SPF & DKIM: Höhere Mailsicherheit, Zustellungserfolge und Öffnungsraten

E-Mail-Marketing per Oldschool Newsletter oder mittels individualisierten Marketing Automation Mails gehört nach wie vor zu den bedeutsamsten und effizientesten Marketing-Tools. Setzt man E-Mail-Marketing in Relation zum Customer-Life-Cycle (CLC) einer Kundenbeziehung, können markenrelevante Ziele stark variieren. Nicht zuletzt deshalb, weil Nutzer unterschiedliche Voraussetzungen mitbringen und die Unternehmen und deren Produkte bzw. Services mehr oder weniger kennen. Zu Beginn einer Kundenbeziehung hat E-Mail-Marketing daher eine ganz klare Aufgabe zu erfüllen – die Gewinnung von Neukunden. In dieser Phase des Aufbaus von Markenbekanntheit ist eine E-Mail-Adresse mit der eigenen Domain (Unternehmen XYZ) und der jeweiligen Bereiche, wie Service, Sales oder Marketing, zur Wahrung von Seriosität und Integrität essentiell.

Aus diesem Grund ist es wichtig, …

1.) … dass nur autorisierte E-Mails versandt werden und kein Spammer die Domain zum Versenden von Mails mit Fake-Absenderadressen missbraucht.

Und, …

2.) … dass diese Mails auch wirklich erfolgreich an den gewünschten Empfänger zugestellt werden ohne, dass seine Domain auf einer Blacklist und die Mails im Spam-Ordner landen.

Dafür sorgen – neben ein paar Grundregeln im Mailversand, die zu großen Teilen auch im Gesetz geregelt sind – auf technischer Ebene SPF und DKIM. Wir zeigen, wie deine Mails künftig noch besser ankommen.

Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM)

Mithilfe der E-Mail-Authentifizierungstechnologien SPF und DKIM soll die Identität des Absenders einer Nachricht gewährleistet werden. Schenkt man SPF und DKIM keine Beachtung, ist es sehr wahrscheinlich, dass ein nicht unerheblicher Teil seiner gesendeten E-Mails als gefürchteter Spam kategorisiert wird. Schade eigentlich, hat man sich doch so viele Gedanken über den Inhalt der Mails gemacht und somit Zeit und Geld verschenkt.

Was ist SPF?

SPF (Sender Policy Framework) wurde bereits 2003 von der Internet Engineering Task Force (IETF) entwickelt, um Sicherheitslücken bei der E-Mail-Zustellung zu ‚stopfen‘. Dabei handelt es sich um ein Verfahren, das Spam- und Virenmails mit gefälschten Absendern vermeiden soll, indem der Domaininhaber die Möglichkeit erhält, zu entscheiden, wer für ihn E-Mails verschicken darf. Denn eigentlich kann als sichtbare Domain erstmal jeder Domain verwendet werden. Erst in den Absenderdetails wird sichtbar, wer der tatsächliche Absender ist. SPF definiert also dazu, welche IP-Adressen und Domains verwendet werden können, um Mails aus einer Domain zu senden. Ist SPF nicht eingerichtet, kann die Nachrichtenzustellung verweigert werden, denn die Wahrscheinlichkeit ist hoch, dass der Absender missbräuchlich verwendet wurde.

SPF auf dem Server einrichten

Nebst der autorisierten IP-Adressen, muss zu allererst analysiert werden, welche Anwendungen E-Mails im eigenen Namen (der Domain) senden dürfen. Werden bspw. MailChimp und / oder Marketo benutzt, müssen diese ins SPF integriert werden. Inkludieren sollte man aber nur jene Apps, die auch tatsächlich verwendet werden und die auch berechtigt werden sollen, Mails zu senden. Typische Beispiele sind neben Mail- und Marketing Automation Systemen auch Vertriebssoftware.

Der SPF-Setup findet in den Verwaltungseinstellungen der Domain statt (Änderungen an den DNS-Einstellungen). Je nach Host unterscheiden sich die Schritte ein bisschen. Grundsätzlich geht es aber darum, einen ordnungsgemäß strukturierten TXT-Record in den DNS-Daten einzutragen. Im Record müssen alle zum E-Mail-Versand berechtigten IP-Adressen einer Domain eingetragen werden. Nicht Eingefügte gelten als unautorisierter Spam.

Wenn Sie beispielsweise Google Mail zum Versand aller E-Mails Ihrer Domain verwenden, würde der TXT-Eintrag wie folgt aussehen: v = “spf1 include: _spf.google.com ~ all”. Wenn mehrere Apps verwendet werden, müssen all jene eingefügt werden, die Zeile somit entsprechend länger.

Tipp: Um den aktuellen SPF-Eintrag zu checken, sind Tools wie MxToolbox und Google Apps Toolbox empfehlenswert, bei denen lediglich die Domain eingegeben werden muss. So wird relativ schnell ersichtlich, wenn mehrere Einträge angelegt worden sind und bspw. kein zentraler TXT-Eintrag besteht.

Was ist DomainKeys Identified Mail (DKIM)?

DKIM definiert einen weiteren Authentifizierungsmechanismus für E-Mails. Die ganze Idee basiert auf der Verschlüsselung und Entschlüsselung einer zusätzlichen Signatur in der Kopfzeile der Nachricht, denn die Daten im Mailheader werden bei SPF nicht beachtet und sollen per DKIM authentifiziert werden. Kurz: Der Absender einer Mail wird authentifiziert.

Bei der DKIM-Signatur wird ein asymmetrisches Schlüsselpaar aus Public – und Private Key erzeugt, welches dann vom Empfänger-Mailserver überprüft und validiert wird. Der (geheime) Private Key ist individuell und ausschließlich für eine Domain verfügbar. Er verbleibt am Server und darf nicht an Unbefugte geraten. Mit ihm wird der Kopf der Nachricht verschlüsselt. Der (öffentliche) Public Key wird als TXT-Record zu den DNS-Datensätzen einer Domain hinzugefügt. Somit kann der Empfänger-Server den Public Key abrufen und den Header der erhaltenen E-Mail entschlüsseln. Schlägt die Verifizierung fehl, kann die E-Mail-Zustellung verweigert werden.

DKIM auf dem Server einrichten

Zuerst muss der Public Key generiert werden. Das erfolgt, wie beim SPF, in den Verwaltungseinstellungen eines jeweiligen E-Mail-Anbieters (z. B. so bei Gmail ). Der generierte Public Key wird dann, wie bereits erwähnt, als TXT-Datensatz in den DNS-Daten eingefügt. Somit kann der Empfänger die Quelle einer Mail überprüfen, indem er den Public Key abruft und den eingehenden Header entschlüsselt.

Schlussendlich muss die E-Mail-Signatur aktiviert werden (z. B. so bei Gmail). Damit ist der Startschuss zum Versand – der mittels Private Key verschlüsselten Nachrichten – gegeben. Die E-Mail-Authentifizierung über DKIM ist vollbracht und der Eintrag kann nun sicherheitshalber mit einem Tool wie z. B. von DKIM.org  auf Richtigkeit überprüft werden.

DMARC – Alles im Blick

Inzwischen wurde mit DMARC (Domain-based Message Authentication, Reporting & Conformance) eine weitere Spezifikation zur E-Mail-Missbrauchsvorbeugung entwickelt, die ergänzend zu SPF und DKIM angelegt werden kann. DMARC baut auf letztere zwei auf und bestimmt im Grunde genommen, wie sich im Falle eines ‚Angriffes‘ zu verhalten ist. Dafür werden Empfehlungen definiert, die festhalten, was mit eingehenden Nachrichten passiert, die SPF- und DKIM missachten (Zurückweisung, Annahme, Spam). Zusätzlich können E-Mail-Adressen hinterlegt werden, die im Falle eines solchen Verstoßes benachrichtigt werden können.

Fazit

Für erfolgreiches und vor allem seriöses E-Mail-Marketing, sollten SPF und DKIM dringend eingehalten werden. Beides erhöht die Chance ungemein, dass versendete Mails nicht blockiert und der eigene Server nicht als Spam deklariert wird. Abgesehen davon, sollte man generell nur jene Mailadressen beschicken, die ihre Einwilligung gegeben haben, nicht bouncen und innerhalb des letzten Jahres eine gewisse Aktivität vorwiesen. Entsprechende Segmente und Bereinigungsmechanismen können hier helfen. Denn was nutzt ein Verteiler mit 20.000 Kontakten, wenn 5.000 davon schon gar nicht mehr in den jeweiligen Unternehmen arbeiten oder die letzten 15 Mails nicht geöffnet haben?


Quellen:

http://www.openspf.org/Introduction

http://www.dkim.org/info/dkim-faq.html

https://dmarc.org/overview/

Nadja

Be fearless in the pursuit of what sets your soul on fire!

E-Mail
Artikel teilen

Kontakt