Profis mit Erfahrung
Was bedeuten die Begriffe SPF, DKIM und DMARC, die beim Mail-Versand eine Rolle spielen. Wir haben uns umgesehen, und versuchen eine möglichst verständliche Erklärung. Aber leicht ist das nicht, glauben Sie uns.
Im Oktober 1971 hatte Ray Tomlinson den ersten elektronischen Brief verschickt, das war die Geburtsstunde der E-Mail. Damals dachte man nicht daran, dass es in Zukunft auch Spam-Mails geben könnte, daher wurde das technische Konzept hinter dem Mailversand eher einfach gehalten. Jahrzehnte danach haben wir den Spam-Salat.
Nun gibt es nachträglich entwickelte Konzepte, die sich um wesentliche Anforderungen an die E-Mail kümmern, wie die Authentizität, der Datenschutz und die Integrität der E-Mail.
Mit der Authentizität einer E-Mail ist gemeint, dass sichergestellt ist, dass die E-Mail auch wirklich vom Absender stammt, also ein Original ist und keine betrügerische Fälschung. Datenschutz bezeichnet bei E-Mails im Wesentlichen den Schutz vor Mitlesen durch Dritte auf dem Übertragungsweg. Als Integrität bezeichnet man das Schutzziel, dass der E-Mail-Inhalt bei der Übertragung vollständig und unverändert bleibt.
Wikipedia, Stand 2021-07-03
Dieser Artikel behandelt Vorgangsweisen zur Sicherstellung, dass Ihre Mails bei Empfänger/innen mit höchster Wahrscheinlichkeit ankommen, und dass niemand in Ihrem Namen Spam-Mails versenden kann.
Es geht nicht darum, wie Sie sich selbst vor Spam-Mails schützen können.
Damit E-Mails im Namen Ihrer Domain sicher versendet werden können, braucht es bestimmte Einträge im Domain Name System (DNS) – also dort, wo die Einstellungen Ihrer Domain gespeichert sind.
Für den sicheren E-Mail-Versand gibt es drei wichtige Verfahren, für die jeweils ein spezieller DNS-Eintrag notwendig ist:
SPF: Bestimmt, welche Mailserver im Namen Ihrer Domain E-Mails versenden dürfen.
DKIM: Prüft, ob die E-Mail wirklich von Ihrer Domain kommt (aber verschlüsselt den Inhalt nicht).
DMARC: Gibt vor, wie empfangende Mailserver mit E-Mails umgehen sollen, wenn SPF oder DKIM nicht stimmen.
Die Einträge für SPF, DKIM und DMARC unterscheiden sich je nach Provider, Mailserver und Einsatz. Kopieren Sie daher keine Beispiel-Einträge ungeprüft, sondern passen Sie diese immer individuell an!
Sie benötigen dafür Zugang zu den DNS-Einstellungen Ihrer Domain – meist über die Verwaltungsoberfläche Ihres Providers. Falls Sie dort keine Anleitung finden, hilft der Support weiter.
Beachten Sie: Änderungen im DNS wirken nicht sofort, sondern erst nach einigen Minuten oder sogar Stunden – je nach Provider.
Wichtig: Falsche DNS-Einträge können dazu führen, dass Ihre Website oder Ihre E-Mails nicht mehr funktionieren. Arbeiten Sie also vorsichtig und im Zweifel mit Unterstützung.
Am Ende des Beitrags finden Sie allgemeine hilfreiche Links zum Thema.
SPF steht für Sender Policy Framework.
Mit einem SPF Eintrag im Domain Name System vom Typ »TXT(SPF)« geben Sie an, welche Mail-Server im Namen Ihrer Domain E-Mails versenden dürfen.
Ohne SPF kann ein Fremder theoretisch vorgeben, E-Mails von Ihrer Domain zu senden – SPF hilft, das zu verhindern.
Wenn ein Empfänger eine E-Mail bekommt, prüft dessen Mailserver:
Wenn ja, gilt die E-Mail als authentisch. Wenn nicht, kann sie abgelehnt oder im Spam-Ordner landen – je nachdem, wie streng die Regelung ist.
