Wie Sie SPF-, DKIM- und DMARC-Einträge einrichten

Warum E-Mail-Authentifizierungseinträge wichtig sind

Täglich werden über 300 Milliarden E-Mails gesendet, und es wird geschätzt, dass fast die Hälfte davon Spam oder Phishing-Versuche sind. Angreifer fälschen routinemäßig die From-Adresse einer E-Mail, um sich als legitime Unternehmen oder Personen auszugeben – diese Technik wird E-Mail-Spoofing genannt. Ohne entsprechende Schutzmechanismen kann jeder eine E-Mail senden, die so aussieht, als käme sie von Ihrer Domain, und potenziell Ihre Kunden, Partner oder Mitarbeiter täuschen. SPF, DKIM und DMARC sind drei miteinander verbundene DNS-Einträge, die zusammen ein E-Mail-Authentifizierungssystem bilden und Ihre Domain vor Missbrauch schützen.

Neben dem Schutz vor Spoofing beeinflussen diese Einträge direkt die Zustellung Ihrer legitimen E-Mails. Gmail, Outlook und andere große E-Mail-Anbieter prüfen die Authentifizierung immer strenger, daher ist es wichtig, professionelles E-Mail-Hosting mit korrekter Konfiguration zu haben – ab Februar 2024 verlangt Gmail DKIM und DMARC für alle, die mehr als 5000 E-Mails pro Tag senden. Ohne ordnungsgemäß konfigurierte Einträge können Ihre geschäftlichen E-Mails im Spam-Ordner landen oder vollständig abgelehnt werden.

SPF (Sender Policy Framework)

Wie SPF funktioniert

SPF ist ein DNS-TXT-Eintrag, der definiert, welche Server berechtigt sind, E-Mails im Namen Ihrer Domain zu senden. Wenn der E-Mail-Server des Empfängers eine Nachricht von Ihrer Domain empfängt, prüft er den SPF-Eintrag im DNS, um festzustellen, ob der Server des Absenders auf der Liste der autorisierten Server steht. Wenn der Server nicht auf der Liste steht, kann die E-Mail als verdächtig markiert oder abgelehnt werden. SPF prüft die Envelope-Sender-Adresse (MAIL FROM), nicht den From-Header, den der Nutzer sieht, was eine wichtige Unterscheidung für das Verständnis ist, wie SPF mit DMARC zusammenarbeitet.

Erstellen eines SPF-Eintrags

Der SPF-Eintrag wird als TXT-Eintrag im DNS Ihrer Domain hinzugefügt. Das Grundformat beginnt mit v=spf1, was die Version kennzeichnet, dann folgen Mechanismen, die autorisierte Absender definieren, und endet mit einem Qualifizierer, der bestimmt, was mit nicht autorisierten Absendern zu tun ist. Beispielsweise würde der SPF-Eintrag für eine Domain, die BeoHosting für E-Mail und Google Workspace für geschäftliche E-Mails verwendet, so aussehen: v=spf1 include:_spf.beohosting.com include:_spf.google.com -all. Der include-Mechanismus schließt SPF-Einträge einer anderen Domain ein, und -all am Ende bedeutet, dass alle anderen Server nicht autorisiert sind und die E-Mail abgelehnt werden sollte.

Häufige SPF-Fehler

Der häufigste Fehler ist die Überschreitung des Limits von 10 DNS-Lookups. Jeder include-, a- und mx-Mechanismus erfordert einen DNS-Lookup, und wenn Sie zu viele haben, schlägt die SPF-Validierung automatisch fehl. Die Lösung ist die Verwendung von ip4- und ip6-Mechanismen, die keine Lookups verbrauchen, oder die Konsolidierung von Includes. Ein weiterer häufiger Fehler ist die Verwendung der Tilde anstelle des Minus am Ende – ~all ist ein Soft Fail, der die E-Mail nur als verdächtig markiert, anstatt sie abzulehnen, während -all ein Hard Fail ist, der sicherer ist. Der dritte Fehler ist das Vergessen, alle Dienste hinzuzufügen, die E-Mails in Ihrem Namen senden – Transaktions-E-Mails, Newsletter-Plattformen, CRM-Systeme und Helpdesk-Tools.

DKIM (DomainKeys Identified Mail)

Wie DKIM funktioniert

DKIM verwendet Public-Key-Kryptografie zum Signieren ausgehender E-Mails. Ihr E-Mail-Server fügt jedem Nachrichten-Header eine digitale Signatur hinzu, die einen privaten Schlüssel verwendet, der nur Ihrem Server bekannt ist. Der Server des Empfängers findet den öffentlichen Schlüssel im DNS Ihrer Domain und verwendet ihn zur Verifizierung der Signatur. Wenn die Signatur übereinstimmt, beweist das zwei Dinge: Die E-Mail wurde tatsächlich von einem Server gesendet, der vom Domain-Eigentümer kontrolliert wird, und der E-Mail-Inhalt wurde während der Übertragung nicht verändert. Im Gegensatz zu SPF, das nur die IP-Adresse des Absenders prüft, bestätigt DKIM die Integrität der Nachricht selbst.

