Warum Deine E-Mails bald nicht mehr zugestellt werden können: die Rolle von SPF, DKIM und DMARC

E-Mail Zustellung: SPF, DKIM und DMARC

Warum es jetzt ernst wird

E-Mails sind heutzutage in der digitalen Kommunikation unverzichtbar geworden. Doch mit der zunehmenden Verbreitung von E-Mail-Spam und -Phishing wird die Zustellung von E-Mails zu einem immer größeren Problem. Spam-E-Mails überfluten unsere Postfächer, und Phishing-Versuche werden immer raffinierter.

Jetzt wird es ernst, denn große E-Mail-Anbieter, wie Gmail und Yahoo, haben angekündigt, die Zustellung von E-Mails, die bestimmten Richtlinien nicht entsprechen, zu unterbinden. Dabei fallen immer wieder Begriffe wie SPF, DKIM und DMARC. Doch was bedeuten diese Begriffe und was bedeutet das für dich und deine E-Mail-Zustellung?

Leider handelt es sich hier nicht um ein so einfaches Thema, wie ein Häkchen, bei den Einstellungen zu setzen, und alles ist damit erledigt. Hier muss möglicherweise etwas mehr getan werden, damit deine E-Mails auch in Zukunft wieder zuverlässig zugestellt werden.

Ich möchte dir in diesem Artikel die Thematik möglichst einfach erklären und dir klare Maßnahmen mitgeben, wie du überprüfen kannst, ob du davon betroffen bist und welche Arbeiten dabei zu erledigen sind.

Bevor ich auf diese ominösen Begriffe eingehe, möchte ich dir kurz einmal die Problematik erklären, warum all diese Maßnahmen überhaupt notwendig sind.

Warum ist das überhaupt notwendig?

Der E-Mail-Dienst ist einer der ältesten Dienste des Internets und damals dachte noch niemand daran, diesen Dienst auch entsprechend abzusichern. Im Prinzip kann jeder im E-Mail-Header eine beliebige Absender-Adresse eintragen, welche in der Regel nicht überprüft wird. Daher könnte ich eine E-Mail mit jedem beliebigen Absender verschicken.

Vielleicht warst du auch schon einmal davon betroffen, eine E-Mail erhalten zu haben, die deine eigene Adresse als Absender hatte und wo behauptet wurde, dass dein E-Mail-Konto gehackt wurde. Als Beweis gibt der Schreiber der E-Mail an, dass du auf den Absender schauen sollst, wo du deine eigene E-Mail-Adresse findest. Er behauptet, die Kontrolle über dein E-Mail-Postfach zu haben. Als Gegenleistung, dass du wieder Kontrolle über dein E-Mail-Konto bekommst, möchte er einige Bitcoins haben.

Natürlich entspricht das nicht der Wahrheit, denn in Wirklichkeit wurde hier einfach eine E-Mail gesendet, wo der oben erwähnte Header mit deiner E-Mail-Adresse gefüllt wurde. Nur wenn man sich technisch besser auskennt und den genauen Code im Header überprüft, kann man erkennen, dass es sich hier um einen Betrugsversuch handelt.

Genauso könnte ich aber auch an jede beliebige Person eine E-Mail in deinem Namen versenden.

Es gibt eine Lösung gegen SPAM, E-Mail Betrug und Phishing

Ich möchte mich schon jetzt bei allen technisch versierten Lesern für die zum Teil vereinfachte Darstellung mancher Begriffe entschuldigen. Diese dient aber dazu, das Thema verständlich zu vermitteln und nicht mit Details zu kompliziert zu machen.

Um dieses Problem in den Griff zu bekommen, hat man sich schon vor einigen Jahren darüber Gedanken gemacht. Genauer bereits um das Jahr 2000 herum. Wie du siehst, handelt es sich hierbei nicht um eine gänzlich neue Technik, sie wurde nur viele Jahre nicht sehr aktiv eingesetzt.

Nachdem aber das Problem mit Phishing und Betrugsversuchen in den vergangenen Jahren immer mehr wurde, machen jetzt schrittweise immer mehr E-Mail-Anbieter ernst und prüfen, ob die Techniken zum Schutz vor E-Mail-Betrug auch durchgeführt wurden.

