1. ActiveCampaign-Kundensupport
  2. E-Mail Marketing
  3. E-Mail-Zustellbarkeit

SPF-, DKIM- und DMARC-Authentifizierung

Avatar
Alex B
Letzte Aktualisierung:

Marketing_Lite_Plus_Professional_Enterprise

Wenn Sie E-Mails senden, müssen Mailbox-Anbieter (z. B. Gmail, Outlook, AOL und Yahoo) erkennen, ob es sich um eine legitime E-Mail handelt, die vom Eigentümer oder der E-Mail-Adresse des Domänennamens gesendet wurde, oder um eine gefälschte E-Mail, die von einem Spammer oder Phisher stammt. Dies gilt auch für E-Mails, die von ActiveCampaign gesendet werden.

Bevor Sie sich mit den Authentifizierungsmethoden befassen, sollten Sie sicherstellen, dass Sie eine gültige (bestehende und etablierte) sendende Domäne verwenden, die Ihnen gehört: Ihre Domne sollte älter als 30 Tage sein und einen gültigen "A-Eintrag" haben.

Es ist auch wichtig, dass diese Domäne einen MX-Eintrag hat: Dieser Eintrag gibt den Mailserver an, der für die Annahme von E-Mail-Nachrichten im Namen eines Domänennamens zuständig ist. 

Ist Ihre Absenderdomäne gültig und mit einem MX-Eintrag versehen? Zeit, sie zu authentifizieren!

Es gibt drei gängige Methoden, um die Identität eines Absenders zu überprüfen. Diese sind SPF, DKIM und DMARC. Wir empfehlen die Einrichtung dieser E-Mail-Authentifizierungsmethoden aus mehreren Gründen. Die häufigsten Gründe sind:  

  • Branding verstärken
    Sie können Ihr Branding verstärken, indem Sie die Kopfzeile "via..." aus Gmail entfernen. Ein positiver Nebeneffekt der DKIM-Authentifizierung ist, dass diese Kopfzeile verschwindet.
    Remove_the_
  • Einen Namen als E-Mail-Absender unter Ihrem Domänennamen machen
    Das Versenden von E-Mails ohne Authentifizierung ist wie das Abgeben von Hausaufgaben ohne Namen. Sie haben die Aufgabe vielleicht mit Bravour gemeistert, aber ohne Ihren Namen können Sie keine Anerkennung dafür bekommen. Insbesondere die DKIM-Authentifizierung trägt dazu bei, Ihren Ruf als E-Mail-Absender zu verbessern.
  • Strengere Sicherheitsvorkehrungen für Ihren Domänennamen erzwingen
    Authentifizierungsstandards wie DMARC helfen, Ihren Domänennamen vor potenziell betrügerischer Nutzung zu schützen.

Die E-Mail-Authentifizierung löst nicht alle Zustellbarkeitsprobleme, wie z. B. die Frage, ob der Empfänger die E-Mail erhalten möchte oder nicht. Die Authentifizierung löst jedoch das Problem, den Absender der E-Mail zu ermitteln.

Ein Absender, der sich an bewährte Verfahren hält, z. B. hochwertige, personalisierte E-Mails an eine Opt-in-Liste versendet und die Listen regelmäßig pflegt, wird in der Regel eine höhere Zustellbarkeit erzielen, wenn er die E-Mail-Authentifizierung einsetzt. Ihre Domäne wird sich bei den Empfängern, die sich mit ihren E-Mails auseinandersetzen möchten, einen Ruf als guter Absender aufbauen.

Ein Absender, der sich nicht an Best Practices hält, z. B. eine gemietete oder gekaufte Liste verwendet, während des Opt-in-Prozesses keine klaren Mitteilungen darüber macht, welche Art von E-Mails in welcher Häufigkeit versendet werden, oder der seine Listen nicht pflegt, wird in der Regel eine geringere Zustellbarkeit mit E-Mail-Authentifizierung feststellen. Ihre Domäne kann möglicherweise einen Ruf als Absender unerwünschter E-Mails aufbauen.

Die Authentifizierung ermöglicht es guten Absendern, ihren Ruf weiter zu festigen und ihre Domäne vor schlechten Absendern zu schützen, die versuchen könnten, ihre Domäne zu betrügerischen Zwecken zu übernehmen.

​​Wie unten erläutert, authentifiziert ActiveCampaign bereits seinen gesamten Datenverkehr mit SPF und DKIM. Es ist jedoch immer noch möglich, Ihre sendende Domäne mit diesen Standards zu authentifizieren.

Bitte beachten Sie, dass Sie zwar nicht dazu verpflichtet sind, wir Ihnen aber dringend empfehlen, eine Authentifizierung auf Ihrer Absenderdomäne einzurichten.

