SPF, DKIM & DMARC erklärt: Wie man sie einrichtet und gefälschte E-Mails bekämpft

Veröffentlicht: 2021-11-13

Sie haben sorgfältig an Ihrer E-Mail-Marketing-Strategie gearbeitet, stehen aber immer noch vor dem Problem, dass Ihre E-Mails ständig abprallen oder im Spam- Ordner landen ?

Dies ist etwas, das sich kein Vertriebsmitarbeiter oder Marketingfachmann stellen möchte. Schließlich können Bounces und eine hohe Spam-Beschwerdequote die Reputation des Absenders und die Zustellbarkeit von E-Mails beeinträchtigen und sogar dazu führen, dass der Absender von ISPs blockiert wird.

Aber keine Sorge. War dort, habe das behoben.

Einer der Gründe, warum Ihre E-Mails als Spam markiert werden können, ist die falsche Konfiguration von DMARC-, DKIM- und SPF-Einträgen.

Um das Problem zu lösen, müssen Sie einige technische Details kennen. Und dafür sind wir da!

Umriss:

  • Wofür stehen SPF, DKIM und DMARC?
  • Wie können Sie überprüfen, ob Ihr technisches Setup in Ordnung ist?
  • Wie richte ich SPF, DKIM und DMARC ein?

Wofür stehen SPF, DKIM und DMARC?

Beginnen wir mit der Klärung einiger Begriffe.

Beim Lesen von SPF-, DKIM- und DMARC-Definitionen werden Sie feststellen, dass DNS häufig erwähnt wird. DNS (Domain Name System) ist ein Repository von Domainnamen (example.com) und ihren entsprechenden IP-Adressen (111.222.333.444) . Jede Domäne kann mehr als eine IP-Adresse haben, beispielsweise hat eine Subdomäne oder ein Domänen-Mailserver unterschiedliche IPs.

Zum Einrichten von SPF, DKIM und DMARC benötigen Sie Zugriff auf DNS. Normalerweise können Ihnen die Systemadministratoren Ihres Unternehmens oder in einigen Fällen Entwickler dabei helfen.

SPF hilft, Spoofing zu verhindern, indem die IP-Adresse des Absenders überprüft wird

SPF (Sender Policy Framework) ist ein DNS- Eintrag , der Informationen über Server enthält, die E-Mails von einer bestimmten Domäne senden dürfen (z. B. snov.io ).

Damit können Sie überprüfen, ob Nachrichten von Ihrer Domain von von Ihnen autorisierten Mailservern und IP-Adressen gesendet werden. Dies können Ihre E-Mail-Server oder Server eines anderen Unternehmens sein, die Sie für Ihren E-Mail-Versand verwenden.

Wenn SPF nicht eingestellt ist, können Betrüger es ausnutzen und gefälschte Nachrichten senden, die so aussehen, als ob sie von Ihnen stammen.

Denken Sie daran, dass es für eine Domäne nur einen SPF-Eintrag geben kann . Innerhalb eines SPF-Records können jedoch mehrere Server und IP-Adressen erwähnt werden (zB wenn E-Mails von mehreren Mailing-Plattformen versendet werden).

DKIM zeigt an, dass die E-Mail zu einer bestimmten Organisation gehört

DKIM (DomainKeys Identified Mail) ist ein weiterer technischer Standard, der hilft, gefälschte E-Mail-Adressen zu erkennen, Spam zu bekämpfen und Spoofing und Identitätsdiebstahl zu verhindern.

DKIM fügt dem Header Ihrer E-Mail-Nachricht eine digitale Signatur hinzu , die dann von den E-Mail-Servern überprüft wird, um sicherzustellen, dass sich der E-Mail-Inhalt nicht geändert hat. Wie bei SPF existiert ein DKIM-Eintrag im DNS.

DMARC gleicht SPF- und DKIM-Mechanismen aus

DMARC-E-Mail-Authentifizierungsprozess

DMARC (Domain-based Message Authentication, Reporting & Conformance) definiert, wie der Mailserver des Empfängers eingehende E-Mails verarbeiten soll, wenn diese die Authentifizierungsprüfung nicht bestehen (entweder SPF, DKIM oder beides).

