Während SPF bei uns schon lange im Einsatz ist und der SPF-Eintrag für alle Domains von Datenpark-Kunden automatisch hinterlegt wird, haben wir am 30. März 2020 als Ergänzung auch noch DKIM/DMARC eingeführt.
SPF steht für «Sender Policy Framework» und bezeichnet einen Abwehrmechanismus gegen Spam-Nachrichten.
DKIM kürzt den Begriff «DomainKeys Identified Mail» ab und steht für einen Standard, mit dem das Fälschen von Absenderdaten in E-Mails – das sogenannte Spoofing – verhindert werden soll. Gleichzeitig soll sichergestellt werden, dass die wesentlichen Teile der E-Mail auf dem Weg von der Senderin zum Empfänger nicht verändert worden sind.
DMARC steht für «Domain-based Message Authentication, Reporting and Conformance». DMARC baut auf den beiden Techniken SPF und DKIM auf, indem es für eine Absender-Domain festlegt, wie der Empfänger die Authentifizierung von E-Mails durchführen soll und wie im Falle eines Fehlers zu verfahren ist. Es handelt sich hier also um einen weiteren Mechanismus, der entwickelt worden ist, um den Missbrauch von E-Mails zu reduzieren.
Liebe Leserin, lieber Leser, schön, dass Sie den Text bis hier gelesen haben. Und wir freuen uns natürlich sehr, wenn Sie weiter dabeibleiben. Da es jetzt aber noch technischer wird, haben wir auch Verständnis, wenn Sie sich mit dem bereits Gelesenen zufriedengeben.
SPF
Mithilfe von SPF definiert die Inhaberin einer Domain, welche Server die E-Mails für diese Domain verschicken dürfen und was mit E-Mails geschehen soll, die von einem nicht autorisierten Server stammen. Diese SPF-Regeln werden mittels eines DNS-Eintrags definiert, den der Mailserver des Empfängers beim Entgegennehmen der E-Mail prüfen kann. Damit ist sichergestellt, dass E-Mails für die gewünschte Domain nur dann angenommen werden, wenn sie von einem «freigeschalteten» Server stammen – natürlich vorausgesetzt, der empfangende Server prüft den SPF-Eintrag, was nicht zwingend der Fall ist.
Grosse Anbieter wie Google, Yahoo, GMX prüfen den SPF-Eintrag und berücksichtigen das Resultat bei der Berechnung des Spam-Werts, also der Wahrscheinlichkeit, dass eine E-Mail als Spam oder Ham eingestuft wird.
SPF für Datenpark-Kunden automatisch aktiv
Der für SPF nötige DNS-Eintrag ist für Domains von Datenpark-Kunden automatisch hinterlegt und kann bei Bedarf bequem über den DNS-Manager in unserem Controlpanel überschrieben werden. Ausserdem prüfen die Mailserver von Datenpark alle eingehenden E-Mails mittels SPF und sorgen so dafür, dass weniger Spam in den Postfächern landet.
DKIM/DMARC gegen Spoofing und Phishing
Neben SPF lässt sich mit DKIM die Vertrauenswürdigkeit von E-Mails weiter verbessern. Unterstützt der Mailserver der Empfängerin nämlich DKIM, kann dieser feststellen, ob die E-Mail von einem Server stammt, den die Absenderin als legitime Quelle definiert hat, und ob der Inhalt der E-Mail unterwegs verändert worden ist. Ziel dieses Verfahrens ist es, Spammern und Phishern ihr kriminelles Handwerk zu erschweren.
Damit die Empfängerin zweifelsfrei feststellen kann, ob die E-Mail aus legitimer Quelle stammt, wird vom sendenden Mailserver für jede ausgehenden E-Mail eine digitale Signatur («Hash») erstellt. Diese Signatur wird aus einem privaten Schlüssel sowie dem Inhaltstext der E-Mail generiert und im Header der E-Mail abgelegt. Mit dem öffentlichen Schlüssel, der als DNS-Eintrag des Domainnamens gespeichert ist, kann der empfangende Mailserver diesen «Hash» verifizieren.
Ist die Signatur gültig, stammt die E-Mail tatsächlich von der behaupteten Domain. Ist die Signatur ungültig, wurde die Absenderadresse oder der Inhalt der E-Mail manipuliert. Die Empfängerin kann diese Informationen verwenden, um die Bewertungssysteme und Filtertechniken ihrer Spamfilter wirkungsvoller zu gestalten.
DKIM für Datenpark-Kunden automatisch aktiv
E-Mails, die über Datenpark-Server verschickt werden, sind automatisch mit dem passenden DKIM-Schlüssel signiert. Der entsprechende DNS-Eintrag ist auf den Nameservern von Datenpark ebenfalls automatisch hinterlegt und kann bei Bedarf bequem über den DNS-Manager in unserem Controlpanel überschrieben werden. Um den DKIM-Eintrag brauchen Sie sich übrigens nie zu kümmern. Datenpark ersetzt die Schlüssel regelmässig und passt dabei jeweils den DKIM-Eintrag im DNS an.