SPF

SPF-Einträge (Sender Policy Framework) sind TXT-Einträge in Ihrer Domäne, die bestimmten Servern erlauben, E-Mails unter Ihrem Domänennamen zu versenden. ActiveCampaign konfiguriert SPF automatisch für alle Kunden. Das bedeutet, dass Sie für Ihre Arbeit mit ActiveCampaign keinen SPF-Eintrag erstellen oder einen bestehenden ändern müssen. Dies gilt auch, wenn Sie eine benutzerdefinierte Domäne verwenden.

Wenn Sie ActiveCampaign dennoch zu Ihrem bestehenden SPF-Eintrag hinzufügen möchten (auch wenn dies nicht notwendig ist), können Sie "include:emsd1.com" zu Ihrem aktuellen SPF-Eintrag hinzufügen. Wenn Sie beispielsweise E-Mails sowohl von G Suite als auch von ActiveCampaign aus versenden, könnte Ihr SPF-Eintrag wie folgt aussehen:

v=spf1 include:emsd1.com include:_spf.google.com ~all


Sie können nur einen SPF-Eintrag für Ihren Domänennamen erstellen. Wenn Sie einen bestehenden SPF-Eintrag haben, müssen Sie Ihren aktuellen Eintrag ändern, anstatt einen neuen SPF-Eintrag zu erstellen.

Weitere Informationen finden Sie in diesem ausführlichen SPF-Leitfaden unseres Postmark-Teams.

DKIM

DKIM (Domain Keys Identified Mail) ist eine Signatur, die jeder Absender auf seine E-Mail-Nachrichten anwenden kann. Diese Signatur macht deutlich, dass der vermeintliche Absender der Nachricht auch tatsächlich der Absender der Nachricht ist. Sie können eine beliebige Domäne als Signatur verwenden. Ein Unternehmen mit dem Namen "Dog Bandanas" beispielsweise signiert seine Nachrichten mit der Domain "dogbandanas.com", um zu bestätigen, dass die Nachricht von "Dog Bandanas" gesendet wurde.

Dazu wird (von ActiveCampaign) eine versteckte kryptografische Signatur in die Kopfzeile Ihrer E-Mail eingefügt und anschließend ein öffentlicher Schlüssel auf Ihrer Website platziert, der die Authentizität dieser Signatur bestätigt.

Alle von ActiveCampaign versendeten E-Mails verwenden standardmäßig die DKIM-Signatur von ActiveCampaign. Die DKIM-Signatur von ActiveCampaign genießt einen ausgezeichneten Ruf und ist für die meisten Absender ausreichend. Das Einrichten von DKIM für Ihre Domäne ist bei Bedarf jedoch einfach.

Um mehr über DKIM zu erfahren, können Sie diesen detaillierten DKIM-Leitfaden von unserem Postmark-Team lesen.

Wir haben unseren DKIM-Prozess von TXT-Einträgen auf CNAME-Einträge umgestellt. Wenn Sie Ihr DKIM vor dem 23. Februar 2023 eingerichtet haben, werden Ihre TXT-Einträge weiterhin funktionieren und gültig bleiben. Wir empfehlen jedoch, DKIM mit den folgenden Anweisungen für CNAME-Einträge einzurichten, da dies sicherer ist.

Um DKIM einzurichten:

  1. Melden Sie sich bei Ihrem ActiveCampaign-Konto als Hauptadmin-Benutzer an.
  2. Klicken Sie im linken Menü auf "Einstellungen".
  3. Klicken Sie auf die Registerkarte "Erweitert".
  4. Klicken Sie auf die Option "Ich werde meine eigene E-Mail-Authentifizierung verwalten".
  5. Wir werden zwei CNAME-Einträge erstellen. Bitte richten Sie beide CNAME-Einträge im DNS-Provider für Ihre Domain ein (d. h. Godaddy).

    Die von Ihnen eingegebenen Domains werden auf dieser Seite nicht gespeichert. Wenn Sie "Ich verwalte meine eigene E-Mail-Authentifizierung" wählen, werden alle verifizierten Domänen mit DKIM signiert. Klicken Sie auf "Check DNS", um sicherzustellen, dass alle Ihre Domains den richtigen DNS haben.

    Ihr DNS-Host ist in der Regel das Unternehmen, bei dem Sie Ihre Domäne registriert haben oder das Ihre Website hostet, z. B. Godaddy. Sie können auch dieses Tool verwenden, um zu überprüfen, wer Ihr DNS-Anbieter ist. Die meisten DNS-Hosts benötigen die folgenden Elemente, um Ihre CNAME-Einträge einzurichten:
    • Geben Sie
      ein. Wählen Sie CNAME.
    • Name oder Host
      Kopieren Sie den CNAME "Name" aus ActiveCampaign und fügen Sie ihn für jeden CNAME-Eintrag ein, z. B. acdkim1._domainkey (am häufigsten) oder den vollständigen CNAME "Name", z. B. acdkim1._domainkey.mydomain.com (weniger häufig). Welche Sie verwenden sollten, hängt davon ab, ob Ihr DNS-Anbieter den Domänennamen automatisch zu den von Ihnen erstellten DNS-Einträgen hinzufügt. Wenn Sie sich nicht sicher sind, welchen Sie verwenden sollen, sehen Sie sich das Format der anderen DNS-Einträge in Ihren Einstellungen an (enthalten sie den Domänennamen im Feld Name oder Host?) oder fragen Sie Ihren DNS-Anbieter.
    • Wert oder Datensatz
      Kopieren Sie den CNAME-"Wert", der in ActiveCampaign für jeden CNAME angezeigt wird, und fügen Sie ihn ein.
    • TTL
      TTL steht für "Time Till Live". Verwenden Sie die empfohlene oder die Standardeinstellung Ihres DNS-Hosts. Wenn es keine Standardeinstellung gibt, empfehlen wir 300 (5 Minuten).

      Dieser Vorgang ist je nach Webhoster leicht unterschiedlich. Um spezifische Anweisungen für Ihren Host zu finden, verwenden Sie Ihre bevorzugte Suchmaschine und suchen Sie nach "Add CNAME record at _____," wobei Sie die Leerzeile durch Ihren DNS-Anbieter ersetzen. Der Einfachheit halber haben wir im Folgenden einige gängige DNS-Anbieter aufgeführt:
  6. Sobald Sie beide CNAME-Einträge in Ihrem DNS-Anbieter eingerichtet haben, kehren Sie zu ActiveCampaign zurück und gehen Sie zu Einstellungen > Erweitert. Klicken Sie dann auf "Check DNS", um zu überprüfen, ob Sie Ihre DNS-Einträge korrekt eingerichtet haben.Erfahren Sie, wie Sie DKIM-Fehlermeldungen beheben können.

    Außerdem können Sie eine Live-E-Mail mit mail-tester.com testen, um sicherzustellen, dass DKIM funktioniert.

  7. Nachdem Sie Ihre DNS-Einträge für alle Absenderdomänen korrekt eingerichtet haben, klicken Sie auf oben auf der Seite auf "Einstellungen speichern".

    Beachten Sie, dass für den Versand von E-Mails von mehreren Domänen aus jede Domäne mit den richtigen DNS-Einträgen für DKIM eingerichtet werden muss.

Ein Video ansehen

Hier finden Sie ein kurzes Video, das die Einrichtung von DKIM erläutert:

 

DMARC

DMARC (Domain-based Message Authentication, Reporting & Conformance) ist ein Standard, der auf SPF und DKIM aufbaut. Er ermöglicht es dem Domänenbesitzer, eine Richtlinie zu erstellen, die Mailbox-Anbietern (wie Google oder Microsoft) mitteilt, was zu tun ist, wenn die E-Mail SPF- und DKIM-Prüfungen nicht besteht. 

DMARC unterstützt drei wichtige Richtlinienkonfigurationen:

  • "Keine"
     Gibt an, dass E-Mails normal behandelt werden sollen, wenn DMARC fehlschlägt. Dies ist gleichbedeutend damit, dass Sie keinen DMARC-Eintrag haben, obwohl Sie trotzdem die Vorteile der DMARC-Berichtsfunktionen nutzen können.
  • "Quarantäne"
     Gibt an, dass E-Mails in den Spam-Ordner zugestellt werden sollen, wenn die DMARC-Prüfung fehlschlägt.
  • "Ablehnen"
     Gibt an, dass E-Mails zurückgewiesen (nicht an den Empfänger zugestellt) werden sollen, wenn die DMARC-Prüfung fehlschlägt.

Wenn Sie eine DMARC-Richtlinie mit der Einstellung "Quarantäne" oder "Ablehnen" verwenden, müssen Sie einen ordnungsgemäßen DKIM-Eintrag für Ihre Absenderdomäne einrichten, da sonst alle E-Mails von ActiveCampaign den DMARC-Test nicht bestehen. Dadurch wird sie in den Spam-Ordner gefiltert ("Quarantäne") oder vollständig blockiert ("Ablehnen"). Stellen Sie sicher, dass Sie DKIM für alle Ihre Absenderdomänen einrichten, bevor Sie einen strikten DMARC-Eintrag einrichten.

DMARC ist kein Tool zur Verbesserung der Zustellbarkeit, und Sie sind nicht verpflichtet, DMARC für das Versenden von E-Mails von ActiveCampaign einzurichten. Sie sollten DMARC jedoch in folgenden Fällen verwenden:

  • Jemand fälscht Ihre Domäne, verschickt betrügerische E-Mails und beeinträchtigt Ihre Reputation. DMARC würde es Ihnen ermöglichen, diese bösartigen Aktivitäten zu erkennen und zu unterbinden
  • Ihr Unternehmen verfügt über eine E-Mail-Sicherheitsrichtlinie, die eine DMARC-Authentifizierung vorschreibt, z. B. eine Regierungsbehörde oder ein Finanzunternehmen
  • Sie möchten ein BIMI-Logo für Ihre E-Mails anzeigen

Für den Einstieg in DMARC empfehlen wir Ihnen, mit der Richtlinie "Keine" zu beginnen, damit Ihre Zustellbarkeit im Falle einer Fehlkonfiguration nicht beeinträchtigt wird. Sie können dann Ihre DMARC-Berichte überwachen, um zu sehen, wie sich eine strengere Richtlinie auswirken würde.

Nachstehend finden Sie eine empfohlene anfängliche DMARC-Richtlinie. Sie können sie einrichten, indem Sie bei Ihrem DNS-Anbieter einen TXT-Eintrag mit einem Host oder Namen mit _dmarc erstellen und den unten stehenden Wert für den Wert oder Eintrag eingeben. Ersetzen Sie jedoch die unten stehende E-Mail-Adresse durch Ihre eigene E-Mail-Adresse:

v=DMARC1; p=none; pct=100; rua=mailto:ihreemail@beispiel.de


Wenn Sie die E-Mail-Adresse im obigen Beispiel nicht durch Ihre E-Mail-Adresse ersetzen, werden Sie keine DMARC-Berichte erhalten. Je nach dem Volumen der von Ihnen gesendeten E-Mails kann der Posteingang für die angegebene E-Mail-Adresse jedoch überlastet und bis zur Quote Nachrichten enthalten. Da DMARC-Berichte zudem im XML-Format gesendet werden, sind sie schwer zu lesen. Aus diesem Grund empfehlen wir dringend den Einsatz einer DMARC-Überwachungslösung, die so konfiguriert werden kann, dass sie diese E-Mails/Berichte aufnimmt und lesbare und umsetzbare Ergebnisse liefert. Informieren Sie sich über DMARC Digests, das jetzt Teil der ActiveCampaign-Produktfamilie ist.

DMARC_Digests_image.png

Bitte beachten Sie auch, dass die Zeit, die für die Untersuchung und die Ergreifung geeigneter Maßnahmen benötigt wird, von einer kurzen bis zu einer sehr langen Zeitspanne reichen kann, bevor Sie DMARC im Durchsetzungsmodus konfigurieren können.

Wenn Sie Ihre Domäne noch besser absichern möchten, können Sie einen strikteren DMARC-Eintrag mit den Richtlinien "Quarantäne" oder "Ablehnen" einrichten. Um einen strikten DMARC-Eintrag einzurichten, sollten Sie unter dmarc.org nach Empfehlungen für die richtige Konfiguration des Eintrags suchen.

Zusätzliche Authentifizierungsmethoden

BIMI

BIMI (Brand Indicators for Message Identification) ist ein neuer Standard, der auf DMARC aufbaut. Er ermöglicht Domänenbesitzern, die DMARC im Durchsetzungsmodus implementiert haben, ein Verified Mark Certificate (VMC) zu erwerben, um ein BIMI-Logo für ihre Marke in E-Mail-Nachrichten anzuzeigen. So können die Empfänger vertrauenswürdige Nachrichten leicht visuell erkennen.

Da es sich bei BIMI um einen neuen Standard handelt, wird er von den Domänenbesitzern und Mailbox-Anbietern noch nicht in großem Umfang genutzt, und Sie müssen BIMI nicht einrichten. Wenn Sie jedoch mehr erfahren möchten, können Sie sich auf den folgenden Websites informieren:

SenderID

SenderID ist ein Authentifizierungsstandard, der von Microsoft entwickelt wurde und SPF ersetzen soll. Die Sender-ID ist jedoch inzwischen veraltet und wird nicht mehr verwendet; daher brauchen Sie sie nicht zu konfigurieren.

Wenn Sie derzeit Sender-ID-Einträge im DNS festgelegt haben (TXT-Einträge, die mit spf2.0 beginnen), sollten Sie diese entfernen.

SPF (Eintrag, der mit v=spf1 beginnt) ist nach wie vor der von der Branche weithin unterstützte und empfohlene Authentifizierungsstandard.

Weitere Informationen

In diesem Artikel haben wir nicht versucht, den technischen Prozess zur Funktionsweise von SPF, DKIM und DMARC zu erklären. Jedes dieser Authentifizierungsprotokolle verfügt über eine öffentliche Website, auf der die technischen Spezifikationen ausführlich erläutert werden:

Verknüpfung mit:

War dieser Beitrag hilfreich?
78 von 94 fanden dies hilfreich

Haben Sie weitere Fragen? Anforderung einreichen

Start free trial