Zusammenfassung
- Warum sollten Sie Ihre Domain authentifizieren?
- Was ist die SPF-Authentifizierung?
- Was ist DKIM?
- Überprüfung von SPF- und DKIM-Einträgen
- SPF- und DKIM-Authentifizierung über verschiedene Anbieter hinweg
- Bewährte Praktiken für SPF und DKIM
- Fehlersuche bei allgemeinen Problemen
- Zusätzliche Sicherheitsmaßnahmen
- Fazit
Die E-Mail-Authentifizierung ist ein wesentlicher Bestandteil der Aufrechterhaltung eines sicheren und vertrauenswürdigen E-Mail-Kommunikationskanals. SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail) sind zwei wichtige Protokolle, die dazu beitragen, die Legitimität Ihrer E-Mails zu überprüfen, Spoofing zu verhindern und die Zustellbarkeit zu erhöhen. In diesem Leitfaden erfahren Sie alles, was Sie über die Authentifizierung Ihrer Domains mit SPF und DKIM mit Mailjet wissen müssen.
Warum sollten Sie Ihre Domain authentifizieren?
Die E-Mail-Authentifizierung dient zwei wichtigen Zwecken:
- Schützen Sie Ihr Unternehmen: Durch die Überprüfung, dass Ihre E-Mails von autorisierten Servern stammen, verhindern SPF und DKIM, dass sich unautorisierte Absender als Ihre Domain ausgeben. Dies trägt dazu bei, Ihre Marke vor Phishing-Angriffen und Domain-Spoofing zu schützen, da unrechtmäßige E-Mails leichter zu erkennen sind.
- Verbessern Sie die Zustellbarkeit von E-Mails: Internet Service Provider (ISPs) verwenden SPF und DKIM, um eingehende E-Mails zu verifizieren. Durch die Umsetzung dieser Protokolle ist es wahrscheinlicher, dass Ihre E-Mails den Posteingang des Empfängers erreichen und nicht als Spam markiert werden.
Was ist die SPF-Authentifizierung?
SPF ist ein E-Mail-Authentifizierungsprotokoll, mit dem Domainnbesitzer festlegen können, welche Mailserver E-Mails im Namen ihrer Domain versenden dürfen. Dazu wird in den DNS-Einstellungen der Domain ein SPF-Eintrag veröffentlicht, eine bestimmte Art von DNS-TXT-Eintrag.
Wie SPF funktioniert
Wenn eine E-Mail gesendet wird, überprüft der empfangende Server den SPF-Eintrag, um sicherzustellen, dass die E-Mail von einer autorisierten IP-Adresse oder einem autorisierten Hostnamen gesendet wurde. Wenn der sendende Server mit einer im SPF-Eintrag aufgeführten IP-Adresse oder einem Hostnamen übereinstimmt, wird die E-Mail als authentisch angesehen.
Einrichten von SPF mit Mailjet
Gehen Sie folgendermaßen vor, um SPF für Ihre Domain mit Mailjet einzurichten:
- Melden Sie sich bei den DNS-Einstellungen Ihres Domainanbieters an.
-
Fügen Sie einen neuen TXT-Datensatz mit dem folgenden Wert hinzu:
-
Name/Host: Verwenden Sie
@
oder lassen Sie es leer, um sich auf die Stammdomain zu beziehen. -
Wert:
v=spf1 include:spf.mailjet.com ~all
-
Name/Host: Verwenden Sie
Die Direktive include:spf.mailjet.com
teilt den Empfängerservern mit, dass die Server von Mailjet berechtigt sind, E-Mails im Namen Ihrer Domain zu versenden. Das ~all
am Ende bedeutet, dass jeder Server, der nicht im SPF-Eintrag aufgeführt ist, als verdächtig betrachtet werden sollte.
Wenn Sie mehrere SPF-Einträge für eine Domain benötigen, müssen Sie diese in einem einzigen Eintrag zusammenfassen, um ein ordnungsgemäßes Funktionieren zu gewährleisten. Hier ein Beispiel dafür, wie das geht:
Original SPF-Aufzeichnungen:
v=spf1 include:spf.example1.com ~all
v=spf1 include:spf.mailjet.com ~all
Sie sollten einen einzigen TXT-Eintrag für diese Domain behalten und die anderen Einträge löschen. Der konsolidierte TXT-Datensatz sollte folgendermaßen aussehen:
Nach der Verschmelzung:
v=spf1 include:spf.example1.com include:spf.mailjet.com ~all
Was ist DKIM?
DKIM ist eine E-Mail-Authentifizierungstechnik, bei der Ihre E-Mail-Nachrichten mit einer digitalen Signatur versehen werden. Mit dieser Signatur kann der empfangende E-Mail-Server überprüfen, dass der Inhalt der E-Mail nicht verändert wurde und dass sie von einer autorisierten Domain gesendet wurde.
Wie DKIM funktioniert
DKIM arbeitet mit einer Verschlüsselung mit öffentlichem und privatem Schlüssel. Wenn Sie eine E-Mail senden, signiert Mailjet sie mit einem privaten Schlüssel, und der Server des Empfängers verifiziert sie mit dem entsprechenden öffentlichen Schlüssel, der in den DNS-Einträgen Ihrer Domain veröffentlicht wird. Wenn die Signaturen übereinstimmen, wird bestätigt, dass die E-Mail legitim ist und während der Übertragung nicht manipuliert wurde.
Einrichten von DKIM mit Mailjet
So richten Sie DKIM für Ihre Domain mit Mailjet ein:
- Melden Sie sich bei den DNS-Einstellungen Ihres Domainanbieters an.
-
Fügen Sie einen neuen TXT-Datensatz mit dem folgenden Wert hinzu:
-
Name/Host:
mailjet._domainkey.ihredomain.com.
(ersetzen Sieyourdomain.com
durch Ihren tatsächlichen Domainnnamen). -
Wert/Ziel:
k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNAD....
(Geben Sie den von Mailjet bereitgestellten DKIM-Schlüssel ein. Diesen Schlüssel finden Sie in Ihrem Mailjet-Konto unter dem Abschnitt SPF/DKIM-Authentifizierung).
-
Name/Host:
Diese Konfiguration stellt sicher, dass alle ausgehenden E-Mails mit dem DKIM-Schlüssel von Mailjet signiert werden, was den empfangenden Servern zusätzliche Sicherheit hinsichtlich der Legitimität Ihrer E-Mails bietet.
Beachten Sie, dass bei einigen Domain-Anbietern der gesamte TXT-Wert in Anführungszeichen gesetzt werden muss. Wenn Sie sich nicht sicher sind, wenden Sie sich am besten an das Support-Team Ihres Anbieters, um sich beraten zu lassen.
Darüber hinaus fügen einige Anbieter den Domainnnamen automatisch an das Ende des Textwerts im Host-Feld an. Denken Sie daran, den Text im Host-Feld nach dem Speichern des Datensatzes noch einmal zu überprüfen.
Überlegungen zur DKIM-Bitrate
Die Bitrate eines DKIM-Schlüssels (DomainKeys Identified Mail) bezieht sich auf die Stärke der für die E-Mail-Authentifizierung verwendeten Verschlüsselung. Normalerweise werden DKIM-Schlüssel mit unterschiedlichen Bitraten generiert, z. B:
- 1024-Bit: Dies ist die gängigste Bitrate für DKIM-Schlüssel und gilt für die meisten Zwecke als sicher. Es bietet ein gutes Gleichgewicht zwischen Sicherheit und Leistung und wird von vielen E-Mail-Anbietern akzeptiert.
- 2048-Bit: Diese Bitrate bietet im Vergleich zu 1024-Bit-Schlüsseln eine stärkere Verschlüsselung und mehr Sicherheit. Viele Unternehmen verwenden jetzt 2048-Bit-Schlüssel, um ihre E-Mail-Sicherheit gegen mögliche kryptografische Fortschritte abzusichern.
- 4096-Bit: Dies ist eine noch höhere Bitrate, die jedoch aufgrund der möglichen Auswirkungen auf die Leistung und die DNS-Größenbeschränkungen weniger verbreitet ist. Die meisten Domainnanbieter können mit 1024-Bit- und 2048-Bit-DKIM-Schlüsseln umgehen, aber 4096-Bit-Schlüssel erfordern besondere Überlegungen und könnten für die meisten Anwendungsfälle zu viel sein.
Empfehlung: Es wird allgemein empfohlen, einen 2048-Bit-DKIM-Schlüssel zu verwenden, um die Sicherheit zu erhöhen, insbesondere angesichts der zunehmenden Raffinesse von Cyber-Bedrohungen. Stellen Sie sicher, dass Ihr Domainnanbieter 2048-Bit-Schlüssel unterstützt, und aktualisieren Sie Ihren DKIM-Schlüssel regelmäßig, um die Sicherheit zu gewährleisten.
Bestehende authentifizierte Domains sind davon jedoch nicht automatisch betroffen. Benutzer, die auf 2048/4096-Bit-Schlüssel umstellen möchten, müssen ihre DKIM-Einträge neu generieren und die DNS-Einstellungen ihrer Domainn entsprechend aktualisieren. Dadurch wird sichergestellt, dass ihr E-Mail-Verkehr für E-Mail-Anbieter und Kunden vertrauenswürdig bleibt.
Aktualisierung der DKIM-Bitrate
- Navigieren zu Konto > Domains & Absenderadressen > SPF/DKIM-Authentifizierung > Einrichtung der SPF/DKIM-Authentifizierung.
- Klicken Sie unter dem Abschnitt DKIM auf Schlüssel neu generieren und wählen Sie die gewünschte Schlüsselgröße.
- Bestätigen Sie die Änderung und klicken Sie erneut auf Schlüssel neu generieren, um fortzufahren.
Überprüfung von SPF- und DKIM-Einträgen
Nachdem Sie SPF- und DKIM-Einträge hinzugefügt haben, müssen Sie überprüfen, ob diese korrekt konfiguriert sind. Sie können dies über Ihr Mailjet-Konto tun:
- Melden Sie sich bei Mailjet an und navigieren Sie zu Kontoeinstellungen > Domains & DNS.
- Wählen Sie Ihre Domain aus, und Sie werden sehen, ob die SPF- und DKIM-Einträge korrekt konfiguriert sind.
Wenn Ihre Domain ordnungsgemäß authentifiziert ist, sehen Sie ein grünes Häkchen neben SPF und DKIM.
SPF- und DKIM-Authentifizierung über verschiedene Anbieter hinweg
Gandi
Schritt 1: Anmeldung bei Gandi.net
- Öffnen Sie eine neue Registerkarte in Ihrem Webbrowser und melden Sie sich bei Ihrem Gandi-Konto an.
- Wählen Sie auf der linken Seite Domains.
- Wählen Sie die Domain aus, die Sie für den Versand mit Mailjet authentifizieren möchten.
- Gehen Sie auf die Registerkarte DNS-Einträge.
Schritt 2: Validieren Sie Ihre Domain in Maljet
- Rufen Sie in Ihrem Mailjet-Konto die Seite Domains und Absender auf (zu finden in den Kontoeinstellungen).
- Unter Domains und Absenderadressen sehen Sie eine Liste aller Ihrer Sende-Domains sowie deren Status. Wenn Sie eine neue Absender-E-Mail-Adresse oder -Domäne hinzufügen, wird diese automatisch auf der Seite Authentifizierung der Absenderdomäne angezeigt.
- Um eine bestimmte Domain zu validieren, klicken Sie einfach auf das Zahnrad neben der Domain und wählen Sie "Validieren".
- Lassen Sie das Fenster geöffnet, da Sie diese Informationen in Ihre DNS-Einträge kopieren müssen.
- Gehen Sie zurück zu Ihrem Gandi-Konto und wählen Sie Datensatz hinzufügen.
- Wählen Sie in der Dropdown-Liste Typ die Option TXT.
- Kopieren Sie in Mailjet den Wert (wir verwenden im Beispiel die zweite Option) aus dem Feld Host und fügen Sie ihn in das Feld Name in Gandi ein.
- Kopieren Sie den Wert aus dem Wertfeld von Mailjet und fügen Sie ihn in das Feld Textwert in Gandi ein.
- Klicken Sie auf Erstellen, um den Datensatz hinzuzufügen.
- Zurück in Mailjet klicken Sie auf Meine Domain validieren.
Schritt 3: Authentifizieren Sie Ihre Domain mit SPF- und DKIM-Einträgen
Sie müssen sowohl SPF- als auch DKIM-Einträge hinzufügen, um Ihre Domain zu authentifizieren:
Einen SPF-Eintrag erstellen
- Klicken Sie in Gandi auf Datensatz hinzufügen und wählen Sie TXT als Datensatztyp.
- Geben Sie in das Feld Name @ ein (oder den Namen der Subdomain, wenn Sie eine Subdomain authentifizieren).
