SPF, DKIM & DMARC – Tipps zur Einrichtung für E-Mail-Versand ohne Spam-Marker

Mit der Einführung der Prozesse DKIM (DomainKeys Identified Mail) und DMARC (Domain-based Message Authentication, Reporting & Conformance) wurden Sicherheitssysteme entwickelt, die dem E-Mail-Verkehr für Sender und Empfänger mehr Schutz geben sollen.

Seit dem 1. Februar 2024 wurden die Prozesse von der CSA (Certified Senders Alliance), ein Service des eco – Verband der Internetwirtschaft e.V. in Zusammenarbeit mit dem Deutschen Dialogmarketing Verband (DDV) festgelegt und gelten seitdem als Sicherheitsstandards im Bereich Mailversand.

Aber was ist das überhaupt? Wie richtet man diese Sicherheitsmechanismen richtig ein? Und welchen Teil dieser Aufgaben können Agenturen für ein Unternehmen übernehmen?

Diesen Blogbeitrag haben wir auch als Podcast-Episode veröffentlicht. Bei Apple Podcasts, Podigee, Deezer und auf Spotify sind wir mit unserem Podcast „Happy Optimizing“ aktiv. Möchten Sie sich den Beitrag lieber anhören, dann nutzen Sie den folgenden Play-Button oder abonnieren Sie uns auf der Podcast-Plattform Ihrer Wahl 😉

SPF steht für „Sender Policy Framework“ und ist ein Authentifizierungsmechanismus, der im E-Mail-Marketing verwendet wird, um die Echtheit von E-Mails zu überprüfen. Der SPF-Eintrag hilft dabei, E-Mail-Spoofing zu verhindern, indem er sicherstellt, dass E-Mails tatsächlich von der Domain gesendet werden, die sie zu sein behaupten.

So funktioniert es im Detail:

1. SPF-Eintrag im DNS – Der Domain-Inhaber fügt einen SPF-Eintrag in das DNS (Domain Name System) der Domain ein. Dieser Eintrag enthält eine Liste von IP-Adressen oder Domänen, die berechtigt sind, E-Mails im Namen dieser Domain zu senden.
2. Überprüfung beim E-Mail-Empfang – Wenn eine E-Mail bei einem E-Mail-Server eingeht, prüft dieser Server den SPF-Eintrag der absendenden Domain. Er vergleicht die IP-Adresse des absendenden Servers mit der im SPF-Eintrag angegebenen Liste.
3. Entscheidung basierend auf dem SPF-Ergebnis – Je nachdem, ob die IP-Adresse im SPF-Eintrag enthalten ist oder nicht, kann der empfangende E-Mail-Server die E-Mail akzeptieren, ablehnen oder als Spam markieren.

Der MX-Record (Mail Exchange Record) ist ein wichtiger Bestandteil des Domain Name Systems (DNS). Ein MX-Record ist ein DNS-Eintrag, der festlegt, welche Mailserver E-Mails für eine bestimmte Domain empfangen dürfen. Er enthält Informationen über den Hostnamen des Mailservers und eine Prioritätsstufe.

Das sollte man wissen:

1. Priorität – Die Priorität im MX-Record bestimmt, welcher Mailserver bevorzugt angesprochen wird, wenn mehrere Mailserver vorhanden sind. Niedrigere Zahlen bedeuten höhere Priorität. Zum Beispiel, wenn ein MX-Record mit Priorität 10 existiert und ein anderer mit Priorität 20, wird der Mailserver mit Priorität 10 zuerst kontaktiert.
2. Funktion – Wenn jemand eine E-Mail an eine Adresse innerhalb einer bestimmten Domain sendet, verwendet der sendende Mailserver den MX-Record dieser Domain, um herauszufinden, an welchen Mailserver die E-Mail zugestellt werden soll. Der MX-Record stellt sicher, dass die E-Mails an den richtigen Ort gesendet werden.
3. E-Mail-Zustellung – Nur bei korrekt eingerichteten MX-Records ist die E-Mail-Zustellung möglich. Fehlerhafte MX-Records können dazu führen, dass E-Mails nicht zugestellt werden oder als unzustellbar abgelehnt werden.
4. Redundanz und Lastverteilung – Durch die Verwendung mehrerer MX-Records mit unterschiedlichen Prioritäten kann die Zustellung von E-Mails robust gegen Ausfälle gestaltet werden. Wenn der primäre Mailserver nicht verfügbar ist, wird automatisch ein Backup-Mailserver mit einer niedrigeren Priorität verwendet.

Zusammengefasst: Der MX-Record spielt eine kritische Rolle im E-Mail-Marketing,  da er sicherstellt, dass E-Mails an die korrekten Mailserver zugestellt werden.

Immer wieder hören wir in Medienberichten von Hackerangriffen. Es wird vor Betrügern gewarnt, die sogenannte Spoof-Mails versenden. Trotz diverser Firewalls und Spam-Ordner landen solche Nachrichten immer noch im regulären E-Mail-Postfach.

