Die drei Verfahren SPF, DKIM und DMARC wurden entwickelt, um Spam zu reduzieren, das Fälschen von Absenderadressen über nicht legitimierte Mailserver zu verhindern, die Authentizität von Nachrichten sicherzustellen und den Missbrauch von Emails zu reduzieren.
Dabei ergänzen sich die Verfahren gegenseitig: SPF und DKIM prüfen die technische Legitimität und Authentizität einer Nachricht, DMARC legt fest, wie der empfangende Server mit den Prüfergebnissen umgehen soll. Es ist zwar möglich, z. B. DKIM ohne SPF einzusetzen oder DMARC ohne DKIM, aber bessere Erkennungsraten lassen sich natürlich mit dem kompletten Satz von Einträgen erreichen.
Alle 3 Methoden werden als TXT‑Eintrag am DNS‑Server für jede Domain einzeln angelegt. Bei einem Plesk‑Server ist die Erstellung der Records sehr einfach.
SPF: Sender Policy Framework
SPF prüft, ob der sendende Mailserver im zugehörigen TXT‑Record der Domain aufgelistet ist. Ein beliebter Eintrag für SPF lautet:
v=spf1 a mx -all
Dabei wird definiert, dass SPF Version 1 verwendet wird, Mails von der IP des A‑Records der Domain legitim sind, Mails von der IP des MX‑Records der Domain legitim sind, und Mails, die den vorhergehenden Kriterien nicht entsprechen, abgelehnt werden sollen. Dieser Eintrag ist noch erweiterbar (z. B. mit einem „include“ – damit werden weitere Serverdefinitionen aus einem anderen TXT‑Record übernommen). Dadurch werden IP‑Adressen von Servern definiert, die für diese Domain als sendende Mailserver legitim sind.
DKIM: DomainKeys Identified Mail
Hierbei fügt der sendende Mailserver eine digitale Signatur zu jeder Nachricht hinzu. Der empfangende Server kann dann mithilfe des öffentlichen Schlüssels, der via DNS‑TXT‑Eintrag für die Domain veröffentlicht ist, die Signatur prüfen.
Schlägt die Prüfung fehl, kann der empfangende Server die Annahme der Nachricht verweigern, je nach Konfiguration.
DKIM verwendet für jede Domain bzw. jeden sogenannten „Selector“ einen TXT‑Record mit dem öffentlichen Schlüssel. Der Schlüssel wird am sendenden Server erzeugt.
Bei Plesk müssen Sie lediglich in der Domain auf die E‑Mail‑Einstellungen gehen und auf „Konfiguration eines externen DNS‑Servers“ klicken; anschließend wird der DNS‑Record kopierfertig angezeigt und kann direkt in den DNS‑Server eingetragen werden.
DMARC: Domain-based Message Authentication, Reporting and Conformance
SPF und DKIM definieren, wer eine Mail senden darf und ob sie legitim ist – DMARC definiert, wie der empfangende Server mit den Nachrichten umgehen soll.
In DMARC kann festgelegt werden, wie viele Nachrichten geprüft werden sollen (z. B. 50 % oder 100 %), was zu tun ist, wenn die Prüfung fehlschlägt (nichts, Quarantäne, Ablehnen), ob ein Bericht erstellt/versendet werden soll und wie streng die Prüfung ist.
Ein einfacher Eintrag kann beispielsweise lauten:
v=DMARC1; p=reject;
Damit werden alle empfangenen Nachrichten einer Domain geprüft, und nicht konforme Nachrichten abgelehnt; es wird jedoch kein Bericht versendet. Möchten Sie eine Berichtsfunktion verwenden, müssen Sie noch ein rua=mailto:email@domain.de; hinzufügen. Dies ist sinnvoll, wenn Sie überwachen möchten, ob jemand versucht, Ihre Domain als Spamabsender zu benutzen.
Wie immer sitzt dabei der Teufel im Detail. Bei einem sehr hohen Prozentsatz von Domains wird formal zwar SPF, DKIM und DMARC eingesetzt – da die Konfiguration jedoch auch sehr „lasche“ Einstellungen (alles trotzdem akzeptieren) erlaubt, nach dem Motto „lieber 365 Tage im Jahr Spam zulassen statt eine Nachricht im Jahr verpassen“, wird oft genauso verfahren. Handelt man so, darf man sich allerdings nicht wundern, wenn empfangener Spam nicht zurückgeht bzw. gefälschte E‑Mail‑Nachrichten hereinkommen oder Unbefugte die Domain als Spamversender missbrauchen.
Empfehlung von Google zu DMARC bzw. zur Policy „none“ (p=none;):
Zitat:
Wir raten davon ab, DMARC für Ihre Organisation oder Domain zu deaktivieren. Ohne DMARC können Hacker und andere böswillige Nutzer die Identität von Nachrichten so fälschen, dass sie den Anschein erwecken, aus Ihrer Organisation oder Domain zu stammen. Dadurch besteht für Ihre Nutzer und Ihre Kontakte die Gefahr von Spam, Spoofing und Phishing.
Fazit:
Sollten Sie unsicher sein, ob Sie SPF, DKIM und DMARC verwenden sollen, lautet unsere ganz klare Empfehlung: ja
Gerne können wir Ihnen dabei behilflich sein, die entsprechenden DNS-Record einzutragen. Dies ist ein einmaliger Vorgang, d.h. wenn diese drei Schutzmaßnahmen einmal eingerichtet sind und funktionieren, muss nichts weiter unternommen werden.
Quelle:
https://support.google.com/a/answer/2466563?hl=de