- Kopieren Sie den SPF-Wert aus Mailjet und fügen Sie ihn in das Feld Wert im TXT-Eintrag ein.
- Klicken Sie auf Erstellen, um den SPF-Eintrag hinzuzufügen.
Einen DKIM-Eintrag erstellen
- Klicken Sie in Gandi auf Datensatz hinzufügen und wählen Sie TXT als Datensatztyp.
- Kopieren Sie den Wert des Feldes Name aus Mailjet und fügen Sie ihn in das Feld Name in Gandi ein.
- Kopieren Sie das Feld Wert aus Mailjet und fügen Sie es in das Feld Textwert in Gandi ein.
- Klicken Sie auf Erstellen, um den DKIM-Eintrag hinzuzufügen.
Schritt 4: Aktualisieren und Überprüfen von DNS-Einträgen
Nachdem Sie beide Einträge hinzugefügt haben, aktualisieren Sie Ihre DNS-Einstellungen, um Ihre Domain zu validieren:
Wenn beide Datensätze korrekt eingerichtet sind, erhalten Sie grüne Statusmeldungen für jeden Datensatz. Sobald Sie diese grünen Banner sehen, ist Ihre Domain bereit zum Senden!
Bewährte Praktiken für SPF und DKIM
-
Verwenden Sie SoftFail (
~all
), HardFail (-all
), oder Neutral (?all
): Ein~all-Mechanismus
bedeutet, dass nicht zugelassene Server als verdächtig markiert, aber dennoch akzeptiert werden, während-all
nicht zugelassene E-Mails rundweg ablehnt. Der?all-Mechanismus
legt fest, dass nicht aufgeführte Server neutral behandelt werden sollen, d. h. es wird keine positive oder negative Vorspannung angewendet. Wählen Sie je nach Ihrer Risikotoleranz und dem Grad der Strenge, den Sie durchsetzen wollen. -
Kombination mit DMARC: Das Hinzufügen eines DMARC-Eintrags (Domain-based Message Authentication, Reporting & Conformance) in Verbindung mit SPF und DKIM schützt Ihre Domain zusätzlich vor Spoofing und Phishing. DMARC hilft Ihnen bei der Festlegung von Richtlinien für den Umgang mit E-Mails, die SPF- oder DKIM-Prüfungen nicht bestehen, und bietet so eine zusätzliche Schutzebene.
Erfahren Sie mehr über DMARC in unserem ausführlichen Leitfaden: DMARC verstehen.
- Überwachen Sie regelmäßig Berichte: Nutzen Sie DMARC-Berichte, um Einblicke in alle fehlgeschlagenen SPF- oder DKIM-Prüfungen zu erhalten und die unberechtigte Nutzung Ihrer Domain zu verstehen. Die Analyse dieser Berichte wird Ihnen helfen, potenziellen Missbrauch zu erkennen und entsprechende Maßnahmen zu ergreifen.
- Stellen Sie konsistente DNS-Einträge sicher: Stellen Sie sicher, dass alle für den E-Mail-Versand verwendeten Domainn über konsistente SPF-, DKIM- und DMARC-Einträge verfügen. Inkonsistente Einträge können zu niedrigeren Zustellbarkeitsraten führen und sogar dazu, dass E-Mails als Spam gekennzeichnet werden.
Fehlersuche bei allgemeinen Problemen
- Ausbreitungszeit: Die Verbreitung von DNS-Änderungen kann zwischen einigen Minuten und 48 Stunden dauern. Überprüfen Sie Ihre SPF- und DKIM-Einstellungen, nachdem genügend Zeit vergangen ist.
-
SPF-Fehlerbehebung: Das Erkennen und Beheben von Fehlkonfigurationen oder Fehlern in SPF-Einträgen ist entscheidend für die Vermeidung von Zustellungsproblemen. Der folgende Leitfaden unterstützt Sie bei der Behebung häufiger SPF-Konfigurationsprobleme.
- Der SPF-Eintrag ist ein TXT-Eintrag: Nicht zu verwechseln mit dem SPF-Typ. Obwohl der SPF-Typ verwendet werden könnte, wird er in der Industrie nicht empfohlen.