Wir wiederholen: mit Ihrem SPF Eintrag können Sie vorgeben, welche Mailserver (MTA – Mail Transfer Agent) überhaupt Mails aus Ihrer Domain zustellen dürfen, und wie Mails vom Empfänger-Mailserver behandelt werden sollen, die nicht über einen für Ihre Domain zugelassenen Mailserver versendet wurde.
Ein SPF Eintrag kann so aussehen:
ihre-domain.de. IN TXT »v=spf1 mx a -all«
Innerhalb der Anführungszeichen steht die eigentliche Regel. Wichtig ist vor allem das Zeichen vor all:
-all: strenge Regel – E-Mails von nicht erlaubten Servern werden abgelehnt~all: lockere Regel – diese E-Mails werden zugestellt, aber oft als „verdächtig“ markiert?all: neutral – diese Mails werden zugelassen, eine Bewertung findet nicht statt+all: bitte nicht verwenden – jeder Mailserver darf vorgeben in Ihrem Namen Mails uneingeschränkt senden zu dürfenMit include: erlauben Sie zusätzliche Server – etwa von Newsletter-Plattformen wie MailChimp, Brevo, CleverReach oder MailerLite. Dafür müssen Sie wissen, welchen SPF-Wert die jeweilige Plattform vorgibt (das ist meist im Hilfebereich der Plattform zu finden).
Seit Sommer 2023 ist es vor allem nötig, einen SPF Eintrag zu nutzen, wenn man Mails an gmail.com-Mailadressen senden möchte. Andernfalls können die Mails eventuell nicht zugestellt werden, die Fehlermeldung beinhaltet:
Gmail requires all senders to authenticate with either SPF or DKIM.https://de.wikipedia.org/wiki/Sender_Policy_Framework#Aufbau_eines_SPF-Records
DKIM steht für Domain Keys Identified Mail.
DKIM sorgt dafür, dass man nachprüfen kann, ob eine E-Mail tatsächlich von Ihrer Domain stammt – und ob sie unterwegs unverändert geblieben ist.
Es geht dabei nicht um Verschlüsselung des Inhalts oder um Spam-Bewertung – DKIM prüft nur, ob die Nachricht authentisch und unverändert ist.
Beim Versand einer E-Mail wird eine Signatur in den E-Mail-Header eingefügt. Diese Signatur wird mit einem privaten Schlüssel erzeugt, der auf Ihrem Mailserver hinterlegt ist. Der dazugehörige öffentliche Schlüssel wird als DNS-Eintrag gespeichert.
Wenn der Empfänger eine E-Mail bekommt, ruft dessen Mailserver den öffentlichen Schlüssel ab und überprüft damit, ob die Signatur passt. Passt sie nicht, kann das zwei Gründe haben:
Wenn der öffentliche Schlüssel nicht zur Signatur passt, so kann dies folgende zwei Gründe haben:
DKIM prüft also die Integrität und die Authentizität einer E-Mail.
Viele Hosting- oder Mail-Provider bieten eine einfache Möglichkeit, DKIM zu aktivieren – meist mit einem Klick oder einer Einstellung im Admin-Bereich der Domain.
Der Dateninhalt des öffentlichen Schlüssels sieht so ähnlich aus wie:
v=DKIM1;p=MIGfMA0GCSqGSIb.......6tLIfDHVwIDAQAB (sehr langer Ausdruck)Wenn Sie weitere Mailserver nutzen, z. B. wenn Sie zusätzlich über einen oder mehrere Newsletter-Dienste E-Mails versenden, benötigen Sie für jeden dieser zusätzlichen Mailserver einen eigenen DKIM-Eintrag.
Hierbei wird oft ein sogenannter Selector verwendet, damit die DKIM Einträge voneinander unterschieden werden können. Der Selector ist also ein Zusatz, der den jeweiligen DKIM-Eintrag identifiziert.
[Selector]._domainkey.ihre-domain.comWie der vollständige TXT-Eintragname bei einem DMARC-Eintrag lautet, wird von Ihrem (Mail-)Provider vorgegeben, bzw. vom Anbieter der Mailing-Plattform, für die Sie DKIM einrichten müssen (CleverReach, MailerLite, etc.).