Generieren von DKIM-Schlüsseln

DKIM-Schlüssel werden als Paar aus privatem und öffentlichem Schlüssel generiert. Der private Schlüssel wird auf dem E-Mail-Server installiert und zum Signieren von Nachrichten verwendet. Der öffentliche Schlüssel wird als DNS-TXT-Eintrag auf einer bestimmten Subdomain im Format selektor._domainkey.ihredomain.com veröffentlicht. Der Selektor ist ein beliebiger String, der den Schlüssel identifiziert, z. B. default oder google. Die empfohlene Mindestschlüssellänge beträgt 2048 Bit – kürzere Schlüssel von 1024 Bit gelten als unsicher. Die meisten Hosting-Anbieter und E-Mail-Dienste generieren DKIM-Schlüssel automatisch und geben Ihnen nur den DNS-Eintrag, der hinzugefügt werden muss.

DKIM einrichten

Zur Einrichtung von DKIM bei BeoHosting greifen Sie auf cPanel zu und finden den Bereich für E-Mail-Authentifizierung, in dem DKIM normalerweise bereits aktiviert ist. Für Google Workspace gehen Sie zur Admin-Konsole, dann zu Apps, Gmail, Authenticate Email und generieren einen DKIM-Schlüssel. Google gibt Ihnen einen TXT-Eintrag, den Sie zum DNS hinzufügen. Für Microsoft 365 ist der Prozess ähnlich – im Exchange Admin Center aktivieren Sie DKIM für jede Domain und fügen zwei CNAME-Einträge zum DNS hinzu. Nach dem Hinzufügen der DNS-Einträge warten Sie bis zu 48 Stunden auf die DNS-Propagation, obwohl normalerweise 1–2 Stunden ausreichen.

DMARC (Domain-based Message Authentication, Reporting and Conformance)

Wie DMARC funktioniert

DMARC verbindet SPF und DKIM zu einem einheitlichen System und definiert, was der Server des Empfängers mit einer E-Mail tun soll, die die Authentifizierung nicht besteht. DMARC führt das Konzept des Alignments ein – es prüft, ob die Domain im From-Header (den der Nutzer sieht) der Domain entspricht, die die SPF- oder DKIM-Prüfung bestanden hat. Dies ist entscheidend, weil SPF und DKIM allein den From-Header, den Nutzer tatsächlich sehen, nicht schützen. DMARC führt auch ein Berichtssystem ein, das Ihnen tägliche Berichte darüber sendet, wer E-Mails von Ihrer Domain sendet und ob sie die Authentifizierung bestehen.

Erstellen eines DMARC-Eintrags

Der DMARC-Eintrag wird als TXT-Eintrag auf der _dmarc.ihredomain.com-Subdomain hinzugefügt. Der grundlegende Eintrag sieht so aus: v=DMARC1; p=none; rua=mailto:dmarc@ihredomain.com. Das v-Tag kennzeichnet die Version, p definiert die Richtlinie (none, quarantine oder reject), und rua ist die E-Mail-Adresse, an die Sie aggregierte Berichte erhalten. Wir empfehlen einen schrittweisen Ansatz: Beginnen Sie mit p=none, um nur zu verfolgen, wer E-Mails von Ihrer Domain sendet, ohne zu blockieren, wechseln Sie nach der Analyse der Berichte zu p=quarantine, damit verdächtige E-Mails in den Spam gehen, und aktivieren Sie am Ende p=reject zur vollständigen Ablehnung nicht autorisierter E-Mails.

DMARC-Richtlinien

Die none-Richtlinie ist ein Monitoring-Modus, der die Zustellung von E-Mails nicht beeinflusst, Ihnen aber Berichte sendet. Verwenden Sie sie in den ersten 2–4 Wochen, um alle legitimen Dienste zu identifizieren, die E-Mails von Ihrer Domain senden, und sie zur SPF- und DKIM-Konfiguration hinzuzufügen. Die quarantine-Richtlinie weist den Server des Empfängers an, verdächtige E-Mails in den Spam-Ordner zu verschieben – dies ist ein guter Mittelweg, der Empfänger schützt, aber E-Mails im Falle von Konfigurationsfehlern nicht vollständig blockiert. Die reject-Richtlinie ist die strengste und lehnt E-Mails, die die Authentifizierung nicht bestehen, vollständig ab – aktivieren Sie sie erst, wenn Sie sicher sind, dass alle legitimen Quellen ordnungsgemäß konfiguriert sind.

