SPF, DKIM und DMARC helfen bei der Authentifizierung von E-Mail-Absendern. Sie bestätigen, dass die E-Mails tatsächlich von der angegebenen Domain stammen. Diese drei Authentifizierungsmethoden sind wichtig für die Prävention von Spam, Phishing-Angriffen und anderen E-Mail-Sicherheitsrisiken.
Nach Lektüre dieses Artikels können Sie Folgendes:
Ähnliche Inhalte
Was ist E-Mail-Sicherheit?
Wie Sie Spam-E-Mails stoppen können
So schützen Sie sich vor Phishing
Kompromittierung von Geschäftsmails (BEC)
Sicherheit von E-Mail-Anhängen
Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!
Link zum Artikel kopieren
DMARC, DKIM und SPF sind drei Methoden zur E-Mail-Authentifizierung. Zusammen eingesetzt verhindern sie, dass Spammer, Phisher und andere Unbefugte E-Mails im Namen einer fremden Domain* versenden.
DKIM und SPF sind vergleichbar mit einer Geschäftslizenz oder dem Doktortitel eines Arztes, der in der Praxis hängt, sie demonstrieren Legitimität.
DMARC sagt den Mailservern, was sie bei einem erfolglosen DKIM oder SPF tun sollen; die E-Mail als Spam markieren, die E-Mail trotzdem zustellen oder die E-Mail ganz löschen.
Domains, die SPF, DKIM und DMARC nicht korrekt eingerichtet haben, riskieren, dass ihre E-Mails als Spam unter Quarantäne gestellt werden oder nicht beim Empfänger ankommen. Außerdem besteht für sie die Gefahr, von Spammern imitiert zu werden.
*Eine Domain ist, grob gesagt, eine Website-Adresse wie „example.com“. Domains bilden die zweite Hälfte einer E-Mail-Adresse, also z. B. alice@example.com.
Das Sender Policy Framework (SPF) erlaubt einer Domain die Auflistung aller Server, von denen sie E-Mails sendet. Es ist wie ein öffentlich zugängliches Mitarbeiterverzeichnis, in dem man prüfen kann, ob ein Mitarbeitender für ein Unternehmen arbeitet.
SPF-Einträge verzeichnen alle IP-Adressen aller Server, die E-Mails von der Domain senden dürfen – so wie ein Mitarbeiterverzeichnis die Namen aller Mitarbeitenden einer Organisation auflistet. Mailserver, die eine E-Mail-Nachricht empfangen, gleichen die Nachricht mit dem SPF-Eintrag ab, bevor sie an den Posteingang des Empfängers weitergeleitet wird.
Mit DomainKeys Identified Mail (DKIM) können Domainbesitzer E-Mails von ihrer Domain automatisch „signieren“, ähnlich wie Sie mit einer Unterschrift auf einem Scheck bestätigen, wer den Scheck ausgestellt hat. Die DKIM-„Signatur“ ist eine digitale Unterschrift, mithilfe von Kryptographie verifiziert sie mathematisch, dass die E-Mail von der Domain stammt.
DKIM verwendet insbesondere Public Key-Kryptographie:
Domain-based Message Authentification Reporting and Conformance (DMARC) teilt einem empfangenden E-Mail-Server mit, was er mit den Ergebnissen der SPF- und DKIM-Prüfung tun soll. Die DMARC-Richtlinie einer Domain lässt sich auf verschiedene Weise festlegen: Sie kann Mailserver anweisen, alle E-Mails, die SPF oder DKIM (oder beides) nicht bestehen, unter Quarantäne zu stellen, und sie kann sie anweisen, solche E-Mails abzulehnen oder sie zuzustellen.
DMARC-Richtlinien werden in DMARC-Einträgen gespeichert. Ein DMARC-Eintrag enthält manchmal auch Anweisungen zum Senden von Berichten an Domain-Administratoren, darin sehen sie, welche E-Mails diese Prüfungen bestehen oder nicht bestehen. Anhand der DMARC-Berichte aktualisiert der Administrator die DMARC-Richtlinien (z. B. was zu tun ist, wenn legitime E-Mails fälschlicherweise als Spam markiert werden).
