Zunächst ist es wichtig zu verstehen, dass SPF, DKIM und DMARC als DNS-Einträge bei Deinem Hoster konfiguriert werden. Ein häufiges Missverständnis ist, dass diese Einträge etwas mit Deiner Spam-Konfiguration für eingehende Mails zu tun haben. Tatsächlich aber betreffen sie die Sicherheitsüberprüfungen auf der Empfängerseite, also bei denen, denen Du Mails und Newsletter zusenden möchtest. Lasst uns den Prozess Schritt für Schritt durchgehen:
Vorwissen/Nice-to-know
Nicht nur theoretisch, sondern auch praktisch kann jeder mit ein paar Zeilen PHP Code selbst von einem privaten Computer aus eine Mail mit einem beliebigen Absender, zB olaf.scholz@bundeskanzleramt.de absenden und Du würdest eine Mail mit exakt diesem Absender empfangen, wenn Dein Mailserver diese nicht weiter überprüft.
- Ausgangssituation: Angenommen, jemand sendet eine E-Mail, die Deine E-Mail-Adresse als Absender enthält, z.B. support@dreizack-medien.de.
- Empfängerreaktion: Der Empfänger erhält eine E-Mail von support@dreizack-medien.de und sein E-Mail-Server beginnt nun, einige Überprüfungen durchzuführen.
- DNS-Abfrage: Der Server des Empfängers fragt anhand der Domain dreizack-medien.de die entsprechenden DNS-Einträge für SPF, DKIM und DMARC ab.
- Überprüfung durch SPF (Sender Policy Framework): Der empfangende Server erhält Informationen darüber, welche Mailserver E-Mails für Deine Domain versenden dürfen. Wenn die E-Mail von einem aufgelisteten Server kommt, wie z.B. HubSpot, wird sie normalerweise als sicher eingestuft und weitergeleitet.
- Was passiert bei Unstimmigkeiten?: Sollte die E-Mail jedoch von einem Server stammen, der nicht in den SPF-Aufzeichnungen aufgeführt ist, fragt der Empfängerserver nach weiteren Anweisungen.
- Die Rolle von DMARC (Domain-based Message Authentication, Reporting and Conformance): DMARC hilft dem empfangenden Server zu entscheiden, was mit der E-Mail zu tun ist. Je nach Konfiguration wird die E-Mail beispielsweise trotzdem zugestellt, aber der Besitzer der Domain erhält einen Bericht, dass eine E-Mail von einem unbekannten Server gesendet wurde.
Was sind SPF, DKIM und DMARC?
SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) und DMARC (Domain-based Message Authentication, Reporting, and Conformance) sind Technologien zur E-Mail-Authentifizierung. Sie sind als DNS-Einträge konfiguriert und dienen dazu, die Identität des Senders zu überprüfen und Phishing sowie E-Mail-Spoofing zu bekämpfen.
- SPF ist eine Liste autorisierter Sendeserver.
- DKIM bietet eine E-Mail-Signatur zur Bestätigung der Authentizität.
- DMARC enthält von dir konfigurierte Richtlinien zur Behandlung von E-Mails, die die Authentifizierungsprüfungen via SPF und DKIM nicht bestehen.
Wie richte ich die verschiedenen Einträge ein?
Wo Du die DNS-Einträge setzen kannst unterscheidet sich von Hoster zu Hoster. Prinzipiell ist das Servicecenter und dort die Domainverwaltung ein guter Anlaufpunkt. Wenn Du nicht fündig wirst, solltest Du dich mit Deinem Hoster in Verbindung setzen.
SPF-Record (Sender Policy Framework)
SPF-Records werden als TXT-Einträge im DNS-System Deiner Domain hinterlegt. Dieser Eintrag ist quasi eine Liste erlaubter Server, die Mails in Deinem Namen versenden dürfen. Der Eintrag startet mit v=spf1
anschließend folgen die Serverlisten mit include:_spf.example.com
– hier muss jeder Dienst (Hubspot, brevo, mailchimp, Gmail etc.), über den Mails versendet werden, von Leerzeichen getrennt aufgeführt werden. Eine Serverliste lässt sich je nach Dienst ganz einfach ergooglen. Abschließend wird eine Behandlung bei Verstößen definiert und die TTL (Time-To-Live) noch auf 3600 gesetzt. Ein Beispieleintrag sieht dann wie folgt aus:
Name: [Domainname] – sollte aber automatisch gesetzt werden
Typ: TXT
Eintrag: v=spf1 include:12345678.spf08.hubspotemail.net include:_spf.google.com ip4:00.11.222.333 ~all 3600
Übersicht der Einstellungsmöglichkeiten (SPF)
+all
= Wir erlauben dem Empfänger alle E-Mails zu empfangen (auch wenn sie durch die Prüfung gefallen sind)
-all
= Jede Mail, die die Prüfung nicht besteht, landet auch nicht im Postfach des Empfängers
~all
= Mails, die die Prüfung nicht bestehen, erhalten einen Softreject und landen möglicherweise im Spam-Ordner des Empfängers, werden aber nicht gänzlich abgelehnt
DKIM-Records (DomainKeys Identified Mail)
DKIM-Records sind ebenfalls als TXT-Einträge im DNS-System Deiner Domain hinterlegt und dienen der Überprüfung der Authentizität der Absenderdomain. Dazu wird technisch gesehen ein Schlüsselpaar (Private und Public Key) generiert. In den DNS-Einstellungen wird dann der Public Key hinterlegt, während ausgehende Mails mit dem private Key signiert werden. Die Konfiguration variiert je nach Hosting-Anbieter, E-Mail-Provider und anderen Diensten, die mit dem E-Mail-Versand in Verbindung stehen. Es ist entscheidend, dass für jede Form des E-Mail-Versands der DKIM (DomainKeys Identified Mail) korrekt eingerichtet wird, um eine anerkannte und sichere Zustellung der E-Mails zu gewährleisten. Anleitungen für die Einrichtungen findet man bei den entsprechenden Diensten. Google und Hubspot beispielsweise stellen dir einen Prozess zur Verfügung, der dir am Ende den passenden DNS Eintrag liefert, den Du dann einfach in Deinen DNS Settings übernimmst. Am Beispiel von Google sieht der DNS-Eintrag dann wie folgt aus:
Name: google._domainkey
Typ: TXT
Eintrag: v=DKIM1; k=rsa; p=[Dein Public-Key] 3600
DMARC-Record (Domain-based Message Authentication, Reporting, and Conformance)
DMARC-Records ergänzen SPF und DKIM, indem sie festlegen, wie E-Mails behandelt werden sollen, die weder SPF noch DKIM bestehen, und ermöglichen das Sammeln von Berichten über diese E-Mails. DMARC-Records werden ebenfalls als Typ TXT
hinterlegt und sollten den Namen _dmarc.[Domainname]
tragen. Im Eintrag können dann verschiedene Parameter zur Konfiguration hinterlegt werden. Der tatsächliche Eintrag unterscheidet sich also je nach bevorzugten Einstellungen, könnte aber beispielsweise so aussehen:
Name: d_marc.[Domainname]
Typ: TXT
Eintrag: v=DMARC1; p=none; rua=mailto:administrator@dreizack-medien.de; ruf=mailto:administrator@dreizack-medien.de; sp=none 3600
Übersicht der Einstellungsmöglichkeiten (DMARC)
v
(Version):- Beschreibung: Gibt die DMARC-Protokollversion an.
- Aktueller Wert: „
DMARC1
„
p
(Policy):- Beschreibung: Legt die DMARC-Richtlinie für ausgehende E-Mails fest.
