Was sind DMARC, DKIM und SPF?

SPF, DKIM und DMARC helfen bei der Authentifizierung von E-Mail-Absendern. Sie bestätigen, dass die E-Mails tatsächlich von der angegebenen Domain stammen. Diese drei Authentifizierungsmethoden sind wichtig für die Prävention von Spam, Phishing-Angriffen und anderen E-Mail-Sicherheitsrisiken.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • beschreiben, wie SPF, DKIM und DMARC funktionieren
  • erklären, wie diese Methoden bei der Authentifizierung von E-Mail-Absendern helfen
  • die Arten von DNS-Einträgen verstehen, die in SPF, DKIM und DMARC verwendet werden

Link zum Artikel kopieren

Was sind DMARC, DKIM und SPF?

DMARC, DKIM und SPF sind drei Methoden zur E-Mail-Authentifizierung. Zusammen eingesetzt verhindern sie, dass Spammer, Phisher und andere Unbefugte E-Mails im Namen einer fremden Domain* versenden.

DKIM und SPF sind vergleichbar mit einer Geschäftslizenz oder dem Doktortitel eines Arztes, der in der Praxis hängt, sie demonstrieren Legitimität.

DMARC sagt den Mailservern, was sie bei einem erfolglosen DKIM oder SPF tun sollen; die E-Mail als Spam markieren, die E-Mail trotzdem zustellen oder die E-Mail ganz löschen.

Domains, die SPF, DKIM und DMARC nicht korrekt eingerichtet haben, riskieren, dass ihre E-Mails als Spam unter Quarantäne gestellt werden oder nicht beim Empfänger ankommen. Außerdem besteht für sie die Gefahr, von Spammern imitiert zu werden.

*Eine Domain ist, grob gesagt, eine Website-Adresse wie „example.com“. Domains bilden die zweite Hälfte einer E-Mail-Adresse, also z. B. alice@example.com.

Wie funktioniert der SPF?

Das Sender Policy Framework (SPF) erlaubt einer Domain die Auflistung aller Server, von denen sie E-Mails sendet. Es ist wie ein öffentlich zugängliches Mitarbeiterverzeichnis, in dem man prüfen kann, ob ein Mitarbeiter für ein Unternehmen arbeitet.

SPF-Einträge verzeichnen alle IP-Adressen aller Server, die E-Mails von der Domain senden dürfen – so wie ein Mitarbeiterverzeichnis die Namen aller Mitarbeiter einer Organisation auflistet. Mailserver, die eine E-Mail-Nachricht empfangen, gleichen die Nachricht mit dem SPF-Eintrag ab, bevor sie an den Posteingang des Empfängers weitergeleitet wird.

Wie funktioniert DKIM?

Mit DomainKeys Identified Mail (DKIM) können Domainbesitzer E-Mails von ihrer Domain automatisch „signieren“, ähnlich wie Sie mit einer Unterschrift auf einem Scheck bestätigen, wer den Scheck ausgestellt hat. Die DKIM-„Signatur“ ist eine digitale Unterschrift, mithilfe von Kryptographie verifiziert sie mathematisch, dass die E-Mail von der Domain stammt.

DKIM verwendet insbesondere Public Key-Kryptographie:

  • Ein DKIM-Eintrag speichert den öffentlichen Schlüssel der Domain. Mailserver, die E-Mails von der Domain empfangen, können diesen Eintrag prüfen, um den öffentlichen Schlüssel zu erhalten
  • Der Absender hält den privaten Schlüssel geheim und signiert den Header der E-Mail mit diesem Schlüssel
  • Mailserver, die die E-Mail empfangen, können überprüfen, ob der private Schlüssel des Absenders verwendet wurde, indem sie den öffentlichen Schlüssel anwenden

Wie funktioniert DMARC?

Domain-based Message Authentification Reporting and Conformance (DMARC) teilt einem empfangenden E-Mail-Server mit, was er mit den Ergebnissen der SPF- und DKIM-Prüfung tun soll. Die DMARC-Richtlinie einer Domain lässt sich auf verschiedene Weise festlegen: Sie kann Mailserver anweisen, alle E-Mails, die SPF oder DKIM (oder beides) nicht bestehen, unter Quarantäne zu stellen, und sie kann sie anweisen, solche E-Mails abzulehnen oder sie zuzustellen.

DMARC-Richtlinien werden in DMARC-Einträgen gespeichert. Ein DMARC-Eintrag enthält manchmal auch Anweisungen zum Senden von Berichten an Domain-Administratoren, darin sehen sie, welche E-Mails diese Prüfungen bestehen oder nicht bestehen. Anhand der DMARC-Berichte aktualisiert der Administrator die DMARC-Richtlinien (z. B. was zu tun ist, wenn legitime E-Mails fälschlicherweise als Spam markiert werden).