SPF-, DKIM- und DMARC-Einträge werden im öffentlich zugänglichen Domain Name System (DNS) gespeichert. Das DNS dient in erster Linie für die Zuordnung von Webadressen zu IP-Adressen. So finden Computer die richtigen Server für das Laden von Inhalt über das Internet, ohne dass menschliche Nutzer sich lange alphanumerische Adressen merken müssen. Das DNS speichert auch viele Einträge, die mit einer Domain verbunden sind, darunter alternative Namen für diese Domain (CNAME-Einträge), IPv6-Adressen (AAAA-Einträge) und Reverse-DNS-Einträge für Domain-Lookups (PTR-Einträge).
DKIM-, SPF- und DMARC-Einträge werden alle als DNS-TXT-Einträge gespeichert. Ein DNS-TXT-Eintrag speichert den Text, den der Domaineigentümer mit der Domain verknüpfen möchte. Dieser Eintrag kann jeden beliebigen Text enthalten und lässt sich daher vielseitig verwenden. DKIM, SPF und DMARC sind drei von mehreren Anwendungen für DNS-TXT-Einträge.
Die meisten E-Mail-Clients bieten die Option „Details anzeigen“ oder „Original anzeigen“. Dort finden Sie die vollständige Version einer E-Mail, einschließlich ihres Headers. Der Header – in der Regel ein langer Textblock über dem Textkörper der E-Mail – ist der Bereich, in dem Mailserver die Ergebnisse von SPF, DKIM und DMARC anhängen.
Das Auslesen des dichten Headers kann schwierig sein. Nutzer, die ihn in einem Browser ansehen, finden diese Ergebnisse über „Strg+F“ oder „Command+F“ und „spf“, „dkim“ oder „dmarc“.
Der entsprechende Text könnte wie folgt aussehen:
arc=pass (i=1 spf=pass spfdomain=example.com dkim=pass
dkdomain=example.com dmarc=pass fromdomain=example.com);
Das Wort „pass“ zeigt an, dass die E-Mail eine Authentifizierungsprüfung bestanden hat. „spf=pass“ bedeutet, dass die E-Mail SPF bestanden hat. Sie stammt also von einem autorisierten Server mit einer IP-Adresse, die im SPF-Eintrag der Domain aufgeführt ist.
In diesem Beispiel hat die E-Mail alle drei SPF-, DKIM- und DMARC-Einträge bestanden, und der Mailserver konnte bestätigen, dass sie wirklich von example.com und nicht von einem Betrüger stammt.
Beachten Sie, dass diese Einträge nicht die Richtlinien der Domain durchsetzen oder die E-Mails authentifizieren. Die Mailserver müssen sie überprüfen und korrekt anwenden, damit die Einträge wirksam werden.
Wichtig ist auch, dass die Domainbesitzer ihre SPF-, DKIM- und DMARC-Einträge selbst richtig konfigurieren müssen, sowohl zur Prävention von Spam als auch um sicherzustellen, dass legitime E-Mails von ihrer Domain nicht als Spam markiert werden. Webhosting-Dienste tun dies nicht immer automatisch. Selbst Domains, die keine E-Mails versenden, sollten zumindest über DMARC-Einträge verfügen, damit Spammer nicht vorgeben können, E-Mails von dieser Domain zu versenden.
DMARC, DKIM und SPF müssen in den DNS-Einstellungen der Domain eingerichtet werden. Administratoren können sich an ihren DNS-Anbieter wenden – oder ihre Webhosting-Plattform bietet ein Tool, mit dem sie DNS-Einträge hochladen und bearbeiten können. Weitere Informationen über die Funktionsweise dieser Einträge finden Sie in unseren Artikeln:
Zur Einrichtung dieser Einträgen in Cloudflare verwenden Sie den DNS-Assistenten für E-Mail-Sicherheit.