Was ist der Unterschied zwischen SPF, DKIM und DMARC? | EasyDMARC

Was ist der Unterschied zwischen SPF, DKIM und DMARC?

11 Min Lesezeit
A person typing on a laptop, EasyDMARC logo on the left side

SPF, DKIM und DMARC sind die drei wichtigsten E-Mail-Authentifizierungsprotokolle, die Mailservern und ESPs nachweisen, dass Absender berechtigt sind, E-Mails im Namen einer bestimmten Domain zu versenden. Die Implementierung dieser Protokolle bring folgende Vorteile:

  • Verhinderung des Spoofings und des Versands betrügerischer E-Mails unter Ihrem Domainnamen durch Hacker.
  • Schutz Ihrer Kunden, Geschäftspartner und Ihres Unternehmens vor Cyber-Kriminellen, die versuchen, Ihre Domain oder Ihren Domainnamen auszunutzen.
  • Gewinnen des Vertrauens der ESPs als verifizierter Absender.
  • Nachweis für Ihre Kunden, Behörden und andere Dritte, dass Ihr Unternehmen die E-Mail-Sicherheit ernst nimmt.
  • Verbesserung Ihrer E-Mail-Zustellbarkeitsraten und Vermeidung, dass Ihre Nachrichten im Spam- oder Junk-Ordner landen.

Alle drei Standards werden zwar für die E-Mail-Authentifizierung verwendet, unterscheiden sich aber voneinander. Das Verständnis der Protokolle SPF, DKIM und DMARC ist wichtig, um sicherzustellen, dass Ihre E-Mails ordnungsgemäß authentifiziert werden. 

In diesem Artikel erfahren Sie, wofür SPF, DKIM und DMARC stehen und wie sie bei der E-Mail-Authentifizierung eingesetzt werden. Aber bevor wir das besprechen, sollten wir uns ansehen, wie E-Mails funktionieren.

Wie funktionieren E-Mails?

Die Funktionsweise von E-Mails ist ziemlich einfach. Bevor Sie von Ihrem Gerät aus E-Mails senden oder lesen können, benötigen Sie einen Mail User Agent (MUA), z. B. Google Mail. Der MUA interagiert mit dem Mail Transfer Agent (MTA), auch bekannt als Mailserver. Der MTA hilft Ihnen, Ihre E-Mails aus der Ferne zu empfangen und zu speichern. Sie erhalten die E-Mails auf Ihrem Gerät nur über den Mail Delivery Agent (MDA), wenn Sie Ihren MUA öffnen.

Das Simple Mail Transfer Protocol (SMTP) ist ein Kommunikationsprotokoll, das für den Versand von E-Mails an einen E-Mail-Server zuständig ist. Auch wenn E-Mail-Anbieter wie Gmail über interne Protokolle verfügen, verwenden sie SMTP, um E-Mails außerhalb ihrer Systeme zu versenden. Zum Beispiel, wenn ein Gmail-Benutzer eine E-Mail an einen Yahoo!-Mail-Benutzer senden möchte. 

Verschiedene Protokolle, wie POP3 und IMAP 4, wurden entwickelt, um E-Mails vom Server herunterzuladen. Heute sind beide Protokolle durch Webmail ersetzt worden, das es Ihnen ermöglicht, sich auf jedem beliebigen Gerät weltweit einzuloggen und E-Mails zu empfangen. Sie müssen jedoch mit dem Internet verbunden sein, um es nutzen zu können. 

E-Mail-Protokolle wurden nicht mit Blick auf die Sicherheit entwickelt. Mailserver haben nur die Aufgabe, Nachrichten vom Absender entgegenzunehmen und an den Empfänger zu übermitteln. Mit der zunehmenden Ausbreitung des Internets ist dies jedoch zu einem Problem geworden, da Spamming und Phishing für alle E-Mail-Benutzer zu einem weit verbreiteten Ärgernis geworden sind.  

Zunächst setzten E-Mail-Benutzer das TLS-Verschlüsselungsprotokoll (Transport Layer Security) ein, um Nachrichten während der Übertragung zu verschlüsseln. Eine der Lücken in TLS ist, dass es keinen Schutz für Daten im Ruhezustand bietet. 

TLS schützt Daten, die von einem MTA zu einem anderen MTA übertragen werden, aber jeder MTA kann die Nachricht verändern. SPF, DKIM und DMARC wurden entwickelt, um dieses Problem zu beheben und den Mailservern eine Möglichkeit zu bieten, die Quelle einer Nachricht zu überprüfen.

Was ist SPF?

Das Sender Policy Framework (SPF) ist ein E-Mail-Authentifizierungsprotokoll, das dazu dient, E-Mail-Spoofing zu erkennen und zu verhindern. Das Authentifizierungsprotokoll ermöglicht es Ihnen, einen DNS-TXT-Eintrag zu erstellen, der die Absenderadressen auflistet, die Sie autorisiert haben, Nachrichten im Namen Ihrer Domain zu versenden. Mit diesem Protokoll können ISPs oder E-Mail-Server überprüfen, ob Nachrichten von einer bestimmten Domain legitim sind. 

Ihr Domain-Administrator kann ganz einfach einen SPF-Eintrag erstellen und ihn im DNS-Eintrag als TXT-Eintrag veröffentlichen. Folgende Angaben sollten Sie machen:

  • Die Version von SPF, die Sie verwenden möchten.
  • Die IP-Adressen, die Nachrichten über die Domain senden dürfen.
  • Alle Domains von Drittanbietern, die berechtigt sind, E-Mails im Namen der Domain zu senden. 
  • Ein abschließendes „all“-Tag gibt die Richtlinie an, die gilt, wenn ein Mailserver eine nicht autorisierte IP entdeckt.

Wenn eine E-Mail an einen Empfänger gesendet wird und behauptet, von Ihrer Domain oder im Namen Ihrer Domain zu kommen, prüft der empfangende Mailserver, ob ein SPF-Eintrag vorhanden ist. Wenn er einen findet, ruft er die Liste der autorisierten IPs für die Domain ab. Wenn die IP des Absenders mit einer IP aus dem SPF-Eintrag übereinstimmt, wird die Authentifizierungsprüfung als „bestanden“ markiert, und der Empfänger erhält die Nachricht. Andernfalls wird die Nachricht zurückgewiesen oder in den Spam-Ordner verschoben.

Was ist DKIM?

DKIM steht für DomainKeys Identified Mail und ist ein E-Mail-Authentifizierungsprotokoll, mit dem Sie Ihre E-Mails digital signieren können. Es bietet E-Mail-Sicherheit mit einer eindeutigen Kennung, die mit Hilfe von Public-Key-Kryptographie anstelle einer IP-Adresse erstellt wird. 

Wie SPF erfordert auch DKIM einen TXT-Eintrag in Ihrem DNS. DKIM verwendet Verschlüsselung, um öffentliche und private kryptografische Schlüssel zu erstellen. Der private Schlüssel verbleibt auf Ihrem Server und wird verwendet, um jede E-Mail digital zu signieren, während der öffentliche Schlüssel im DKIM-Eintrag gespeichert wird.

Wenn Sie eine E-Mail an einen Empfänger senden, ruft der Empfängerserver den DKIM-Eintrag ab und verwendet den öffentlichen Schlüssel, um die DKIM-Signatur zu dekodieren und einen Hash zu erstellen. Dann vergleicht der empfangende Server die privaten und öffentlichen Hashes, um zu sehen, ob sie übereinstimmen. Wenn dies der Fall ist, ist die Nachricht authentisch und unverändert und wird nicht als Spam eingestuft. Andernfalls stammt die Nachricht nicht von einem rechtmäßigen Absender, oder sie wurde während der Übertragung verändert, so dass die DKIM-Authentifizierung fehlschlägt und die Nachricht nicht im Posteingang des Empfängers landet. 

DKIM hilft bei der Überprüfung von drei Dingen:

  • Der Inhalt der E-Mail wurde nicht verändert oder verfälscht. 
  • Die E-Mail-Kopfzeilen wurden seit dem Versand der Nachricht nicht verändert.
  • Der Inhaber der Domain autorisiert den Absender der E-Mail.

Die Erstellung Ihres DKIM-Eintrags ist einfach, da die meisten E-Mail-Server über eine eigene DKIM-Funktion verfügen. Unabhängig davon, welchen Anbieter Sie verwenden, sollten die folgenden Informationen enthalten sein:

S – Dies ist der Selektor, der den Eintragsnamen darstellt, der zusammen mit der Domain verwendet wird, um die öffentlichen Schlüssel im DNS-Eintrag zu finden. 

