SPF, DMARC, DKIM ab Februar 2024 für Google und Yahoo pflicht
Ab Februar 2024 führen Google und Yahoo! eine erweiterte Prüfung für eingehende E-Mails ein. Dabei muss der Absender DMARC, SPF und DKIM Einträge für seine Absenderdomain eingerichtet haben.
Das korrekte setzen der DMARC, SPF und DKIM Einträge gehört eigentlich schon seit Jahren zum Standart bei der Ersteinrichtung von E-Mail Servern für Kunden.
Leider erleben wir es aber häufig, das bei Übernahme der IT-Betreuung von Neukunden, genau diese drei DNS Einträge nicht gesetzt sind.
Das führt dann unweigerlich zu Problemen beim Versand von E-Mails an E-Mail Server, die eine Erweiterte Prüfung vornehmen.
Wie kann ich meine SPF, DMARC, DKIM Einträge überprüfen?
Eine schnelle Prüfung ist auf der kostenlosen Seite mailtower.app möglich. Hier werden die MX, SPF, DMARC und DKIM Einträge abgerufen und es wird übersichtlich dargestellt, wo es mögliche Probleme gibt. Ebenso gibt es Hinweise zur Behebung.
Wo werden die Einträgen gesetzt?
Es handelt sich um DNS Einträge die beim Domainregistrar gesetzt werden.
SPF
Die SPF Policy ist ein DNS TXT Eintrag in der Domaine und legt fest, welche E-Mail Server im Namen der Domaine senden dürfen.
Der Aufbau sieht wie folgt aus:
v=spf1 ip4:123.123.123.123 ip6:0000:0000:00:00:0000:0000:0000:0000 -all
Die IPv4 und IPv6 Adresse muss natürlich der E-Mail Server IP-Adresse entsprechen.
Und der DNS Eintrag wird wie folgt in den DNS Einstellungen des Domainregistrars angelegt:
Mailtower.app bietet für einige gängige E-Mail Provider einen SPF-Generator an.
DMARC
DMARC ist ein DNS TXT Eintrag und teilt anderen E-Mail Servern mit, wie mit E-Mails umzugehen ist, bei denen die SPF und DKIM Prüfung fehlgeschlagen ist und ob ein Bericht an eine vorgegebene E-Mail Adresse gesendet werden soll.
Der Aufbau sieht wie folgt aus:
v=DMARC1; p=reject; sp=reject; ruf=mailto:alert@<meine-domain>; adkim=s; aspf=s; fo=1;
- "p=reject" steht für die Ablehung von E-Mails, welche die SPF oder DKIM Prüfung nicht bestanden haben. Alternativ kann man mit "p=report" den Eintrag zuerst anlegen und sich mögliche Reports anschauen und erst nach 2 oder 4 Wochen auf "p=reject" wechseln. Desweiteren gibt es noch "p=quarantine" damit die E-Mails in Quarantäne landen, statt abgelehnt zu werden. Einen ersten Test kann man auch mit "p=none" durchführen. Langfristig macht aus unserer Sicht nur "p=reject" sinn.
- "sp=reject" regelt das Verhalten für Subdomains. Wenn "sp=reject" weggelassen wird, gilt der "p=reject" Eintrag auch für alle Subdomains.
- "rua=mailto:" steht für den Aggregierten Bericht. Dieser wird einmal am Tag versendet und kombiniert eine Gruppe von E-Mails. Der Bereicht enthält keine persönlichen Informationen. Im Gegensatz dazu steht "ruf=mailto:" für Forensische Berichte. Diese enthalten Details zu einer einzelenen E-Mail und werden sofort versendet. Der Bericht enthält persönliche Informationen.Die Berichte werden an die mailto: Adresse gesendet.
- "adkim=s" und "aspf=s" steht für einen strengen Abgleich der DKIM und SPF Einträge.
- "fo=1" teilt mit, das ein DMARC-Fehlerbericht an die angegebene E-Mail Adresse gesendet werden soll, wenn die SPF oder DKIM Prüfung fehlgeschlagen ist.
Auf mxtoolbox.com und mailtower.app kann der DMARC Eintrag auch mittels Generator erstellt werden.
Der DNS Eintrag sieht wie folgt aus:
DKIM
DKIM ist eine Funktion zur E-Mail-Authentifizierung. DKIM fügt ihren versendeten E-Mails eine Header Signatur zu, die der Empfänger Server mittels DNS TXT Eintrag verifizieren kann. DKIM muss von ihrem E-Mail Server jedoch unterstützt werden, was in der Regel auch der Fall ist.
Der Aufbau sieht wie folgt aus und der Teil "rtfdmvkrdcvvldopeldald/rfvcdpoghld" muss vom E-Mail Server generiert werden.
v=DKIM1;k=rsa;t=s;s=email;p=rtfdmvkrdcvvldopeldald/rfvcdpoghld
Der DNS Eintrag sieht wie folgt aus:
Was sind Blacklisten?
Unabhängig von diesen drei DNS Einträgen nutzen einige E-Mail Server zur Filterung von Spamnachrichten Blacklists. Ob der eigene Server oder die Domain auf einer Blacklist gelandet ist, lässt sich ganz einfach auf mxtoolbox.com abfragen. Dabei wird die Server IP und Domain bei mehr als 90 Blacklisten abgefragt und der Status angezeigt.