"Senderauthentifizierung" ist ein Sammelbegriff für eine Reihe von Technologien, die allesamt sicherstellen sollen, dass der Content von E-Mails den gesetzlichen Vorschriften entspricht und zugestellt werden kann.
In diesem Artikel erfahren Sie, wie Sie die verschiedenen Methoden der E-Mail-Authentifizierung konfigurieren und erfolgreich bereitstellen können. Wir bieten Zugriff auf verschiedene Ressourcen und behandeln - auf Basis der Erfahrungen vieler hunderter Emarsys Kunden - einige der am häufigsten auftretenden Probleme.
Inhalt
- Warum brauche ich die Senderauthentifizierung?
- SenderID
- Sender Policy Framework (SPF)
- DomainKeys Identified Mail (DKIM)
- Domain-based Message Authentication, Reporting & Conformance (DMARC)
- SPF/SenderID konfigurieren
- Über Emarsys senden
- Über Ihre eigene Infrastruktur senden
- DKIM konfigurieren
- DMARC konfigurieren
- Weiterführende Dokumentation
Warum brauche ich die Senderauthentifizierung?
Ohne Authentifizierung werden sich die meisten Freemail Accounts weigern, Ihre E-Mails zu akzeptieren. E-Mails können leicht gefälscht werden und Kriminelle nutzen Spoofing, um das Vertrauen, das Nutzer in bekannte und etablierte Marken haben, für ihre Zwecke auszunutzen. Die Empfänger von E-Mails sind häufig nicht in der Lage, zwischen einer echten und einer gefälschten Nachricht zu unterscheiden, und große Freemail-Anbieter müssen die sehr schwierige (und oft spekulative) Entscheidung treffen, ob sie eine Nachricht zustellen oder als Spam kategorisieren.
Die Senderauthentifizierung unterstützt Sender, die Anbieter von E-Mail-Diensten und ISPs in ihrem gemeinsamen Bemühen, E-Mails sicherer zu machen - und sie schützt sowohl die Sender als auch die Empfänger von E-Mails vor schmerzhaft teurem Missbrauch. Unsere Strategie ist, Ihre Compliance mit sämtlichen Authentifizierungsmechanismen sicherzustellen; wir verringern Ihr Risiko, indem wir dafür sorgen, dass Ihr Content ohne Einschränkungen zugestellt wird.
Die Technologien zur Senderauthentifizierung - eine Übersicht
SenderID
Für jede Domain, die im Feld From:
einer E-Mail aufscheint, muss ein SenderID-konformer SPF Record veröffentlicht sein.
Anmerkung: Als Domain bezeichnet man den gesamten Wert, der auf das Zeichen @ folgt. Wenn Sie zum Beispiel recipient@example.com im Feld From:
verwenden, dann muss für example.com entweder eine SenderID oder ein SPF Record veröffentlicht sein. Abhängig vom Provider, den Sie für Ihre Zustell-Infrastruktur verwenden, haben Sie möglicherweise keine direkte Kontrolle über diese Domains; etwaige Fragen oder Probleme sollten Sie daher immer mit Ihrem Provider abklären.
Achtung: Subdomains werden von SPF Records NICHT abgedeckt. Eine SenderID oder ein SPF Record für example.com würde campaign.example.com nicht abdecken.
Sender Policy Framework (SPF)
Für jede Domain, die im Header-Feld Return-Path
aufscheint, muss ein SenderID-konformer SPF Record veröffentlicht sein.
DomainKeys Identified Mail (DKIM)
DKIM ist der Nachfolger von DomainKeys (DK) und erfreut sich zunehmender Beliebtheit bei vielen verschiedenen Freemail-Providern, z.B. Yahoo! oder GMail.
Während SPF und SenderID den Pfad authentifizieren, den eine Nachricht nimmt, authentifiziert DKIM jede einzelne Nachricht, und zwar unabhängig von dem Weg, den sie nimmt. Damit kann DKIM eruieren, wer für eine bestimmte Nachricht verantwortlich ist.
Dafür wird ein spezieller Signatur-Header in die Nachricht selbst eingefügt. Das liegt in Ihrer Verantwortung als Sender der Nachricht; kontaktieren Sie den Provider Ihrer E-Mail-Infrastruktur, um herauszufinden, ob die von Ihnen verwendete Software in der Lage ist, DKIM Signatures einzuschließen.
Anmerkung: Die DK-Authentifizierung allein reicht für das Senden mit Emarsys nicht aus. Wenn Sie diese Methode derzeit noch verwenden, sollten Sie so schnell wie möglich ein Upgrade zu DKIM durchführen.