Grundsätzlich wird die E-Mail an den Posteingang des Empfängers gesendet, wenn eine DKIM-Signatur vorhanden ist und der sendende Server in den SPF-Einträgen gefunden wird.

Wenn die Authentifizierung der Nachricht fehlschlägt, wird sie gemäß der ausgewählten DMARC-Richtlinie verarbeitet: Keine, Ablehnen oder Quarantäne.

  • Unter der Richtlinie „Keine“ ergreift der empfangende Server keine Aktion, wenn Ihre E-Mails nicht authentifiziert werden. Es hat keinen Einfluss auf Ihre Zustellbarkeit. Aber es schützt Sie auch nicht vor Betrügern, daher empfehlen wir nicht, es einzustellen. Nur durch die Einführung strengerer Richtlinien können Sie diese von Anfang an blockieren und die Welt wissen lassen, dass Ihnen Ihre Kunden und Ihre Marke am Herzen liegen.
  • Hier werden Nachrichten, die von Ihrer Domain kommen, aber die DMARC-Prüfung nicht bestehen, in „Quarantäne“ verschoben. In einem solchen Fall wird dem Anbieter empfohlen, Ihre E-Mail an den Spam-Ordner zu senden.
  • Gemäß der Richtlinie „Ablehnen“ weist der empfangende Server alle Nachrichten zurück, die die E-Mail-Authentifizierung nicht bestehen. Das bedeutet, dass solche E-Mails keinen Adressaten erreichen und zu einem Bounce führen.

Die Option „Ablehnen“ ist am effektivsten, aber es ist besser, sie nur zu wählen, wenn Sie sicher sind, dass alles richtig konfiguriert ist.

Zustellungsfehler

Nachdem wir nun alle Begriffe geklärt haben, sehen wir uns an, wie Sie überprüfen können, ob Sie einen vorhandenen SPF-Eintrag, DKIM-Eintrag und eine DMARC-Richtlinie eingerichtet haben.

Wie können Sie überprüfen, ob Ihr technisches Setup in Ordnung ist?

Hier sind einige einfache Möglichkeiten, um Ihr technisches Setup zu überprüfen, um zu sehen, ob alles ordnungsgemäß funktioniert.

DKIM-, SPF- und DMARC-Prüfung über Gmail

Option 1

Senden Sie eine Test-E-Mail an Ihre Adresse und öffnen Sie dann die Nachricht. Klicken Sie auf "Details anzeigen ". Wenn Sie einen „Mailed-by“ -Header mit dem Domainnamen und einen „signed-by“ -Header mit der sendenden Domain sehen, sind Ihr DKIM und SPF in Ordnung.

DKIM-, SPF- und DMARC-Prüfung über Gmail

Option 2

Unter „Original anzeigen “ finden Sie weitere Informationen zu SPF, DKIM und DMARC.

DKIM-, SPF- und DMARC-Prüfung über Gmail

Fertig!

DKIM-, SPF- und DMARC-Prüfung über Gmail

DKIM-, SPF- und DMARC-Prüfung über die Befehlszeile

Sehen wir uns nun an, wie Sie SPF-, DKIM- und DMARC-Einträge in Windows über die Befehlszeile überprüfen können. Für Mac-Benutzer ist der Prozess etwas anders; Die Überprüfung erfolgt über das Mac OS Terminal. Die Einzelheiten können Sie hier lesen .

SPF-Eintragsprüfung

Sie können Ihren SPF- Eintrag mit nslookup überprüfen – einem Standardabfragetool, das dem Benutzer eine Befehlszeilenschnittstelle für den Zugriff auf das DNS bietet.

  1. Öffnen Sie die Befehlszeile (Start > Ausführen > cmd).
  2. Geben Sie „nslookup -type=txt“ gefolgt von einem Leerzeichen und einem Domain- oder Hostnamen ein, zum Beispiel „nslookup -type=txt google.com“.
  3. Wenn ein SPF- Eintrag vorhanden ist, sieht das Ergebnis etwa so aus: „v=spf1 include:_spf.google.com ~all“ .
  4. Wenn keine Ergebnisse oder kein „v=spf1“ vorhanden ist, gibt es ein Problem beim Abrufen des Eintrags für die Domäne oder er existiert nicht.

