Im Frühjahr 2023 häuften sich bei uns im Support Meldungen, dass E-Mail-Zustellungen an web.de, yahoo.com oder später auch an Gmail- oder Microsoft-Postfächer entweder verzögert oder gar nicht zugestellt wurden. Der Grund dafür war, dass der eigene Mailserver weder über einen SPF-Eintrag noch über eine funktionierende DKIM-Signierung oder einen damit verbundenen DMARC-Record im DNS verfügte.

Der Zweck dieser DNS-Einträge ist es, die sogenannte Reputation des eigenen Mailservers zu erhöhen und der Empfängerseite Informationen an die Hand zu geben, mit denen überprüft werden kann, ob der sendende Mailserver überhaupt autorisiert ist, E-Mails aus dieser Domain zu versenden.

SPF-Record (Sender Policy Framework)

Ein SPF-Record ist ein DNS-Eintrag, der festlegt, welche Mailserver berechtigt sind, E-Mails im Namen einer bestimmten Domain zu versenden. Er dient dazu, E-Mail-Spoofing zu verhindern und die Authentizität von E-Mails zu erhöhen.

Ein SPF-Record wird als TXT-Eintrag in den DNS-Einstellungen einer Domain hinterlegt und enthält eine Liste autorisierter Mailserver. E-Mail-Provider und empfangende Mailserver nutzen diesen Eintrag, um zu prüfen, ob eine eingehende E-Mail von einer erlaubten Quelle stammt.

Ein typischer SPF-Record sieht beispielsweise so aus:

v=spf1 include:_spf.example.com ~all

• v=spf1 – Kennzeichnet die SPF-Version.
• include:_spf.example.com – Erlaubt das Versenden über die angegebenen Mailserver.
• -all – Gibt an, dass E-Mails von nicht autorisierten Servern abgelehnt oder als Spam markiert werden.

DKIM-Signierung (DomainKeys Identified Mail)

Die DKIM-Signierung ist eine E-Mail-Authentifizierungsmethode, die sicherstellt, dass eine E-Mail während der Übertragung nicht manipuliert wurde und tatsächlich vom angegebenen Absender stammt. Sie basiert auf einer digitalen Signatur, die im Header einer E-Mail hinterlegt wird.

Für DKIM wird ein Schlüsselpaar genutzt:

• Privater Schlüssel: Wird vom sendenden Mailserver verwendet, um aus bestimmten E-Mail-Daten eine digitale Signatur zu erzeugen.

• Öffentlicher Schlüssel: Wird als TXT-Eintrag im DNS der Absenderdomain veröffentlicht, sodass empfangende Mailserver die Signatur verifizieren können.

Ein DKIM-Eintrag im DNS sieht beispielsweise so aus:

default._domainkey.example.com TXT „v=DKIM1; k=rsa; p=MIGfMA0GCSqGSI…“

• v=DKIM1 – Kennzeichnet die DKIM-Version.
• k=rsa – Gibt den verwendeten Verschlüsselungsalgorithmus an.
• p=MIGfMA0G… – Der öffentliche Schlüssel zur Verifizierung.

Wenn der empfangende Mailserver eine E-Mail überprüft, vergleicht er die DKIM-Signatur mit dem öffentlichen Schlüssel. Ist die Signatur gültig, gilt die E-Mail als authentisch und unverändert.

Die DKIM-Signierung hilft dabei, Phishing und E-Mail-Manipulation zu verhindern und trägt zur besseren Zustellbarkeit von E-Mails bei.

DMARC (Domain-based Message Authentication, Reporting & Conformance)

Ein DMARC-Eintrag ist eine E-Mail-Sicherheitsrichtlinie, die auf SPF und DKIM aufbaut und festlegt, wie empfangende Mailserver mit nicht authentifizierten E-Mails umgehen sollen. Er hilft, E-Mail-Spoofing zu verhindern und ermöglicht detaillierte Berichte über missbräuchliche Nutzung einer Domain.

Ein DMARC-Eintrag wird als TXT-Eintrag in den DNS-Einstellungen der Domain hinterlegt und enthält Regeln für die Handhabung von E-Mails, die SPF oder DKIM nicht bestehen.

Ein typischer DMARC-Eintrag sieht beispielsweise so aus:

_dmarc.example.com TXT „v=DMARC1; p=reject; rua=mailto:dmarc-reports@example.com“

• v=DMARC1 – Kennzeichnet die DMARC-Version.
• p=reject – Gibt an, dass nicht authentifizierte E-Mails abgelehnt werden.
• none: Keine Maßnahme, nur Berichte sammeln.
• quarantine: Verdächtige E-Mails im Spam-Ordner ablegen.
• reject: E-Mails, die die Prüfung nicht bestehen, direkt abweisen.
• rua=mailto:dmarc-reports@example.com – E-Mail-Adresse für Berichte über fehlgeschlagene Authentifizierungsversuche.

DMARC hilft Unternehmen, ihre E-Mail-Domains vor Phishing und Spoofing zu schützen, indem es klare Richtlinien für die Verarbeitung nicht authentifizierter E-Mails vorgibt und wertvolle Einblicke in die E-Mail-Nutzung liefert.

Möchte man überprüfen, ob der eigenen Mailserver durch die korrekten DNS-Einträge ausgewiesen wird, der kann dies auf der Website mxtoolbox.com überprüfen: