DKIM & DMARC – Am Beispiel von Strato

DKIM & DMARC - Am Beispiel von Strato

Aktualisiert am 17. August 2024

Dein Newsletter kommt nicht beim Empfänger an?

Wenn du das sogenannte DKIM nicht eingerichtet hast, merkst das daran, dass z.B. Newsletter an G-Mail-Adressen als unzustellbar zurückkommen. DKIM ist eine Authentifizierungsmethode, die Spam und Pishing verhindert. Zum Workaround für G-Mail-Adressen ↓

E-Mail wurde abglehnt
E-Mail wurde abglehnt

Welche Dienste fordern DKIM?

Neben Gmail fordern auch viele andere E-Mail-Anbieter und Dienste DKIM, darunter:

  • Microsoft Outlook/Office: Schützt vor Spoofing und Phishing.
  • Yahoo Mail: Nutzt DKIM zur Authentifizierung.
  • AOL Mail: Setzt auf DKIM für die E-Mail-Sicherheit.
  • ProtonMail: Unterstützt DKIM für zusätzliche Sicherheit.
  • Mailchimp und SendGrid: E-Mail-Marketing-Dienste, die DKIM für eine bessere Zustellbarkeit inzwischen brauchen
    Zu den Einstellungen von Mailchimp ↑

Im Grunde verlangen die meisten großen E-Mail-Anbieter und E-Mail-Marketing-Dienste DKIM zur Sicherung und Verbesserung der Zustellbarkeit von E-Mails.

Was ist DKIM?

DKIM (DomainKeys Identified Mail) ist eine Sicherheitsmaßnahme, die sicherstellt, dass eine E-Mail wirklich von der Domain stammt, die sie angibt, und dass sie unterwegs nicht verändert wurde. Es funktioniert so: Der Absender “unterschreibt” die E-Mail digital, und der Empfänger kann überprüfen, ob die E-Mail echt ist. Das hilft, Spam und Betrug zu verhindern.

Was ist DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) ist eine Sicherheitsregel für E-Mails. Es hilft Absendern, sicherzustellen, dass ihre E-Mails richtig überprüft werden (mit SPF und DKIM) und gibt Anweisungen, was zu tun ist, wenn diese Überprüfung fehlschlägt, z.B. die E-Mail in den Spam-Ordner verschieben oder blockieren. DMARC hilft so, Phishing und Betrug zu verhindern und sorgt dafür, dass nur echte E-Mails von einer Domain zugestellt werden.

Was ist SPF?

SPF (Sender Policy Framework) ist ein Sicherheitsmechanismus, der sicherstellt, dass nur bestimmte Server E-Mails im Namen einer Domain senden dürfen. Es funktioniert wie eine “Absenderliste”: Die Domain gibt an, welche Server E-Mails für sie verschicken dürfen. Wenn eine E-Mail von einem nicht genehmigten Server kommt, kann der Empfänger sie ablehnen oder als Spam markieren.

Anwendungsfall Mandrill / Strato

Meine Kundin bekommt eine Mail von Mandrill mit der Bitte, ihre Domain bei Mandrill zu authentifizieren – hier sind interaktive Formulare hinterlegt, die automatisch einen Kostenvoranschlag erstellen.

Die Mail von Mandrill gibt eine Schritt-für-Schritt Anleitung vor

DKIM

DKIM ist ein DNS-basiertes E-Mail-Authentifizierungsverfahren, das Mandrill dabei hilft, E-Mails effektiver in deinem Namen zu versenden, indem es den Empfängern ermöglicht zu überprüfen, dass wir die Erlaubnis haben, deine E-Mails zu senden.

Um DKIM zu aktivieren:

  1. Erstelle zwei CNAME-Einträge: Einen mit dem Namen mte1._domainkey.ihredomain.com* und dem Wert dkim1.mandrillapp.com, und einen weiteren mit dem Namen mte2._domainkey.ihredomain.com* und dem Wert dkim2.mandrillapp.com.
  2. Klicke auf „DNS-Einstellungen testen“, um zu prüfen, ob die Änderungen für Mandrill sichtbar sind.
Mandrill / Strato - DKIM aktivieren
Mandrill / Strato – DKIM aktivieren – links die Anweisung von Mandrill, rechts Strato

DMARC

Eine DMARC-Richtlinie ist ein Authentifizierungsprotokoll, das zu deiner Domain hinzugefügt werden kann, um vor Betrug zu schützen und die Zustellbarkeit zu erhöhen. Ab 2024 erfordert Mandrill eine minimale DMARC-Richtlinie von „v=DMARC1; p=none“ für jede sendende Domain.

Um DMARC zu aktivieren:

  1. Erstelle und speicher einen TXT-Eintrag in deinem DNS mit einem Host von _dmarc.ihredomain.com* und einem Wert von v=DMARC1; p=none
  2. Klicke auf „DNS-Einstellungen testen“, um zu prüfen, ob die Änderungen für Mandrill sichtbar sind.
    Einige Domain-Hosts fügen automatisch DeineDomain.de nach dem Anfangswert hinzu
Mandrill / Strato - DMARC aktivieren
Mandrill / Strato – DMARC aktivieren – links die Anweisung von Mandrill, rechts Strato
Funktionstest
Funktionstest – DKIM & DMARC funktionieren für diese Domain

DMARC & DKIM bei Strato einrichten

Auf diesen Screenshot siehst du den Weg, wie du auf Strato die Authentifizierung vornimmst.

Was haben Nameserver mit DKIM zu tun?

DKIM (DomainKeys Identified Mail) hat mit Nameservern zu tun, weil die DKIM-Signaturen durch DNS (Domain Name System) verwaltet werden, das auf Nameservern basiert.