SPF-Eintragsprüfung

So lesen Sie SPF richtig

  • Der Teil „v=spf1“ zeigt an, dass der Datensatz vom Typ SPF (Version 1) ist.
  • Der Teil „einschließen“ listet Server auf, die E-Mails für die Domäne senden dürfen.
  • Der Teil „~all“ zeigt an, dass der Empfängerserver dies wahrscheinlich ablehnen wird, wenn ein Teil der gesendeten Nachricht nicht mit dem Datensatz übereinstimmt.

DKIM-Eintragsprüfung

Um DKIM mit Hilfe von nslookup zu überprüfen , gehen Sie folgendermaßen vor:

  1. Öffnen Sie die Befehlszeile (Start > Ausführen > cmd).
  2. Geben Sie im Befehlsfenster „nslookup“ > Enter ein.
  3. Geben Sie „set q=txt“ > Enter ein.
  4. Geben Sie „selector._domainkey.domain.com“ ein > Enter. Ersetzen Sie die Wörter Selektor und Domäne durch den DKIM-Selektor und die Domäne, die Sie suchen möchten.

DKIM-Eintragsprüfung

Den DKIM-Selektor finden Sie im DKIM-Signature-E-Mail-Header, wenn Sie zu einer von Ihnen gesendeten E-Mail gehen, auf „Original anzeigen klicken (wie hier) und nach unten scrollen. Es wird als "s="- Tag angegeben.

DKIM-Eintragsprüfung

DMARC-Richtlinienprüfung

Sie können die DMARC-Richtlinie auch über die Befehlszeile nachschlagen:

  1. Öffnen Sie die Befehlszeile (Start > Ausführen > cmd).
  2. Geben Sie "nslookup -type=txt _dmarc.domain.com" ein , beispielsweise "nslookup -type=txt _dmarc.google.com", > Eingabe.

DMARC-Richtlinienprüfung

DKIM-, SPF- und DMARC-Prüfung mit Hilfe von MxToolbox

Dies ist vielleicht die einfachste Option. Alles, was Sie tun müssen, ist, auf die MxToolbox- Website zu gehen und drei Prüfungen durchzuführen .

Bitte beachten Sie, dass Sie für die Suche nach DKIM-Einträgen einen Selektor benötigen, genau wie bei der zuvor beschriebenen Befehlszeile.

DKIM-, SPF- und DMARC-Prüfung mit Hilfe von MxToolbox

Wie richte ich SPF, DKIM und DMARC ein?

Beim Konfigurieren von SPF-, DKIM- und DMARC-Einträgen müssen Sie die richtige Reihenfolge einhalten, die Sie in der Google Workspace-Admin-Hilfe finden .

Dies sind die Anweisungen, denen Sie folgen können:

  1. Richten Sie SPF für die Domäne ein.
  2. Richten Sie DKIM für die Domäne ein.
  3. Richten Sie ein Postfach für Berichte ein.
  4. Rufen Sie die Anmeldeinformationen für den Domänenhost ab.
  5. Prüfen Sie, ob ein DMARC-Eintrag vorhanden ist (Sie können hier MxToolbox verwenden).
  6. DMARC-Richtlinie ändern.

Denken Sie daran, dass sowohl die anfängliche Einstellung von DKIM, SPF, MX, DMARC als auch nachfolgende Änderungen in der richtigen Reihenfolge erfolgen müssen.

Nachfolgend finden Sie allgemeine Einstellungen für alle Domain-Anbieter (am Beispiel von Google ). Aber denken Sie daran, da Sie Ihre eigenen Domänen haben, können diese alle unterschiedlich konfiguriert werden.

Allgemeine SPF-Einrichtung

1. Sie müssen zu Ihren DNS-Einstellungen gehen (zB Namecheap, Cloudflare, Bluehost usw.) und einen neuen Eintrag erstellen.

Allgemeine DKIM-Einrichtung

2. Wählen Sie den TXT-Eintrag aus und geben Sie „@“ in „Name“ ein.

3. Fügen Sie „v=spf1 include: _spf.google.com ~all“ in „Wert“ ein und speichern Sie dann.

Allgemeine SPF-Einrichtung

Allgemeine DKIM-Einrichtung

Diese Schritte gelten für die Administratoren, die Google-Konten für Ihr Unternehmen verwalten:

1. Melden Sie sich in Ihrer Google Admin-Konsole an .

2. Klicken Sie auf das Menü oben links und gehen Sie zu Apps > G Suite > Einstellungen für Gmail > E- Mail authentifizieren .

3. Wählen Sie Ihre Domain aus der Dropdown-Liste aus, klicken Sie auf „Neuen Eintrag generieren“ und kopieren Sie dann den Hostnamen und den TXT-Eintragswert.

Allgemeine DKIM-Einrichtung

4. Melden Sie sich bei Ihrem DNS an (z. B. Namecheap, Cloudflare, Bluehost usw.), gehen Sie zur Domänenliste, wählen Sie Ihre Domäne aus und wählen Sie in den erweiterten Einstellungen „Neuen Eintrag hinzufügen .

Allgemeine DKIM-Einrichtung

5. Wählen Sie den TXT-Eintrag aus und geben Sie den gerade von Google kopierten Hostnamen in „Name“ und den TXT-Eintragswert in „Wert“ ein.

Allgemeine DKIM-Einrichtung 6. Speichern Sie Ihre Änderungen.

7. Gehen Sie zurück zu Google und klicken Sie einfach auf "Authentifizierung starten".

Allgemeine DKIM-Einrichtung

8. Warten Sie, bis das DNS aktualisiert ist

Hier ist eine Videoanleitung, wenn Sie eine detailliertere Erklärung wünschen:

Allgemeine DMARC-Einstellung

Genau wie SPF und DKIM ist DMARC ein einfacher einzeiliger Eintrag in Ihren DNS-Einträgen (zB Namecheap, Cloudflare, Bluehost usw.).

Stellen Sie vor dem Festlegen sicher, dass Sie SPF- und DKIM-Einträge für die erforderliche Domäne konfiguriert haben.

Folgen Sie dann diesen Schritten:

1. Gehen Sie zu Ihren DNS-Einstellungen und erstellen Sie einen neuen Eintrag.

Allgemeine DKIM-Einrichtung

2. Wählen Sie einen 'TXT'-Eintrag.

3. Fügen Sie den Hostnamen hinzu (z. B. _dmarc).

4. Fügen Sie den Wert hinzu. Nachfolgend finden Sie einen Beispiel-DMARC-Eintrag, mit dem Sie Ihren eigenen erstellen können:

v=DMARC1; p = Quarantäne; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=s

Woher:

  • v — Ein obligatorischer Tag-Wert (nicht ändern!).
  • p – E-Mail-Verarbeitungsrichtlinie. Eine der möglichen Optionen wird angegeben – keine, Quarantäne oder ablehnen .
  • rua – E-Mail-Adresse für den Empfang statistischer Berichte. Die Adresse muss zu derselben Domäne gehören, für die der DMARC-Eintrag konfiguriert ist.
  • ruf – E-Mail-Adresse zum Empfangen von Berichten über fehlgeschlagene Authentifizierungsprüfungen. Da jeder Fehler bei der Überprüfung der Absenderadresse einen separaten Bericht generiert, ist es besser, dafür ein separates Postfach zu haben.
  • fo — Legt fest, in welchen Fällen Berichte an den Domaininhaber gesendet werden. Mögliche Werte sind:
    • 0 – ein Bericht wird gesendet, wenn die SPF- und DKIM-Prüfungen fehlschlagen. Standardmäßig eingestellt.
    • 1 – ein Bericht wird gesendet, wenn eine der Prüfungen fehlschlägt – entweder SPF oder DKIM.
    • d — Für jede durchgeführte DKIM-Verifizierung wird ein Bericht gesendet.
    • s — Für jede durchgeführte SPF-Prüfung wird ein Bericht gesendet.

Einpacken

Jetzt, da Ihr SPF-Eintrag, DKIM-Eintrag und DMARC-Richtlinie richtig eingestellt sind, müssen Sie nur noch mit dem Senden Ihrer kalten E-Mails beginnen !

Und denken Sie daran, dass das Tool für E-Mail-Drip-Kampagnen von Snov.io immer bereit ist, Ihnen bei Ihrer E-Mail- Ansprache zu helfen.

Viel Spaß beim Senden!