Analyse von DMARC-Berichten

DMARC-Aggregat-Berichte kommen im XML-Format und enthalten Informationen über die IP-Adressen, die E-Mails von Ihrer Domain senden, ob sie SPF- und DKIM-Prüfungen bestanden haben und welcher Prozentsatz der E-Mails die Authentifizierung besteht. Rohe XML-Berichte sind schwer zu lesen, daher empfehlen wir die Verwendung kostenloser Tools wie DMARC Analyzer, dmarcian oder Postmark DMARC, die Daten visualisieren und die Analyse erleichtern. Die regelmäßige Analyse von Berichten deckt nicht autorisierte Nutzung Ihrer Domain auf und hilft bei der Konfigurationsoptimierung.

Konfiguration testen

Online-Tools zum Testen

Nach dem Einrichten der Einträge testen Sie unbedingt die Konfiguration. MXToolbox ist ein umfassendes Tool, das SPF-, DKIM- und DMARC-Einträge prüft und detaillierte Ergebnisse mit Fehlererklärungen anzeigt. Mail-tester.com bewertet die Gesamtkonfiguration der E-Mail auf einer Skala von 1 bis 10 – senden Sie eine Test-E-Mail an die generierte Adresse und erhalten Sie einen detaillierten Bericht. Google Postmaster Tools zeigt an, wie Gmail Ihre E-Mails sieht, und identifiziert Probleme mit der Authentifizierung. Speziell für DKIM verwenden Sie das DKIMCore-Tool zur Verifizierung des DNS-Eintrags oder senden Sie eine E-Mail an check-auth@verifier.port25.com zur automatischen Prüfung.

Prüfung über die Kommandozeile

Für technische Nutzer können DNS-Einträge direkt vom Terminal aus geprüft werden. Mit dem Befehl dig TXT ihredomain.com prüfen Sie den SPF-Eintrag. Für DKIM verwenden Sie dig TXT selektor._domainkey.ihredomain.com, wobei der Selektor Ihr DKIM-Selektor ist. Für DMARC verwenden Sie dig TXT _dmarc.ihredomain.com. Unter Windows verwenden Sie nslookup mit dem Typ TXT. Diese Befehle zeigen die tatsächlichen DNS-Werte an und helfen bei der Identifizierung von Problemen mit Propagation oder Formatierung der Einträge.

Troubleshooting häufiger Probleme

• E-Mail geht in den Spam: Prüfen Sie, ob SPF, DKIM und DMARC alle bestanden werden – verwenden Sie die Header-Analyse in der empfangenen E-Mail, um Authentifizierungsergebnisse zu sehen.
• SPF PermError: Zu viele DNS-Lookups – konsolidieren Sie include-Mechanismen oder verwenden Sie IP-Adressen direkt.
• DKIM Fail: Prüfen Sie, ob der öffentliche Schlüssel ordnungsgemäß im DNS veröffentlicht ist und ob der Selektor im DNS dem vom E-Mail-Server verwendeten Selektor entspricht.
• DMARC Alignment Fail: Die From-Domain stimmt nicht mit der Domain in der SPF- oder DKIM-Prüfung überein – ein häufiges Problem mit Drittanbieter-E-Mail-Diensten.
• Newsletter bouncing: Fügen Sie Ihren Newsletter-Dienst (Mailchimp, SendinBlue) zum SPF-Eintrag hinzu und aktivieren Sie DKIM-Signierung über deren Dashboard.
• Transaktions-E-Mails abgelehnt: SaaS-Plattformen, die E-Mails in Ihrem Namen senden, müssen in SPF aufgenommen und DKIM-signiert werden.

Fazit

Die ordnungsgemäße Konfiguration von SPF-, DKIM- und DMARC-Einträgen ist heute für jede Domain, die E-Mails sendet, obligatorisch. Diese Einträge schützen Ihre Marke vor Spoofing, verbessern die Zustellung legitimer E-Mails und bieten Einblick, wer E-Mails von Ihrer Domain sendet. Beginnen Sie mit SPF, fügen Sie DKIM hinzu, aktivieren Sie dann DMARC im Monitoring-Modus und verschärfen Sie die Richtlinie schrittweise. Bei BeoHosting konfigurieren wir automatisch SPF und DKIM für alle Hosting-Konten und bieten technischen Support für die DMARC-Einrichtung mit dem Ziel, dass Ihre E-Mails immer im Posteingang und nicht im Spam-Ordner ankommen.