Die Agentur

Kompetenzen

Födermittel Check

DREIZACK Store

OPC Suite

Support

Projekt in der Pipeline?

Ob Beratung, Angebot oder Anregungen. Wir sind für Sie stets über unser Kontakt-
formular erreichbar.


Shopify Partner

+49 (0) 345 778 990 50

Neue E-Mail-Standards bei Google und Yahoo: So passt Du Deine SPF, DKIM und DMARC Einstellungen an!

Lesedauer: ca. 5 Minuten

In der heutigen digitalen Landschaft, in der E-Mail-Kommunikation eine tragende Rolle im E-Commerce spielt, ist es unerlässlich, die Sicherheit und Authentizität Deine E-Mails zu gewährleisten. Da Spam-, Phishing und andere betrügerische Mails immer echter aussehen, reagieren Yahoo und Google jetzt mit einer härteren Überprüfung der eingehenden Mails. Die Mailserver überprüfen ab Februar 2024 eingehende Mails anhand der DNS-Einträge der Domain und wehren somit unerwünschte Mails ab. Die Konfiguration kann heikel sein, da bei einer Fehlkonfiguration Mails einfach immer geblockt werden – aber keine Sorge: In diesem Blogbeitrag erfährst du alles, was du wissen musst!

Geschrieben von Christopher Bolling
overview
overview
Übersicht
Jetzt Projekt starten

Zunächst ist es wichtig zu verstehen, dass SPF, DKIM und DMARC als DNS-Einträge bei Deinem Hoster konfiguriert werden. Ein häufiges Missverständnis ist, dass diese Einträge etwas mit Deiner Spam-Konfiguration für eingehende Mails zu tun haben. Tatsächlich aber betreffen sie die Sicherheitsüberprüfungen auf der Empfängerseite, also bei denen, denen Du Mails und Newsletter zusenden möchtest. Lasst uns den Prozess Schritt für Schritt durchgehen:

Vorwissen/Nice-to-know

Nicht nur theoretisch, sondern auch praktisch kann jeder mit ein paar Zeilen PHP Code selbst von einem privaten Computer aus eine Mail mit einem beliebigen Absender, zB olaf.scholz@bundeskanzleramt.de absenden und Du würdest eine Mail mit exakt diesem Absender empfangen, wenn Dein Mailserver diese nicht weiter überprüft.

  1. Ausgangssituation: Angenommen, jemand sendet eine E-Mail, die Deine E-Mail-Adresse als Absender enthält, z.B. support@dreizack-medien.de.
  2. Empfängerreaktion: Der Empfänger erhält eine E-Mail von support@dreizack-medien.de und sein E-Mail-Server beginnt nun, einige Überprüfungen durchzuführen.
  3. DNS-Abfrage: Der Server des Empfängers fragt anhand der Domain dreizack-medien.de die entsprechenden DNS-Einträge für SPF, DKIM und DMARC ab.
  4. Überprüfung durch SPF (Sender Policy Framework): Der empfangende Server erhält Informationen darüber, welche Mailserver E-Mails für Deine Domain versenden dürfen. Wenn die E-Mail von einem aufgelisteten Server kommt, wie z.B. HubSpot, wird sie normalerweise als sicher eingestuft und weitergeleitet.
  5. Was passiert bei Unstimmigkeiten?: Sollte die E-Mail jedoch von einem Server stammen, der nicht in den SPF-Aufzeichnungen aufgeführt ist, fragt der Empfängerserver nach weiteren Anweisungen.
  6. Die Rolle von DMARC (Domain-based Message Authentication, Reporting and Conformance): DMARC hilft dem empfangenden Server zu entscheiden, was mit der E-Mail zu tun ist. Je nach Konfiguration wird die E-Mail beispielsweise trotzdem zugestellt, aber der Besitzer der Domain erhält einen Bericht, dass eine E-Mail von einem unbekannten Server gesendet wurde.

Was sind SPF, DKIM und DMARC?

SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) und DMARC (Domain-based Message Authentication, Reporting, and Conformance) sind Technologien zur E-Mail-Authentifizierung. Sie sind als DNS-Einträge konfiguriert und dienen dazu, die Identität des Senders zu überprüfen und Phishing sowie E-Mail-Spoofing zu bekämpfen.

