E-Mail SPF, DKIM und DMARC

1. SPF – Sender Policy Framework

SPF ist ein DNS-basierter Mechanismus, mit dem ein Domaininhaber festlegt, welche Server berechtigt sind, E-Mails im Namen dieser Domain zu versenden.

Warum gibt es das?

SPF wurde eingeführt, um das Spoofing zu verhindern – also das Fälschen von E-Mail-Absenderadressen. Ohne SPF kann jeder eine E-Mail mit deinem Absender @gwdev.ch:8080/ verschicken, sogar mit einem gekaperten Toaster in Panama.

SPF sorgt dafür, dass Empfänger wie bspw. Google oder Outlook prüfen:
„Kommt diese E-Mail wirklich von einem autorisierten Server für @gwdev.ch:8080/?“

Wenn nicht: wird sie abgelehnt oder markiert.

Wie richte ich es ein?

SPF Generator »

2. Was ist DKIM?

DKIM signiert ausgehende E-Mails mit einer kryptographischen Signatur, die mit einem öffentlichen Schlüssel im DNS verifiziert wird. So erkennt der Empfänger, dass die Mail unter Kontrolle der Domain stand und unterwegs nicht verändert wurde.

DKIM weisst nach, dass deine Domain die Mail autorisiert hat und E-Mail-Inhalte (Body, Betreff, Absender) unverändert durch das Internet kamen.

Wie einrichten?

DKIM ist in 99% der Fälle bei angemieteten Servern wie bei Cyon oder Infomaniak schon vorinstalliert pro Domain.

DKIM Generator »

3. Was ist DMARC?

DMARC = Domain-based Message Authentication, Reporting and Conformance

Es baut auf SPF und DKIM auf und sagt:

  • Was soll passieren, wenn SPF/DKIM fehlschlagen
  • Wohin sollen Reports geschickt werden (optional)

DMARC hilft damit:

  • Deine Domain kann nicht einfach gefälscht werden
  • Du bekommst Berichte über Missbrauch
  • Deine Mails landen verlässlicher im Posteingang

Wie einrichten?

DMARC Generator »

Aber ich habe trotzdem noch Probleme?

Trotz sauber eingerichteten und gültigen SPF, DKIM und DMARC Einträgen, können E-Mail Dienste die E-Mail Adresse abblocken oder in den Spam verschieben.

Das passiert oft bei Shared Hosting Umgebungen, bei welchen verschiedenste E-Mail Adressen von der gleichen IP Adresse versendet werden. Wenn da nun jemand mit seiner E-Mail Adresse den Maildienst missbraucht, wird in den Spamlisten nicht die einzelne E-Mail Adresse, sondern die geteilte IP eingetragen – was natürlich unpraktisch ist.

Das kommt glücklicherweise selten vor. Wenn, dann musst du mit den Server Betreibern Kontakt aufnehmen, damit die sich bei den Spamdiensten melden, so dass die IP Adresse wieder entfernt wird. Das kann aber 2-3 Monate dauern. Schlimmstenfalls musst du den E-Mail Server umziehen.

Häufige Fehlerquellen

Du nutzt Newsletter Tools oder andere SMTP Sender und hast die CNAME Einträge nicht korrekt eingetragen.

Die Website/Web-App läuft auf einer anderen Domain als deine E-Mail Adressen.

Du nutzt externe Domains, welche du intern in Uni- oder Behördennetwerken als Versender verwenden willst – die grösste Pain ever – richtig mühsam und doof zum Einrichten.