[go: up one dir, main page]
Weiter zum Hauptinhalt

Was sind „Sender Policy Framework“‑Einträge? Was du über SPF wissen solltest

Erfahre, was Sender Policy Framework (SPF)‑Einträge sind und wie sie E‑Mail‑Spoofing verhindern können.

Ein Sender Policy Framework (SPF) funktioniert wie ein Türsteher in deiner Lobby. Du stellst eine Gästeliste bereit, und der Türsteher begrüßt diejenigen, die auf der Liste stehen, während alle anderen darauf warten müssen, ob er sie hereinlässt oder abweist.

Als Kleinunternehmer kennst du zum Beispiel in der Regel die Namen deiner Kunden und Lieferanten sowie ihre Logos, Mitarbeiter und anderen Merkmale. Bei einem E-Mail-Austausch gibt es jedoch keine visuellen Hinweise auf Legitimität.

Die Marketingleiter mittelständischer Unternehmen kennen möglicherweise nur eine Handvoll Kunden und Lieferanten persönlich. Stattdessen verlassen sie sich auf die Mitarbeiter am Empfang, die eine Vorauswahl der Anrufe und Besucher treffen und nur diejenigen durchlassen, deren Anliegen nicht von anderen Mitarbeitern bearbeitet werden können.

Um mit dem CEO oder der Inhaberin eines internationalen Import-/Exportunternehmens zu sprechen, muss man dagegen im Voraus einen Termin vereinbaren. Darüber hinaus muss jeder, der einen Termin erhält, auch ein wichtiges Anliegen haben, welches das gesamte Unternehmen betrifft und um das sich unbedingt der CEO selbst kümmern muss – wie beispielsweise ein VIP-Kunde mit einem komplizierten Vertrag.

In jeder dieser Situationen müssen Unternehmen eine Möglichkeit haben, echte Absender zu erkennen. Andernfalls könnte der Ruf deines Unternehmens erheblichen Schaden erleiden, wenn Spammer, Betrüger oder Bots sich für dich ausgeben und Zugriff auf deine Kundenliste oder deinen E-Mail-Server erhalten. Dein Sender Policy Framework verschafft dir diese Unterscheidungsmöglichkeit.

Erfahre mehr über SPF-Einträge, einschließlich Antworten auf Fragen wie „Was ist ein SPF-Eintrag?“ und „Wie erstellt man einen SPF-Eintrag?“, damit du diese Sicherheitsmaßnahme für dein eigenes Unternehmen nutzen kannst.

Was sind „Sender Policy Framework“-Einträge?

Ein SPF-Eintrag ist im Wesentlichen ein digitales System zur Identitätsverifizierung für deine E-Mails. Es handelt sich um einen bestimmten Textcode (TXT), der den DNS-Einträgen deiner Domain hinzugefügt wird und im Hintergrund E-Mail-Absender authentifiziert und sicherstellt, dass sie von autorisierten IP-Adressen stammen.

Bei richtiger Konfiguration informiert dieser Eintrag die empfangenden E-Mail-Server darüber, dass die E-Mail von legitimen Quellen stammt, die berechtigt sind, E-Mails von bestimmten Domains zu senden.

Die SPF-Authentifizierung funktioniert, indem eine Liste zugelassener IP-Adressen und Servernamen erstellt wird, die E-Mails über deine Domain versenden dürfen. Wenn jemand eine E-Mail erhält, die vorgibt, von deiner Domain zu stammen, überprüft der E-Mail-Server automatisch diesen SPF-Eintrag, um zu verifizieren, ob der sendende Server auf deiner genehmigten Liste steht.

So funktioniert jedes Element:

  • Absenderidentifikation: Der SPF-Eintrag ermöglicht es den Empfängerservern, zu bestätigen, dass eine E-Mail tatsächlich von einer autorisierten Quelle stammt und nicht von jemandem, der versucht, deine Domain zu „spoofen“ oder fälschen. Diese Überprüfung erfolgt unsichtbar während der E-Mail-Lieferung.
  • Absenderverifizierung: E-Mail-Systeme können automatisch überprüfen, ob die IP-Adresse des sendenden Mailservers mit der in deinem SPF-Eintrag aufgeführten übereinstimmt. So wird verhindert, dass nicht autorisierte Server erfolgreich deine Domain in E-Mails imitieren.
  • Rückpfadüberprüfung: SPF bietet einen vertrauenswürdigen Weg zurück zur authentischen Quelle, falls Empfänger Fragen zu deiner Nachricht oder Bedenken hinsichtlich der Nutzung ihrer Informationen haben, was die Rechenschaftspflicht erhöht.

Durch Implementieren von SPF-Einträgen teilst du der Welt genau mit, welche Server berechtigt sind, E-Mails im Namen deiner Domain zu versenden. Dadurch wird eine entscheidende erste Ebene der E-Mail-Sicherheit und Absender-Authentifizierung geschaffen.

Einschränkungen von SPF: Was SPF nicht leisten kann

Während Sender Policy Framework (SPF)-Datensätze Domain-Inhabern helfen, ihre E-Mail-Kommunikation zu sichern, hat dieses E-Mail-Authentifizierungsprotokoll Einschränkungen, die man kennen muss. SPF allein ist keine vollständige Sicherheitslösung.

Zu den Einschränkungen zählen:

  • Keine Verschlüsselungsfunktionen: Wenn empfangende Mailserver eine SPF-Authentifizierung durchführen, überprüfen sie nur die Authentizität des Absenders, tun aber nichts, um den tatsächlichen Inhalt deiner Nachrichten zu schützen. Jeder, der deine E-Mails abfängt, kann sie weiterhin lesen, wenn du keine zusätzliche Verschlüsselung verwendest.
  • Keine Datenschutz-Features: Diese Aufzeichnungen verbergen keine E-Mail-Metadaten und schützen keine sensiblen Informationen in deinen Nachrichten. Sie überprüfen einfach, ob eine E-Mail von einem autorisierten Mailserver stammt.
  • Probleme bei der Weiterleitung: Wenn jemand deine E-Mail weiterleitet, schlägt die SPF-Validierung fehl, weil die IP-Adresse des weiterleitenden Servers als neuer Absender fungiert. Das bedeutet, dass legitime weitergeleitete Nachrichten möglicherweise als verdächtig eingestuft werden.
  • Keine Berichtsfunktion: Im Gegensatz zu fortgeschritteneren Protokollen generiert SPF keine Berichte darüber, wer versucht, deine Domain zu fälschen. Es bietet auch keine Analysen zu Zustellproblemen im Zusammenhang mit der Authentifizierung.
  • Unzureichend als eigenständige Lösung: Die DNS-Abfrage, die bei SPF-Prüfungen durchgeführt wird, ist nur eine Ebene der E-Mail-Sicherheit. Geschickte Angreifer können Wege finden, den alleinigen SPF-Schutz zu umgehen, weshalb Experten empfehlen, ihn für einen umfassenden Schutz zusammen mit DKIM und DMARC zu implementieren.
  • Eingeschränkter Schutzumfang: SPF überprüft nur den sendenden Server, nicht den tatsächlichen Inhalt der E-Mails. Das bedeutet, dass Phishing-Angriffe mit schädlichen Inhalten die SPF-Prüfungen dennoch bestehen können, wenn sie von autorisierten Servern gesendet werden.

Was musst du über SPF wissen?

Durch die Implementierung von SPF-Einträgen wird den E-Mail-Servern der Empfänger mitgeteilt, dass deine Nachricht kein Spoofing betreibt, nicht spammt und nicht versucht, sie zu betrügen. Indem du dir die Zeit nimmst, SPF-Einträge in deine Domain-Einstellungen zu integrieren, schaffst du einen Verifizierungsprozess, der das Vertrauen erhöht und den Widerstand gegen deine Nachrichten verringert.

Wenn Nachrichten behaupten, von deiner SPF-geschützten Domain zu kommen, aber von nicht autorisierten Servern gesendet werden, schlagen sie bei den SPF-Authentifizierungsprüfungen fehl, was sowohl deinen Markenruf als auch deine Empfänger vor potenziellen Betrugsversuchen schützt.

