Stellen Sie sich vor, Sie senden eine wichtige E-Mail an einen Kunden, die jedoch im Spam-Ordner landet oder ihn gar nicht erst erreicht. Noch alarmierender: Stellen Sie sich vor, jemand gibt sich als Ihre Domain aus und versendet betrügerische E-Mails in Ihrem Namen, was zu bösartigem E-Mail-Spoofing und Phishing-Angriffen führen kann.

Solche Szenarien mögen Ihnen unwahrscheinlich erscheinen, sind aber überraschend häufig. Sehen Sie sich die folgenden Statistiken an:

  • Fast 45.6% Alle weltweit versendeten E-Mails landeten im Spam-Ordner der Empfänger.
  • 96% Die meisten Phishing-Angriffe erfolgen per E-Mail.

Deshalb sind E-Mail-Authentifizierungsprotokolle so wichtig. Dieser ausführliche Leitfaden geht genauer auf die vier wichtigsten E-Mail-Authentifizierungsprotokolle – DKIM, DMARC, SPF und BIMI – sowie die entsprechenden Validierungstools ein. Doch zunächst:

Was ist E-Mail-Authentifizierung?

Die E-Mail-Authentifizierung ist der Prozess der Überprüfung der Echtheit einer E-Mail-Nachricht. Dabei werden mehrere Protokolle verwendet, die bestätigen, dass eine E-Mail tatsächlich von dem angegebenen Absender stammt und dass der Inhalt während der Übertragung nicht verändert wurde.

Die E-Mail-Authentifizierung ist zwar für alle E-Mail-Absender unerlässlich, aber besonders wichtig für Unternehmen und Organisationen, die stark auf E-Mail-Kommunikation angewiesen sind. Tatsächlich wird sie im Jahr 2024 … Google und Yahoo Alle Absender von Massen-E-Mails müssen die E-Mail-Authentifizierungsmethoden SPF, DKIM und DMARC für ihre Domains einrichten.

So funktioniert die E-Mail-Authentifizierung

Wie funktioniert die E-Mail-Authentifizierung? Hier ist eine Übersicht des Prozesses:

  1. RechnungserstellungDer erste Schritt ist das Versenden der E-Mail, was von einem bestimmten System aus erfolgt. Domain oder SubdomainDie Domain ist die eindeutige Kennung, die nach dem „@“-Zeichen in einer E-Mail-Adresse folgt. Beim Senden einer E-Mail fügt der Server des Absenders Authentifizierungsdaten an den E-Mail-Header an. Diese Daten sind die Regeln, anhand derer der empfangende Mailserver die E-Mail authentifiziert.
  1. DNS-SucheDer empfangende Server führt eine DNS-Abfrage (Domain Name System) durch, um die SPF-, DKIM- und DMARC-Einträge der Absenderdomäne abzurufen. Diese Einträge enthalten die Regeln und öffentlichen Schlüssel, die zur Verifizierung der E-Mail benötigt werden.
  2. LieferentscheidungAuf Grundlage der Ergebnisse der SPF-, DKIM- und DMARC-Prüfungen trifft der empfangende Server eine endgültige Entscheidung, die in eine der folgenden Kategorien fällt:
  • LiefernWenn die E-Mail die SPF-, DKIM- und DMARC-Prüfungen besteht, wird sie an den Posteingang des Empfängers zugestellt. Hier ist ein Beispiel für eine zugestellte E-Mail, die alle drei Prüfungen bestanden hat.
  • QuarantineEine E-Mail, die die Authentifizierungsprüfung nicht besteht, aber keine unmittelbare Bedrohung darstellt, wird unter Quarantäne gestellt. Sie kann beispielsweise in den Spam-Ordner verschoben werden, bis sie vom E-Mail-Administrator geprüft wird.
  • AblehnenWenn eine E-Mail die Authentifizierungsprüfung nicht besteht und als verdächtig oder bösartig eingestuft wird, wird sie sofort abgelehnt. Bösartig E-Mails werden zurückgewiesen. zurück an die Absenderadresse oder verworfen.

Man könnte den E-Mail-Authentifizierungsprozess einfach als Kommunikation zwischen sendendem und empfangendem Mailserver betrachten, um sicherzustellen, dass die Nachricht unverfälscht beim Empfänger ankommt.