D – Dies ist die Domain des Absenders, die zusammen mit dem Selektor-Eintrag zum Auffinden des öffentlichen Schlüssels verwendet wird.

P – Der öffentliche Schlüssel, der im DNS-Eintrag enthalten ist. 

Es gibt zwar noch weitere Tags, aber die drei wichtigsten Elemente zur Erstellung eines DKIM-Eintrags sind die oben genannten.

Was ist DMARC?

DMARC steht für Domain-based Message Authentication, Reporting, and Conformance. Dieses Protokoll für E-Mail-Authentifizierung, -Richtlinien und -Berichterstattung nutzt und verbessert DKIM und SPF, um die Authentizität einer Nachricht anhand der Absenderadresse zu überprüfen. Dies hilft, E-Mail-Spoofing und Phishing-Angriffe zu verhindern. Dieses Authentifizierungsprotokoll hat drei Hauptzwecke:

  • Es wird überprüft, ob eine E-Mail sowohl durch DKIM als auch durch SPF geschützt ist. Es wird überprüft, ob die sichtbare Absenderadresse mit der Domain in der Absenderadresse (für SPF) und dem DKIM-Header (für DKIM) übereinstimmt.
  • Sie legt fest, wie E-Mail-Empfänger mit Nachrichten umgehen sollen, die die Authentifizierungsprüfungen nicht bestehen.
  • Sie ermöglicht es dem empfangenden Server, einen Bericht an den Absender zu senden, wenn Nachrichten die DMARC-Authentifizierungsprüfungen bestehen oder nicht bestehen.

Damit eine E-Mail die DMARC-Authentifizierung bestehen kann, muss sie DKIM und/oder SPF bestehen. Wenn also DKIM fehlschlägt und SPF besteht, wird die Nachricht trotzdem zugestellt. Um DMARC zu implementieren, müssen Sie einen DMARC-Eintrag erstellen und die gewünschte Richtlinie entsprechend Ihren Anforderungen definieren. Folgende Richtlinien können Sie einsetzen:

  • Richtlinie = (P=none) – Auch als Überwachungsrichtlinie bezeichnet. Hier werden keine Maßnahmen ergriffen, und die Nachricht wird dem Empfänger unabhängig davon zugestellt, ob sie die DMARC-Authentifizierung besteht oder nicht. 
  • Richtlinie = (P=quarantine) – Diese Richtlinie sendet Nachrichten, die die DMARC-Authentifizierung nicht bestehen, in den Spam- oder Quarantäneordner. 
  • Richtlinie = (P=reject) – Die Richtlinie zum Zurückweisen blockiert E-Mails, die die DMARC-Authentifizierung nicht bestehen, und sendet sie zurück. Das ist die ultimative Richtlinie, die es anzustreben gilt.

Sind alle drei Maßnahmen erforderlich?

Die Entscheidung, welches E-Mail-Authentifizierungsprotokoll implementiert werden soll, kann verwirrend sein. Obwohl es sich bei allen drei Maßnahmen um Authentifizierungsprotokolle handelt, die Ihre E-Mail-Sicherheit stärken, kann keines für sich allein stehen. DMARC, SPF und DKIM spielen alle eine wichtige Rolle, wenn es darum geht, sicherzustellen, dass Ihre E-Mails geschützt sind und wie vorgesehen zugestellt werden. Sie müssen alle drei Protokolle implementieren, um vollständige Sicherheit zu gewährleisten. 

SPF allein kann zwar Domain-Spoofing verhindern, aber die Implementierung von SPF allein bietet keinen Schutz vor E-Mail-Betrug. DKIM kann die Legitimität eines Absenders überprüfen, aber Hacker können immer noch die sichtbare Absenderadresse ändern. 

Für einen umfassenden und robusten E-Mail-Sicherheitsschutz empfehlen wir Ihnen die Implementierung der Protokolle DKIM, SPF und DMARC.