Dieses Verifizierungssystem ist besonders wichtig für den Umgang mit eingehenden E-Mails, da es eine zusätzliche Sicherheitsebene bietet, bevor Nachrichten in die Inbox gelangen.

Wichtige Punkte, die du über SPF wissen solltest:

  • Überprüfung von IP-Adressen: Ein SPF-Eintrag ist im Wesentlichen eine veröffentlichte Liste von IP-Adressen, die autorisiert sind, E-Mails im Namen deiner Domain zu senden, und E-Mail-Anbietern klare Anweisungen zur Behandlung deiner ausgehenden Nachrichten gibt.
  • Verbesserte Zustellung: Dein SPF-Eintrag bietet eine Schutzebene, die dafür sorgt, dass deine legitimen Nachrichten eher in der Inbox des vorgesehenen Empfängers landen, anstatt als Spam markiert zu werden.
  • Keine Verschlüsselungsfunktion: Während SPF die Authentizität des Absenders überprüft, verschlüsselt es weder den Inhalt deiner Nachricht noch bietet es Datenschutz für die darin enthaltenen Informationen.
  • Sichtbarkeit der Header: Die Ergebnisse der SPF-Überprüfung erscheinen in den vollständigen Headern deiner E-Mail-Nachrichten, sodass Empfänger die Authentifizierung bei Bedarf manuell überprüfen können.
  • Vertrauenssignalisierung: Die SPF-Domain, die in deinem „include“-Mechanismus an erster Stelle steht, zeigt, dass du die Mindestvorkehrungen getroffen hast, um sowohl deine Geschäftsdaten als auch deine Empfänger vor potenziellen E-Mail-Bedrohungen zu schützen.

SPF vs. DMARC vs. DKIM

Die Internet Engineering Task Force veröffentlichte im April 2014 das aktuelle SPF-Protokoll in RFC 7208. Ziel war es, einen Konsens darüber zu schaffen, der verhindert, dass Hacker und Phisher E-Mails versenden können, die angeblich von einer bekannten, vertrauenswürdigen Organisation stammen.

Dieser Konsens wurde zu „spf1“, und ab diesem Zeitpunkt wurde „v=spf1“ das Standardformat für die Anfangsanweisung jedes SPF-Eintrags. Die Weiterleitung einer Nachricht macht das SPF jedoch ungültig. Dadurch kommen zwei weitere Strategien ins Spiel: DKIM und DMARC.

Was ist DKIM?

DKIM ist das Akronym für DomainKeys Identified Mail. Wie SPF ist auch DKIM ein TXT-Eintrag im DNS. DKIM-Einträge bleiben jedoch auch bei der Weiterleitung gültig. Die aktuellen DKIM-Standards entstanden aus den Bemühungen von Yahoo! und Cisco, die jeweils ihre eigenen E-Mail-Autorisierungsstandards entwickelten.

Stelle dir DKIM als das Wachssiegel vor, mit dem früher offizielle Dokumente versiegelt wurden. Diese Wachssiegel waren erkennbar. Wenn ein Brief ankam und das Siegel fehlte oder beschädigt war, wurde er nicht als vertrauenswürdig angesehen.

Alle ausgehenden E-Mail-Server verfügen über eine zweiteilige DKIM: den privaten DKIM-Schlüssel und einen öffentlichen Schlüssel. Alle Eingangsserver greifen auf den öffentlichen Teil dieses Schlüssels zu. Wenn du eine E-Mail sendest, führt der empfangende E-Mail-Server eine Suche im DNS-TXT-Eintrag durch.

Wenn dieser E-Mail-Server deinen öffentlichen DKIM-Schlüssel findet, öffnet er die DKIM-Signatur. Wenn die Signatur in der Nachricht mit der Signatur übereinstimmt, die du in deinem DNS hinterlegt hast, betrachtet der empfangende E-Mail-Server diese Nachricht als gültig. Andernfalls wird die Nachricht als unzustellbar abgelehnt, was bedeutet, dass sie die Inbox des beabsichtigten Empfängers bzw. der Empfängerin nicht erreicht.