Wichtige E-Mail-Authentifizierungsprotokolle

Jedes E-Mail-Authentifizierungsprotokoll befasst sich mit einem spezifischen Aspekt der E-Mail-Sicherheit. Hier ein detaillierter Überblick über diese Säulen der E-Mail-Authentifizierung:

1. SPF (Sender Policy Framework)

SPF ermöglicht es Domaininhabern, einen DNS-Eintrag (Domain Name System) mit einer Liste von IP-Adressen zu erstellen, die berechtigt sind, E-Mails von dieser Domain zu senden.

Beim Versand einer E-Mail prüft der empfangende Mailserver den SPF-Eintrag, um sicherzustellen, dass die E-Mail von einer autorisierten IP-Adresse stammt. Stimmt die IP-Adresse überein, gilt die E-Mail als authentisch.

• Validierungstools:

Zu den Tools, mit denen Sie die Komponenten des SPF-Eintrags überprüfen können, gehören beispielsweise MXToolbox's SPF Record Check und PowerDMARC's SPF Lookup. Google Postmaster-Toolsund EasyDMARC SPF Record Checker.

Die Tools messen die folgenden Schlüsselparameter, um sicherzustellen, dass Ihr SPF-Eintrag korrekt konfiguriert und wirksam ist:

  • IP-AdressenDer Datensatz enthält die autorisierten IP-Adressen.
  • SyntaxfehlerPrüft den SPF-Eintrag auf Syntaxfehler.
  • AbsenderdomäneDie Domain in der Absenderadresse wird mit dem SPF-Eintrag abgeglichen, um sicherzustellen, dass sie mit der autorisierten Domain übereinstimmt.

Schauen wir uns an, wie ein einfacher SPF-Eintrag aussieht:

v=spf1 ip4:192.0.2.0/24 ip4:198.51.100.123 include:_spf.google.com ~all

  • v = spf1: Gibt die SPF-Version an.
  • ip4:192.0.2.0/24: Der autorisierte IP-Adressbereich (192.0.2.0 bis 192.0.2.255).
  • ip4:198.51.100.123Die spezifische autorisierte IP-Adresse (198.51.100.123).
  • beinhaltet:_spf.google.comDieser Abschnitt legt fest, welche Drittorganisationen im Namen der Domain E-Mails versenden dürfen. In unserem Beispiel dürfen beispielsweise die Mailserver von Google E-Mails für die Domain versenden.
  • ~alleGibt an, dass E-Mails, die nicht mit dem SPF-Eintrag übereinstimmen, zwar als Spam markiert, aber dennoch zugestellt werden. Die Alternative ist die Option „-all“, die bewirkt, dass nicht gelistete E-Mails abgelehnt werden.

SPF ist zwar ein gutes Verfahren, hat aber auch seine Grenzen. Beispielsweise überprüft die SPF-Authentifizierung die Domain des Absenders anhand des Return-Path und nicht anhand der „From:“-Adresse, die Empfänger sehen. Daher können Phisher die Prüfung umgehen, indem sie eine gefälschte Domain im Return-Path verwenden und die „From:“-Adresse fälschen.

Deshalb benötigen Sie andere E-Mail-Authentifizierungsprotokolle, um die Lücken zu schließen.

2. DKIM (DomainKeys Identified Mail)

DKIM überprüft, ob die E-Mail von einem autorisierten Mailserver gesendet wurde und ob ihr Inhalt während der Übertragung verändert wurde.

Es funktioniert durch die Verwendung kryptografischer Verfahren zum Signieren von E-Mails. Beim Senden einer E-Mail generiert der Mailserver des Absenders eine eindeutige digitale Signatur basierend auf dem Inhalt der E-Mail und einem privaten Schlüssel. Diese Signatur wird dem E-Mail-Header hinzugefügt.

Der Mailserver des Empfängers verwendet dann den zugehörigen öffentlichen Schlüssel, der in den DNS-Einträgen des Absenders veröffentlicht ist, um die Signatur zu überprüfen. Ist die Signatur gültig und stimmt sie mit dem öffentlichen Schlüssel überein, besteht die E-Mail die DKIM-Prüfung.

• Validierungstools

Verschiedene Tools können bei der Überprüfung und Fehlerbehebung von DKIM-Konfigurationen helfen. Dazu gehören DKIMValidator.com, Site24x7 DKIM Validator, SimpleDMARC DKIM Checker, EasyDMARC DKIM Checker, Unspam DKIM Checker und Dmarcian's DKIM Inspector.