Die Verbindung Nameserver / DKIM

DKIM-Signatur und DNS: Wenn du DKIM einrichtest, erstellst du DNS-Einträge für deine Domain. Diese Einträge enthalten die öffentlichen Schlüssel, die von Empfängern verwendet werden, um die Authentizität einer E-Mail zu überprüfen.

  • CNAME oder TXT-Einträge: Der DKIM-Eintrag, den du in deinem DNS hinzufügst (meist als CNAME oder TXT-Eintrag), wird von den Nameservern verwaltet. Wenn eine E-Mail gesendet wird, kann der empfangende Mailserver über den DNS auf diesen Eintrag zugreifen, um den öffentlichen Schlüssel zu erhalten.
  • Verifikation durch Nameserver: Der Nameserver liefert diese Informationen, sodass der empfangende Mailserver überprüfen kann, ob die DKIM-Signatur mit dem öffentlichen Schlüssel übereinstimmt, und damit sicherstellt, dass die E-Mail unverändert und authentisch ist.

Ohne die Nameserver, die diese DNS-Einträge verwalten, könnte DKIM nicht funktionieren, da es den Mechanismus zur Verteilung und Überprüfung der DKIM-Schlüssel benötigt.

Wie funktioniert so eine E-Mail-Validierung?

SPF - E-Mail validieren
E-Mails validieren – über SPF und mithilfe des DNS (DKIM) Spam vermeiden.

Du kannst erkennen, wie durch die interne Kommunikation der verschiedenen Techniken Spam rausgefiltert wird.

Welche Provider unterstützen die Einrichtung von DKIM & DMARC?

Es gibt wenige Provider, die machen alles automatisch für dich – z.B. Goneo, bei anderen musst du selber Hand anlegen, z.B. bei Strato, IONOS oder All-inkl.com.

Dann wiederum gibt es kleine Provider, die an diese Einstellungen keinen ran lassen und die alles kostenlos auf deine Bitte einrichten.

Domainfactory z.B. bietet weder das eine noch das andere, d.h. wenn du hier Probleme mit der Authentifizierung deines Newsletters hast, empfehle ich dir zu einem anderen Provider umzuziehen.

Workaround: E-Mails über Gmail per POP3 abrufen

Wenn du E-Mails deiner Domain (z.B. ) an eine Googlemail-/Gmail-Adresse weiterleitest, kann es manchmal passieren, dass bestimmte E-Mails nicht ankommen oder der Absender eine Unzustellbarkeitsmeldung erhält. Das liegt daran, dass Google strenge Richtlinien zum Schutz vor Spam hat. E-Mails müssen durch DKIM, SPF oder beides authentifiziert sein, damit sie zugestellt werden.

Alternativ kannst du die E-Mails statt sie direkt weiterzuleiten, aus einem E-Mail-Konto per POP3 abrufen und in dein Gmail-Konto importieren. Dafür musst du ein E-Mail-Konto einrichten und die Zugangsdaten für den POP3-Abruf in deinem Google-Konto hinterlegen.

So hinterlegst du POP3-Zugangsdaten in deinem Google-Konto

  1. Öffne dein Gmail-Konto.
  2. Klicke oben rechts auf das Zahnrad-Symbol und wähle „Alle Einstellungen anzeigen“.
  3. Gehe zum Tab Konten und Import.
  4. Unter Nachrichten von anderen Konten abrufen klicke auf E-Mail-Konto hinzufügen.
  5. Gib die E-Mail-Adresse ein, die du bei deinem Provider eingerichtet hast, und klicke auf Weiter.
  6. Wähle E-Mails per POP3 importieren und klicke auf Weiter.
  7. Gib die Zugangsdaten ein:
    Benutzername: Deine E-Mail-Adresse
    Passwort: Das Passwort, das du bei der Einrichtung festgelegt hast
    POP-Server: Trage den POP3-Server deinem Internetproviders ein (z.B. für IONOS pop.ionos.de, für Strato pop3.strato.de
    Hier die Anleitung von All-inkl.com zu dem Thema ↑
  8. Setze Häkchen bei den gewünschten Optionen (z.B. Eine Kopie der abgerufenen Nachricht auf dem Server belassen).
  9. Klicke auf Konto hinzufügen.

Nützliche Links zum Thema

Hier geht es zu einer tollen Artikelreihe zum Thema DNS ↑

Auch wichtig, wenn du z.B. eine Website bei Wix oder Jimdo hast, aber deine Domain bei Strato liegt →

SPF generieren

Macht nur Sinn, wenn du selber der Administrator deiner Domain bist:  https://www.spf-record.de/generator ↑  du kannst testen, ob deine Domain korrekte Einstellungen vorweist.

Wenn du deinen DNS-Eintrag nicht selbst verwaltest (was die meisten nicht tun) oder nicht genau weißt, worum es geht, solltest du den technischen Support deines Internetanbieters anrufen. Erklär ihnen dein Problem, erwähne, dass es vielleicht mit SPF zu tun hat, und lass sie sich darum kümmern. Falls dein Problem nur E-Mails betrifft, die du von deinem Arbeits-E-Mail-Konto sendest, solltest du mit dem Administrator dieses Netzwerks sprechen und ihn auf das Problem aufmerksam machen.

Wenn du eine eigene Domain besitzt, diese aber nicht selbst verwaltest, wende dich an den technischen Support deines Internetanbieters.

Falls der Support oder der Admin deiner E-Mail das Problem nicht versteht, verweise ihn auf die Website z.B. von SPF-Record.de

 

1 Gedanke zu „DKIM & DMARC – Am Beispiel von Strato“

  1. Pingback: Jimdo & Wix: Domain mit Strato verbinden via Nameserver

Schreibe einen Kommentar