Stattdessen wird sie möglicherweise nicht zugestellt, landet im Spam- oder einem anderen Ordner, den die Benutzer für solche Nachrichten eingerichtet haben.

Das richtige Format für DKIM-Einträge sieht folgendermaßen aus:

"<selector(s=)._domainkey.domain(d=)>. TXT v=DKIM1; p=\<public key>"

Hier ist ein Beispiel für einen DKIM-öffentlichen Schlüssel im richtigen Format:

"dk5182-3458._domainkey.mydomainexample.com. IN TXT "v=DKIM1\;p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC1TaNgLlSyQMNWVLNLvyY/neDgaL2oqQE8T5illKqCgDtFHc8eHVAU+nlcaGmrKmDMw9dbgiGk1ocgZ56NR4ycfUHwQhvQPMUZw0cveel/8EAGoi/UyPmqfcPibytH81NFtTMAxUeM4Op8A6iHkvAMj5qLf4YRNsTkKAV;""

Was bewirkt jeder Teil eines DKIM-Eintrags?

In diesem Beispiel steht dk5182-3458 für den Selektor (s=). Das (d=) steht für die angegebene Domain meinebeispieldomain.com. Die Version muss in jedem DKIM-Eintrag immer als „v=DKIM1“ erscheinen. Der „p“-Mechanismus steht für den öffentlichen Code, eine Reihe von Buchstaben, Zahlen und Symbolen.

Was ist DMARC?

DMARC steht für Domain-based Message Authentifizierung, Reporting und Conformance. DMARC verhindert böswillige Aktivitäten, indem es Nachrichten von Spoofern abwehrt, bevor sie deine Inbox erreichen. Spoofer geben sich als dich aus, um Informationen für einen Identitätsdiebstahl oder andere Arten von Betrug zu erhalten.

Wenn du DMARC verwendest, schlägst du diesen Eindringlingen die Tür vor der Nase zu. DMARC verwendet Open-Source-Code. Allerdings muss dein E-Mail-Dienstleister auch DMARC-Schutz verwenden. DMARC bildet nach SPF und DKIM eine dritte Verteidigungslinie.

Mit DMARC kannst du deinem E-Mail-Dienstleister sagen, ob er E-Mails von nicht vertrauenswürdigen oder unbekannten Quellen, je nach den Informationen, die er nach DKIM- und SPF-Anfragen erhält, ablehnen oder unter Quarantäne stellen soll.

Die Bedeutung von DKIM und DMARC

Mailchimp betont die Wichtigkeit von DKIM und DMARC bei der E-Mail-Authentifizierung für eine sichere Kommunikation. DKIM, oder DomainKeys Identified Mail, verwendet kryptografische Signaturen, um die Integrität von E-Mails zu verifizieren, selbst wenn sie weitergeleitet werden. DMARC, das für Domain-based Message Authentication, Reporting and Conformance steht, bietet ein Framework, um E-Mail-Authentifizierungsfehler zu verwalten und Berichte zu generieren.

Durch die Implementierung von DKIM und DMARC kannst du die E-Mail-Sicherheit verbessern, dich vor Spoofing schützen und den Ruf deiner Marke wahren. Mailchimp bietet Tools und Ressourcen, um die Integration dieser Protokolle zu vereinfachen und Unternehmen zu erfolgreichen E-Mail-Marketingbemühungen zu verhelfen.

DKIM einrichten und DMARC implementieren

Um deine E-Mail-Authentifizierung mit Mailchimp zu stärken, sind die Einrichtung von DKIM und die Implementierung von DMARC wichtige Schritte. DKIM, oder DomainKeys Identified Mail, ergänzt deine E-Mails um eine digitale Signatur, um sicherzustellen, dass sie unverändert und authentisch bleiben.

DMARC (Domain-based Message Authentication, Reporting & Conformance) ermöglicht es dir, festzulegen, wie empfangende Server mit E-Mails umgehen sollen, die die SPF- und DKIM-Prüfungen nicht bestehen, und schützt so deine Marke vor Phishing-Versuchen.