Und damit kommen wir zu den drei bereits erwähnten Begriffen SPF, DKIM und DMARC. Denn diese stellen die Techniken für die Absicherung zur Verfügung. Man spricht übrigens dabei von E-Mail-Authentifizierung. Diese 3 Verfahren möchte ich dir jetzt erklären.

Um die Funktion der E-Mail-Authentifizierung besser verstehen zu können und bevor ich auf die Begriffe eingehe, will ich dir noch erklären, wie der Versand einer E-Mail funktioniert.

Wie funktioniert der Versand von E-Mails?

Dazu muss ich die 2 Dinge erklären. Erstens, wie die E-Mail verpackt wird, um auf den Weg geschickt zu werden und zweitens, wie die E-Mail dann auf Reisen geht.

Das Verpacken kannst du dir wie einen normalen Geschäftsbrief vorstellen. Du schreibst den Inhalt auf einem Briefpapier, welches oben im Kopfbereich, nennen wir ihn Header, unter anderem deinen Absender, also Namen und Adresse enthält. Das ist das, was der Empfänger auch zu lesen bekommt. Darunter folgt dann der Betreff und der eigentliche Inhalt.

Dieser Brief wird dann in ein Kuvert gegeben. Nehmen wir auch hier die englische Bezeichnung Envelope. Auf dieses Kuvert wird dann die Adresse des Empfängers geschrieben und auch nochmals der Absender, falls der Brief nicht zugestellt wird.

Dieser Brief wird dann über das Postsystem versendet. Alles, was jetzt zählt, sind die Daten am Kuvert. Beim Empfang des Briefes kommt dieser in die Poststelle und wird geöffnet. Der eigentliche Inhalt wird dann dem Empfänger übergeben.

Das, was der Leser dieses Briefes jetzt sieht, ist der Absender im Kopf (Head) Bereich und der Inhalt des Briefes.

Und jetzt kommen wir zu Analogie der elektronischen Mail, kurz E-Mail. Auch hier wird ein Brief verfasst, der vor allem einen Betreff und den Inhalt benötigt. Zusätzlich kann der Absender im Header-Bereich der E-Mail eine From-Adresse, also den Absender, eintragen. spricht hier vom Header-From. Was dort eingetragen wird, wird in der Regel nicht überprüft.

Beim Versenden wird die E-Mail ähnlich wie der normale Brief eingepackt. Auch auf dieses elektronische Kuvert (Envelope) kommt ein Empfänger und ebenso der Absender. Beim Empfänger am Umschlag spricht man vom Envelope-From. Jetzt geht die E-Mail auf den Weg zum Empfänger. Dort wird die E-Mail aus dem Kuvert ausgepackt und in das E-Mail-Postfach des Empfängers gegeben, wo dieser sich die E-Mail mit seinem E-Mail-Programm abholt. Das, was der Empfänger sieht, ist nur der Inhalt des Briefes und der Absender (Header-From), der auf dem Brief steht und der frei eingetragen werden konnte. 

Jetzt kommt der zweite Teil, die man über den Versand von E-Mails wissen sollte. Wir gehen davon aus, dass du auf deinem Computer ein E-Mail-Programm installiert hast. Beim Einrichten des E-Mail-Programms hast du wahrscheinlich nach einer Anleitung deines E-Mail-Providers einen SMTP-Server angegeben. Versendest du jetzt mit deinem E-Mail-Programm eine Mail, dann sendet deine Software diese E-Mail zu dem E-Mail-Server, der als SMTP-Server eingetragen wurde. Dieser Server leitet dann deine E-Mail zum Empfänger weiter, wo sich dieser dann die E-Mail mit seinem E-Mail-Programm abholen kann.

Für jede Domain (das ist bei der E-Mail der Teil hinter dem @-Zeichen) gibt es einen offiziellen Server, über den die Mails empfangen und versendet werden dürfen.

Der für deine Domain zuständige Mail Server ist im Domain-Name-System oder auch kurz DNS eingetragen. Oje, schon wieder so ein technischer Begriff, aber keine Sorge, auch das ist nicht so kompliziert.