-
Mehrere SPF-Einträge: Sie können nur einen SPF-Eintrag für eine Domain haben. Wenn Ihre Domain bereits einen SPF-Eintrag hat, ändern Sie ihn so, dass er Mailjet einschließt
(include:spf.mailjet.com
) anstatt einen separaten Datensatz hinzuzufügen. -
SPF-Eintrag zu lang (maximal 10 SPF-Einträge): Manchmal können SPF-Einträge zu lang werden, wenn Sie viele E-Mail-Dienste haben. Um dieses Problem zu lösen, müssen Sie möglicherweise die Einträge konsolidieren oder Subdomänen für verschiedene Dienste verwenden.
Die Grenze von 10 SPF-Lookups stellt eine Herausforderung dar, wenn DNS-Anfragen diesen Schwellenwert erreichen, was zu dauerhaften SPF-Fehlern wiezu vielen DNS-Lookups
oderPermerror
führt. Es ist wichtig zu beachten, dass die DNS-Abfrage für den SPF-Richtliniendatensatz nicht zu dieser Beschränkung beiträgt. Validierer auf der Empfängerseite bewerten die SPF-Richtlinie nacheinander und der Bewertungsprozess wird angehalten, wenn eine Übereinstimmung mit der IP-Adresse des Absenders festgestellt wird. Je nach Absender erreicht ein Validator möglicherweise nicht das Limit von 10 SPF-Lookups, selbst wenn die Richtlinie für eine gründliche Auswertung mehr als 10 SPF-Lookups erfordert. Diese Komplexität macht es noch schwieriger, Probleme bei der E-Mail-Zustellbarkeit zu erkennen, die mit SPF-Eintragsgrenzen verbunden sind.
- DKIM wird nicht authentifiziert: Stellen Sie sicher, dass der TXT-Eintrag genau so konfiguriert ist, wie er von Mailjet bereitgestellt wird, ohne zusätzliche Leerzeichen oder Fehler.
- Der DKIM-Eintrag ist ein TXT-Eintrag: Er wird im DNS (Domain Name System) als TXT-Datensatz veröffentlicht und enthält den öffentlichen Schlüssel, mit dem überprüft werden kann, ob eine E-Mail-Nachricht tatsächlich vom Domainninhaber autorisiert wurde.
- E-Mail wird trotz ordnungsgemäßer Einrichtung abgelehnt: Einige Empfangsserver verwenden zusätzliche Authentifizierungsprüfungen. Erwägen Sie eine Kombination von SPF, DKIM und DMARC für einen umfassenderen Authentifizierungsansatz.
Zusätzliche Sicherheitsmaßnahmen
Zusätzlich zu SPF und DKIM sollten Sie die folgenden Sicherheitsmaßnahmen in Betracht ziehen:
- DMARC: Das Hinzufügen eines DMARC-Eintrags ermöglicht es Ihnen, Richtlinien für die Behandlung von E-Mails festzulegen, die SPF- oder DKIM-Prüfungen nicht bestehen. DMARC liefert wertvolle Berichte, die Ihnen helfen, die E-Mail-Aktivitäten zu überwachen und mögliche Probleme mit Domain-Spoofing zu erkennen. SPF und DKIM sind wichtig, um zu erkennen, ob eine E-Mail wirklich von einer vertrauenswürdigen Quelle stammt, aber nur DMARC kann Maßnahmen durchsetzen, die die Zustellung von gefälschten E-Mails verhindern. Um Ihre Domain und Ihre Empfänger vollständig vor E-Mail-Spoofing zu schützen, sollten alle drei Protokolle implementiert werden, wobei DMARC als Kontrollmechanismus zur Durchsetzung der Sicherheitsrichtlinien dient.
Fazit
Die Einrichtung der SPF- und DKIM-Authentifizierung ist entscheidend für den Schutz Ihrer Domain und die Verbesserung der Zustellbarkeit von E-Mails. Wenn Sie die oben beschriebenen Schritte befolgen, können Sie Ihre E-Mails sicher über Mailjet versenden, denn Sie wissen, dass sie mit geringerer Wahrscheinlichkeit als Spam gekennzeichnet werden und dass Ihre Empfänger ihnen eher vertrauen werden.
Um die E-Mail-Sicherheit Ihrer Domain weiter zu verbessern, sollten Sie die Implementierung von DMARC in Betracht ziehen. Dieses Protokoll bildet zusammen mit SPF und DKIM einen umfassenden Rahmen für die Authentifizierung und Sicherheit von E-Mails.
Weitere Anleitungen finden Sie in der ausführlichen Dokumentation von Mailjet, oder wenden Sie sich an unser Support-Team, wenn Sie Hilfe benötigen.