Zu den Überlegungen für DMARC-Richtlinien gehört die Auswahl von Maßnahmen bei fehlgeschlagenen Prüfungen und die regelmäßige Überprüfung generierter Berichte, um die unbefugte Nutzung von Domains zu verhindern. Mailchimp bietet Tools und Ressourcen für eine reibungslose Integration dieser Protokolle, um für eine sichere und zuverlässige E-Mail-Kommunikation zu sorgen.

Verbesserung der E-Mail-Authentifizierung mit DKIM und DMARC

Um die Zustellbarkeit von E-Mails zu verbessern und die Sicherheit für Mailchimp zu stärken, ist es unerlässlich, DKIM und DMARC einzurichten. DKIM, oder DomainKeys Identified Mail, fügt deinen E-Mails eine kryptografische Signatur hinzu, die den Empfängern ihre Integrität und Authentizität zusichert. Diese Verifizierung bleibt auch bei der Weiterleitung von E-Mails intakt.

DMARC, kurz für Domain-based Message Authentication, Reporting & Conformance, bietet Richtlinien für den Umgang mit E-Mails, die die DKIM- und SPF-Prüfungen nicht bestehen. Die Konfiguration von DMARC ermöglicht es Mailservern, verdächtige Nachrichten abzulehnen oder in Quarantäne zu stellen, und schützt so deine Marke vor Phishing und Spoofing.

Eine regelmäßige Überprüfung der DMARC-Berichte ist entscheidend, um unbefugte Nutzung deiner Domain zu erkennen und die Richtlinien entsprechend anzupassen. Mailchimp bietet Werkzeuge und Ressourcen, um diese Protokolle effektiv zu integrieren und eine sichere sowie zuverlässige Kommunikation zu gewährleisten.

Lade das E-Book herunter und erfahre mehr über grundlegende Best Practices für den Einstieg. 

Informiere dich über die neuesten Technologien, mit denen du deine Kunden noch besser erreichen kannst. Verstehe, was sich mit der Einführung von KI im E-Mail-Marketing ändert, und sieh dir an, wie andere erfolgreich sind. Erfahre vor allem, wie du im E-Mail-Marketing schneller erfolgreich sein kannst, als du es je für möglich gehalten hättest.

Das E-Book herunterladen
Titelseite des E-Books Einführung in das E-Mail-Marketing: Tipps zur Maximierung des Erfolgs von Mailchimp

Bestandteile des SPF-Eintrags

Ein richtig formatierter SPF-Eintrag ist eine Textdatei (TXT), die zwei wichtige Elemente enthält. Zunächst muss der Eintrag die SPF-Version enthalten. Der Rest des Eintrags besteht dann aus den Mechanismen, die erforderlich sind, um zu überprüfen, welche Hostnamen und IP-Adressen Nachrichten von deiner Domain senden dürfen.

Ein SPF-Eintrag in einer E-Mail-Authentifizierungsanweisung könnte zum Beispiel wie folgt aussehen:

"v=spf1 a MX include:spf.yourbusinessdomainname.com ~all"

Die v=spf1-Anweisung sagt dem empfangenden E-Mail-Server, dass dieser TXT-Eintrag ein Sender-Policy-Framework-Eintrag ist. Der „a“-Mechanismus weist diesen Server an, die IP-Adresse des Absenders mit „a“-Tool der „from“-Domain abzugleichen, bevor die gesamte Nachricht heruntergeladen werden kann. Der MX-Mechanismus bezieht sich auf den Server für den E-Mail-Austausch oder „Host“, den du zum Speichern deiner E-Mail-Nachrichten verwendest, wie beispielsweise Google Workspace oder Microsoft 365 Business Premium. Der Mechanismus „include“ gibt schließlich an, dass die SPF-Domain deinunternehmensdomainname.com das Recht hat, E-Mails deines Unternehmens zu versenden.

Beachte diese wichtigen Punkte:

  • Die Anweisung v=spf1 ist das erste Tag und gehört IMMER an den Anfang deines SPF-Eintrags.
  • Die „a“-Anweisung muss mit dem „from“-Eintrag übereinstimmen.
  • Dein MX ist der Service, den du für den E-Mail-Austausch nutzt.
  • Jede Domain, die autorisiert ist, deine geschäftlichen E-Mails zu senden, muss in der „include“-Anweisung aufgeführt sein, einschließlich aller von dir genutzten E-Mail-Dienste von Drittanbietern wie Mailchimp.
  • Nimm alle IP-Adressen, von denen deine Geschäfts-E-Mails gesendet werden, in deinen SPF-Mechanismus mit auf.