Zu den wichtigsten Parametern, die diese Tools überprüfen, gehören:

  • SignatureDie digitale Signatur im E-Mail-Nachrichtenkopf wird anhand des im DNS-Eintrag des Absenders veröffentlichten öffentlichen Schlüssels überprüft.
  • DomainDie Domain in der DKIM-Signatur wird überprüft, um sicherzustellen, dass sie mit der Domain in der „Von:“-Adresse der E-Mail übereinstimmt.
  • WählerDer Selektor ist Teil der DKIM-Signatur und gibt an, welcher öffentliche Schlüssel zur Verifizierung verwendet werden soll.

Hier ist ein Beispiel für einen DKIM-Eintrag.

v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCz4EZLtxhU3jY5EJ/GV6xS…

  • v=DKIM1: Gibt die verwendete DKIM-Version an.
  • k=rsa: Gibt den Schlüsseltyp an, in diesem Fall RSA.
  • p=…Der öffentliche Schlüssel, der zur Überprüfung der DKIM-Signatur verwendet wird.

Das DKIM-E-Mail-Authentifizierungsprotokoll hat, wie SPF, ebenfalls seine Grenzen. Die größte Einschränkung besteht darin, dass Angreifer, wenn sie Ihre DKIM-Schlüssel erlangen, diese leicht zur Identitätsfälschung missbrauchen können.

Ändern Sie Ihre Schlüssel daher regelmäßig. Wenn Sie Ihre DKIM-Signatur von Ihrem E-Mail-Dienstleister (ESP) beziehen, vermeiden Sie Anbieter, die ihren Nutzern ähnliche Signaturen anbieten.

Beliebt E-Mail-Marketing-Tools wie MailchimpMit Diensten wie GetResponse oder MailerLite können Sie Ihre eigenen oder die Domains Ihrer Organisation einfach mit DKIM authentifizieren. Die Tools bieten unterschiedliche Funktionsumfänge und Preise. Melden Sie sich daher am besten für eine kostenlose Testversion an und testen Sie die Dienste gründlich.

Das GetResponse-Dashboard zeigt Ihnen Tipps, wie Sie Ihre Domain für die korrekte Zustellung Ihrer E-Mail-Kampagnen einrichten.

3. DMARC (Domänenbasierte Nachrichtenauthentifizierung, Berichterstattung und Konformität)

DMARC baut auf SPF und DKIM auf. Dies geschieht durch Hinzufügen einer Richtlinie zu den DNS-Einträgen einer Domain. Diese Richtlinie legt fest, welche Maßnahmen ergriffen werden, wenn eine E-Mail die SPF- oder DKIM-Prüfung nicht besteht – beispielsweise die Quarantäne der E-Mail, deren Ablehnung oder die Überwachung der Fehlerursache.

• Validierungstools

Zu den DMARC-Validierungstools gehören PowerDMARC Checker Tool, DMARC-Validator.com, EasyDMARC DMARC Record Checker, DMARC-checker.org und MXToolbox DMARC Check Tool.

Zu den wichtigsten Parametern, die diese DMARC-Tools validieren, gehören:

  • SPF-Ausrichtung: Stellt sicher, dass die Domäne im „Return-Path“-Header mit der Domäne in der „From“-Adresse übereinstimmt oder mit ihr übereinstimmt.
  • DKIM-Ausrichtung: Überprüft, ob die Domäne in der DKIM-Signatur mit der Domäne in der „Von“-Adresse übereinstimmt.
  • DomainBestätigt, dass die erforderlichen DNS-Einträge (DMARC, DKIM, SPF) veröffentlicht und zugänglich sind.

Hier ist ein Beispiel für einen DMARC-Eintrag:

v=DMARC1; p=ablehnen; rua=mailto:[E-Mail geschützt] ; adkim=s; aspf=s;

  • v=DMARC1: Gibt an, dass eine DMARC-Richtlinie vorhanden ist.
  • p=reject: Gibt an, dass E-Mails, die die SPF- oder DKIM-Prüfung nicht bestehen, abgewiesen werden sollen. p=quarantine bedeutet, dass Server solche E-Mails unter Quarantäne stellen sollen, während p=none bedeutet, dass auch fehlerhafte E-Mails zugestellt werden können.
  • rua=mailto:[E-Mail geschützt] Die E-Mail-Adresse, an die der DMARC-Bericht gesendet wird. Der Bericht enthält wertvolle Erkenntnisse, die Administratoren bei der Anpassung ihrer DMARC-Richtlinien unterstützen können.
  • adkim=s und aspf=s: Gibt an, dass die DKIM- und SPF-Prüfungen auf „streng“ eingestellt sind. Sie können sie auch auf „locker“ setzen, indem Sie das „s“ durch ein „r“ ersetzen.

