DMARC, DKIM und SPF im E-Mail-Marketing
Dieser Artikel enthält folgende Themen (mit einem Klick darauf springst du an die entsprechende Stelle):
- Was sind DKIM, SPF und DMARC?
- Besonderheit DMARC
- Warum brauche ich diese DNS-Einträge beim E-Mail-Marketing?
- Was, wenn mein Domain-Anbieter das Setzen von DMARC nicht unterstützt?
- Ich habe keine eigene Domain! Was nun?
E-Mails sind ein wichtiger Bestandteil moderner Kommunikation, sei es für persönliche Nachrichten oder geschäftliche Zwecke. Um die E-Mail-Sicherheit zu verbessern und Betrug zu verhindern, treffen die einzelnen Anbieter der Empfänger-Postfächer (auch E-Mail-Service-Provider genannt) wie z. B. gmx, web.de, gmail etc. umfangreiche Vorkehrungen.
Gerade, wenn man viele Mails auf einmal versendet (was bei der Nutzung eines E-Mail-Marketing-Systems ja durchaus der Fall ist), werden die Empfänger-Postfächer “hellhörig” und überprüfen genau, was da so ankommt.
Wenn bei einem Massenmailing die Absender-Adresse von einem Freemailer (wie gmail, yahoo, web.de, gmx etc.) verwendet wurde, weiß der Provider, dass gmail & Co. (also die "Unternehmen") ganz sicher nicht selbst diese Mails versendet haben und geben an den Empfänger Warnmeldungen, bzw. sortieren diese E-Mails gleich als Spam.
Von daher empfehlen wir dringend die Nutzung einer Absender-Adresse von einer eigenen Domain, wie z. B. name@meinefirma.de (Falls du keine besitzt, kannst du eine Domain von Quentn nutzen. Eine Anleitung findest du hier).
Doch eine eigene Domain “beruhigt” die Provider noch lange nicht! Zur Authentifizierung der E-Mails (also dem Nachweis der Identität) werden DMARC, DKIM und SPF überprüft.
Mit ihrer Hilfe können die E-Mail-Service-Provider feststellen, ob die eingehende Mail auch wirklich von dem Absender stammt, der in der E-Mail genannt ist.
Achtung: Einige Provider wie Google (gmail) und Yahoo haben ihre DMARC Richtlinien verschärft. Alle E-Mail-Versender mit einem hohen Versandvolumen (ab 5.000 Mails pro Tag) müssen ab dem 1. Februar 2024 einen DMARC-Record auf ihrer Domain eingerichtet haben.
Unseren Kunden mit einem geringeren Versandvolumen empfehlen wir das Setzen des DMARC-Eintrages dennoch dringend.
Was sind DKIM, SPF und DMARC?
DKIM, SPF und DMARC sind wesentliche Werkzeuge, um die Sicherheit von E-Mails zu erhöhen und das Vertrauen in deine E-Mail-Kommunikation zu stärken. Durch die korrekte Einrichtung dieser Protokolle kannst du nicht nur die Sicherheit erhöhen, sondern auch sicherstellen, dass deine E-Mails erfolgreich zugestellt werden und deine Marke geschützt ist.
Wie funktioniert DKIM?
DomainKeys basiert auf asymmetrischer Verschlüsselung. Den E-Mails wird eine digitale Signatur im Header zugefügt, die Ihrer Domain zugeordnet ist und bei allen ausgehenden E-Mails genutzt wird. Der empfangende Server fragt dann den öffentlichen Schlüssel ab, der im Domain Name System (kurz DNS) der Domain verfügbar ist.
Wie funktioniert SPF?
Das SPF (Sender Policy Framework) ist ein weiteres zur Sender-Authentifizierung genutztes Spamschutz-Verfahren. In den DNS-Einträgen einer Domain werden zusätzliche Informationen (detaillierte Angaben zu den versendenden Mailservern) in Form von SPF-Records gespeichert. Der empfangende Mailserver kann über den SPF-Record der Domain prüfen, ob die erhaltene E-Mail von einem autorisierten Mailserver stammt oder nicht. Im letzten Fall kann die E-Mail über den SPF-Spamschutz identifiziert und als SPAM deklariert werden.