Wo werden SPF-, DKIM- und DMARC-Einträge gespeichert?

SPF-, DKIM- und DMARC-Einträge werden im öffentlich zugänglichen Domain Name System (DNS) gespeichert. Das DNS dient in erster Linie für die Zuordnung von Webadressen zu IP-Adressen. So finden Computer die richtigen Server für das Laden von Inhalt über das Internet, ohne dass menschliche Nutzer sich lange alphanumerische Adressen merken müssen. Das DNS speichert auch viele Einträge, die mit einer Domain verbunden sind, darunter alternative Namen für diese Domain (CNAME-Einträge), IPv6-Adressen (AAAA-Einträge) und Reverse-DNS-Einträge für Domain-Lookups (PTR-Einträge).

DKIM-, SPF- und DMARC-Einträge werden alle als DNS-TXT-Einträge gespeichert. Ein DNS-TXT-Eintrag speichert den Text, den der Domaineigentümer mit der Domain verknüpfen möchte. Dieser Eintrag kann jeden beliebigen Text enthalten und lässt sich daher vielseitig verwenden. DKIM, SPF und DMARC sind drei von mehreren Anwendungen für DNS-TXT-Einträge.

Wie prüfen Sie, ob eine E-Mail SPF, DKIM und DMARC bestanden hat?

Die meisten E-Mail-Clients bieten die Option „Details anzeigen“ oder „Original anzeigen“. Dort finden Sie die vollständige Version einer E-Mail, einschließlich ihres Headers. Der Header – in der Regel ein langer Textblock über dem Textkörper der E-Mail – ist der Bereich, in dem Mailserver die Ergebnisse von SPF, DKIM und DMARC anhängen.

Das Auslesen des dichten Headers kann schwierig sein. Nutzer, die ihn in einem Browser ansehen, finden diese Ergebnisse über „Strg+F“ oder „Command+F“ und „spf“, „dkim“ oder „dmarc“.

Der entsprechende Text könnte wie folgt aussehen:


arc=pass (i=1 spf=pass spfdomain=example.com dkim=pass
dkdomain=example.com dmarc=pass fromdomain=example.com);

Das Wort „pass“ zeigt an, dass die E-Mail eine Authentifizierungsprüfung bestanden hat. „spf=pass“ bedeutet, dass die E-Mail SPF bestanden hat. Sie stammt also von einem autorisierten Server mit einer IP-Adresse, die im SPF-Eintrag der Domain aufgeführt ist.

In diesem Beispiel hat die E-Mail alle drei SPF-, DKIM- und DMARC-Einträge bestanden, und der Mailserver konnte bestätigen, dass sie wirklich von example.com und nicht von einem Betrüger stammt.

Beachten Sie, dass diese Einträge nicht die Richtlinien der Domain durchsetzen oder die E-Mails authentifizieren. Die Mailserver müssen sie überprüfen und korrekt anwenden, damit die Einträge wirksam werden.

Wichtig ist auch, dass die Domainbesitzer ihre SPF-, DKIM- und DMARC-Einträge selbst richtig konfigurieren müssen, sowohl zur Prävention von Spam als auch um sicherzustellen, dass legitime E-Mails von ihrer Domain nicht als Spam markiert werden. Webhosting-Dienste tun dies nicht immer automatisch. Selbst Domains, die keine E-Mails versenden, sollten zumindest über DMARC-Einträge verfügen, damit Spammer nicht vorgeben können, E-Mails von dieser Domain zu versenden.

So richten Sie DMARC, DKIM und SPF für eine Domain ein

DMARC, DKIM und SPF müssen in den DNS-Einstellungen der Domain eingerichtet werden. Administratoren können sich an ihren DNS-Anbieter wenden – oder ihre Webhosting-Plattform bietet ein Tool, mit dem sie DNS-Einträge hochladen und bearbeiten können. Weitere Informationen über die Funktionsweise dieser Einträge finden Sie in unseren Artikeln:

Die Einrichtung dieser Einträge ist mitunter kompliziert und zeitaufwändig. Zu strenge oder zu lockere Richtlinien können eine Domain stark beeinträchtigen. Aus diesem Grund bietet Cloudflare einen Email Security DNS Wizard, mit dem Administratoren diese DNS-Einträge für E-Mail-Authentifizierung schnell und korrekt einrichten können. Der Assistent befindet sich auf der Registerkarte DNS des Cloudflare-Dashboards. Melden Sie sich für Cloudflare an, um loszulegen.