SPF-, DKIM- und DMARC-Authentifizierung

Wenn Sie E-Mails senden, müssen Mailbox-Anbieter (z. B. Gmail, Outlook, AOL und Yahoo) erkennen, ob es sich um eine legitime E-Mail handelt, die vom Eigentümer oder der E-Mail-Adresse des Domänennamens gesendet wurde, oder um eine gefälschte E-Mail, die von einem Spammer oder Phisher stammt. Dies gilt auch für E-Mails, die von ActiveCampaign gesendet werden.

Bevor Sie sich mit den Authentifizierungsmethoden befassen, sollten Sie sicherstellen, dass Sie eine gültige (bestehende und etablierte) sendende Domäne verwenden, die Ihnen gehört: Ihre Domne sollte älter als 30 Tage sein und einen gültigen "A-Eintrag" haben.

Es ist auch wichtig, dass diese Domäne einen MX-Eintrag hat: Dieser Eintrag gibt den Mailserver an, der für die Annahme von E-Mail-Nachrichten im Namen eines Domänennamens zuständig ist. 

Ist Ihre Absenderdomäne gültig und mit einem MX-Eintrag versehen? Zeit, sie zu authentifizieren!

Es gibt drei gängige Methoden, um die Identität eines Absenders zu überprüfen. Diese sind SPF, DKIM und DMARC. Wir empfehlen die Einrichtung dieser E-Mail-Authentifizierungsmethoden aus mehreren Gründen. Die häufigsten Gründe sind:  

  • Branding verstärken
    Sie können Ihr Branding verstärken, indem Sie die Kopfzeile "via..." aus Gmail entfernen. Ein positiver Nebeneffekt der DKIM-Authentifizierung ist, dass diese Kopfzeile verschwindet.
    Entfernen_der_
  • Einen Namen als E-Mail-Absender unter Ihrem Domänennamen machen
    Das Versenden von E-Mails ohne Authentifizierung ist wie das Abgeben von Hausaufgaben ohne Namen. Sie haben die Aufgabe vielleicht mit Bravour gemeistert, aber ohne Ihren Namen können Sie keine Anerkennung dafür bekommen. Insbesondere die DKIM-Authentifizierung trägt dazu bei, Ihren Ruf als E-Mail-Absender zu verbessern.
  • Strengere Sicherheitsvorkehrungen für Ihren Domänennamen erzwingen
    Authentifizierungsstandards wie DMARC helfen, Ihren Domänennamen vor potenziell betrügerischer Nutzung zu schützen.

Die E-Mail-Authentifizierung löst nicht alle Zustellbarkeitsprobleme, wie z. B. die Frage, ob der Empfänger die E-Mail erhalten möchte oder nicht. Die Authentifizierung löst jedoch das Problem, den Absender der E-Mail zu ermitteln.

Ein Absender, der sich an bewährte Verfahren hält, z. B. hochwertige, personalisierte E-Mails an eine Opt-in-Liste versendet und die Listen regelmäßig pflegt, wird in der Regel eine höhere Zustellbarkeit erzielen, wenn er die E-Mail-Authentifizierung einsetzt. Ihre Domäne wird sich bei den Empfängern, die sich mit ihren E-Mails auseinandersetzen möchten, einen Ruf als guter Absender aufbauen.

Ein Absender, der sich nicht an Best Practices hält, z. B. eine gemietete oder gekaufte Liste verwendet, während des Opt-in-Prozesses keine klaren Mitteilungen darüber macht, welche Art von E-Mails in welcher Häufigkeit versendet werden, oder der seine Listen nicht pflegt, wird in der Regel eine geringere Zustellbarkeit mit E-Mail-Authentifizierung feststellen. Ihre Domäne kann möglicherweise einen Ruf als Absender unerwünschter E-Mails aufbauen.

Die Authentifizierung ermöglicht es guten Absendern, ihren Ruf weiter zu festigen und ihre Domäne vor schlechten Absendern zu schützen, die versuchen könnten, ihre Domäne an sich zu reißen.

​​Wie unten erläutert, authentifiziert ActiveCampaign bereits seinen gesamten Datenverkehr mit SPF und DKIM. Es ist jedoch immer noch möglich, Ihre sendende Domäne mit diesen Standards zu authentifizieren.

Bitte beachten Sie, dass Sie zwar nicht dazu verpflichtet sind, wir Ihnen aber dringend empfehlen, eine Authentifizierung auf Ihrer Absenderdomäne einzurichten.

SPF

SPF-Einträge (Sender Policy Framework) sind TXT-Einträge in Ihrer Domäne, die bestimmten Servern erlauben, E-Mails unter Ihrem Domänennamen zu versenden. ActiveCampaign konfiguriert SPF automatisch für alle Kunden. Das bedeutet, dass Sie für Ihre Arbeit mit ActiveCampaign keinen SPF-Eintrag erstellen oder einen bestehenden ändern müssen. Dies gilt auch, wenn Sie eine benutzerdefinierte Domäne verwenden.

Wenn Sie ActiveCampaign dennoch zu Ihrem bestehenden SPF-Eintrag hinzufügen möchten (auch wenn dies nicht notwendig ist), können Sie "include:emsd1.com" zu Ihrem aktuellen SPF-Eintrag hinzufügen. Wenn Sie beispielsweise E-Mails sowohl von G Suite als auch von ActiveCampaign aus versenden, könnte Ihr SPF-Eintrag wie folgt aussehen:

v=spf1 include:emsd1.com include:_spf.google.com ~all


Sie können nur einen SPF-Eintrag für Ihren Domänennamen erstellen. Wenn Sie einen bestehenden SPF-Eintrag haben, müssen Sie Ihren aktuellen Eintrag ändern, anstatt einen neuen SPF-Eintrag zu erstellen.

Weitere Informationen finden Sie in diesem ausführlichen SPF-Leitfaden unseres Postmark-Teams.

DKIM

DKIM (Domain Keys Identified Mail) ist eine Signatur, die jeder Absender auf seine E-Mail-Nachrichten anwenden kann. Diese Signatur macht deutlich, dass der vermeintliche Absender der Nachricht auch tatsächlich der Absender der Nachricht ist. Sie können eine beliebige Domäne als Signatur verwenden. Ein Unternehmen mit dem Namen "Dog Bandanas" beispielsweise signiert seine Nachrichten mit der Domain "dogbandanas.com", um zu bestätigen, dass die Nachricht von "Dog Bandanas" gesendet wurde.

Dazu wird (von ActiveCampaign) eine versteckte kryptografische Signatur in die Kopfzeile Ihrer E-Mail eingefügt und anschließend ein öffentlicher Schlüssel auf Ihrer Website platziert, der die Authentizität dieser Signatur bestätigt.

Alle von ActiveCampaign versendeten E-Mails verwenden standardmäßig die DKIM-Signatur von ActiveCampaign. Die DKIM-Signatur von ActiveCampaign genießt einen ausgezeichneten Ruf und ist für die meisten Absender ausreichend. Das Einrichten von DKIM für Ihre Domäne ist bei Bedarf jedoch einfach.

So richten Sie DKIM ein:

  1. Melden Sie sich bei Ihrem ActiveCampaign-Konto als Admin-Benutzer Ihres Kontos an.
  2. Klicken Sie im linken Menü auf "Einstellungen".
  3. Klicken Sie auf die Registerkarte "Erweitert".
  4. Wählen Sie die Option "Ich werde meine eigene E-Mail-Authentifizierung verwalten".
  5. Geben Sie Ihre Absenderdomäne in das Feld "DomainKeys Identified Mail (DKIM)" ein und klicken Sie auf die Schaltfläche "Generieren".
    DKIM_setup_example_image.png

Wir werden einen TXT-Datensatznamen und einen TXT-Datensatzwert generieren.

 Die hier generierten Werte werden nicht auf der Seite gespeichert. Sie müssen diese Werte verwenden, um einen TXT-Eintrag bei Ihrem DNS-Host zu konfigurieren.

Ihr DNS-Host ist normalerweise das Unternehmen, bei dem Sie Ihre Domäne registriert haben oder das Ihre Website hostet. Die meisten DNS-Hosts benötigen die folgenden Angaben, um Ihren TXT-Eintrag einzurichten:

  • Typ
    Wählen Sie TXT.
  • Name oder Host
    Geben Sie dk._domainkey (am häufigsten verwendet) oder den vollständigen TXT-Eintragsnamen ein, der in ActiveCampaign angezeigt wird (weniger häufig verwendet). Welche Sie verwenden sollten, hängt davon ab, ob Ihr DNS-Anbieter den Domänennamen automatisch an die von Ihnen erstellten DNS-Einträge anhängt. Wenn Sie sich nicht sicher sind, welchen Sie verwenden sollen, sehen Sie sich das Format der anderen DNS-Einträge in Ihren Einstellungen an (enthalten sie den Domänennamen im Feld für Name oder Host?) oder fragen Sie Ihren DNS-Host.
  • Wert oder Datensatz
    Geben Sie den in ActiveCampaign angezeigten TXT-Datensatzwert ein.
  • TTL
    TTL steht für "Time Till Live". Verwenden Sie die empfohlene oder die Standardeinstellung Ihres DNS-Hosts. Wenn es keine Standardeinstellung gibt, empfehlen wir 3600 (eine Stunde).

Um spezifische Anweisungen für Ihren Host zu finden, verwenden Sie Ihre bevorzugte Suchmaschine und suchen Sie nach "TXT-Eintrag bei _____ hinzufügen", wobei Sie die Leerstellen durch Ihren DNS-Anbieter ersetzen. Der Einfachheit halber haben wir im Folgenden einige gängige DNS-Anbieter aufgeführt:

Danach können Sie unser Authentifizierungstool verwenden oder eine Live-E-Mail mit mail-tester.com testen, um sicherzustellen, dass DKIM funktioniert.

Ein Video ansehen

Hier finden Sie ein kurzes Video, das die Einrichtung von DKIM erläutert:

DMARC

DMARC (Domain-based Message Authentication, Reporting & Conformance) ist ein Standard, der auf SPF und DKIM aufbaut. Er ermöglicht es dem Domänenbesitzer, eine Richtlinie zu erstellen, die Mailbox-Anbietern (wie Google oder Microsoft) mitteilt, was zu tun ist, wenn die E-Mail SPF- und DKIM-Prüfungen nicht besteht. 

DMARC unterstützt drei wichtige Richtlinienkonfigurationen:

  • "Keine"
    Gibt an, dass E-Mails normal behandelt werden sollen, wenn DMARC fehlschlägt. Dies ist gleichbedeutend damit, dass Sie keinen DMARC-Eintrag haben, obwohl Sie trotzdem die Vorteile der DMARC-Berichtsfunktionen nutzen können.
  • "Quarantäne"
    Gibt an, dass E-Mails in den Spam-Ordner zugestellt werden sollen, wenn die DMARC-Prüfung fehlschlägt.
  • "Ablehnen"
    Gibt an, dass E-Mails zurückgewiesen (nicht an den Empfänger zugestellt) werden sollen, wenn die DMARC-Prüfung fehlschlägt.

Wenn Sie eine DMARC-Richtlinie mit der Einstellung "Quarantäne" oder "Ablehnen" verwenden, müssen Sie einen ordnungsgemäßen DKIM-Eintrag für Ihre Absenderdomäne einrichten, da sonst alle E-Mails von ActiveCampaign den DMARC-Test nicht bestehen. Dadurch wird sie in den Spam-Ordner gefiltert ("Quarantäne") oder vollständig blockiert ("Ablehnen"). Stellen Sie sicher, dass Sie DKIM für alle Ihre Absenderdomänen einrichten, bevor Sie einen strikten DMARC-Eintrag einrichten.

DMARC ist kein Werkzeug zur Verbesserung der Zustellbarkeit, und Sie sind nicht verpflichtet, DMARC für das Versenden von E-Mails von ActiveCampaign einzurichten. Sie sollten DMARC jedoch in folgenden Fällen verwenden:

  • Jemand fälscht Ihre Domäne, verschickt betrügerische E-Mails und schädigt Ihren Ruf. DMARC würde es Ihnen ermöglichen, diese bösartigen Aktivitäten zu erkennen und zu unterbinden
  • Ihr Unternehmen verfügt über eine E-Mail-Sicherheitsrichtlinie, die eine DMARC-Authentifizierung vorschreibt, z. B. eine Regierungsbehörde oder ein Finanzunternehmen
  • Sie möchten ein BIMI-Logo für Ihre E-Mails anzeigen

Für den Einstieg in DMARC empfehlen wir Ihnen, mit der Richtlinie "Keine" zu beginnen, damit Ihre Zustellbarkeit im Falle einer Fehlkonfiguration nicht beeinträchtigt wird. Sie können dann Ihre DMARC-Berichte überwachen, um zu sehen, wie sich eine strengere Richtlinie auswirken würde.

Nachstehend finden Sie eine empfohlene anfängliche DMARC-Richtlinie. Sie können sie einrichten, indem Sie bei Ihrem DNS-Anbieter einen TXT-Eintrag mit einem Host oder Namen mit _dmarc erstellen und den unten stehenden Wert für den Wert oder Eintrag eingeben. Ersetzen Sie jedoch die unten stehende E-Mail-Adresse durch Ihre eigene E-Mail-Adresse:

v=DMARC1; p=none; pct=100; rua=mailto:ihreemail@beispiel.de


Wenn Sie die E-Mail-Adresse im obigen Beispiel nicht durch Ihre E-Mail-Adresse ersetzen, werden Sie keine DMARC-Berichte erhalten. Je nach dem Volumen der von Ihnen gesendeten E-Mails kann der Posteingang für die angegebene E-Mail-Adresse jedoch überlastet und bis zur Quote gefüllt sein. Da DMARC-Berichte zudem im XML-Format gesendet werden, sind sie schwer zu lesen. Aus diesem Grund empfehlen wir dringend den Einsatz einer DMARC-Überwachungslösung, die so konfiguriert werden kann, dass sie diese E-Mails/Berichte aufnimmt und lesbare und umsetzbare Ergebnisse liefert. Informieren Sie sich über DMARC Digests, das jetzt Teil der ActiveCampaign-Produktfamilie ist.

DMARC_Digests_image.png

Bitte beachten Sie auch, dass die Zeit, die für die Untersuchung und die Ergreifung geeigneter Maßnahmen benötigt wird, von einer kurzen bis zu einer sehr langen Zeitspanne reichen kann, bevor Sie DMARC im Erzwingungsmodus konfigurieren können.

Wenn Sie Ihre Domäne noch besser absichern möchten, können Sie einen strikteren DMARC-Eintrag mit den Richtlinien "Quarantäne" oder "Ablehnen" einrichten. Um einen strikten DMARC-Eintrag einzurichten, sollten Sie unter dmarc.org nach Empfehlungen für die richtige Konfiguration des Eintrags suchen.

Zusätzliche Authentifizierungsmethoden

BIMI

BIMI (Brand Indicators for Message Identification) ist ein neuer Standard, der auf DMARC aufbaut. Er ermöglicht Domänenbesitzern, die DMARC im Erzwingungsmodus implementiert haben, ein Verified Mark Certificate (VMC) zu erwerben, um ein BIMI-Logo für ihre Marke in E-Mail-Nachrichten anzuzeigen. So können die Empfänger vertrauenswürdige Nachrichten leicht visuell erkennen.

Da es sich bei BIMI um einen neuen Standard handelt, wird er von den Domänenbesitzern und Mailbox-Anbietern noch nicht in großem Umfang genutzt, und Sie müssen BIMI nicht einrichten. Wenn Sie jedoch mehr erfahren möchten, können Sie sich auf den folgenden Websites informieren:

Sender ID

Sender ID ist ein Authentifizierungsstandard, der von Microsoft entwickelt wurde und SPF ersetzen soll. Die Sender-ID ist jedoch inzwischen veraltet und wird nicht mehr verwendet; daher brauchen Sie sie nicht zu konfigurieren.

Wenn Sie derzeit Sender-ID-Einträge im DNS festgelegt haben (TXT-Einträge, die mit spf2.0 beginnen), sollten Sie diese entfernen.

SPF (Eintrag, der mit v=spf1 beginnt) ist nach wie vor der von der Branche weithin unterstützte und empfohlene Authentifizierungsstandard.

Weitere Informationen

In diesem Artikel haben wir nicht versucht, den technischen Prozess zur Funktionsweise von SPF, DKIM und DMARC zu erklären. Jedes dieser Authentifizierungsprotokolle verfügt über eine öffentliche Website, auf der die technischen Spezifikationen ausführlich erläutert werden:

War dieser Beitrag hilfreich?
56 von 68 fanden dies hilfreich

Have more questions? Submit a request

Start free trial