- Optionen:
none
: Keine spezifische Aktion. Berichte werden generiert, aber E-Mails nicht abgelehnt oder als Spam markiert.quarantine
: E-Mails, die nicht bestehen, in den Spam-Ordner verschieben.reject
: Nicht bestandene E-Mails ablehnen und nicht zustellen.
rua
(Aggregate Report):- Beschreibung: Adresse für die Zusendung von DMARC-Aggregatsberichten.
ruf
(Failure Report):- Beschreibung: Adresse für die Zusendung von DMARC-Fehlerberichten.
sp
(Subdomain Policy):- Beschreibung: Festlegung einer separaten DMARC-Richtlinie für Subdomains.
- Optionen: Identisch mit dem „
p
„-Parameter. Kann „none
„, „quarantine
“ oder „reject
“ sein. - Beispiel: „
sp=quarantine
“ setzt für Subdomains die Quarantänerichtlinie.
Wie verhält sich das mit Deinem Shop?
Die Antwort liegt in der Art und Weise, wie Dein Shop für den E-Mail-Versand konfiguriert ist. Viele Shops nutzen beispielsweise einen echten SMTP-Versand über den Mailserver ihres Hosters. In einem solchen Fall sollten die oben genannten Schritte in der Regel ausreichen. Aber es gibt auch Sonderfälle zu beachten. Wenn Du normalerweise Gmail für Deine E-Mails verwendest, Dein Shop aber keine Gmail-Integration hat, nutzt Du wahrscheinlich PHPmail() für den Versand. In diesem Szenario ist es wichtig, auch Deinen eigenen Server in der SPF-Liste aufzuführen.
Ein weiterer wichtiger Aspekt ist der Versand von Newslettern. Viele unserer Kunden setzen auf externe Dienste wie Brevo, Quentn oder Mailchimp. Hier ist es essentiell, dass auch diese Anbieter korrekt in Deinen DNS-Einträgen hinterlegt sind. Andernfalls könnten Deine sorgfältig erstellten Newsletter ungelesen im Spam-Ordner landen. Kurz gesagt: Es geht darum, sicherzustellen, dass alle Kommunikationswege, die Dein Shop nutzt, korrekt konfiguriert und in den DNS-Einträgen reflektiert werden.
Kann ich die gesetzten DNS-Einträge auf Fehler überprüfen?
Ja, es gibt verschiedene Tools zur Überprüfung der DNS-Einträge. Wir empfehlen diese unbedingt direkt nach dem Setzen der Einträge zu nutzen, um sicherzustellen dass Deine Mails weiterhin empfangen werden können:
Übersicht der Tools
DKIM: Mimecast
SPF und DMARC: Dmarcian
Allgemein: Mx-Toolbox
Warum sollte ich mich jetzt um diese DNS-Einträge kümmern?
Ab Februar 2024 sind diese DNS-Einträge essenziell für die korrekte Funktion Deines E-Mail-Verkehrs, da Google und Yahoo ihre Richtlinien vehement verschärfen, um ihre Nutzer und Nutzerinnen vor Betrug zu schützen. Ohne korrekte DNS-Konfiguration werden E-Mails, die von Deiner Domain gesendet werden, als Spam markiert oder komplett blockiert. Dementsprechend könnte die Kommunikation mit Kunden, Partnern und allen anderen, die Google oder Yahoo für ihre E-Mails verwenden, stark gestört werden. Und das ist definitiv kein kleiner Anteil; Google hat weltweit mehr als 1,5 Milliarden aktive Nutzer und Yahoo mehrere hundert Millionenen – zusammen machen sie vielleicht sogar 50% der Gesamtnutzer aus.
Dies kann ernsthafte Folgen für das Geschäft haben, wie z.B. verpasste Geschäftschancen, schlechten Kundenservice und einen schlechten Ruf in Bezug auf die Zuverlässigkeit Deiner digitalen Kommunikation. Daher ist es unerlässlich sich jetzt um die ordnungsgemäße Aufsetzung der DNS-Einträge zu kümmern und mit diesem Blogbeitrag hast Du dafür alle Informationen, die du brauchst! – Solltest du aber trotzdem Unterstützung benötigen, kannst Du uns jederzeit kontaktieren und wir finden eine gemeinsame Lösung, sodass Deine Mails auch weiterhin in den Postfächern Deiner Kunden landen!