  • SPF ist eine Liste autorisierter Sendeserver.
  • DKIM bietet eine E-Mail-Signatur zur Bestätigung der Authentizität.
  • DMARC enthält von dir konfigurierte Richtlinien zur Behandlung von E-Mails, die die Authentifizierungsprüfungen via SPF und DKIM nicht bestehen.

Wie richte ich die verschiedenen Einträge ein?

Wo Du die DNS-Einträge setzen kannst unterscheidet sich von Hoster zu Hoster. Prinzipiell ist das Servicecenter und dort die Domainverwaltung ein guter Anlaufpunkt. Wenn Du nicht fündig wirst, solltest Du dich mit Deinem Hoster in Verbindung setzen.

SPF-Record (Sender Policy Framework)

SPF-Records werden als TXT-Einträge im DNS-System Deiner Domain hinterlegt. Dieser Eintrag ist quasi eine Liste erlaubter Server, die Mails in Deinem Namen versenden dürfen. Der Eintrag startet mit v=spf1 anschließend folgen die Serverlisten mit include:_spf.example.com – hier muss jeder Dienst (Hubspot, brevo, mailchimp, Gmail etc.), über den Mails versendet werden, von Leerzeichen getrennt aufgeführt werden. Eine Serverliste lässt sich je nach Dienst ganz einfach ergooglen. Abschließend wird eine Behandlung bei Verstößen definiert und die TTL (Time-To-Live) noch auf 3600 gesetzt. Ein Beispieleintrag sieht dann wie folgt aus:

Übersicht der Einstellungsmöglichkeiten (SPF)

+all = Wir erlauben dem Empfänger alle E-Mails zu empfangen (auch wenn sie durch die Prüfung gefallen sind)

-all = Jede Mail, die die Prüfung nicht besteht, landet auch nicht im Postfach des Empfängers

~all = Mails, die die Prüfung nicht bestehen, erhalten einen Softreject und landen möglicherweise im Spam-Ordner des Empfängers, werden aber nicht gänzlich abgelehnt

DKIM-Records (DomainKeys Identified Mail)

DKIM-Records sind ebenfalls als TXT-Einträge im DNS-System Deiner Domain hinterlegt und dienen der Überprüfung der Authentizität der Absenderdomain. Dazu wird technisch gesehen ein Schlüsselpaar (Private und Public Key) generiert. In den DNS-Einstellungen wird dann der Public Key hinterlegt, während ausgehende Mails mit dem private Key signiert werden. Die Konfiguration variiert je nach Hosting-Anbieter, E-Mail-Provider und anderen Diensten, die mit dem E-Mail-Versand in Verbindung stehen. Es ist entscheidend, dass für jede Form des E-Mail-Versands der DKIM (DomainKeys Identified Mail) korrekt eingerichtet wird, um eine anerkannte und sichere Zustellung der E-Mails zu gewährleisten. Anleitungen für die Einrichtungen findet man bei den entsprechenden Diensten. Google und Hubspot beispielsweise stellen dir einen Prozess zur Verfügung, der dir am Ende den passenden DNS Eintrag liefert, den Du dann einfach in Deinen DNS Settings übernimmst. Am Beispiel von Google sieht der DNS-Eintrag dann wie folgt aus:

DMARC-Record (Domain-based Message Authentication, Reporting, and Conformance)

DMARC-Records ergänzen SPF und DKIM, indem sie festlegen, wie E-Mails behandelt werden sollen, die weder SPF noch DKIM bestehen, und ermöglichen das Sammeln von Berichten über diese E-Mails. DMARC-Records werden ebenfalls als Typ TXT hinterlegt und sollten den Namen _dmarc.[Domainname] tragen. Im Eintrag können dann verschiedene Parameter zur Konfiguration hinterlegt werden. Der tatsächliche Eintrag unterscheidet sich also je nach bevorzugten Einstellungen, könnte aber beispielsweise so aussehen:

