Eine E-Mail-Adresse besteht aus einem Local-Part und einer Domain.
So ist bei der E-Mail-Adresse vorname.nachname@organisation.de der Teil "vorname.nachname" der Local-Part und "organisation.de" die Domain.
Beim Einrichten einer E-Mail-Adresse in einem E-Mail-Programm wie Outlook, Thunderbird oder Mail, fällt auf, dass der Mailserver nichts mit der Domain einer einer E-Mail-Adresse zu tun haben muss. Man könnte also - rein technisch - über jeden Mailserver eine E-Mail abschicken und dabei jede beliebige Absender-E-Mail-Adresse angeben.
In den Anfängen des Internets ging das tatsächlich. Das führte jedoch bald dazu, dass E-Mails mit gefälschten Absendern versendet wurden. Daher wurden schon schnell Schutzmechanismen entwickelt, die verhindern sollten, dass E-Mails mit fremden Absende-E-Mail-Adressen verschickt werden können - man bezeichnet das auch als E-Mail-Spoofing.
Diese Schutzmechanismen basieren auf DNS-Einträgen. Die wichtigsten darunter sind SPF, DKIM und DMARC.
Server im Internet haben eindeutige Adressen, die aus Zahlen oder aus Zahlen und Buchstaben bestehen. Diese Adressen sind IP-Adressen. Diese Adressen sind schwer merkbar. Daher wurde schon früh die Adressierung mittels Domains definiert. Domains sind sprechende Namen, wie bspw. starmate.io. Die Übersetzung der Domains in IP-Adressen erfolgt im Domain-Name-System, kurz: DNS. Dieses kann man sich vorstellen wie eine Tabelle, in der die Domains und IP-Adressen stehen. Diese DNS-Einträge werden im Internet laufend synchronisiert und bereit gehalten - sie sind damit das Rückgrat des Internets in der Form, wie wir es heute kennen und nutzen.
In dieser Tabelle können pro Domain Einträge hinterlegt werden, die Schutzmechanismen für die Verwendung der Domainnamen bei Absende-E-Mail-Adressen sind.
Das Sender Policy Framework (SPF) ist eine der ältesten Methoden zur Verhinderung von E-Mail-Spoofing. Mit SPF wird im DNS der Domain ein Eintrag erstellt, der genau festlegt, welche IP-Adressen berechtigt sind, E-Mails im Namen dieser Domain zu versenden.
• Wenn eine E-Mail von deiner Domain verschickt wird, überprüft der empfangende Mailserver anhand des SPF-Eintrags, ob der sendende Mailserver berechtigt ist, E-Mails für deine Domain zu versenden.
• Wenn die Absender-IP mit der im SPF-Eintrag definierten übereinstimmt, wird die E-Mail als legitim angesehen. Andernfalls kann die E-Mail als verdächtig eingestuft und blockiert oder markiert werden.
Ein SPF-Eintrag sieht typischerweise so aus:
v=spf1 include:wlk-msg.de -all
Dieser Eintrag erlaubt E-Mails, die über den Server des Mailproviders (wlk-msg.de) verschickt werden, und blockiert alle anderen.
DKIM geht einen Schritt weiter und fügt eine digitale Signatur hinzu, um sicherzustellen, dass die E-Mail auf ihrem Weg zum Empfänger nicht verändert wurde. Diese Signatur wird im Header der E-Mail gespeichert und kann vom empfangenden Server überprüft werden.
• Beim Versenden einer E-Mail wird eine digitale Signatur erstellt, die auf dem Inhalt der E-Mail basiert.
• Der empfangende Server verwendet den öffentlichen Schlüssel, der im DNS-Eintrag deiner Domain hinterlegt ist, um diese Signatur zu überprüfen.
• Wenn die Signatur gültig ist, kann der Empfänger sicher sein, dass die E-Mail tatsächlich von der angegebenen Domain stammt und auf dem Weg nicht manipuliert wurde.
Ein DKIM-Eintrag könnte beispielsweise so aussehen:
v=DKIM1; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC3...
Hierbei handelt es sich um den öffentlichen Schlüssel, der vom empfangenden Mailserver genutzt wird, um die Signatur zu validieren.