HINWEIS: Solltest du bisher diese Einträge noch nicht vorgenommen haben, solltest du dies nun unbedingt nachholen! Gerne unterstützt dich unser Support. Damit wir die Eintragungen für dich übernehmen können, benötigen wir den Login-Link zu deinem Domain-Anbieter sowie die Zugangsdaten.
Wie funktioniert DMARC?
DMARC baut auf SPF und DKIM auf und fügt eine zusätzliche Sicherheitsebene hinzu: Das Reporting. Es ermöglicht Absendern, Richtlinien festzulegen, wie Empfänger mit E-Mails umgehen sollen, die nicht authentifiziert sind, und liefert Berichte über die Authentifizierungsergebnisse.
Zudem werden E-Mails von betrügerischen IP-Adressen, die versuchen, deine Domain zu nutzen, abgelehnt.
Das bedeutet, sofern du DKIM, SPF und DMARC gesetzt hast, ist niemand in der Lage, deine Domain zu “leihen”, um eine betrügerische E-Mail mit der Bitte um eine Spende von 100 € für den Amazonas-Regenwald zu senden oder ähnliches.
Besonderheit DMARC
Ab dem 1.2.2024 verschärfen einige E-Mail-Service-Provider ihre Sicherheitsrichtlinien, sodass ein DMARC-Eintrag zwingend erforderlich wird - zumindest für alle, die ein tägliches Sendevolumen von mehr als 5.000 Mails haben.
Dennoch empfehlen wir all unseren Kunden dringend, auch den DMARC-Eintrag zu setzen.
Was muss ich vor dem Setzen des DMARC-Eintrags beachten?
Zuerst: Wenn du neben Quentn noch weitere Server nutzt, die in deinem Namen senden (z B. Membership-Software, WordPress-Seite usw.), dann stelle bitte VOR dem Setzen des DMARC-Eintrages sicher, dass alle diese Server in deinem SPF-Eintrag aufgeführt sind.
Wenn du deine Domain auch für deine WordPress-Seite nutzt, musst du deinen SPF-Eintrag um ein “a” ergänzen, falls das nicht schon geschehen ist.
Beispiel:
v=spf1 a include:spf.m-1.eu-1.quentn.com ?all
Ansonsten kann es passieren, dass E-Mails deines WordPress-Systems nicht mehr ankommen (z. B. auch die eigene Passwort-Reset-E-Mail).
Bei anderen Anbietern (z. B. Funnel Cockpit, Coachy, etc.) musst du dich an diese wenden und erfragen, welche Ergänzungen du vornehmen musst.
DMARC setzen - für Unerfahrene
Kopiere den einfachen DMARC-Eintrag, den du in Quentn bei den Verifizierungsinfos findest, und füge diesen als TXT-Record bei deinem Domain-Anbieter ein.
So sieht der Eintrag aus: v=DMARC1; p=none;
Falls du Hilfe benötigst: Unser Support übernimmt gerne für dich das Setzen des Eintrags. Bitte schreibe uns eine E-Mail an support@quentn.com und übersende uns die Zugangsdaten zu deinem Domain-Anbieter.
Ohne die Zugangsdaten können wir die Eintragung für dich nicht übernehmen.
DMARC setzen - für Fortgeschrittene
Ein DMARC-Eintrag ist ein TXT-Record und besteht aus relativ schlichten Tags und Werten. Nur zwei Felder sind erforderlich, die restlichen sind optional.
Folgender Eintrag ist hierbei für Deine Domain für DMARC bei deinem Domain-Hoster zu setzen:
v=DMARC1; p=reject;
Was bedeuten die Zeichen?
Das erste Tag (v=) ist einfach. Der Wert muss immer DMARC1 lauten. Es gibt bislang keine anderen Versionen, nutze also immer “1”.
Das zweite Tag (p=) weist den Empfängerserver an, was mit Nachrichten passieren soll, die nicht authentifiziert werden konnten. Hier sind Ihre Optionen:
- None: Nachrichten werden protokolliert, aber keine Maßnahmen ergriffen.
- Quarantine: Nachrichten werden als Spam markiert und zurückgehalten (meistens im Spam-Ordner).
- Reject: Nachrichten werden abgelehnt (es kommt zum Bounce).
