Für jede Domain, die im Feld From: einer E-Mail aufscheint, muss ein SenderID-konformer SPF Record veröffentlicht sein.

Anmerkung: Als Domain bezeichnet man den gesamten Wert, der auf das Zeichen @ folgt. Wenn Sie zum Beispiel recipient@example.com im Feld From: verwenden, dann muss für example.com entweder eine SenderID oder ein SPF Record veröffentlicht sein. Abhängig vom Provider, den Sie für Ihre Zustell-Infrastruktur verwenden, haben Sie möglicherweise keine direkte Kontrolle über diese Domains; etwaige Fragen oder Probleme sollten Sie daher immer mit Ihrem Provider abklären.

Achtung: Subdomains werden von SPF Records NICHT abgedeckt. Eine SenderID oder ein SPF Record für example.com würde campaign.example.com nicht abdecken.

Für jede Domain, die im Header-Feld Return-Path aufscheint, muss ein SenderID-konformer SPF Record veröffentlicht sein.

DKIM ist der Nachfolger von DomainKeys (DK) und erfreut sich zunehmender Beliebtheit bei vielen verschiedenen Freemail-Providern, z.B. Yahoo! oder GMail.

Während SPF und SenderID den Pfad authentifizieren, den eine Nachricht nimmt, authentifiziert DKIM jede einzelne Nachricht, und zwar unabhängig von dem Weg, den sie nimmt. Damit kann DKIM eruieren, wer für eine bestimmte Nachricht verantwortlich ist.

Dafür wird ein spezieller Signatur-Header in die Nachricht selbst eingefügt. Das liegt in Ihrer Verantwortung als Sender der Nachricht; kontaktieren Sie den Provider Ihrer E-Mail-Infrastruktur, um herauszufinden, ob die von Ihnen verwendete Software in der Lage ist, DKIM Signatures einzuschließen.

Anmerkung: Die DK-Authentifizierung allein reicht für das Senden mit Emarsys nicht aus. Wenn Sie diese Methode derzeit noch verwenden, sollten Sie so schnell wie möglich ein Upgrade zu DKIM durchführen.

DMARC ist eine Methode der E-Mail-Authentifizierung, die von einer Gruppe von Organisationen - darunter AOL, Google, Microsoft und Yahoo! - entwickelt wurde. Damit können Sender den ISPs mitteilen, wie sie mit nicht signierten (nicht authentifizierten) oder fehlgeschlagenen (Broken Authentication) E-Mails verfahren sollen, die den Domain-Namen des Senders verwenden. So kann ein DMARC Record beispielsweise fordern, dass diese E-Mails zugestellt, als verdächtig gekennzeichnet oder gelöscht werden.

Zudem bietet DMARC dem ISP eine Möglichkeit, dem Sender Feedback zu senden und ihn zu informieren, welche Nachrichten die Tests bestanden bzw. nicht bestanden haben. Es ist vor allem diese Berichtsmöglichkeit, die DMARC interessant macht. Sender können sich darüber informieren, wie viele E-Mails aus ihren Domains stammen (oder dies vorgeben), woher sie gekommen sind und ob ihre SPF- und DKIM-Regeln sie auch richtig authentifizieren.

Anmerkung: Obwohl der DMARC Record derzeit nur eine Empfehlung für den ISP darstellt, empfehlen wir dennoch dringend, ihn zu verwenden; wir erwarten, dass die Verwendung in naher Zukunft verpflichtend wird. DMARC berichtet nicht, wie ISPs die fraglichen E-Mails tatsächlich behandeln, aber es bietet andere wertvolle Informationen; es berichtet zum Beispiel, welche E-Mails empfangen wurden und welche E-Mails vorgeben, aus der Sende-Domain zu kommen, ebenso wie die Ergebnisse der SPF- und DKIM-Checks.

SPF/SenderID ist eine explizite Liste all jener Domains, die Sie für den Versand von E-Mails konfigurieren wollen, und bietet den ISPs die Möglichkeit, die Legitimität Ihrer Mails zu überprüfen.

• Machen Sie eine Liste der Domain(s) und Subdomain(s), die Sie für das Senden in Ihrem Namen verwenden wollen. In unseren Beispielen weiter unten verwenden wir "reply.example.com" als Domain.
• Finden Sie heraus, wer Ihre DNS (Domain Name System) Server kontrolliert; Sie benötigen deren Hilfe, um die Records für die E-Mail-Authentifizierung zu veröffentlichen, die Sie erstellen werden.
• Vergewissern Sie sich, dass Sie Zugriff auf den DNS-Eintrag Ihrer Domain haben; falls Sie nicht sicher sind, bitten Sie Ihren ISP um die Informationen zu den Key- und Policy-Einträgen für Ihren DNS-Eintrag.

Fügen Sie einen der folgenden SenderID-Einträge zum TXT Record all Ihrer Sende- und Reply-Domains hinzu:

• Wenn Sie nach Deutschland senden und CSA-zertifiziert sind:

v=spf1 include:emarsys.net ~all

• Für alle anderen Kunden:

v=spf1 include:emarsys.us ~all

Das ist es auch schon - damit haben Sie SPF/SenderID erfolgreich für die Verwendung konfiguriert. Bitte setzen Sie mit dem Einrichten des nächsten Authentifizierungsmechanismus fort.

Schritt 1: Verwenden Sie für das Erstellen des SPF/SenderID Record einen Online-Assistenten, zum Beispiel:

https://www.unlocktheinbox.com/senderid-wizard/

Schritt 2: Veröffentlichen Sie Ihre SPF/SenderID Records.

• Arbeiten Sie mit Ihrem DNS Administrator zusammen, um die von Ihnen erstellten Records für die E-Mail-Authentifizierung zu veröffentlichen.
• Platzieren Sie die SPD/SenderID Records in Ihrem öffentlichen DNS Record.

Schritt 3: Validieren Sie Ihre SPF/SenderID Records.

Vergewissern Sie sich, dass die Records ordnungsgemäß funktionieren. Einige der vielen verfügbaren Testoptionen sind wie folgt:

• VAMSOFT (verwenden Sie die "show log"-Funktion auf der Ergebnisseite) - http://www.vamsoft.com/spfcheck.asp
• Port25 Email Tester - check-auth@verifier.port25.com
• Sendmail Email Relay - sa-test@sendmail.net
• Microsoft Outlook (Hotmail) - Senden Sie eine Testmail an einen Outlook oder Windows Live Account, melden Sie sich an und sehen Sie sich die Nachricht sowie den Header an. Suchen Sie nach der Zeile "X-SIDResult:", um das Ergebnis des SenderID-Checks zu prüfen.
• GMail - http://gmail.com - Senden Sie eine Testmail an einen GMail Account, melden Sie sich an und sehen Sie sich die Nachricht sowie den Header an. Suchen Sie nach der Zeile "Received-SPF", um das Ergebnis des SPF-Checks zu prüfen.

• Für Microsoft Outlook (Hotmail) und Windows Live Mail wird die SenderID fehlschlagen, wenn der PTR (Pointer) Mechanismus im SPF Record eingeschlossen ist.
• Die Verwendung der Pointer Directives "?all" oder "+all" reicht nicht aus, um die Nachrichten genau zu authentifizieren. Laut Emarsys Deliverability Standards ist die möglichst weitgehende Verwendung der Directive "all" nicht verpflichtend, wird aber dringend empfohlen.

In den nachstehend angeführten Beispielen verwenden wir "reply.example.com" als Domain.

• Vergewissern Sie sich, dass Sie Zugriff auf den DNS-Eintrag Ihrer Domain haben. Bitten Sie Ihren Domain Registrar / ISP um die Informationen zu den Key- und Policy-Einträgen für Ihren DNS-Eintrag.
• Sie benötigen eine E-Mail-Adresse, an die Feedback und Berichte gesendet werden können.

Anmerkung: Nicht jeder Domain Registrar ist in der Lage, den für DMARC erforderlichen DNS-Eintrag zu setzen; unter Umständen müssen Sie deren Support um weitere Unterstützung bitten.

Der DMARC Record ist eine spezielle Subdomain für Ihre Domain mit dem Namen _dmarc - zum Beispiel "_dmarc.example.com".

Fügen Sie den folgenden DMARC-Eintrag zum TXT Record all Ihrer Sende-Domains hinzu:

_dmarc.example.com IN TXT "v=DMARC1; p=reject; adkim=s; aspf=r; pct=100;"

Das sagt den empfangenden E-Mail-Servern, im Falle eines Authentifizierungsfehlers alle E-Mails von dieser Domain fallen zu lassen.

Feedback aktivieren - Sie können DMARC-Feedbackberichte empfangen und entscheiden, ob Sie aggregierte Berichte (über den Switch rua=) oder forensische Berichte (über den Switch ruf=) oder beide Berichtarten erhalten wollen:

_dmarc.example.com IN TXT "v=DMARC1; p=reject; adkim=s; aspf=r; pct=100; rua=mailto:dmarc-feedback@example.com; ruf=mailto:dmarc-forensic@example.com; rf=afrf;"

Das Beispiel oben sagt den empfangenden E-Mail-Servern, alle E-Mails von dieser Domain fallen zu lassen und Ihnen einen Abuse-Bericht an die angegebenen E-Mail-Adressen zu senden.

Im Detail haben die einzelnen Teile des DMARC Record folgende Bedeutung: