DKIM, SPF und DMARC Validierung

Wie man prüft, ob eine E-Mail gegen Fälschung geschützt ist

Wer sich mit E-Mail-Marketing beschäftigt, wir immer wieder die Fachbegriffe: DKIM, SPF und DMARC hören. Das sind kurz gesagt Authentifizierungs-Methoden, um unter anderem zu verhindern, dass jemand im fremden Namen E-Mails versendet und E-Mail-Spoofing (Fälschung) praktiziert.

Was ist DKIM, SPF und DMARC?

Lass uns zunächst klären, was diese Begriffe zu bedeuten haben:

Was ist DKIM?

Bei DKIM wird die E-Mail vor dem Versand mit einer digitalen Signatur versehen, die der empfangende E-Mail-Server anhand des öffentlichen Schlüssels, der im Domain Name System (DNS) der Domäne verfügbar ist, verifizieren kann.

Sollte die Verifizierung fehlschlagen, hat der empfangende Mail Transfer Agent (E-Mail-Server) oder das empfangende Anwendungsprogramm die Möglichkeit, die E-Mail zu verweigern (Bounce) oder auszusortieren.

Sobald eine E-Mail mit einer DKIM-Signatur bestückt wurde, muss der dazugehörige öffentliche Schlüssel im DNS der zuständigen Domain als TXT-Eintrag vorhanden sein – ist dies nicht der Fall, wird die Zustellrate der E-Mail aufgrund negativer Authentifizierung sich deutlich verschlechtern.

Was ist SPF?

SPF ist ein Verfahren, mit dem das Fälschen der Absenderadresse einer E-Mail verhindert werden soll. Der empfangene E-Mail-Server sucht nach dem Eintreffen einer E-Mail im DNS des Absenders nach einem TXT-Eintrag, in dem geregelt ist, welche E-Mail-Versender die E-Mail überhaupt versenden dürfen.

Ist ein solcher Datensatz nicht vorhanden, kann der E-Mail-Server annehmen, dass der derzeitige Versender nicht berechtigt ist, die E-Mail zu senden und kann dementsprechend die E-Mail ablehnen.

Was ist DMARC?

Bei DMARC handelt es sich um eine Spezifikation, um SPF und DKIM zu kombinieren und sicherzustellen, dass E-Mails strikt nach Vorgaben des rechtmäßigen E-Mail-Versenders behandelt werden.

Auch bei DMARC muss ein DNS-Eintrag erstellt werden, in dem festgelegt wird, wie E-Mails behandelt werden, die durch SPF und DKIM geschützt sind. Sollte beispielsweise ein Missbrauch der Absenderadresse stattfinden, kann man mittels DMARC festlegen, darüber benachrichtigt zu werden.

Ebenso kann festgelegt werden, wie mit einer E-Mail verfahren wird, die bei der Authentifizierung gescheitert ist. So kann die E-Mail beispielsweise trotz einer gescheiterten Authentifizierung angenommen werden.

Wie kann man DKIM, SPF und DMARC validieren?

In der Regel muss der Versender der E-Mail dafür sorgen, dass die E-Mail nach den aktuellen Standards gegen Manipulation und Missbrauch geschützt ist. Alle guten E-Mail-Marketing-Anbieter machen diesen Job in der Regel zufriedenstellend.

Sollte man eine eigene Software zum Newsletter-Versand nutzen, wird man in der Regel auch die E-Mail-Server einrichten und konfigurieren müssen. In diesem Fall muss man auch die entsprechenden sicherheitsrelevanten Funktionen selbst implementieren.

Ein Grund mehr, einfach einen guten Newsletter-Service zu nutzen und damit seine E-Mails zu versenden. Es kann fatale Folgen haben, wenn man seine E-Mails in großen Mengen mit falsch konfigurierten E-Mail-Servern versendet – man muss in jeden Fall wissen, was man tut, wenn man mit eigenen Mailservern herumspielt!

Unabhängig davon, ob man eigene E-Mail-Server nutzt oder auf einen professionellen Service zurückgreift, man sollte in beiden Fällen prüfen, ob die E-Mail bereit für den E-Mail-Versand ist. Hierbei sollte zumindest der technische Teil hinter der E-Mail getestet werden und optimalerweise auch der Inhalt der E-Mail selbst.

Für diesen Zweck kann ich den DKIM, SPF und DMARC Validator von EmailChecky empfehlen. Es prüft den kompletten technischen Teil der E-Mail und hat zusätzlich einige sehr interessante Funktionen für die inhaltliche Prüfung am Start.

EmailChecky Technik-Analyse Ergebnis
EmailChecky Technik-Analyse Ergebnis

Die Komplettanalyse umfasst eine:

Um DKIM, SPF und DMARC zu validieren, empfehle ich EmailChecky. Das ist der schnellste und einfachste Weg zu einem zuverlässigen Ergebnis. Doch das ist nicht die einzige Möglichkeit zur Validierung.

Alternativ kann man seine E-Mail an eine Gmail-Adresse senden und schauen, was im Kopfbereich der E-Mail steht, dort sollte jeweils für DKIM, SPF und DMARC ein Ergebnis zu finden sein, der im Erfolgsfall ungefähr so aussieht:

DKIM, SPF und DMARC Validierung mit Gmail
DKIM, SPF und DMARC Validierung mit Gmail

Sollte das Ergebnis entweder bei Gmail oder bei dem Tool EmailChecky negativ ausfallen, muss man bei seinem eigenen Server entsprechend nach dem Fehler suchen und in jenem Fall, falls man einen Service nutzt, den Betreiber darauf aufmerksam machen.

Fazit

Die Validierung von DKIM, SPF und DMARC ist nicht schwierig, wenn man die richtigen Tools dafür kennt und nutzt. EmailChecky macht diesen Job besonders einfach und hat zusätzliche, sehr nützliche Funktonen integriert, um auch den Inhalt der E-Mail bis ins Detail zu analysieren.

Alternativ sendet man einfach eine E-Mail an Gmail und schaut im Kopfbereich der E-Mail, ob das Ergebnis für DKIM, SPF und DMARC positiv ist. In jedem Fall müssen alle diese Verfahren korrekt implementiert sein, wenn man Massenversand betreibt.

Sollte man eine E-Mail mit einer technischen Basis versenden, die falsch konfiguriert ist, wird dies in jedem Fall die Zustellrate der E-Mail-Kampagne verschlechtern. Wer eine große E-Mail-Liste hat, wird bei einer fehlerhaften DKIM, SPF und DMARC Implementierung viele E-Mail-Rückläufer feststellen.

Autor
Über Vitali Lutz

Vitali Lutz ist Internet-Marketer aus Leidenschaft. Er beschäftigt sich unter anderem mit Kundenakquise durch automatisierte Prozesse und E-Mail-Marketing und hat jahrelange Erfahrungen mit Administrieren von Mailservern.