DMARC-Berichte (optional)
Optional kannst du ein drittes Tag hinzufügen: rua=mailto:deinemail@deinedomain.com;
Dieses enthält die E-Mail-Adresse, an die deine DMARC-Berichte gesendet werden.
Hinweis: Es empfiehlt sich, hier eine zusätzliche Mail-Adresse einzurichten, da es zu sehr vielen Berichten kommen kann.
ACHTUNG: Die E-Mail-Adresse, zu der die Reports gesendet werden, muss zwingend die gleiche Domain besitzen, für die du die DMARC-Settings gesetzt hast!
Sobald DMARC sicher eingerichtet ist, werden nach und nach Berichte in deinem Posteingang eintrudeln. Sie informieren dich über Folgendes:
- Welche Server oder Dritte von deiner Domain aus E-Mails versenden und ob diese die Authentifizierung bestehen
- Wie der jeweilige Eingangsserver auf nicht authentifizierte E-Mails reagiert
- Wie hoch der Gesamtprozentsatz der DMARC-Erfolgsquote ist.
Bei den Berichten stehen dir zwei Optionen zur Verfügung:
- Aggregierte Berichte
- Forensische Berichte
Aggregierte Berichte (rua=)
Bei aggregierten Berichten (rua=) handelt es sich um XML-Dokumente, die Daten über die empfangenen Nachrichten anzeigen, die angeblich aus einer bestimmten Domain stammen. Diese Berichte im XML-Rohformat sind maschinenlesbar.
Forensische Berichte (ruf=)
Statt “rua=” kannst du auch optional “ruf=” verwenden. Durch dieses Tag werden Forensische Berichte an deine Mail-Adresse gesendet.
Das bedeutet: Jede fehlgeschlagene Zustellung löst eine separate, detaillierte E-Mail aus. Die Berichte sind im Format AFRF und enthalten Informationen zu:
- Betreffzeile
- Uhrzeit, zu der die Nachricht empfangen wurde
- IP-Informationen
- Authentifizierungsergebnisse
- SPF-Ergebnis
- DKIM-Ergebnis
- DMARC-Ergebnis
- Domain-Informationen
- Nachrichten-ID
- URLs
- Ergebnis der Zustellbarkeit
- Angewandte Richtlinie
- ISP-Informationen
Dieses Tag wird zwar aus Datenschutzgründen nicht von allen E-Mail-Anbietern unterstützt (z. B. Gmail), doch es ermöglicht dir mehr Einblicke in die abgelehnten E-Mail-Inhalte als ein aggregierter Standardbericht.
Warum brauche ich diese DNS-Einträge beim E-Mail-Marketing?
Im E-Mail-Marketing ist Vertrauen entscheidend. Wenn du E-Mails an deine Kunden oder Abonnenten sendest, möchtest du sicherstellen, dass diese tatsächlich von dir stammen und nicht von Betrügern, die sich als dich ausgeben. DKIM, SPF und DMARC helfen dabei, die Authentizität deiner E-Mails zu bestätigen und das Risiko von Phishing-Attacken oder Spoofing zu verringern.
Was, wenn mein Domain-Anbieter das Setzen von DMARC nicht unterstützt?
Sollte Dein Domain-Hoster das Setzen von DKIM und/oder DMARC nicht unterstützen, empfehlen wir dir langfristig deinen Domain-Hoster zu wechseln. Dazu kannst du bei einem anderen Hoster, der diese Settings unterstützt, einen Umzug in die Wege leiten oder beantragen. Der Domain-Hoster steht dir bei Fragen diesbezüglich gerne zur Verfügung.
Ich habe keine eigene Domain! Was nun?
Solltest du eine Freemail-Adresse besitzen (@web.de, @gmail.com, @gmx.net etc.), musst du eine Quentn-Domain als Absender wählen, damit deine Zustellrate hoch bleibt und deine Mails nicht im Vorfeld wegen fehlender DNS-Einträge von den E-Mail-Service-Providern aussortiert werden.
Wenn du in Quentn deinen E-Mail-Absender anlegst, wähle bitte den Absender-Typ “Quentn domain” aus und gib anschließend die gewünschte Adresse an (@quentn-mail.de wird bereits vorgegeben). Eine Anleitung findest du hier.