DMARC baut auf SPF und DKIM auf und sorgt dafür, dass diese beiden Mechanismen zusammenarbeiten, um eine noch stärkere Schutzschicht zu bieten. DMARC ermöglicht es Domaininhabern, Regeln dafür festzulegen, wie empfangende Server mit E-Mails umgehen sollen, die entweder SPF oder DKIM (oder beide) nicht bestehen.
• DMARC überprüft, ob die E-Mail sowohl den SPF- als auch den DKIM-Test besteht.
• Zusätzlich prüft DMARC, ob die Absenderadresse in der „From“-Zeile der E-Mail tatsächlich mit der Domain übereinstimmt, die im SPF- und DKIM-Eintrag steht – dies nennt man Alignment.
• Domaininhaber können in ihrem DMARC-Eintrag festlegen, wie E-Mails behandelt werden sollen, die diese Prüfungen nicht bestehen: sie können akzeptiert, als Spam markiert oder abgelehnt werden.
Ein typischer DMARC-Eintrag sieht so aus:
v=DMARC1; p=reject; rua=mailto:dmarc-reports@meinedomain.de; pct=100
In diesem Beispiel wird jede E-Mail, die SPF oder DKIM nicht besteht, abgelehnt (p=reject). Zusätzlich werden Berichte über fehlgeschlagene DMARC-Prüfungen an die angegebene E-Mail-Adresse (rua) gesendet.
SPF, DKIM und DMARC bilden ein starkes Dreiergespann im Kampf gegen E-Mail-Spoofing und zur Sicherstellung der Legitimität von E-Mails:
1. SPF verifiziert, dass die E-Mail von einem autorisierten Server stammt.
2. DKIM stellt sicher, dass der E-Mail-Inhalt während der Übertragung nicht verändert wurde.
3. DMARC sorgt dafür, dass SPF und DKIM korrekt angewendet werden und gibt klare Richtlinien vor, wie fehlgeschlagene Prüfungen behandelt werden sollen.
Spoofing kann das Vertrauen in deine Marke und die Zustellrate deiner E-Mails erheblich beeinträchtigen. Wenn E-Mail-Provider wie Gmail oder Outlook feststellen, dass E-Mails nicht richtig authentifiziert sind, werden sie möglicherweise im Spam-Ordner landen oder sogar vollständig abgelehnt. Durch die Implementierung von SPF, DKIM und DMARC schützt du nicht nur deine Marke vor Missbrauch, sondern stellst auch sicher, dass deine Marketing-E-Mails zuverlässig zugestellt werden.
Dieser Artikel erklärt die wichtigsten Methoden zur Legitimation der E-Mail-Zustellung und zur Verhinderung von Spoofing. Damit bist du gut gerüstet, um dein Newsletter-Marketing sicher und vertrauenswürdig zu gestalten.
Das Setzen dieser DNS-Einträge setzt Fachwissen im Bereich des DNS voraus und ist daher nicht ganz trivial.
Auch IT-Experten sind hier nicht immer ganz sicher. Um daher das komplizierte Setzen von entsprechenden Einträgen zu vermeiden und Fehlerquellen, die aufwändig beseitigt werden müssen, nicht entstehen zu lassen, haben wir das Ganze vereinfacht.
Die E-Marketing-Suite hat selbst Domain-Name-Server, in der sie für die Kundendomains, die für den Versand von Mailings und Newslettern verwendet werden, die nötigen Legitimationen einträgt.
Um diese zu nutzen, stellen Kunden eine Subdomain oder eine eigene Domain bereit. Eine Subdomain ist bspw. news.kundendomain.de. Deren DNS-Einträge werden dann über drei einfache DNS-Einträge an die E-Marketing-Suite delegiert.
Damit können wir sicher sein, dass die für die Legitimation relevanten Daten immer bei allen Kunden aktuell sind.Ausserdem sind wir damit in der Lage, zentral und kurzfristig nötige Anpassungen durchzuführen und auch Erweiterungen unserer Versandinfrastruktur kurzfristig bei allen Kunden verfügbar zu machen.
CTO der starmate solutions GmbH