DMARC ist auf die korrekte SPF- und DKIM-Authentifizierung angewiesen, daher führt jede Störung dieser Protokolle dazu, dass die DMARC-Prüfung fehlschlägt.

4. BIMI (Markenindikatoren zur Identifizierung von Markenbotschaften)

BIMI ist ein E-Mail-Authentifizierungsstandard, der die E-Mail-Sicherheit und Benutzerfreundlichkeit verbessert, indem er Marken ermöglicht, ihr Logo neben ihrem E-Mail-Verkehr anzuzeigen. authentifizierte E-Mails in den Postfächern der Empfänger.

Wenn eine E-Mail die DMARC-Authentifizierung besteht, zeigen unterstützende E-Mail-Clients wie Gmail, Apple Mail und Yahoo das Markenlogo im Posteingang an. Beachten Sie den Unterschied zwischen E-Mails mit und ohne BIMI (Brand Marketing Indicator).

Quelle

Der visuelle Indikator hilft den Empfängern, Ihre Marke in ihrem Posteingang zu erkennen und bestätigt ihnen, dass Sie der legitime Absender sind.

Diese E-Mails erzielen natürlich höhere Öffnungs- und Konversionsraten als nicht authentifizierte E-Mails. Ergänzen Sie diese mit Landingpages, die mithilfe von Tools wie Nostra und Intellimize optimiert wurden, um optimale Ergebnisse zu erzielen.

• Validierungstools

Zu den wichtigsten Tools, die Sie zur Validierung von BIMI-Datensätzen verwenden können, gehören EasyDMARC BIMI Record Checker, SimpleDMARC's BIMI Checker, GoDMARC BIMI Record Lookup Tool, Valimail BIMI Validator und VeriMarkCert BIMI Checker.

Diese BIMI-Validierungstools überprüfen typischerweise die folgenden Parameter:

  • Vorhandensein eines BIMI-DatensatzesSie prüfen, ob für die Domains ein korrekt konfigurierter BIMI-DNS-Eintrag vorhanden ist.
  • Gültigkeit des Logos: Prüfen Sie, ob die Logodatei die erforderlichen Spezifikationen erfüllt und über die im BIMI-Datensatz angegebene URL zugänglich ist.

Hier ist ein hervorragendes Beispiel für einen BIMI-Datensatz:

v=BIMI1; l=https://your-domain.example/path/to/logo.svg; a=https://your-domain.example/path/to/vmc.pem

  • v=BIMI1: Gibt die BIMI-Version an.
  • l=https://your-domain.example/path/to/logo.svg: Gibt die URL Ihres Logos im SVG-Format an.
  • a=https://your-domain.example/path/to/vmc.pemVerweist auf die URL Ihres verifizierten Markenzertifikats (VMC), das den Besitz des Logos nachweist.

Damit BIMI funktioniert, muss die Domäne über strenge DMARC-Authentifizierungsrichtlinien verfügen, die entweder auf „Quarantäne“ oder „Ablehnen“ eingestellt sind. Dies bedeutet, dass es niemals eine Situation gibt, in der BIMI die einzige Sicherheitsebene darstellt.

Fazit

E-Mail-Authentifizierungsprotokolle wie SPF, DKIM, DMARC und BIMI arbeiten zusammen, um die unbefugte Nutzung Ihrer Domain zu verhindern und die Absenderreputation Ihrer Marke zu schützen. Dies trägt wiederum zur Verbesserung der E-Mail-Zustellbarkeit bei.

Implementieren Sie diese E-Mail-Authentifizierungsprotokolle also noch heute.

Denken Sie daran, dass E-Mail-Anbieter wie Yahoo und Gmail die Authentifizierung von E-Mails vorschreiben. Wenn Sie sich also noch fragen, ob Sie sich mit diesen Protokollen und ihren Prüfwerkzeugen vertraut machen sollten, lautet die Antwort ganz klar: Ja.