Warum Sie DMARC, SPF und DKIM brauchen

Durch die Implementierung dieser drei wichtigen Authentifizierungsprotokolle wird die Sicherheit Ihrer E-Mails erheblich verbessert und:

  • Sie signalisieren der Welt, dass Ihr Unternehmen seriös ist und die E-Mail-Sicherheit ernst nimmt.
  • Sie verbessern die Zustellbarkeit von E-Mails und fördern das Vertrauen in Ihre Marke, da es für Hacker schwierig ist, Ihre Domain für betrügerische Aktivitäten zu fälschen.
  • Sie schützen Ihre Kunden, Partner und andere Dritte vor betrügerischen Angriffen auf Ihren Domain-Namen. 

Durch die Überprüfung der Legitimität eines Absenders verhindern SPF, DKIM und DMARC mit vereinten Kräften E-Mail-Spoofing und Phishing-Angriffe.}

Erste Schritte mit SPF, DKIM und DMARC

Bei der Einrichtung Ihrer SPF-, DKIM- und DMARC-Richtlinie ist es wichtig, dass Sie die richtige Reihenfolge einhalten. Denken Sie daran, dass die Implementierung ein mehrstufiger Prozess ist, der Zeit braucht, um die endgültige DMARC-Konformität mit SPF und DKIM zu erreichen. Zum Glück gibt es eine große Auswahl an kostenlosen Tools und gehosteten Lösungen, die Ihnen dabei helfen.

  • Die DMARC-Konformität beginnt mit SPF. Implementieren Sie dieses Protokoll zuerst, indem Sie Ihren SPF-Eintrag erstellen. Mit EasyDMARC können Sie ganz einfach folgende Schritte durchführen:
  1. Überprüfen Sie Ihre SPF-Einträge, um zu sehen, ob ein SPF-Eintrag für Ihre Domain veröffentlicht wurde und ob er korrekt eingesetzt wird.  
  2. Generieren Sie Ihren SPF-Eintrag sofort, ohne sich über Syntaxfehler Gedanken zu machen.
  3. Überprüfen Sie Ihren SPF-Eintrag, bevor Sie ihn in Ihrem DNS veröffentlichen, um die korrekte Konfiguration sicherzustellen.
  4. Nutzen Sie unsere EasySPF-Tools, um andere Konfigurationsprobleme zu lösen, z. B. den häufigen Fehler „zu viele DNS-Lookups“.
  1. Überprüfen Sie Ihre DKIM-Einträge, um festzustellen, ob sie auf Ihrer Domain existieren und ob sie gültig sind.
  2. Generieren Sie Ihren DKIM-Eintrag innerhalb von Sekunden für Ihre dedizierten Mailserver.
  3. Sobald Sie bestätigt haben, dass DKIM korrekt funktioniert, können Sie sich auf die Bereitstellung von DMARC konzentrieren. Mit EasyDMARC können Sie ganz einfach folgende Schritte durchführen:
  4. Überprüfen Sie den DMARC-Status Ihrer Domain mit unserem DMARC-Eintrag-Checker
  5. Generieren Sie Ihren DMARC-Eintrag schnell und korrekt, bevor Sie ihn in Ihrem DNS veröffentlichen.
  6. Richten Sie Ihre DMARC-Fehlerberichte in einem leicht verständlichen Format ein und analysieren Sie sie.
  7. Nutzen Sie unseren XML-Analysator für aggregierte Berichte, um sofortige Einblicke in Ihre E-Mail-Infrastruktur zu erhalten.
  8. Nutzen Sie unsere gehostete DMARC-Lösung für die DMARC-Durchsetzung und -Verwaltung aller Ihrer Domains mit nur einem Klick.

Wenn Sie in irgendeiner Phase Ihrer SPF-, DKIM- und DMARC-Reise Hilfe benötigen, können Sie uns gerne kontaktieren. Unser Expertenteam kann Sie durch die verschiedenen Prozesse und Phasen führen.

Fazit

Wir haben SPF, DKIM und DMARC und ihre Funktionsweise besprochen. Diese Authentifizierungsprotokolle sind für jedes Unternehmen, das einen zuverlässigen E-Mail-Schutz sucht, unerlässlich. Während die DMARC-Einführung technisches Fachwissen erfordert, hat EasyDMARC verschiedene Tools entwickelt, die Ihnen einen reibungslosen DMARC-Einsatz ermöglichen. Mit unserer gehosteten Lösung war die DMARC-Einführung noch nie so einfach. Melden Sie sich noch heute an!