Was ist ein Domain-Name-System (DNS) und welche Rolle spielt es bei der Absicherung?

Das DNS kannst du dir wie ein Telefonbuch vorstellen. Im Internet hat jedes Gerät eine IP-Adresse. Diese IP-Adressen sind 4 Zahlen von 0 bis 255, die durch einen Punkt getrennt sind. Als Beispiel könnte eine solche IP-Adresse 192.168.43.23 lauten. Da wir Menschen uns schwertun, solche Zahlen zu merken, wurden die Domains eingeführt. Jeder Domain ist im Hintergrund eine IP-Adresse zugeordnet. Und hier spielt das Domain-Name-System eine wichtige Rolle, denn er ist gewissermaßen das Verzeichnis, wo steht, welche IP-Adresse zu welcher Domain gehört. Die Server, wo diese Telefonbücher verwaltet werden, nennt man auch DNS-Server oder kurz Nameserver.

Es gibt aber nicht einen zentralen DNS-Server für das ganze Internet, sondern viele verteilte Nameserver. Diese tauschen untereinander bei Bedarf die Daten aus.

Wenn du deine Domain angemeldet hast, dann wurde im Hintergrund auf einem für deine Domain zuständigen Nameserver ein Eintrag vorgenommen.

Davon bekommst du in der Regel nichts mit, da dies meist automatisch bei der Anmeldung der Domain im Hintergrund durchgeführt wurde.
Für die Absicherung der E-Mail-Zustellung ist es aber jetzt sehr wohl notwendig zu wissen, dass es diese DNS-Server gibt und vor allem auch zu wissen, wie man dort Einträge verändern kann.

Sehen wir uns jetzt einmal an, was die DNS-Server in Bezug auf SPF, DKIM und DMARC für eine Rolle spielen.

SPF – der erste Schritt zur Absicherung

Beginnen wir einmal mit SPF, was für Sender Policy Framework steht. Mit dieser Technologie kann man genau angeben, welche Mailserver mit deiner Domain E-Mails versenden dürfen.

So sieht vereinfacht der Ablauf bei der SPF Prüfung aus (Diagramm unterhalb):

  1. E-Mail wird vom Absender mittels Mail-Programm zu seinem für den Versand eingestellten Mail-Server übertragen. Im Envelope-From steht die E-Mail-Adresse des Absenders.
  2. Die E-Mail wird vom Mail-Server des Absenders zum Mail-Server des Empfängers gesendet.
  3. Der Mail-Server des Empfängers will die Mail mittels SPF prüfen. Dabei nimmt es sich die Domain des Absenders aus dem Envelope-From Eintrag und stellt sich jetzt drei Fragen:
    (1) Ist ein SPF Eintrag für diese Domain vorhanden? Dazu erfolgt eine Anfrage beim DNS. Ist dieser vorhanden, wird die IP-Adresse für den SPF Eintrag ermittelt.
    (2) Im nächsten Schritt schaut er nach, wie die IP-Adresse der Absender Domain lautet? 
    (3 ) Schlussendlich wird geprüft, ob diese Einträge zusammenpassen.
  4. Ist die Prüfung positiv verlaufen, dann ist alles gut und die Mail wird zugestellt.
    Ist die Prüfung nicht korrekt, dann hängt es davon ab, was fehlgeschlagen ist. Gibt es keinen SPF Eintrag für die Domain oder stimmt die IP-Adresse nicht überein. Der Mail-Server des Empfängers entscheidet jetzt, was mit der E-Mail gemacht wird. Im schlimmsten Fall wird diese einfach zurückgewiesen und nicht zugestellt.

Der Mail Server, über den du deine E-Mail vom Computer versendet, ist, normalerweise der eine Mail Server, über den auch deine E-Mails empfangen werden, und dieser wird von deinem Internet-Provider, wo du die Domain erworben hast und wo vielleicht auch deine Websites liegen, betrieben. Wenn das so ist, dann hast du es hier wahrscheinlich recht einfach, denn dann wurde in der Regel (wenn du einen guten Provider hast) schon alles für dich erledigt.

