReach-Setups gewählten Anbieter entspricht. Eine Gmail-Verbindung erfordert beispielsweise einen SPF-Eintrag, der Gmail enthält. Verwende für eine breitere Kompatibilität die Option "Jeder andere SMTP" und überprüfe das erforderliche Setup mit dem jeweiligen Anbieter.

Überprüfe außerdem deine SPF-Einträge, um Fehler zu beseitigen und mehrere Anbieter in einem einzigen SPF-Eintrag zusammenzufassen. Die korrekte Syntax, beginnend mit "v=spf1" und unter Einbeziehung relevanter "include"-Anweisungen, ist entscheidend. Hier ist ein Beispiel für einen SPF-Eintrag für Gmail:

v=spf1 include:_spf.google.com ~all

Für eine effektive DKIM-Konfiguration passe deine DKIM-Einträge so an, dass sie mit deinem gewählten Provider während der MailReach-Einrichtung übereinstimmen. Egal, ob du den Email Warmer oder den kostenlosen DKIM Checker verwendest, ein eindeutiger DKIM-Eintrag, der zum Provider passt, ist wichtig. Wenn weiterhin Probleme auftreten, initiiere Änderungen und warte erneut die 48-Stunden-Frist für DNS-Änderungen und die MailReach-Verifizierung ab.

Fazit

Zusammenfassend lässt sich sagen, dass SPF, DKIM und DMARC als entscheidende Wächter der E-Mail-Integrität fungieren, die deine Kommunikationskanäle gemeinsam stärken und eine robuste Verteidigung gegen unbefugten Zugriff und E-Mail-Betrug bieten.

Durch die Implementierung dieser Authentifizierungsprotokolle kannst du gleichzeitig deine E-Mail-Sicherheit und deine E-Mail-Zustellbarkeit maximieren.