Hier einige DKIM Selector Beispiele:
| Anbieter | Typischer Selector |
| Timme-Hosting | default._domainkey.[IhreDomain.com] |
| all-inkl | mail._domainkey.[IhreDomain.com] |
| CleverReach | crsend._domainkey.[IhreDomain.com] |
| MailerLite | litesrv._domainkey.[IhreDomain.com] (neue Version) oder ml._domainkey.[IhreDomain.com] (alte Version) |
| SendGrid | s1._domainkey.[IhreDomain.com] |
| MailChimp | k1._domainkey.[ und k2._domainkey.[ |
| Brevo | brevo1._domainkey.[IhreDomain.com] und brevo2._domainkey.[ |
Ersetzen Sie [IhreDomain.com] durch Ihre tatsächliche Domain.
Wenn es nur um den DKIM Eintrag für Ihren Hosting Provider geht (z.B. all-inkl, hostinger, hosttech, Strato, Hetzner, etc.), passiert der Eintrag auf Knopfdruck, das haben viele Provider so vorbereitet. Wenn Sie aber für einen Newsletter-Anbieter einen zusätzlichen DKIM Eintrag benötigen, dann erhalten Sie die komplette DKIM Information direkt bei diesem Newsletter-Anbieter.
Links zu DKIM-Anleitungen einiger gebräuchlicher Newsletter-Plattformen:
Nur den öffentlichen Schlüssel ins DNS einzutragen reicht nicht! Der private Schlüssel muss korrekt auf dem Mailserver hinterlegt sein, sonst funktioniert die Signatur nicht.
Ein selbst erstelltes Schlüsselpaar mit einem Online-Tool funktioniert also nur dann, wenn Sie auch Zugriff auf die Konfiguration Ihres Mailservers haben – das ist meist nur bei eigenen Mailservern der Fall.
Viele Plattformen wie MailerLite, MailChimp oder CleverReach verlangen mittlerweile einen gültigen DKIM-Eintrag – ohne den werden E-Mails möglicherweise blockiert oder im Spam-Ordner abgelegt.
Hinweis: der Inhalt des DKIM Abschnitts wurde aufgrund der Anmerkung eines Lesers (siehe Kommentar) überarbeitet. Vielen Dank für die korrigierende Info.
DMARC steht für Domain-based Message Authentication, Reporting and Conformance.
Mit DMARC legen Sie fest, was empfangende Mailserver tun sollen, wenn eine E-Mail nicht den SPF- oder DKIM-Regeln entspricht. Außerdem können Sie sich regelmäßig Berichte über solche Vorfälle zusenden lassen.
Wichtig: DMARC setzt voraus, dass SPF und/oder DKIM korrekt eingerichtet sind. Ohne diese Einträge ist DMARC wirkungslos.
Mit einem DMARC-Eintrag können Sie:
Der Dateninhalt eines DMARC Eintrags im Domain Name System kann so aussehen:
v=DMARC1; p=reject; rua=mailto:mail@ihre-domain.de; ruf=mailto:mail@ihre-domain.de; adkim=s; aspf=rv=DMARC1: Muss immer so geschrieben sein – das ist die DMARC-Version.p=: Gibt an, was bei SPF-/DKIM-Fehlern passieren soll. Mögliche Werte:
none: keine Maßnahme, nur beobachtenquarantine: in den Spam-Ordner verschiebenreject: E-Mail ablehnenrua=: Adresse für Sammelberichte (meist täglich), z. B. dmarc-rua@ihre-domain.deruf=: Adresse für Fehlerberichte (forensische Berichte), z. B. dmarc-ruf@ihre-domain.deadkim=: Gibt an, wie genau DKIM geprüft werden soll (s = strikt, r = locker)aspf=: Das Gleiche für SPF (s = strikt, r = locker)Tipp: Legen Sie für die Berichte am besten eigene E-Mail-Adressen an, z. B. dmarc-rua@ihre-domain.de.
Die folgende Konfiguration weist alle E-Mails zurück, die nicht mit Ergebnissen der DKIM- und SPF-Prüfung übereinstimmen. Darüber hinaus wird ein aggregierter Statusbericht an die E-Mail-Adresse dmarc-rua@ihre-domain.de gesendet.
v=DMARC1;p=reject;rua=mailto:dmarc-rua@ihre-domain.deDer DNS-Eintragsname lautet immer:
_dmarc.IhreDomain.com Ersetzen Sie bitte “IhreDomain.com” durch Ihren tatsächlichen Domain-Namen (oder Subdomain-Namen).