Diese Fake-Mails werden gerne im Namen bekannter Firmen versendet. Fast täuschend echt aussehende Absender-Adressen und den Originalen verblüffend ähnlich sehende E-Mail-Designs verleiten die Empfangenden zum Öffnen solcher E-Mails und zu unbedachten Klicks.

Dass man schon im selben Moment in der Falle von Betrügern sitzt, wird meistens erst viel zu spät erkannt.

Jene Unternehmen, deren Namen für solche Betrügereien missbraucht werden, geraten in ein schlechtes Licht. DKIM und DMARC sollen dem entgegenwirken, Versender und Empfänger gleichermaßen schützen.

Mit Hilfe des DKIM-Verfahrens wird die Echtheit beziehungsweise die Authentizität des Absenders einer E-Mail überprüft.

Dabei erhält jede ausgehende E-Mail automatisch einen sogenannten “digitalen Schlüssel”, der eine Art Signatur ist. Diese Signatur oder dieser (private) Schlüssel wird mit einem weiteren (öffentlichen) Schlüssel (DomainKey) abgeglichen, der in der Absenderdomain hinterlegt ist … um genau zu sein, wird er im Domain Name System (DNS) eingefügt – siehe weiter oben bei SPF und MX-Record.

Aber wozu ist das gut? Ganz einfach: So kann das System-Duo sicherstellen, dass die Nachricht nicht aus illegalen Kreisen kommt. Denn Spam- und Phishing-Mails bestehen diese Prüfung nicht.

DMARC setzt nun „einen oben drauf“: Während SPF und DKIM das Postfach von Mail-Empfängern schützen, stellt sich die DMARC-Security vor den Domain-Inhaber. Denn diese Methode definiert Richtlinien, wie ein Empfänger mit E-Mails umgehen soll, wenn SPF- oder DKIM-Prüfung fehlschlagen.

Auf diese Weise geht DMARC gezielt gegen Spoofing und Phishing vor.

Und was passiert dann mit E-Mails, die SPF- und DKIM-Prüfung nicht überstanden haben? Mit der richtigen DMARC-Einstellung werden sie vom System abgelehnt oder in Quarantäne verschoben. Einige Nachrichten werden aber auch normal zugestellt. In dem Fall werden Berichte über ihre Behandlung an den Absender geschickt.

Dies vorab: Es ist überraschend tiefgehendes technisches Know-how erforderlich, um die Umsetzung dieser Einträge einwandfrei hinzubekommen.

Bei einigen E-Mailing-Providern gibt es umfangreiche technische Hilfestellungen – von FAQs über Hilfetexte bis zum Service-Center. Andere Mailing-Software-Anbieter lassen ihre Kundinnen und Kunden weitestgehend allein damit.

Das sind unsere empfohlenen Schritte:

1. Für die Einrichtung der vier oben genannten Protokolle empfehlen wir die Nutzung einer Sub-Domain, di Sie bei Ihrem Webhoster anlegen können. Der Grund hierfür ist, dass eine Sub-Domain frei von Voreinstellungen des Webhosters ist, wodurch sich potenzielle Fehler und Komplikationen vermeiden lassen.
2. Erstellen Sie die benötigen Protokolle SPF, MX-Record und DKIM bei Ihrem E-Mail-Versandanbieter.
3. Hinterlegen Sie nun die vier Protokolle in den DNS-Einstellungen Ihrer Sub-Domain. Beispiele dafür haben wir Ihnen hier in eine PDF-Datei gepackt.
4. DKIM und SPF werden als „TXT“ angelegt. Achten Sie bitte darauf, ob Ihr Webhoster besondere Vorgaben zum Anlegen dieser Werte hat. Hier unterscheiden sich die Webhoster teils sehr stark. In manchen Fällen wird z.B. der DKIM als eine eigene Subdomain angelegt.
5. Für den MX-Record gibt es meist einen eigenen Bereich.
6. Die DMARC ist ebenfalls ein TXT-Eintrag und wird auch – je nach Webhoster – recht unterschiedlich angelegt. Das Präfix _dkim muss vorangestellt werden (z.B. _dmarc.mail.dsmails.com). Hier gibt es drei mögliche Werte, die für alle Webhoster identisch sind … Verdächtige E-Mails zustellen, keine Maßnahme ergreifen: v=DMARC1; p=none; Verdächtige E-Mails in Spam-Ordner des Empfängers verschieben (unsere Empfehlung): v=DMARC1; p=quarantine; Verdächtige E-Mails nicht zustellen: v=DMARC1; p=reject;
7. Die Synchronisierung der Einstellungen auf den Servern Ihres Webhosters kann bis zu 48 Stunden dauern. Meist ist dies aber schon nach wenigen Minuten durch.
8. Testen Sie anschließend, ob die Einrichtung erfolgreich war. Die meisten E-Mail-Marketing-Tools bieten bereits die Prüfung an. Alternativ dazu empfehlen wir die MxToolbox (https://mxtoolbox.com). Hier können Sie alle Protokolle mit den hinterlegten Einstellungen überprüfen.