So erstellst du einen SPF-Eintrag

Um optimale Ergebnisse zu erzielen, solltest du deine SPF-Eintragssyntax vor dem Hochladen als TXT-Datei und nicht im Dashboard deines DNS-Servers erstellen. So kannst du sie vor dem Testen auf Formatierungsfehler überprüfen.

Gehe beim Erstellen und Implementieren deines SPF-Eintrags wie folgt vor:

  1. Öffne zunächst das Dashboard deines Domainanbieters.
  2. Gehe zu „Settings“ (Einstellungen).
  3. Erstelle deinen SPF-Eintrag als TXT-Eintrag.
  4. Füge ihn zu deinen DNS-Einstellungen hinzu.
  5. Teste die Änderungen.

Es kann bis zu 48 Stunden dauern, bis Änderungen an deinem bestehenden SPF-Eintrag übernommen werden. Hab also Geduld. Teste deine Änderungen nach diesen zwei Tagen erneut.

Wenn du beispielsweise nur E-Mails von Google Workspace sendest, sieht dein SPF-Eintrag folgendermaßen aus:

"v=spf1 include:_spf.google.com ~all"

Wenn du jedoch zusätzliche E-Mail-Dienstanbieter verwendest, brauchst du für jeden eine separate „include“-Anweisung. Wenn du also auch mit Mandrill von Mailchimp Nachrichten sendest, fügst du nach der Google-Anweisung und vor dem „~all“-Element „include:mandrillapp.com“ ein. Dein neues SPF sieht dann folgendermaßen aus:

"v=spf1 include:_spf.google.com include:mandrillapp.com ~all"

Hier ersetzt du „domainschlüssel.beispiel.com“ durch den Domainnamen deines Unternehmens.

Schütze dein Unternehmen mit SPF-Einträgen

Wenn du deine Kommunikation nicht absicherst, können Böswillige wie verärgerte oder ehemalige Mitarbeiter, Spammer und Betrüger den Ruf deines Unternehmens durch gefälschte Geschäfts-E-Mails ruinieren. Die SPF-Authentifizierung bietet deinen Kunden und Kontakten eine Möglichkeit, zu überprüfen, ob eine Nachricht wirklich von dir stammt.

Obwohl dadurch der Inhalt der Nachricht nicht verschlüsselt wird, ist SPF eine erste Verteidigungslinie gegen Spoofer. Um Cyberangriffe per E-Mail vollständig zu verhindern, solltest du auch DKIM (DomainKeys Identified Mail) und DMARC (Domain-based Message Authentication, Reporting and Conformance) verwenden.

Wenn es zu aufwendig für dich ist, selbst SPF-Einträge zu erstellen und deinem DNS hinzuzufügen, kannst du dich auf Mailchimp verlassen, das die SPF-Authentifizierung und Domain-Authentifizierung für dich einrichtet und testet.

Wichtige Erkenntnisse

  • SPF-Einträge fungieren als Sicherheitswächter für deine E-Mail-Domain und informieren die Empfängerserver darüber, welche Quellen autorisiert sind, in deinem Namen Nachrichten zu senden.
  • Während SPF einen grundlegenden Schutz bietet, stellt die Kombination mit DKIM und DMARC ein umfassendes Sicherheitssystem dar, das E-Mail-Spoofing und Phishing-Angriffe erheblich reduziert.
  • Richtig konfigurierte SPF-Einträge verbessern die Zustellbarkeit von E-Mails, schützen deinen Markenruf und stärken das Vertrauen der Empfänger, indem sie verifizieren, dass deine E-Mails legitim sind.
  • Trotz der Sicherheitsvorteile sind SPF-Einträge relativ einfach zu implementieren. Es ist nur eine einzige Zeile Textcode, die du zu den DNS-Einstellungen deiner Domain hinzufügst.
Artikel teilen