Übersicht der Einstellungsmöglichkeiten (DMARC)
  1. v (Version):
    • Beschreibung: Gibt die DMARC-Protokollversion an.
    • Aktueller Wert:DMARC1
  1. p (Policy):
    • Beschreibung: Legt die DMARC-Richtlinie für ausgehende E-Mails fest.
    • Optionen:
      • none: Keine spezifische Aktion. Berichte werden generiert, aber E-Mails nicht abgelehnt oder als Spam markiert.
      • quarantine: E-Mails, die nicht bestehen, in den Spam-Ordner verschieben.
      • reject: Nicht bestandene E-Mails ablehnen und nicht zustellen.
  1. rua (Aggregate Report):
    • Beschreibung: Adresse für die Zusendung von DMARC-Aggregatsberichten.
  1. ruf (Failure Report):
    • Beschreibung: Adresse für die Zusendung von DMARC-Fehlerberichten.
  1. sp (Subdomain Policy):
    • Beschreibung: Festlegung einer separaten DMARC-Richtlinie für Subdomains.
    • Optionen: Identisch mit dem „p„-Parameter. Kann „none„, „quarantine“ oder „reject“ sein.
    • Beispiel:sp=quarantine“ setzt für Subdomains die Quarantänerichtlinie.

Wie verhält sich das mit Deinem Shop?

Die Antwort liegt in der Art und Weise, wie Dein Shop für den E-Mail-Versand konfiguriert ist. Viele Shops nutzen beispielsweise einen echten SMTP-Versand über den Mailserver ihres Hosters. In einem solchen Fall sollten die oben genannten Schritte in der Regel ausreichen. Aber es gibt auch Sonderfälle zu beachten. Wenn Du normalerweise Gmail für Deine E-Mails verwendest, Dein Shop aber keine Gmail-Integration hat, nutzt Du wahrscheinlich PHPmail() für den Versand. In diesem Szenario ist es wichtig, auch Deinen eigenen Server in der SPF-Liste aufzuführen.

Ein weiterer wichtiger Aspekt ist der Versand von Newslettern. Viele unserer Kunden setzen auf externe Dienste wie Brevo, Quentn oder Mailchimp. Hier ist es essentiell, dass auch diese Anbieter korrekt in Deinen DNS-Einträgen hinterlegt sind. Andernfalls könnten Deine sorgfältig erstellten Newsletter ungelesen im Spam-Ordner landen. Kurz gesagt: Es geht darum, sicherzustellen, dass alle Kommunikationswege, die Dein Shop nutzt, korrekt konfiguriert und in den DNS-Einträgen reflektiert werden.

Kann ich die gesetzten DNS-Einträge auf Fehler überprüfen?

Ja, es gibt verschiedene Tools zur Überprüfung der DNS-Einträge. Wir empfehlen diese unbedingt direkt nach dem Setzen der Einträge zu nutzen, um sicherzustellen dass Deine Mails weiterhin empfangen werden können:

Übersicht der Tools

DKIM: Mimecast
SPF und DMARC: Dmarcian
Allgemein: Mx-Toolbox

Warum sollte ich mich jetzt um diese DNS-Einträge kümmern?

Ab Februar 2024 sind diese DNS-Einträge essenziell für die korrekte Funktion Deines E-Mail-Verkehrs, da Google und Yahoo ihre Richtlinien vehement verschärfen, um ihre Nutzer und Nutzerinnen vor Betrug zu schützen. Ohne korrekte DNS-Konfiguration werden E-Mails, die von Deiner Domain gesendet werden, als Spam markiert oder komplett blockiert. Dementsprechend könnte die Kommunikation mit Kunden, Partnern und allen anderen, die Google oder Yahoo für ihre E-Mails verwenden, stark gestört werden. Und das ist definitiv kein kleiner Anteil; Google hat weltweit mehr als 1,5 Milliarden aktive Nutzer und Yahoo mehrere hundert Millionenen – zusammen machen sie vielleicht sogar 50% der Gesamtnutzer aus.

Dies kann ernsthafte Folgen für das Geschäft haben, wie z.B. verpasste Geschäftschancen, schlechten Kundenservice und einen schlechten Ruf in Bezug auf die Zuverlässigkeit Deiner digitalen Kommunikation. Daher ist es unerlässlich sich jetzt um die ordnungsgemäße Aufsetzung der DNS-Einträge zu kümmern und mit diesem Blogbeitrag hast Du dafür alle Informationen, die du brauchst! – Solltest du aber trotzdem Unterstützung benötigen, kannst Du uns jederzeit kontaktieren und wir finden eine gemeinsame Lösung, sodass Deine Mails auch weiterhin in den Postfächern Deiner Kunden landen!

Jetzt unverbindlich Kontakt aufnehmen: