E-Mail-Authentifizierung mit SPF, DKIM, DMARC: Sorgen Sie für eine sichere E-Mail-Kommunikation mit Ihren Kunden

SPF, DKIM, DMARC – was ist zu tun?

Sicherlich ist Ihnen in den letzten Monaten mindestens einer der 3 Begriffe begegnet: SPF, DKIM oder DMARC. Bereits Anfang dieses Jahres hatten wir in unserem Blog-Beitrag zur sicheren Erreichbarkeit von Kunden per E-Mail-Authentifizierung auf eine Änderung der großen Mailprovider hingewiesen, die eine Anpassung der Domains bei vielen Firmen notwendig gemacht hat.

Die Mailanbieter wie Googlemail, Yahoo, Outlook.com (ehemals Hotmail), t-online.de haben nun angekündigt, DMARC ab 2025 verpflichtend umzusetzen. Auch die Domains web.de und gmx.de werden sich anschließen. Darüber hinaus werden die Mailanbieter die anderen beiden Authentifizierungsmechanismen SPF und DKIM stärker kontrollieren. Firmen, deren Domain nicht korrekt authentifiziert ist, werden zunehmend Probleme mit der Zustellung Ihrer E-Mails bekommen.

Unseren Recherchen nach haben immer noch einige Firmen Handlungsbedarf, weil sie diese Anpassungen noch nicht durchgeführt haben und weiterhin keine DKIM-signierten E-Mails versenden. SPF (Sender Policy Framework) setzen die meisten bereits ein, aber DKIM und DMARC fehlen bei vielen Absendern.  

Dies könnte in der nahen Zukunft dazu führen, dass die großen Mailplattformbetreiber – wie z. B. Googlemail, Yahoo oder Hotmail/Outlook.com – Ihre E-Mails nicht mehr annehmen. Auch E-Mails, die an Kunden gesendet werden, die ihre Mailboxen in die Microsoft Cloud (Exchange Online) verlagert haben, werden davon betroffen sein. Das heißt konkret, dass Sie bei Nichtumsetzung der E-Mail-Authentifizierung Ihre Kunden per E-Mail nicht mehr erreichen werden, weil Sie als Absender als nicht vertrauenswürdig und Ihre E-Mails somit als nicht sicher eingestuft und blockiert werden.

Dabei ist es gerade in Exchange Online einfach, diese Vorgaben zu erfüllen.

Mechanismen zur E‑Mail-Authentifizierung

Bei DKIM, DMARC und SPF handelt es sich um Authentifizierungsmechanismen, die helfen, E-Mails vor Missbrauch wie Phishing oder Spam zu schützen. Sie funktionieren am besten zusammen und bilden eine Art Schutzschicht für den E-Mail-Verkehr.

SPF (Sender Policy Framework) 

SPF ist ein Verfahren, das definiert, welche IP-Adressen oder Server autorisiert sind, E-Mails für eine bestimmte Domain zu versenden. Der Besitzer einer Domain legt dazu einen SPF-Record in den DNS-Einstellungen seiner Domain fest. 

• Funktionsweise: Im SPF-Record wird festgelegt, welche IPs oder Server E-Mails von dieser Domain verschicken dürfen. Beim Empfang einer E-Mail überprüft der empfangende Mail-Server, ob die sendende IP mit den im SPF-Record definierten IP-Adressen übereinstimmt. 

• Ziel: Verhindern, dass Dritte (z. B. Spammer) E-Mails im Namen einer bestimmten Domain verschicken.

DKIM (DomainKeys Identified Mail)

DKIM ist ein Authentifizierungsverfahren, bei dem eine E-Mail mit einer digitalen Signatur versehen wird, die sicherstellt, dass die E-Mail tatsächlich vom angezeigten Absender stammt und unterwegs nicht manipuliert wurde. 

• Funktionsweise: Der versendende Server versieht die E-Mail mit einer Signatur, die auf einem privaten Schlüssel basiert. Der zugehörige öffentliche Schlüssel wird im DNS hinterlegt. Der empfangende Server kann mithilfe des öffentlichen Schlüssels die Signatur prüfen und sicherstellen, dass der Inhalt unverändert ist und die E-Mail wirklich vom angegebenen Server stammt. 

• Ziel: Schutz vor Manipulationen und sicherstellen, dass der Absender tatsächlich autorisiert ist.

DMARC (Domain-based Message Authentication, Reporting and Conformance)

DMARC baut auf SPF und DKIM auf und gibt Domain-Besitzern eine Möglichkeit, Anweisungen für den Umgang mit fehlgeschlagenen SPF- und/oder DKIM-Überprüfungen zu geben. Außerdem erlaubt DMARC das Erstellen von Berichten, die zeigen, ob und wie oft eine Domain für Phishing- oder Spam-Zwecke missbraucht wird. 

• Funktionsweise: Ein Domain-Besitzer erstellt einen DMARC-Record im DNS, in dem festgelegt wird, wie der empfangende Mail-Server mit E-Mails umgehen soll, die die SPF- und/oder DKIM-Prüfung nicht bestehen. Mögliche Anweisungen sind: „keine Maßnahme“, „in den Spam-Ordner verschieben“ oder „zurückweisen“. 

• Ziel: Sicherstellen, dass nur E-Mails, die sowohl SPF als auch DKIM bestehen, als vertrauenswürdig gelten, und Angriffe wie Phishing verhindern.

Zusammenspiel von SPF, DKIM und DMARC

Zusammen bieten SPF, DKIM und DMARC einen umfassenden Schutz: 

1. SPF prüft, ob eine E-Mail von einem autorisierten Server gesendet wurde. 
2. DKIM stellt sicher, dass die E-Mail nicht manipuliert wurde und authentifiziert den Absender. 
3. DMARC überprüft, ob die SPF- und DKIM-Authentifizierungen erfolgreich sind und gibt Anweisungen, wie bei fehlgeschlagenen Prüfungen vorgegangen werden soll. 

Warum ist das Einrichten von E-Mail-Authentifizierung so wichtig?

Zum einen geht es um die Einhaltung der von den Mailprovidern vorgegeben Richtlinien, um sicherzustellen, dass die E-Mails von autorisierten Absendern stammen. Zum anderen erhöhen Sie die Zustellrate Ihrer ausgehenden E-Mails und sorgen mit SPF-, DKIM- und DMARC-Signaturen für eine zuverlässige Reichweite Ihrer Kommunikation. Zusätzlich schützen Sie Ihre Domain vor Missbrauch und stellen sicher, dass ausschließlich legitime E-Mails gesendet werden.

Was passiert, wenn ich DKIM, DMARC und SPF nicht oder nur unzureichend konfiguriert habe? 

• Geringere Vertrauenswürdigkeit: E-Mails ohne Authentifizierung werden vom empfangenden Mail-Server als weniger vertrauenswürdig eingestuft. 
• Spam-Risiko: Ihre E-Mails könnten eher im Spam-Ordner landen, da viele E-Mail-Anbieter diese Methoden zur Authentifizierung als notwendig erachten. 
• Ablehnen von E-Mails Ihrer Organisation: Bei nicht korrekter Einrichtung können E-Mails Ihrer Organisation abgelehnt werden, sollte der Empfänger die E-Mail-Authentifizierung entsprechend eingerichtet haben. 
• Erhöhtes Missbrauchsrisiko: Ohne diese Schutzmaßnahmen ist es für Angreifer einfacher, Phishing-Mails zu senden, die vorgeben, von Ihrer Domain zu stammen.