Apptiva Logo

SPF, DKIM, DMARC, WTF, Ich will doch nur ein Mail verschicken!

Spam, Spoofing, Fishing usw. machen es schwierig E-Mails noch zu vertrauen. Doch es gibt viele technische Erweiterungen zum SMTP-Protokoll, welche das E-Mail zwar retteten, aber das Betreiben eines Mail-Servers auch komplizierter machten. Wir schauen sie uns heute an.

Publiziert am von Roman Schaller

SPF, DKIM und DMARC sind Erweiterungen zu SMTP, die nach und nach eingeführt wurden. Sie sind alle Massnahmen gegen Spaming.

SPF: Sender Policy Framework (2006)

Damit kannst du festlegen, wer von deiner Domain aus überhaupt Mails verschicken darf. Dies wird mit einem DNS-Eintrag auf der Domäne erreicht. Lautet die Mail-Adresse z.B. hugo@example.com, notierst du auf der Domain example.com in einem TXT-Record, welche IP-Adressen Mails verschicken dürfen.

DKIM: DomainKeys Identified Mail (2011)

Hier steckt eine asymmetrische Verschlüsselung dahinter. Der sendende Mailserver erstellt eine Signatur der ganzen Mail und fügt diese Signatur dem Mail hinzu. Der empfangende Server prüft diese Signatur gegen einen TXT-Record auf der Domäne. So stellt er einerseits sicher, dass der Inhalt nicht verändert wurde und weiss ausserdem, dass der sendende über den entsprechenden privaten Schlüssel verfügt um die Signatur korrekt zu erstellen.

DMARC: Domain-based Message Authentication, Reporting and Conformance (2015)

Bald wurde dann klar, dass SPF und DKIM nicht ganz ausreichen, weil nicht klar war, wie z.B. mit fehlenden Signaturen umzugehen ist. Wurde die einfach noch nicht konfiguriert? Hat ein Angreifer die Signatur entfernt und den Inhalt geändert? Soll die Mail gelöscht werden oder in den Spam-Ordner verschoben werden?

Mit DMARC kann man dies definieren.

Konfiguration prüfen

Richtig sicher zu sein, dass alles korrekt konfiguriert ist, kann tricky sein. Hier hilft dir aber https://www.learndmarc.com/ weiter.

Landet die Mail immer noch im Spam?

In diesem Fall solltest du mal prüfen, ob der Server vielleicht auf einer Blacklist gelandet ist. Am einfachsten geht das hier: https://mxtoolbox.com/blacklists.aspx

Auch der PTR-Record ist wichtig. Das ist ein DNS-Eintrag, der von der IP-Adresse wieder zum Hostnamen zeigt. Dabei sollte wieder der Hostname rauskommen, der auf der Domäne als Mailserver (MX) eingetragen ist. Auch hier hilft die MX-Toolbox: https://mxtoolbox.com/ReverseLookup.aspx

Fazit

Ja, es ist kompliziert. Am Schluss macht aber alles sehr viel Sinn, weil es Spamern und Spoofern das Leben schwer gemacht hat. Ohne diesen Erweiterungen könntest du nie sicher sein, dass die Absenderadresse auch wirklich stimmt.