Was ist denn nun schon wieder dieses SPF, DKIM und DMARC?

Zustellungsoptimierung von E-Mailings, erklärt für Nicht-Nerds

Das Thema ist ernst. Es geht um Ihre E-Mail-Zustellbarkeit.
Also darum, ob Ihre wichtigen E-Mailings aber auch Ihre Marketing-Mailings beim Empfänger ankommen oder nicht. Aus eigenen Erfahrungen wissen wir, dass Abkürzungen wie SPF, DKIM und jetzt auch noch DMARC für Verwirrung sorgen. Sie klingen meist fremd, beängstigend und vielleicht auch total uninteressant. Okay vielleicht nicht ganz fremd, aber Sie haben sich wahrscheinlich noch nie wirklich Gedanken gemacht, was diese genau bedeuten oder wie sie damit richig umgehen sollen. Richtig?!
Das Internet ist voll von Anleitung und Beschreibungen, wie man den SPF- & DKIM-Eintrag setzt, oder was man mit DMARC machen kann. Jedoch lesen sich all diese Beschreibungen fast so kryptisch, wie der Code eines Verschlüsselungsalgorithmus. Wir haben uns daher dazu entschlossen, das Thema SPF, DKIM und DMARC einmal in eine Sprache zu fassen, welche nicht nur von Programmierern und IT-Nerds verstanden wird.

Ein Angebot vorab: Sollten Sie keine Lust haben sich mit diesem Thema zu beschäftigen, oder trotzdem noch Fragen haben, steht Ihnen unser erfahrenes Team aus E-Mail-Marketing-Spezialisten gerne zur Verfügung. Nehmen Sie mit uns Kontakt auf!

Newsletter Design

Was ist also SPF?

Einfach ausgedrückt, sind Sender Policy Frameworks (SPF) Sicherheits-Mechanismen, welche erstellt wurden, um Bösewichte davon abzuhalten, E-Mails fälschlicherweise in Ihrem Namen zu versenden.

Während der Kommunikation der verschiedenen DNS-Server wird überprüft, ob anhand von SPF die Authentizität des Senders geprüft werden kann. Hört sich kompliziert an, ist es aber gar nicht.

Hier die Erklärung:
Angenommen Sie schicken eine E-Mail an Tim. Woher soll Tims Server nun wissen, dass die E-Mail auch wirklich von Ihnen ist? Hier sind wir beim Thema. Das kann der Server nicht wissen, außer Sie nutzen den SPF-Eintrag auf Ihrem DNS-Server.
Der SPF-Eintrag auf Ihrem DNS-Server legt also fest, welche IP-Adressen benutzt werden dürfen, um E-Mails unter Ihrem Namen zu senden.
Um das Ganze bildlich darzustellen, haben wir uns zwei mögliche „Konversationen“ zwischen den DNS-Servern, am Beispiel SPF überlegt. Nachdem wir mit Tim schon einen Namen für den Empfänger haben, brauchen wir nun noch einen für Sie. Sagen wir einfach Sie heißen Alex.

SPF einfach erklärt

Szenario 1:

Sie haben keinen SPF-Eintrag auf Ihrer Domain hinterlegt

Server Alex: Hey Server Tim. Ich habe eine neue Nachricht von Alex für Tim.
Server Tim: Hallo Server Alex. Was ist denn dein SPF?
Server Alex: Ach so ja wegen SPF… Wen interessiert das schon. Ich hab keinen, aber du kannst mir glauben, die Nachricht ist von Alex. Wirklich!
Server Tim: Schade. Wenn du mir seine erlaubten IPs gibst, kann ich sie mit dem SPF-Eintrag an Alex´ DNS-Server vergleichen.
Server Alex: Ich habe die Liste von Alex´ erlaubten IPs nicht.
Server Tim: Ok, dann will ich deine Nachricht nicht. Zustellung abgelehnt, tut mir leid Kumpel.

Szenario 2:

Sie haben den SPF-Eintrag auf Ihrer Domain hinterlegt

Server Alex: Hey Server Tim. Ich habe eine neue Nachricht von Alex für Tim.
Server Tim: Hallo Server Alex. Was ist dein SPF?
Server Alex: Da schau her, hier ist mein SPF mit der kompletten Liste aller IPs, die Alex zum Versenden erlaubt hat.
Server Tim: Okay, lass mich mal nachschauen… Die Nachricht welche du für mich hast, wurde von IP 80.190.129.145 versendet. Perfekt sie steht auf meiner Liste. So gefällt mir das. Gib mir die Nachricht und ich zeige sie Tim. Vielen Dank und bis zum nächsten Mal!

Aha - und was ist dann DKIM?

Ähnlich wie SPF sorgt auch DKIM (DomainKey Identified Mail) dafür, Absender zu identifizieren und es Bösewichten zu erschweren, unter falschem Namen nicht erwünschte Mailings zu senden.