Domain-based Message Authentication, Reporting & Conformance (DMARC)
DMARC ist eine Methode der E-Mail-Authentifizierung, die von einer Gruppe von Organisationen - darunter AOL, Google, Microsoft und Yahoo! - entwickelt wurde. Damit können Sender den ISPs mitteilen, wie sie mit nicht signierten (nicht authentifizierten) oder fehlgeschlagenen (Broken Authentication) E-Mails verfahren sollen, die den Domain-Namen des Senders verwenden. So kann ein DMARC Record beispielsweise fordern, dass diese E-Mails zugestellt, als verdächtig gekennzeichnet oder gelöscht werden.
Zudem bietet DMARC dem ISP eine Möglichkeit, dem Sender Feedback zu senden und ihn zu informieren, welche Nachrichten die Tests bestanden bzw. nicht bestanden haben. Es ist vor allem diese Berichtsmöglichkeit, die DMARC interessant macht. Sender können sich darüber informieren, wie viele E-Mails aus ihren Domains stammen (oder dies vorgeben), woher sie gekommen sind und ob ihre SPF- und DKIM-Regeln sie auch richtig authentifizieren.
Anmerkung: Obwohl der DMARC Record derzeit nur eine Empfehlung für den ISP darstellt, empfehlen wir dennoch dringend, ihn zu verwenden; wir erwarten, dass die Verwendung in naher Zukunft verpflichtend wird. DMARC berichtet nicht, wie ISPs die fraglichen E-Mails tatsächlich behandeln, aber es bietet andere wertvolle Informationen; es berichtet zum Beispiel, welche E-Mails empfangen wurden und welche E-Mails vorgeben, aus der Sende-Domain zu kommen, ebenso wie die Ergebnisse der SPF- und DKIM-Checks.
Mechanismen zur E-Mail-Authentifizierung implementieren
Um einen problemlosen Versand zu ermöglichen, empfehlen wir, sämtliche der nachstehend beschriebenen Authentifizierungsmechanismen zu implementieren.
SPF/SenderID konfigurieren
SPF/SenderID ist eine explizite Liste all jener Domains, die Sie für den Versand von E-Mails konfigurieren wollen, und bietet den ISPs die Möglichkeit, die Legitimität Ihrer Mails zu überprüfen.
Voraussetzungen
- Machen Sie eine Liste der Domain(s) und Subdomain(s), die Sie für das Senden in Ihrem Namen verwenden wollen. In unseren Beispielen weiter unten verwenden wir "reply.example.com" als Domain.
- Finden Sie heraus, wer Ihre DNS (Domain Name System) Server kontrolliert; Sie benötigen deren Hilfe, um die Records für die E-Mail-Authentifizierung zu veröffentlichen, die Sie erstellen werden.
- Vergewissern Sie sich, dass Sie Zugriff auf den DNS-Eintrag Ihrer Domain haben; falls Sie nicht sicher sind, bitten Sie Ihren ISP um die Informationen zu den Key- und Policy-Einträgen für Ihren DNS-Eintrag.
Über Emarsys senden
Fügen Sie einen der folgenden SenderID-Einträge zum TXT Record all Ihrer Sende- und Reply-Domains hinzu:
- Wenn Sie nach Deutschland senden und CSA-zertifiziert sind:
v=spf1 include:emarsys.net ~all
- Für alle anderen Kunden:
v=spf1 include:emarsys.us ~all
Das ist es auch schon - damit haben Sie SPF/SenderID erfolgreich für die Verwendung konfiguriert. Bitte setzen Sie mit dem Einrichten des nächsten Authentifizierungsmechanismus fort.
Über Ihre eigene Infrastruktur senden
Schritt 1: Verwenden Sie für das Erstellen des SPF/SenderID Record einen Online-Assistenten, zum Beispiel:
https://www.unlocktheinbox.com/senderid-wizard/
Schritt 2: Veröffentlichen Sie Ihre SPF/SenderID Records.
- Arbeiten Sie mit Ihrem DNS Administrator zusammen, um die von Ihnen erstellten Records für die E-Mail-Authentifizierung zu veröffentlichen.
- Platzieren Sie die SPD/SenderID Records in Ihrem öffentlichen DNS Record.
Schritt 3: Validieren Sie Ihre SPF/SenderID Records.
Vergewissern Sie sich, dass die Records ordnungsgemäß funktionieren. Einige der vielen verfügbaren Testoptionen sind wie folgt:
- VAMSOFT (verwenden Sie die "show log"-Funktion auf der Ergebnisseite) - http://www.vamsoft.com/spfcheck.asp
- Port25 Email Tester - check-auth@verifier.port25.com
- Sendmail Email Relay - sa-test@sendmail.net
- Microsoft Outlook (Hotmail) - Senden Sie eine Testmail an einen Outlook oder Windows Live Account, melden Sie sich an und sehen Sie sich die Nachricht sowie den Header an. Suchen Sie nach der Zeile "X-SIDResult:", um das Ergebnis des SenderID-Checks zu prüfen.
- GMail - http://gmail.com - Senden Sie eine Testmail an einen GMail Account, melden Sie sich an und sehen Sie sich die Nachricht sowie den Header an. Suchen Sie nach der Zeile "Received-SPF", um das Ergebnis des SPF-Checks zu prüfen.
Weitere Informationen
- Für Microsoft Outlook (Hotmail) und Windows Live Mail wird die SenderID fehlschlagen, wenn der PTR (Pointer) Mechanismus im SPF Record eingeschlossen ist.
- Die Verwendung der Pointer Directives "?all" oder "+all" reicht nicht aus, um die Nachrichten genau zu authentifizieren. Laut Emarsys Deliverability Standards ist die möglichst weitgehende Verwendung der Directive "all" nicht verpflichtend, wird aber dringend empfohlen.
DKIM konfigurieren
Informationen zur DKIM-Konfiguration erhalten Sie unter: DNS-Einstellungen selbst konfigurieren
Wenn Sie eine individuelle Anpassung von DKIM benötigen, wenden Sie sich bitte an den Emarsys Support.
DMARC konfigurieren
DMARC ist ein Rahmenwerk, mit dem ISPs herausfinden können, wie sie E-Mails ohne Authentifizierung oder mit "Broken Authentication" behandeln sollen, die von einer bestimmten Domain gesendet wurden.
Voraussetzungen
In den nachstehend angeführten Beispielen verwenden wir "reply.example.com" als Domain.
- Vergewissern Sie sich, dass Sie Zugriff auf den DNS-Eintrag Ihrer Domain haben. Bitten Sie Ihren Domain Registrar / ISP um die Informationen zu den Key- und Policy-Einträgen für Ihren DNS-Eintrag.
- Sie benötigen eine E-Mail-Adresse, an die Feedback und Berichte gesendet werden können.
Anmerkung: Nicht jeder Domain Registrar ist in der Lage, den für DMARC erforderlichen DNS-Eintrag zu setzen; unter Umständen müssen Sie deren Support um weitere Unterstützung bitten.
Schritt 1
Der DMARC Record ist eine spezielle Subdomain für Ihre Domain mit dem Namen _dmarc - zum Beispiel "_dmarc.example.com".
Fügen Sie den folgenden DMARC-Eintrag zum TXT Record all Ihrer Sende-Domains hinzu:
_dmarc.example.com IN TXT "v=DMARC1; p=reject; adkim=s; aspf=r; pct=100;"
Das sagt den empfangenden E-Mail-Servern, im Falle eines Authentifizierungsfehlers alle E-Mails von dieser Domain fallen zu lassen.
Schritt 2
Feedback aktivieren - Sie können DMARC-Feedbackberichte empfangen und entscheiden, ob Sie aggregierte Berichte (über den Switch rua=) oder forensische Berichte (über den Switch ruf=) oder beide Berichtarten erhalten wollen:
_dmarc.example.com IN TXT "v=DMARC1; p=reject; adkim=s; aspf=r; pct=100; rua=mailto:dmarc-feedback@example.com; ruf=mailto:dmarc-forensic@example.com; rf=afrf;"
Das Beispiel oben sagt den empfangenden E-Mail-Servern, alle E-Mails von dieser Domain fallen zu lassen und Ihnen einen Abuse-Bericht an die angegebenen E-Mail-Adressen zu senden.
DMARC-Komponenten verstehen
Im Detail haben die einzelnen Teile des DMARC Record folgende Bedeutung:
Name | Beschreibung |
---|---|
"v=DMARC1" | Die verwendete Version von DMARC ist "DMARC1" |
"p=reject" | Nachrichten, die nicht authentifiziert werden können, sollen von den ISPs zurückgewiesen werden |
"adkim=s" | Auf DKIM-Checks sollte ein striktes Identifier Alignment angewendet werden |
"aspf=r" | Auf DKIM-Checks sollte ein relaxtes Identifier Alignment angewendet werden |
"pct=100" | Die Policy soll auf 100% der Nachrichten angewendet werden |
"rua=mailto:dmarc-feedback@example.com" | Aggregierte Feedback-Berichte werden per E-Mail an diese Adresse gesendet |
"ruf=mailto:dmarc-forensic@example.com" | Berichte mit forensischen Informationen werden per E-Mail an diese Adresse gesendet |
"rf=afrf" | Berichtsformat ist das "Authentication Failure Reporting Format" |