Was ist denn nun schon wieder dieses SPF & DKIM?

Zustellungsoptimierung von E-Mailings, erklärt für Nicht-Nerds

Das Thema ist ernst. Es geht um Ihre E-Mail Zustellbarkeit.
Also darum, ob Ihr wichtiges E-Mailing beim Empfänger ankommt oder nicht. Aus eigenen Erfahrungen wissen wir, dass Abkürzungen wie SPF & DKIM für Verwirrung sorgen. Sie klingen meist fremd, beängstigend und vielleicht auch total uninteressant. Okay vielleicht nicht ganz fremd, aber Sie haben sich wahrscheinlich noch nie wirklich Gedanken gemacht, was diese genau bedeuten. Richtig?!
Das Internet ist voll von Anleitung und Beschreibungen, wie man richtig den SPF & DKIM Eintrag setzt. Jedoch lesen sich all diese Beschreibungen fast so kryptisch, wie der Code eines Verschlüsselungsalgorithmus. Wir haben uns daher dazu entschlossen, das Thema SPF und DKIM einmal in eine Sprache zu fassen, welche nicht nur von Programmierern und IT Nerds verstanden wird.

Newsletter Design

Was ist also SPF?

Einfach ausgedrückt, sind Sender Policy Frameworks (SPF) Sicherheits-Mechanismen, welche erstellt wurden, um Bösewichte davon abzuhalten, E-Mails fälschlicherweise in Ihrem Namen zu versenden.

Während der Kommunikation der verschiedenen DNS Server wird überprüft, ob anhand von SPF die Authentizität des Senders geprüft werden kann. Hört sich kompliziert an, ist es aber gar nicht.

Hier die Erklärung:
Angenommen Sie schicken eine E-Mail an Tim. Woher soll Tims Server nun wissen, dass die E-Mail auch wirklich von Ihnen ist? Hier sind wir beim Thema. Das kann der Server nicht wissen, außer Sie nutzen den SPF-Eintrag auf Ihrem DNS-Server.
Der SPF-Eintrag auf Ihrem DNS-Server legt also fest, welche IP-Adressen benutzt werden dürfen, um E-Mails unter Ihrem Namen zu senden.
Um das Ganze bildlich darzustellen, haben wir uns zwei mögliche „Konversationen“ zwischen den DNS Servern, am Beispiel SPF überlegt. Nachdem wir mit Tim schon einen Namen für den Empfänger haben, brauchen wir nun noch einen für Sie. Sagen wir einfach Sie heißen Alex.

SPF einfach erklärt

Szenario 1:

Sie haben keinen SPF-Eintrag auf Ihrer Domain hinterlegt

Server Alex: Hey Server Tim. Ich habe eine neue Nachricht von Alex für Tim.
Server Tim: Hallo Server Alex. Was ist denn deine SPF?
Server Alex: Ach so ja wegen SPF… Wen interessiert das schon. Ich hab keinen, aber du kannst mir glauben, die Nachricht ist von Alex. Wirklich!
Server Tim: Schade. Wenn du mir seine erlaubten IPs gibst, kann ich sie mit dem SPF-Eintrag an Alex´ DNS-Server vergleichen.
Server Alex: Ich habe die Liste von Alex´ erlaubten IPs nicht.
Server Tim: Ok, dann will ich deine Nachricht nicht. Zustellung abgelehnt, tut mir leid Kumpel.

Szenario 2:

Sie haben den SPF-Eintrag auf Ihrer Domain hinterlegt

Server Alex: Hey Server Tim. Ich habe eine neue Nachricht von Alex für Tim.
Server Tim: Hallo Server Alex. Was ist dein SPF?
Server Alex: Da schau her, hier ist mein SPF mit der kompletten Liste aller IPs, die Alex zum Versenden erlaubt hat.
Server Tim: Okay, lass mich mal nachschauen… Die Nachricht welche du für mich hast, wurde von IP 80.190.129.145 versendet. Perfekt sie steht auf meiner Liste. So gefällt mir das. Gib mir die Nachricht und ich zeige sie Tim. Vielen Dank und bis zum nächsten Mal!

Aha - und was ist dann DKIM?

Ähnlich wie SPF sorgt auch DKIM (DomainKey Identified Mail) dafür, Absender zu identifizieren und es Bösewichten zu erschweren, unter falschem Namen nicht erwünschte Mailings zu senden.

Anders als im vorherigen Beispiel, werden beim DKIM-Verfahren allerdings zwei miteinander korrespondierende digitale Schlüssel erstellen. Der erste Schlüssel wird auf Ihrem DNS-Server hinterlegt und veröffentlicht (Public Key). Der zweite Schlüssel ist nur dem Versender bekannt (Private Key).