Anders als im vorherigen Beispiel, werden beim DKIM-Verfahren allerdings zwei miteinander korrespondierende digitale Schlüssel erstellt. Der erste Schlüssel wird auf Ihrem DNS-Server hinterlegt und veröffentlicht (Public Key). Der zweite Schlüssel ist nur dem Versender bekannt (Private Key).

Mit dem Private Key wird die Mail digital signiert, das heißt aus dem Mail-Inhalt wird eine Signatur erstellt. Dies ist genau genommen ein zweistufiger Prozess. Zuerst wird ein Hashwert des Contents erstellt, der anschließend mit dem Private Key zur eigentlichen digitalen Signatur verschlüsselt wird. Diese kann dann beim Empfänger mit dem Public Key wieder entschlüsselt werden. 

Der Empfänger vergleicht nun diesen Hashwert mit dem selbst erzeugten Hashwert der einzelnen Mail-Teile.

Vereinfacht gesagt wird beim Versenden der eine Teil des Schlüssels dem Mail-Header Ihrer E-Mail angehängt. Der Empfänger-Server prüft darauf hin, ob auf dem zugehörigen Versand-Server (DNS-Server) der passende zweite Teil des Schlüssels liegt. Wenn alles passt, wird die Mailzustellung vorgenommen.

Durch dieses Verfahren wird auch jegliche Manipulation der E-Mail unterwegs verhindert. Der Mailserver des Versenders kann sicher nachprüfen, ob die E-Mail tatsächlich von der berechtigten Versandadresse stammt. Zusätzlich lässt sich dank DKIM auch sicherstellen, dass E-Mailings auf dem Weg zum Empfänger nicht manipuliert und verändert wurden (Viren), da in diesem Fall bei der Entschlüsselung ein anderer Hashwert entstehen würde. Es ist also kaum möglich, die Herkunft einer DKIM-signierten E-Mail zu verschleiern.

Aus diesem Grund wird DKIM vor allem von großen Versendern und Versandsystemen genutzt. Seit Juni 2014 ist DKIM bei allen CSA-zertifizierten Versandsystemen, zur Reduzierung von SPAM und Minimierung der Risiken, Vorschrift.

DKIM einfach erklärt

Szenario 1:

Sie haben keinen DKIM-Eintrag hinterlegt, aber das Mailing wurde DKIM-verschlüsselt gesendet.

Server Alex: Hey Server Tim. Ich habe eine neue Nachricht von Alex für Tim.
Server Tim: Hallo Server Alex. Ah, in Deiner Mail ist ein privater DKIM-Schlüssel enthalten. Lass mich mal Deinen öffentlichen Schlüssel am DNS-Server sehen.
Server Alex: Ach so ja wegen DKIM… Wen interessiert das schon. Ich hab keinen zweiten Schlüssel, aber du kannst mir glauben, die Nachricht ist von Alex. Wirklich!
Server Tim: Wenn du nur einen Teil des DKIM-Schlüssels hast, wirst Du mir wahrscheinlich etwas vorgaukeln. Ich kann nicht sicher sein, dass die Nachricht wirklich von Alex ist. Wenn du mir Alex’ öffentlichen Schlüssel gibst, kann ich das überprüfen.
Server Alex: Ich habe keinen DKIM-Schlüssel von Alex.
Server Tim: Ok, dann will ich deine Nachricht nicht. Zu gefährlich! Zustellung abgelehnt, tut mir leid Kumpel.

Szenario 2:

Sie haben Ihren DKIM-Eintrag hinterlegt und das Mailing wurde DKIM-verschlüsselt gesendet.

Server Alex: Hey Server Tim. Ich habe eine neue Nachricht von Alex für Tim.
Server Tim: Hallo Server Alex. Ah, in Deiner Mail ist ein privater DKIM-Schlüssel enthalten. Lass mich mal Deinen öffentlichen Schlüssel am DNS-Server sehen.
Server Alex: Da schau her, hier ist mein öffentlicher DKIM-Schlüssel.
Server Tim: Okay, lass mich mal die beiden Schlüssel überprüfen und den Hashwert zurück rechnen. Perfekt, das Ergebnis stimmt überein. So gefällt mir das. Gib mir die Nachricht und ich zeige sie Tim. Vielen Dank und bis zum nächsten Mal!

Sorry!

An dieser Stelle eine kleine Entschuldigung an alle technisch affinen Leser für diese stark simplifizierte und primitive Darstellung der Situation.

Bitte vergebt uns Dummies und habt im Hinterkopf, dass wir Euch nur um Eure superanalytischen Köpfe beneiden.