Ein solcher Eintrag ist ein sogenannter TXT-Eintrag in Nameserver und sieht als Beispiel in etwa so aus:

v=spf1 mx a ~all

Wie du diesen Eintrag prüfen kannst, das werde ich dir am Ende dieses Artikels noch erklären.

Etwas problematischer wird die Angelegenheit, wenn du die Domain woanders gekauft hast, als bei deinem Internet-Provider, der für deine Websites und / oder E-Mails zuständig ist. Denn dann musst du herausfinden, welcher DNS-Server für deine Domain zuständig ist und du musst, wahrscheinlich den SPF Eintrag noch selbst eintragen.

Es gibt aber leider auch Fälle, in denen die E-Mails über andere Server versendet werden, als über deinen E-Mail-Provider. Ein Beispiel dafür ist die Versendung von E-Mail-Marketing-Mails. Hier versendet dein E-Mail-Marketing-Anbieter, z. B. ActiveCampaign, GetResponse, MailChimp, Hubspot, Brevo oder andere E-Mails in deinem Namen.
Die Server dieser Anbieter sind aber in der Regel nicht berechtigt, E-Mails mit deiner Domain zu versenden. Also musst du hier aktiv etwas tun, damit auch deine E-Mail-Marketing-Mails zugestellt werden.
Da dies nicht automatisch von deinem E-Mail-Provider erfolgen kann, ist in diesem Fall wirklich Handlungsbedarf angesagt.

In den meisten Fällen stellen dir die E-Mail-Marketing-Anbieter die Einträge für den DNS-Server zur Verfügung. Du musst also nur mehr wissen, wo dein Nameserver ist und wie du dort Einträge vornehmen kannst. Wenn du so weit vorgedrungen bist, dann lauert aber bedauerlicherweise schon die nächste Hürde. Du darfst bedauerlicherweise nicht den Eintrag, den du bekommen hast, als neuen Texteintrag hinzufügen. SPF erlaubt leider nur einen Eintrag im DNS. Würdest du also den Eintrag für deinen E-Mail-Marketing-Anbieter zusätzlich eintragen, dann hast du schon zwei Einträge und das ist nicht erlaubt. Das kann dann so weit führen, dass beide Einträge ungültig sind und gar keine Mail mehr zugestellt werden kann.

Du musst also den neuen Eintrag mit dem bestehenden Eintrag kombinieren. Damit der kombinierte Eintrag auch korrekt ist, gibt es Online-Tools, die dir dabei helfen, diesen zu erstellen. Auch das verrate ich dir noch am Ende dieses Artikels.

Als Beispiel möchte ich dir nur zeigen, wie ein solch kombinierter Eintrag, in meinem Fall mit dem Anbieter Brevo aussehen kann.

v=spf1 mx a include:mailgun.org ~all

Hast du deine SPF Einträge korrekt durchgeführt, dann hast du schon einen wichtigen Schritt erledigt. SPF löst schon ein wichtiges Problem, nämlich, dass der Absender auf dem Kuvert (Envelope-From) geprüft wird und nicht falsch sein kann. Von SPF wird aber nicht der Inhalt kontrolliert, was bedeutet, dass die Absender Adresse (Header-From), die der Empfänger sieht, nicht dem tatsächlichen Absender entsprechen muss, sondern ein beliebiger Eintrag sein kann. Zwar könnte der E-Mail-Empfänger sich auch den Umschlag ansehen, wo er dann den tatsächlichen Sender sehen würde, aber das ist mit Aufwand und dem Wissen, wie es geht, verbunden.

Um diesen Nachteil von SPF in den Griff zu bekommen und eine zusätzliche Sicherheit zu haben, wurde noch eine weitere Technologie namens DKIM eingeführt.

Es gibt auch noch DKIM

DKIM steht für DomainKeys Identified Mail und wurde einige Jahre nach SPF eingeführt.

Technisch gesehen funktioniert DKIM ganz anders als SPF. Das Einzige, was beide gemeinsam haben, ist ein Eintrag im Nameserver.