Mit dem Private Key wird die Mail digital signiert, das heißt aus dem Mail-Inhalt wird eine Signatur erstellt. Dies ist genau genommen ein zweistufiger Prozess. Zuerst wird ein Hashwert des Contents erstellt, der anschließend mit dem Private Key zur eigentlichen digitalen Signatur verschlüsselt wird. Diese kann dann beim Empfänger mit dem Public Key wieder entschlüsselt werden. 

Der Empfänger vergleicht nun diesen Hashwert mit dem selbst erzeugten Hashwert der einzelnen Mail-Teile.

Vereinfacht gesagt wird beim Versenden der eine Teil des Schlüssels dem Mail-Header Ihrer E-Mail angehängt. Der Empfänger-Server prüft darauf hin, ob auf dem zugehörigen Versand Server (DNS-Server) der passende zweite Teil des Schlüssels liegt. Wenn alles passt, wird die Mailzustellung vorgenommen.

Durch dieses Verfahren wird auch jegliche Manipulation der E-Mail unterwegs verhindert. Der Mailserver des Versenders kann sicher nachprüfen, ob die E-Mail tatsächlich von der berechtigten Versandadresse stammt. Zusätzlich lässt sich dank DKIM auch sicherstellen, dass E-Mailings auf dem Weg zum Empfänger nicht manipuliert und verändert wurden (Viren), da in diesem Fall bei der Entschlüsselung ein anderer Hashwert entstehen würde. Es ist also kaum möglich, die Herkunft einer DKIM signierten E-Mail zu verschleiern.

Aus diesem Grund wird DKIM vor allem von großen Versendern und Versandsystemen genutzt. Seit Juni 2014 ist DKIM bei allen CSA-zertifizierten Versandsystemen, zur Reduzierung von SPAM und Minimierung der Risiken, Vorschrift.

DKIM einfach erklärt

Szenario 1:

Sie haben keinen DKIM-Eintrag hinterlegt, aber das Mailing wurde DKIM-verschlüsselt gesendet.

Server Alex: Hey Server Tim. Ich habe eine neue Nachricht von Alex für Tim.
Server Tim: Hallo Server Alex. Ah, in Deiner Mail ist ein privater DKIM-Schlüssel enthalten. Lass mich mal Deinen öffentlichen Schlüssel am DNS-Server sehen.
Server Alex: Ach so ja wegen DKIM… Wen interessiert das schon. Ich hab keinen zweiten Schlüssel, aber du kannst mir glauben, die Nachricht ist von Alex. Wirklich!
Server Tim: Wenn du nur einen Teil des DKIM-Schlüssels hast, wirst Du mir wahrscheinlich etwas vorgaukeln. Ich kann nicht sicher sein, dass die Nachricht wirklich von Alex ist. Wenn du mir Alex’ öffentlichen Schlüssel gibst, kann ich das überprüfen.
Server Alex: Ich habe keinen DKIM-Schlüssel von Alex.
Server Tim: Ok, dann will ich deine Nachricht nicht. Zu gefährlich! Zustellung abgelehnt, tut mir leid Kumpel.

Szenario 2:

Sie haben Ihren DKIM-Eintrag hinterlegt und das Mailing wurde DKIM-verschlüsselt gesendet.

Server Alex: Hey Server Tim. Ich habe eine neue Nachricht von Alex für Tim.
Server Tim: Hallo Server Alex. Ah, in Deiner Mail ist ein privater DKIM-Schlüssel enthalten. Lass mich mal Deinen öffentlichen Schlüssel am DNS-Server sehen.
Server Alex: Da schau her, hier ist mein öffentlicher DKIM-Schlüssel.
Server Tim: Okay, lass mich mal die beiden Schlüssel überprüfen und den Hashwert zurück rechnen. Perfekt, das Ergebnis stimmt überein. So gefällt mir das. Gib mir die Nachricht und ich zeige sie Tim. Vielen Dank und bis zum nächsten Mal!

Sorry!

An dieser Stelle eine kleine Entschuldigung an alle technisch affinen Leser für diese stark simplifizierte und primitive Darstellung der Situation.

Bitte vergebt uns Dummies und habt im Hinterkopf, dass wir Euch nur um Eure superanalytischen Köpfe beneiden.

Wie auch immer, die Essenz dieser Geschichte ist:
Benutzen Sie DKIM und/oder SPF! Denn tun Sie das nicht, könnte es sein, dass ihr DNS-Server als Bösewicht dargestellt wird und nicht alle Ihre E-Mail Nachrichten ankommen.

Und das wollen wir schließlich alle nicht!

Zurück