Für Fragen zur Einrichtung der DNS-Einstellungen kommen Sie gerne auf uns. Sie suchen einen erfahrenen Dienstleister für Ihr erfolgreiches E-Mail-Marketing? Nehmen Sie mit uns Kontakt auf!

Diese Verschlüsselungs-Regelungen gelten vorwiegend für Organisationen, Firmen, Dienstleistungen etc., die E-Mails bzw. Newsletter versenden. Für den Empfangenden ist mit dem DKIM- und DMARC-Verfahren die Authentizität des Absenders sichergestellt. Besonders Massenversender sind verpflichtet, beide Varianten im Versandprozess einzurichten.

Zurückzuführen sind diese Änderungen übrigens auf eine Reaktion der aktualisierten Authentifizierungsanforderungen der E-Mail-Dienstanbieter, ganz vorn dabei Gmail und Yahoo Mail. Aber was änderte sich speziell im Jahr 2024? Nachfolgend gehen wir auf die relevantesten Anforderungen und Änderungen genauer ein:

1. Validierung von Domain- und IP-Adressen: Google, Yahoo & Co. fordern, dass sendende Domains und IP-Adressen über gültige PTR-Einträge verfügen.
2. Minimierung von Spam-Raten: Da die Spam-Rate unbedingt unter 0,3 % liegen muss, ist es ratsam, Experten für die richtige Integration von DMARC und DKIM zu engagieren. Gerne helfen wir Ihnen dabei. Lassen Sie uns am besten gleich in Kontakt treten.
3. Absender und Nachrichtenformat: Grundlegend gilt die sogenannte IMF-Spezifikation. Demnach dürfen “Von” oder auch “From”-Kopfzeilen nicht imitiert werden. Laut den neuen Richtlinien muss deshalb der Eintrag des Absenders im “Von” (“From”) Feld identisch mit der Versand-Domäne im Return-Path-Header (SPF) oder im Header der DKIM-Signatur sein.
4. Anforderungen an Massenversender: Seit 2024 sind SPF, DKIM und DMARC für Massenversender verpflichtend. Während die Verknüpfung zwischen dem “Von”/”From”-Kopfzeichen und dem SPF- oder DKIM-Bereich festgelegt ist, können einige Einstellungen nur teilweise begrenzt manuell hinterlegt werden. So kann zum Beispiel die Durchsetzungsrichtlinie der DMARC auf “keine” gesetzt werden.

Diesen Blogbeitrag haben wir auch als Podcast-Episode veröffentlicht. Bei Apple Podcasts, Podigee, Deezer und auf Spotify sind wir mit unserem Podcast „Happy Optimizing“ aktiv. Möchten Sie sich den Beitrag lieber anhören, dann nutzen Sie den folgenden Play-Button oder abonnieren Sie uns auf der Podcast-Plattform Ihrer Wahl 😉

Große Bauchschmerzen hatten Gmail und Yahoo in der Vergangenheit insbesondere wegen immer mehr Spam und Phishing-Mails. Ohne optimale Sicherheitsmaßnahmen konnten Internet-Kriminelle über den E-Mail-Verkehr mehr und mehr Opfer finden. Strengere Auflagen wie DKIM und DMARC sind aus der Sicht von Gmail und Yahoo unerlässlich geworden. 

Beide Systeme haben deshalb vor allem bei großen E-Mail-Postfach-Anbietern wie Gmail gravierende Auswirkungen auf die Zustellung und Sicherheit von E-Mailings. Um hier Newsletter-Abonnenten weiter zu erreichen, ist es zwingend erforderlich, dass die Authentifizierungsprotokolle korrekt implementiert werden.

Seit dem 1. Februar 2024 gelten die verschärften Vorgaben der Sicherheitsprotokolle SPF, DKIM und DMARC. Der neue Standard zielt darauf ab, den E-Mail-Verkehr zwischen Massenversendern und E-Mail-Empfängern besser zu schützen.

Aktuell gelten die Vorgaben für den Authentifizierungsprozess lediglich im B2C-Bereich. Wir raten aber allen Versendern dazu, diese Systeme zu implementieren.

Komplexe Themen benötigen sorgfältige Umsetzung. Wir haben uns auf diese Aufgaben spezialisiert und unterstützen Sie gern bei der richtigen Einrichtung Ihrer Versand-Domain – schon über 100 Unternehmen haben wir dabei begleitet.

Von der Beratung über die Implementierung bis zu nachträglichen Fragen – wir stehen Ihnen gerne zur Verfügung. Kontaktieren Sie uns über dieses Kontaktformular oder rufen Sie uns unter der 030 49907084 an.

• E-Mail-Marketing – Spam vermeiden
• DSGVO-konforme E-Mail-Newsletter-Anmeldung
• Darf man Kunden einfach anschreiben?
• E-Mail-Marketing: Rechtliche Grundlagen

Sie suchen einen Dienstleister für erfolgreiches Newsletter-Marketing? Sie haben noch mehr Fragen zu E-Mail-Marketing? Sprechen Sie uns an!