Zwischen Fazit:

Wie auch immer Sie mit der Essenz dieser Geschichte umgehen, Fakt ist:
Benutzen Sie DKIM und/oder SPF! Denn tun Sie das nicht, könnte es sein, dass Ihr DNS-Server als Bösewicht dargestellt wird und nicht alle Ihre E-Mail Nachrichten ankommen. Und das wollen wir schließlich alle nicht!

Sollten Sie jetzt keine Lust mehr haben sich weiter mit diesem Thema zu beschäftigen, sind aber auf der Suche nach einer sicheren Versandlösung? Dann steht Ihnen Unser erfahrenes Team aus E-Mail-Marketing-Spezialisten gerne zur Verfügung. Nehmen Sie mit uns Kontakt auf!

Und was ist denn dann DMARC?

Nein, DMARC hat nichts mit der guten Alten D Mark (Deutsche Mark) zu tun! Die DMARC-Spezifikation entstand unter anderem auf Initiative von Google, Yahoo, Microsoft, Facebook, AOL, PayPal und LinkedIn um ein besseres Server-Management bei den empfangenden Mail-Servern zu ermöglichen. 

DMARC baut auf den bekannten Techniken SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail) auf, indem festlegt wird, wie der E-Mail-Empfänger die Authentifizierung durchführen soll.

Während bei den beiden vorab genannten Szenarien beschrieben wird, wer eine Mail versenden darf (SPF), bzw. dass diese Mail in bestimmter Weise unverändert vom Absender stammt (DKIM), kann der Absender mit der DMARC-Spezifikation zusätzlich Empfehlungen geben, auf welche Art und Weise der Empfänger mit seiner E-Mail umgehen soll, die in einem oder beiden Fällen nicht den Anforderungen entspricht. Sofern der E-Mail-Empfänger die DMARC-Spezifikation anwendet, ist dadurch eine konsistente Überprüfung der Echtheit dieser E-Mail gesichert und ein besseres Anti-SPAM-Management ist möglich.

Für die Einrichtung von DMARC ist beim Absender keine Einstellung im System nötig, da bereits alle Informationen in den Einträgen für SPF und DKIM beinhaltet sind. DMARC regelt die Behandlung des Mail beim Empfänger-Server.

DMARC einfach erklärt

Szenario 1:

Sie haben keinen SPF- und DKIM-Eintrag auf Ihrer Domain hinterlegt

Server Alex: Hey Server Tim. Ich habe eine super tolle Nachricht von Alex für Tim.
Server Tim: Hallo Server Alex. Gibst du mir bitte deine Daten, also DKIM und SPF?
Server Alex: Ähm, ach so ja, DKIM, SPF… Wen interessiert das denn? Ich bin aber eine wichtige Nachricht und kein SPAM.
Server Tim: Wenn du mir weder die erlaubten Absender IPs, noch den dazugehörigen Schlüssel geben kannst, werde ich Deine Nachricht nicht direkt an Tim weiterleiten.
Server Alex: Ich habe die Liste von Tims erlaubten IPs und den Private-Key nicht als SPF und DKIM.
Server Tim: Ok, dann will ich deine Nachricht nicht direkt zustellen, sondern laut hinterlegtem DMARC-Protokoll bearbeiten und intern bearbeiten oder weiterleiten. Vielleicht geht dein Mail dann doch noch an Tim.

Szenario 2:

Sie haben den SPF- und DKIM-Eintrag auf Ihrer Domain hinterlegt

Server Alex: Hey Server Tim. Ich habe eine neue Nachricht von Alex für Tim.
Server Tim: Hallo Server Alex. Was ist dein SPF und DKIM?
Server Alex: Hier ist mein SPF mit der kompletten Liste aller IPs, die Alex zum Versenden erlaubt hat und mein Private-Key des DKIM mit dem du die Richtigkeit prüfen kannst.
Server Tim: Okay, lass mich mal nachschauen… Die Nachricht, welche du für mich hast, wurde von IP 80.190.129.145 versendet. Perfekt sie steht auf meiner Liste. Jetzt prüfe ich noch den DKIM Public-Key... Aja, der Hash des Mails passt zum Public-Key von Tim. So gefällt mir das. Gib mir die Nachricht und ich schiebe sie direkt in das Postfach von Tim. Vielen Dank und bis zum nächsten Mal!

Profitieren Sie von über 16 Jahren E-Mail-Marketing Erfahrung

Sie möchten die Zustellbarkeit Ihrer E-Mail-Marketing und Marketing-Automation-Kampagnen optimieren? Sie suchen einen erfahrenen Partner der Sie bei der Konzeptionierung und Umsetzung unterstützt? Sie suchen Expertise bei der Systemauswahl und der technischen Implementierung? Dann nehmen Sie mit uns Kontakt auf!

Wir beraten Sie gerne.

Zurück