Die Berichte, die Sie über rua und ruf erhalten, sind meist im XML-Format und schwer lesbar. Es gibt jedoch Online-Tools, mit denen Sie diese Berichte verständlich aufbereiten können, z. B.:
Sind alle Einträge gemacht, kann das im Ergebnis so aussehen wie hier (Beispiel beim Provider Timme-Hosting):
Wie das Bild zeigt, wird laut SPF Eintrag (erste Zeile) das Versenden über den Server crsend.com (CleverReach) ebenfalls zugelassen (der entsprechende CleverReach DKIM Eintrag ist im Screenshot allerdings nicht zu sehen).
Das default._domainkey in Zeile 2 für den DKIM-Eintrag gilt für den Provider im gezeigten Beispiel (Timme-Hosting). Bei Newsletter-Anbietern kommt hier sehr sicher ein weiterer Eintrag mit einem anderen Selector als default hinzu. Sehen Sie das bitte unbedingt in der Anleitung Ihres Newsletter-Anbieters nach.
Die Zeile 3 zeigt einen DMARC-Eintrag.
Mit dem gewonnen Basis-Wissen können Sie auch diverse Tools und Generatoren bestens nutzen. Sehen Sie sich etwa die Tools der Plattform MX Toolbox an:
Weitere Tools, die wir für hilfreich halten:
Das Thema Mail-Absicherung ist kein triviales Thema. Eine Standardvorgangsweise, bei der »blind« allgemein wirksame und gültige Einträge in irgendein Tool gemacht werden, gibt es hierfür leider nicht.
Wir freuen uns, wenn uns gelungen sein sollte, etwas Licht ins Dunkel zu bringen. Teilen Sie doch bitte Ihre Erfahrungen als Kommentar zum Beitrag mit.
[…] haben uns über die Zustellbarkeit von Mail […]
Hallo Herr Duschanek,
Ihre Darstellung von DKIM ist leider sehr fehlerbehaftet. Ich glaube ja gerne, dass eine einfache Erklärung nicht ganz leicht ist – aber Ihre Behauptungen hier empfinde ich geradezu als gefährlich, da Sie Ihre Leser womöglich verleiten könnten auf wirksame Verschlüsselungsmethoden zu verzichten.
»[…] wird die E-Mail durch den Sender verschlüsselt, und durch den Empfänger entschlüsselt […]« ,
»DKIM kümmert sich also um Datenschutz (um das Nicht-mitlesen-können) […]«
Falsch!
Zwar wird für DKIM asymmetrische Kryptografie verwendet, jedoch *nur* um eine kryptografische Signatur der Email (genauer: eines Hashwertes derselben) zu erstellen.
Verschlüsselt wird da gar nichts, die Mail geht weiterhin im Klartext über die Leitung.
(Mal abgesehen von der -inzwischen glücklicherweise üblichen- Transportverschlüsselung (TLS), die aber eben auch nur die Verbindungen zwischen den beteiligten Computern, also z.B. vom PC zum Server, schützt.)
»Der private Schlüssel wird mit jeder Mail automatisch mit gesendet.« ,
»Es muss zwingend auch der private Schlüssel am Mailserver so hinterlegt werden, dass gemeinsam mit dem öffentlichen Schlüssel die ausgehenden Mails verschlüsselt werden können. Weiters muss der private Schlüssel mit den Mails mit gesendet werden, sodass ein Entschlüsseln der Mails beim Empfänger gemeinsam mit dem öffentlichen Schlüssel möglich ist.«
Auch dies ist falsch, *private* Schlüssel heißen nicht umsonst so: sie werden niemals weiter gegeben, denn nur sie ermöglichen das Signieren und ggf. (aber eben nicht hier bei DKIM) Entschlüsseln – eine Signatur ist aber nichts wert, wenn quasi Jeder über den privaten Schlüssel verfügt und somit Beliebiges signieren kann.
Der öffentliche Teil eines Schlüsselpaares dagegen erlaubt nun nur die Prüfung der Signatur, und wird in anderen Anwendungsfällen zur VERschlüsselung benutzt, aber niemals zum Signieren oder Entschlüsseln – daher kann er eben auch öffentlich sein.
Danke für die Info, ich habe berichtigt und verweise auf Ihren Kommentar.