SPF-, DKIM- und DMARC-Authentifizierung

Wenn Sie E-Mails versenden, müssen Anbieter von E-Mail-Konten (wie Google Mail, Outlook, AOL und Yahoo) feststellen, ob es sich bei der Nachricht um eine legitime E-Mail handelt, die vom Inhaber des Domainnamens oder der E-Mail-Adresse gesendet wurde, oder um eine gefälschte E-Mail, die von einem Spammer oder Phisher gesendet wurde. Dazu gehören auch von ActiveCampaign gesendete E-Mails.

Es gibt drei gängige Methoden zur Überprüfung der Identität eines Absenders. Diese sind SPF, DKIM und DMARC. Wir empfehlen aus mehreren Gründen die Einrichtung dieser E-Mail-Authentifizierungsmethoden. Die häufigsten Gründe sind:   

  • Entfernen des Headers „via...“ aus Gmail
    Auf diese Weise wird das Branding gestärkt (siehe Abbildung unten). Ein positiver Nebeneffekt der Einrichtung der DKIM-Authentifizierung ist, dass dieser Header verschwindet.
  • Aufbauen eines Rufs als E-Mail-Absender auf Ihrem eigenen Domain-Namen
    Das Versenden von E-Mails ohne Authentifizierung ist wie das Einreichen von Hausaufgaben ohne Ihren Namen darauf. Möglicherweise haben Sie den Auftrag mit Bravour gemeistert, aber ohne Ihren Namen darauf können Sie die Lorbeeren nicht ernten. Insbesondere die DKIM-Authentifizierung trägt dazu bei, Ihren Ruf als E-Mail-Absender aufzubauen.
  • Sicherstellen einer strengeren Sicherheit für Ihren Domainnamen
    Authentifizierungsstandards wie DMARC helfen, Ihren Domainnamen vor betrügerischer Verwendung durch Spammer und Phisher zu schützen, die Ihrem Ruf schaden oder Ihre Kunden betrügen wollen.

E-Mail-Authentifizierung ist kein Königsweg zur Lösung von Zustellbarkeitsproblemen. Die Authentifizierung löst das Problem der Feststellung, von wem die E-Mail kommt, und nicht, ob die E-Mail vom Empfänger gewünscht wird.

Ein Absender, der Best Practices befolgt, wie z. B. das Versenden qualitativ hochwertiger, personalisierter E-Mails an eine Bestätigungsliste und regelmäßige Listenpflege, wird bei der Verwendung der E-Mail-Authentifizierung in der Regel eine höhere Zustellbarkeit feststellen. Ihre Domain wird bei Empfängern, die sich mit ihren E-Mails beschäftigen wollen, einen guten Ruf als guter Absender aufbauen.

Ein Absender, der sich nicht an Best Practices hält, z. B. eine gemietete oder gekaufte Liste verwendet, während des Bestätigungsprozesses keine klare Mitteilung darüber gibt, welche Art von E-Mails mit welcher Häufigkeit gesendet werden, oder der nie Listenpflege betreibt, wird in der Regel eine geringere Zustellbarkeit bei der E-Mail-Authentifizierung feststellen. Ihre Domain kann einen Ruf als Absender unerwünschter E-Mails aufbauen.

Die Authentifizierung ermöglicht es guten Absendern, ihren Ruf weiter zu festigen und ihre Domain vor schlechten Absendern zu schützen, die versuchen könnten, ihre Domain zu kapern.

Wir ermutigen Sie daher, eine Authentifizierung einzurichten, Sie sind jedoch nicht dazu verpflichtet. 

SPF

SPF-Datensätze (Sender Policy Framework) sind TXT-Datensätze in Ihrer Domain, die bestimmte Server autorisieren, E-Mails unter Verwendung Ihres Domain-Namens zu versenden. ActiveCampaign konfiguriert das SPF automatisch für alle Kunden. Das bedeutet, dass Sie keinen SPF-Eintrag erstellen oder einen vorhandenen ändern müssen, um mit ActiveCampaign arbeiten zu können. Dies gilt auch dann, wenn Sie eine benutzerdefinierte Domain verwenden.

Wenn Sie ActiveCampaign dennoch zu Ihrem bestehenden SPF-Eintrag hinzufügen möchten (auch wenn dies nicht notwendig ist), können Sie dies tun, indem Sie „include:emsd1.com“ zu Ihrem bestehenden SPF-Datensatz hinzufügen oder einen neuen erstellen. Wenn Sie beispielsweise sowohl von G Suite als auch von ActiveCampaign aus E-Mails versenden, könnte Ihr SPF-Eintrag wie folgt aussehen:

v=spf1 include:emsd1.com include:_spf.google.com ~all

Sie können nur einen SPF-Eintrag für Ihren Domain-Namen erstellen. Wenn Sie über einen vorhandenen SPF-Eintrag verfügen, müssen Sie Ihren vorhandenen Eintrag ändern, anstatt einen neuen SPF-Eintrag zu erstellen.

DKIM

DKIM (Domain Keys Identified Mail) ist im Wesentlichen eine Signatur, die jeder Absender auf seine E-Mail-Nachrichten anwenden kann. Diese Signatur macht deutlich, dass der ausgewiesene Absender der Nachricht tatsächlich der Absender der Nachricht ist. Als Signatur kann jede beliebige Domain verwendet werden. Beispielsweise signiert ein Unternehmen namens „Dog Bandanas“ ihre Nachrichten mit der Domain dogbandanas.com , um zu bestätigen, dass die Nachricht tatsächlich von „Dog Bandanas“ gesendet wurde.

Dies wird erreicht, indem Sie eine versteckte, kryptographische Signatur in Ihren E-Mail-Header einfügen (ActiveCampaign wird dies tun) und dann einen öffentlichen Schlüssel auf Ihrer Website platzieren, der die Authentizität dieser Signatur verifiziert.

Alle von ActiveCampaign gesendeten E-Mails verwenden standardmäßig die DKIM-Signatur von ActiveCampaign. Die DKIM-Signatur von ActiveCampaign genießt einen sehr guten Ruf und ist für die meisten Absender ausreichend. Es ist jedoch einfach, DKIM für Ihre eigene Domain einzurichten, wenn Sie dies wünschen.

So richten Sie DKIM ein:

1. Klicken Sie auf „Einstellungen.“

2. Klicken Sie auf „Erweitert“.

3. Klicken Sie auf die Option „Ich verwalte meine eigene E-Mail-Authentifizierung“.

sarahnicholaev

4. Geben Sie Ihre Sende-Domain in das Feld DomainKeys Identified Mail (DKIM) ein und klicken Sie auf die Schaltfläche „Generieren“.

sarahnicholaev

Wir generieren einen TXT-Eintragsnamen und einen TXT-Eintragswert.

sarahnicholaev

Beachten Sie, dass die hier generierten Werte nicht auf der Seite gespeichert werden. Sie müssen diese Werte verwenden, um einen TXT-Eintrag bei Ihrem DNS-Host zu konfigurieren.

Ihr DNS-Host ist in der Regel das Unternehmen, bei dem Sie Ihre Domain registriert haben oder über das Sie Ihre Website hosten. Die meisten DNS-Hosts benötigen die folgenden Elemente, um Ihren TXT-Eintrag einzurichten:

  • Wählen
    Sie den Typ TXT.
  • Name oder Host
    Geben Sie dk._domainkey (am häufigsten) oder den vollständigen TXT-Eintragsnamen ein, der in ActiveCampaign angezeigt wird (weniger häufig). Welche Sie verwenden sollten, hängt davon ab, ob Ihr DNS-Provider den Domain-Namen automatisch an die von Ihnen erstellten DNS-Einträge anhängt. Wenn Sie nicht sicher sind, welche Sie verwenden sollen, schauen Sie sich das Format anderer DNS-Einträge in Ihren Einstellungen an (enthalten sie den Domain-Namen im Feld Name oder Host?) oder fragen Sie Ihren DNS-Host.
  • Wert oder Datensatz
    Geben Sie den in ActiveCampaign angezeigten TXT-Eintragswert ein.
  • TTL 
    Dies steht für „Time Till Live“. Verwenden Sie die empfohlene oder Standardeinstellung Ihres DNS-Hosts. Wenn es keine Standardeinstellung gibt, empfehlen wir 3600 (eine Stunde).

Um spezifische Anweisungen für Ihren Host zu finden, verwenden Sie Ihre bevorzugte Suchmaschine, um „TXT-Eintrag hinzufügen bei _____“ nachzuschlagen, wobei die Leerzeile durch Ihren DNS-Provider ersetzt wird. Der Einfachheit halber haben wir unten einige gängige DNS-Provider aufgeführt:

Sobald Sie fertig sind, können Sie unser Authentifizierungstool verwenden oder eine Live-E-Mail mit mail-tester.com testen, um sicherzustellen, dass DKIM funktioniert.

Hier ist eine Video-Kurzanleitung für die Einrichtung von DKIM:

DMARC

DMARC (Domain-based Message Authentication, Reporting und Conformance) ist ein Standard, der auf SPF und DKIM basiert. Sie ermöglicht es dem Domain-Inhaber, eine Richtlinie zu erstellen, die Anbieter von E-Mail-Konten (wie Google oder Microsoft) darüber informiert, was zu tun ist, wenn die SPF- und DKIM-Überprüfung von E-Mails fehlschlägt.  

DMARC unterstützt drei Hauptkonfigurationen der Richtlinie:

  • „Kein“
    gibt an, dass E-Mails normal behandelt werden sollten, wenn DMARC fehlschlägt. Es ist gleichbedeutend damit, überhaupt keinen DMARC-Eintrag zu haben, obwohl Sie dennoch die Vorteile der DMARC-Berichtsfunktionen nutzen können.
  • „Quarantäne“
    gibt an, dass E-Mails in den Spam-Ordner zugestellt werden sollen, wenn die DMARC-Prüfung fehlschlägt.
  • „Zurückweisen“
    gibt an, dass E-Mails zurückgewiesen (nicht an den Empfänger zugestellt) werden sollen, wenn die DMARC-Prüfung fehlschlägt.

Die Verwendung einer DMARC-Richtlinie von „Quarantäne“ oder „Zurückweisen“ setzt voraus, dass Sie einen ordnungsgemäßen DKIM-Eintrag für Ihre Sende-Domain eingerichtet haben, andernfalls werden alle Ihre E-Mails von ActiveCampaign den DMARC-Test nicht bestehen. Dadurch wird er in den Spam-Ordner gefiltert („Quarantäne“) oder vollständig blockiert („Zurückweisen“). Stellen Sie sicher, dass Sie DKIM für alle Ihre sendenden Domains eingerichtet haben, bevor Sie einen strengen DMARC-Eintrag einrichten.

DMARC ist kein Werkzeug zur Verbesserung der Zustellbarkeit, und Sie sind nicht verpflichtet, DMARC für den Versand von E-Mails von ActiveCampaign einzurichten. Sie sollten jedoch DMARC verwenden, wenn:

  • Jemand aktiv Spoofing in Ihrer Domain betreibt, betrügerische Post versendet und Ihrem Ruf schadet. DMARC würde Ihnen erlauben, diese bösartige Aktivität zu identifizieren und abzuschalten
  • Ihre Organisation verfügt über eine E-Mail-Sicherheitsrichtlinie, die eine DMARC-Authentifizierung erfordert, z. B. eine Regierungsstelle oder eine Finanzorganisation.
  • Sie möchten ein BIMI-Logo für Ihre E-Mails anzeigen

Um mit DMARC zu beginnen, empfehlen wir Ihnen, mit einer Richtlinie von „Keine“ zu beginnen, damit Sie im Falle einer Fehlkonfiguration keinen Einfluss auf Ihre Zustellbarkeit haben. Sie können dann Ihre DMARC-Berichte überwachen, um zu sehen, welche Auswirkungen es hätte, wenn Sie eine strengere Richtlinie anwenden würden.

Nachstehend finden Sie eine empfohlene anfängliche DMARC-Richtlinie. Sie können diese einrichten, indem Sie bei Ihrem DNS-Provider einen TXT-Eintrag mit einem Host oder Namen von _dmarc erstellen und den nachstehenden Wert für den Wert oder Eintrag eingeben. Stellen Sie sicher, dass Sie die nachstehende E-Mail-Adresse durch Ihre eigene E-Mail-Adresse ersetzen:

v=DMARC1; p=none; pct=100; rua=mailto:youremail@example.com

Wenn Sie die E-Mail-Adresse im obigen Beispiel nicht durch Ihre eigene E-Mail-Adresse ersetzen, erhalten Sie keine DMARC-Berichte.

Wenn Sie eine stärkere Sicherheit in Ihrer Domain implementieren möchten, können Sie einen strengeren DMARC-Eintrag einrichten, indem Sie die Richtlinie „Quarantäne“ oder „Zurückweisen“ verwenden. Um einen strikten DMARC-Eintrag einzurichten, empfehlen wir Ihnen, dmarc.org zu besuchen, um Empfehlungen für die richtige Konfiguration des Eintrags zu erhalten.

Zusätzliche Authentifizierungsmethoden

BIMI

BIMI (Brand Indicators for Message Identification) ist ein neuer, experimenteller Standard, der auf DMARC aufbaut. Sie ermöglicht Domain-Inhabern, die DMARC implementiert haben, ein Verified Mark Certificate (VMC) zu erwerben, um ein BIMI-Logo für ihre Marke in E-Mail-Nachrichten anzuzeigen. Dies gibt den Empfängern eine einfache Möglichkeit, vertrauenswürdige Nachrichten visuell zu identifizieren.

Da es sich bei BIMI um einen sehr neuen Standard handelt, wird er von den Domain-Inhabern oder Anbietern von E-Mail-Konten noch nicht weit verbreitet angenommen, und Sie brauchen BIMI nicht einzurichten. Wenn Sie jedoch daran interessiert sind, mehr zu erfahren, können Sie sich die folgenden Seiten ansehen:

SenderID

SenderID ist ein Authentifizierungsstandard, der von Microsoft geschaffen wurde und als Ersatz für SPF vorgesehen ist. SenderID ist jedoch inzwischen veraltet und wird von der überwiegenden Mehrheit der E-Mail-Dienste nicht mehr verwendet, weshalb Sie diesen Standard nicht konfigurieren müssen.

Wenn Sie E-Mails an ältere E-Mail-Systeme versenden, die sich auf SenderID verlassen, empfehlen wir, eine leere SenderID zu konfigurieren, um potenzielle Konflikte mit SPF zu vermeiden:

spf2.0/pra

Zusätzliche Lektüre

In diesem Artikel haben wir nicht versucht, den technischen Ablauf der Funktionsweise von SPF, DKIM und DMARC zu erklären. Jedes dieser Authentifizierungsprotokolle verfügt über eine öffentliche Website, auf der die technische Spezifikation ausführlich erläutert wird:

Haben Sie Fragen? Anfrage einreichen