Einfach ausgedrückt, wird beim Versand der E-Mail diese automatisch signiert. Um hier wieder einen Vergleich mit einem realen Brief zu haben, vergleiche ich DKIM mit einem Siegel auf einem Brief. Damit kann gewährleistet werden, dass keine Veränderung an der E-Mail auf dem Weg vom Sender um Empfänger vorgenommen wurde. Zusätzlich kann DKIM auch den Absender im Header (Header-From) auf Gültigkeit prüfen, man spricht hier von Alignment.

Das Versiegeln funktioniert technisch mit einem Schlüsselpaar, das aus einem geheimen und einem öffentlichen Schlüssel besteht.

Die E-Mail bekommt beim Versenden automatisch ein Siegel, das nur der berechtige E-Mail Server durchführen kann. Dazu besitzt dieser einen geheimen Schlüssel, mit der die E-Mail signiert (versiegelt) wird. Passend zu diesem geheimen Schlüssel gibt es einen öffentlichen Schlüssel. Es handelt sich hier um ein zusammengehöriges Schlüssel-Paar.
Passend zu dem geheimen Schlüssel kann mit dem öffentlichen Schlüssel, den jeder bekommen darf, geprüft werden, ob das Siegel wirklich mit dem zugehörigen privaten Schlüssel erstellt wurde.
Damit auch jeder auf den öffentlichen Schlüssel Zugriff hat, wird dieser ähnlich wie der SPF Eintrag im zuständigen DNS Server für die Domain eingetragen.

Ein DKIM Eintrag könnte zum Beispiel so aussehen:

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQ...

Auch hier kurz eine Erklärung, wie der Ablauf aussieht (Diagramm unterhalb):

  1. E-Mail wird vom Absender mittels Mail-Programm zu seinem für den Versand eingestellten Mail-Server übertragen. Im Envelope-From steht die E-Mail-Adresse des Absenders.
  2. Die E-Mail wird mit dem privaten Schlüssel, den nur der Absender Mail Server kennt signiert.
  3. Die E-Mail wird vom Mail-Server des Absenders zum Mail-Server des Empfängers gesendet.
  4. Der Mail-Server des Empfängers will die Mail mittels DKIM prüfen. Dabei nimmt es sich die Domain des Absenders aus dem Envelope-From Eintrag und stellt sich jetzt drei Fragen:
    (1) Ist ein DKIM Eintrag für diese Domain vorhanden? Dazu erfolgt eine Anfrage beim DNS.
    (2) Ist dieser vorhanden, wird der öffentliche Schlüssel ermittelt.
    (3 ) Schlussendlich wird mit diesem Schlüssel geprüft, ob die Signatur korrekt ist.
  5. Ist die Prüfung positiv verlaufen, dann ist alles gut und die Mail wird zugestellt.
    Ist die Prüfung nicht korrekt, dann hängt es davon ab, was fehlgeschlagen ist. Gibt es keinen DKIM Eintrag für die Domain oder stimmt die Signatur nicht. Der Mail-Server des Empfängers entscheidet jetzt, was mit der E-Mail gemacht wird. Im schlimmsten Fall wird auch hier die E-Mail einfach zurückgewiesen und nicht zugestellt.

Werden E-Mails nicht über den Provider versendet, sondern wie oben bereits erwähnt über einen E-Mail Marketing Anbieter, dann ist auch für diesen ein Schlüssel-Paar notwendig. Auch dieser Eintrag muss im DNS Server eingetragen werden.
Im Gegensatz zu SPF, sind aber hier mehrere Einträge zulässig. Sie müssen im Gegensatz zu SPF nicht miteinander kombiniert werden.

Beim Einsatz von DKIM ist darauf zu achten, dass dein E-Mail Versender, also z. B. dein Provider oder E-Mail Marketing Anbieter in der Lage sind, die E-Mail auch zu signieren (versiegeln).

Damit bleibt uns jetzt am Schluss nur mehr der Begriff DMARC über.

DMARC

DMARC etwa im Jahr 2015 eingeführt und steht für Domain-based Message, Authentication, Reporting, and Conformance. Hier handelt es sich nicht, um eine dritte zusätzliche Möglichkeit, um E-Mail zu authentifizieren. DMARC arbeitet mit SPF und DKIM zusammen.

