Support Wiki

# SPF, DKIM und DMARC

Wittwer IT Services empfiehlt, um die Zustellbarkeit Ihrer E-Mails möglichst hoch zu halten, SPF, DKIM und DMARC für Ihre Domänen einzurichten.

# SPF

Der SPF-Eintrag (Sender Policy Framework (opens new window)) ist ein DNS-Eintrag, mit welchem eingeschränkt werden kann, von welchen Servern E-Mails für eine Domain versandt werden können. Viele grössere Mailprovider behandeln Mails "weniger vertrauenswürdig", wenn kein SPF-Eintrag vorhanden ist.

Beim SPF-Eintrag handelt es sich um einen TXT-Eintrag im DNS-Server, welcher für die Domain selbst (ohne Hostname/Subdomain) erstellt werden muss.

Der SPF-Eintrag für eine Domain, welche auf MailStash läuft, sollte mindestens folgendes beinhalten:

v=spf1 a include:spf.mailstash.ch ~all

Erklärungen:

  • v=spf1: Standard-Punkt, welcher immer im SPF benötigt wird.
  • mx: Erlaubt den Mailversand von allen für die Domain eingetragenen MX-Servern
  • include:spf.mailstash.ch: Fügt den Inhalt des SPF-Eintrags unter spf.mailstash.ch hinzu.
  • ~all: Sorgt dafür, dass Mails von anderen Servern nicht komplett abgelehnt werden, sondern tendenziell im Spam-Verzeichnis landen.

Sollten Sie noch von weiteren Servern, wie zum Beispiel einem Newsletter-Tool, E-Mails verschicken, ist es meist möglich, einen Include des entsprechenden Anbieters hinzuzufügen. Konsultieren Sie hierzu die Webseite des Anbieters oder fragen Sie dort beim Support nach.

# DMARC

Mit einem DMARC-DNS-Eintrag (Domain-based Message Authentication, Reporting and Conformance (opens new window)) kann das Verhalten eines Zielservers definiert werden, wenn eine SPF- und DKIM-Überprüfung fehlgeschlagen ist. Durch das hinzufügen dieses Eintrages, wird die Zustellbarkeit der Mails für die Domain verbessert.

Beim DMARK-Eintrag handelt es sich ebenfalls um einen DNS-TXT-Eintrag. Dieser muss aber auf den Hostnamen _dmarc lauten und kann zum Beispiel folgendermassen aussehen:

v=DMARC1;p=reject;sp=reject;

# Vorgehen beim Einrichten

Da ein DMARC-Eintrag die Zustellung von Ihren Mails verhindern kann, wird volgendes Vorgehen beim Einrichten empfohlen, um Zustellproblemen vorzubeugen:

Zuerst sollte ein DMARC-Eintrag erstellt werden, welcher nicht das Zustellen der Mails verhindert, aber per Mail Sie, bzw. den Administrator der Domain, informiert, wenn ein Mail den DMARC-Test nicht besteht. Dies kann mit folgendem Eintrag gemacht werden:

v=DMARC1;p=none;sp=none;rua=dmarc@ihredomain.ch

So werden (zumindest von den grösseren Anbietern wie Gmail, GMX, Outlook und co) Reports an die angegebene Mailadresse gesendet, mit den sendenden IP-Adressen und ob die Mails den DMARC-Test bestanden haben. Diese Mails können manuell oder mit Tools wie demarcian.com (es gibt auch Opensource Lösungen) ausgewertet werden.

Wenn Sie sich dann sicher sind, dass keine legitimen Mails von Ihren Systemen abgelehnt werden, kann der DMARC-Eintrag so angepasst werden, dass dem Zielsystem gesagt wird, dass Mails, welche den Test nicht bestehen in den Spam-/Junk-Ordner verschoben werden sollen. Dies wird z.B. mit folgender Regel gemacht:

v=DMARC1;p=quarantine;sp=quarantine;ruf=dmarc@ihredomain.ch

Wenn Sie die Regel dann so wieder ein paar Tage getestet haben und keine Reklamationen gekommen sind, dass Mails fälschlicherweise im Spam gelandet sind, können Sie die Regel noch weiter verschärfen, damit die Mails, welche den Test nicht bestehen jeweils abgelehnt werden. So kann dann ein grosser Teil von Spam im Namen Ihrer Domain verhindert werden:

v=DMARC1;p=reject;sp=reject

# Optionen

  • v=DMARC1: Protokollversion
  • pct: Prozentualer Anteil der zu filternden Mails
  • ruf: Forensischer Report wird versandt an:
  • rua: Aggregierter Report wird versandt an:
  • p: Anweisung, wie mit Mails der Hauptdomäne zu verfahren ist. (none, quarantine oder reject)
  • sp: Anweisung, wie mit Mails der Subdomäne zu verfahren ist. (none, quarantine oder reject)
  • adkim: Abgleichmodus für DKIM (s: Strict; r: Relaxed)
  • aspf: Abgleichmodus für SPF (s: Strict; r: Relaxed)

# DKIM

DKIM (DomainKeys (opens new window)) ist ein Protokoll, über welches Ausgehende E-Mails vom Mailserver signiert werden, damit der Empfänger prüfen kann, ob ein Mail wirklich vom korrekten Server versandt wurde oder nicht. Hierzu wird ein privater Key verwendet, um eine Signatur zu erstellen, welcher nur dem Mailserver bekannt ist. Der Empfangsserver kann dann über einen DNS-Eintrag einen öffentlichen Schlüssel abrufen, um die Echtheit der Signatur zu prüfen.

Für das Einrichten von DKIM besuchen Sie bitte folgende Anleitung: MCP - DKIM

Zuletzt aktuallisiert: 5/28/2020, 5:07:11 PM