Denn beide haben eines gemeinsam, es wird nicht festgelegt, was passiert, wenn die Tests fehlschlagen oder die Einträge nicht vorhanden sind. Genau das behebt DMARC, denn es legt dafür Regeln fest.

Mit DMARC wird also geregelt, was passieren soll, wenn die Authentifizierung mittels SPF oder DKIM fehlschlägt.
Für die Aktion, was mit E-Mails in diesem Fall passieren soll, gibt es die folgenden drei Möglichkeiten:
none: hier soll nichts passieren, die E-Mail wird normal zugestellt
quarantine: E-Mails werden in den Spam-Ordner weitergeleitet
reject: die Mails werden nicht zugestellt, sondern zurückgewiesen

Des Weiteren kann im DMARC Eintrag auch eine E-Mail-Adresse eingetragen werden. Damit bietet DMARC auch die Möglichkeit dem Domain-Inhaber Informationen darüber zu liefern, wann eine Verletzung stattfindet.
DMARC dient also einerseits zur Überwachung der Authentifizierung durch den Domain-Inhaber und andererseits als Anweisung für den Empfänger, was bei einer Verletzung zu tun ist.
DMARC Berichte sind nicht ganz so einfach zu lesen, es gibt aber Online-Dienste, an die diese Berichte automatisch gesendet werden können und die dann übersichtliche Berichte liefern.

v=DMARC1;p=reject;rua=mailto:dmarc@deinedomain.com;ruf=mailto: dmarc@deinedomain.com;fo=1

Da die Reports, die man dann regelmässig zugesendet bekommt für Menschen schwer zu lesen sind, gibt es Dienste, an die diese Mails geschickt werden können und die dann übersichtliche Tabellen oder Grafiken erstellen.

SPF Eintrag selbst überprüfen

Wie oben schon erwähnt, möchte ich dir jetzt noch eine Möglichkeit zeigen, wie du deinen SPF Eintrag selbst überprüfen kannst. Ich verwende für alles, was mit Domains zu tun hat die mxtoolbox

Du findest sie unter der URL https://mxtoolbox.com/SuperTool.aspx

Es kommt dann eine Seite, wo du in einem Formularfeld (1) deine Domain eingeben kannst. Rechts daneben kannst du beim Button auswählen, was du prüfen möchtest. Hier klickst du auf den Pfeil beim Button und wählst „SPF Record Lookup“ aus.

Anschliessend kannst du auf den Button klicken und bekommst hoffentlich, so wie bei mir gezeigt ein grünes Feld, dass dir anzeigt, welcher Eintrag gefunden wurde und dass er OK ist. Sollte das Feld rot sein, dann bekommst du Hinweise, was daran nicht passt und was die nächsten Schritte sind.

Wenn du jetzt den Eindruck bekommen hast, dass dieses Thema auch für dich relavant ist, du aber noch nicht im Detail verstanden hast, was zu tun ist, dann lade ich dich zu meinem kostenlosen Live-Training am Dienstag, 27. Februar 2024 umd 18:00 ein. Bei diesem Training erkläre ich dir noch einmal im Detail das Problem und zeige dir vor allem konkret, wie du selbst überprüfen kannst, ob du davon betroffen bist. Solltest du feststellen, dass Handlungsbedarf besteht, dann gibt es auch konkret die nächsten Schritte für dich, um das Problem zu lösen. 
Hier kannst du dich zum kostenlosen Training anmelden:
https://www.andreasstocker.at/livetraining-email/

Andreas Stocker

Andreas Stocker

Andreas hat 25 Jahre Webagentur Erfahrung und gibt jetzt sein Wissen weiter, wie man selbst einen erfolgreichen Webauftritt umsetzt und betreut.

Schreibe einen Kommentar

Inhaltsverzeichnis

Über den Autor

Andreas Stocker

Andreas Stocker

Andreas hat 25 Jahre Webagentur Erfahrung und gibt jetzt sein Wissen weiter, wie man selbst einen erfolgreichen Webauftritt umsetzt und betreut.

Letzte Beiträge