Wie helfen SPF und DKIM gegen Spam?

Der Anteil an Spam-Mails lag im April 2019 bei rund 54,8 Prozent. Alarmierende Zahlen für Newsletter-Versender. Damit Ihre E-Mails und Newsletter nicht dem Spam-Filter zum Opfer fallen, können Sie dank SPF und DKIM dafür sorgen, dass Sie als vertrauenswürdiger Versender eingestuft werden. Was Sie dafür tun müssen, erfahren Sie hier.

Können Sie verhindern, dass Ihre Absenderadresse gefälscht wird? Die ernüchternde Antwort lautet: nein. Jedenfalls nicht, bis der Gesetzgeber vorschreibt, dass E-Mails nur noch verschlüsselt und signiert versendet werden dürfen. Dennoch können Sie als Versender von Newslettern und werblichen E-Mails eigene Maßnahmen ergreifen, um Adressaten zu signalisieren, dass von Ihnen verschickte E-Mails vertrauenswürdig sind – SPF und DKIM machen es möglich. Das Grundprinzip ist einfach: Erreicht eine E-Mail einen Server, erfolgt zunächst eine Prüfung, ob die Nachricht tatsächlich von einem Server stammt, der berechtigt ist, unter der entsprechenden Domain E-Mails zu verschicken. Sollten Auffälligkeiten erkennbar sein, weist der Empfänger-Server die E-Mail ab.

Was ist SPF?

SPF (Sender Policy Framework) ist ein Spamschutz-Verfahren, das es erschwert, den Absender einer E-Mail zu fälschen: Der Absender einer E-Mail wird zur Authentifizierung aufgefordert.

SPF (Sender Policy Framework) ist ein Spamschutz-Verfahren,

Das SPF-Verfahren verhindert, dass der Versand von E-Mails über nicht legitimierte Mail Transfer Agents (MTAs) erfolgt. Hierfür trägt der Inhaber einer Domain in das Domain Name System (DNS) ein, welche Adressen von MTAs zum Versand von E-Mails für diese Domain berechtigt sind. In der Praxis funktioniert SPF so:

  • Das DNS sorgt dafür, dass die Anfrage nach einer URL, wie etwa www.ihreseite.de, an den richtigen Server weitergeleitet wird, der seinerseits unter einer IP-Adresse wie 190.0.2.42 erreichbar ist.
  • In jedem einzelnen DNS-Eintrag ist ein zusätzlicher Texteintrag hinterlegt, der angibt, welche Server E-Mails an welche Domain verschicken dürfen.
  • So kann jeder Server, der eine E-Mail erhält, einfach überprüfen, ob die entsprechende Nachricht von einem berechtigten MTA verschickt wurde.
  • E-Mails von nicht autorisierten MTAs werden über den SPF-Spamschutz identifiziert und als Spam markiert.

Was ist DKIM?

DKIM (DomainKeys Identified Mail) ist ein weiteres Identifikationsprotokoll zur Sicherstellung der Authentizität von E-Mail-Absendern.

DKIM DomainKeys Identified Mail

Als Ergänzung des SPF-Protokolls stellt DKIM sicher, dass es am Inhalt einer verschickten E-Mail keine Veränderungen gab, bis sie den Empfänger erreicht hat. Die Grundlage bildet, wie bei den meisten kryptografischen Verfahren, ein Schlüsselpaar, bestehend aus:

  • einem privaten Schlüssel und
  • einem öffentlichen Schlüssel

 

Mit dem privaten Schlüssel codiert der Absender seine Nachricht, indem der verschickende Server der E-Mail eine kryptografische Signatur anhängt. Daraufhin kann der Empfänger mit dem öffentlichen Schlüssel, der im DNS der Domäne verfügbar ist, überprüfen, ob die E-Mail tatsächlich vom genannten Empfänger stammt – nur dann passt der öffentliche Schlüssel. Zudem ist dieser nur dann in der Lage, eine E-Mail zu entschlüsseln, wenn sie auf ihrem Weg nicht verändert wurde. Die Signatur ist sozusagen eine digitale Unterschrift. Sie bestätigt, dass eine E-Mail tatsächlich vom angegebenen Server verschickt wurde und sich im Originalzustand befindet. Sollten beide Schlüssel nicht zusammenpassen, kann der empfangende MTA die Zustellung der jeweiligen E-Mail verweigern oder sie direkt aussortieren.

Noch sicherer wäre es, E-Mails komplett zu verschlüsseln. Da sich eine solche Vorgehensweise in der breiten Masse jedoch noch nicht durchgesetzt hat, wird sie nicht praktiziert.

Wie aber lässt sich sicherstellen, dass ein Betrüger die (verschlüsselte) digitale Unterschrift nicht einfach an eine beliebige andere E-Mail anhängt? Oder dass ein Phisher nicht zum Beispiel eine E-Mail, die er selbst von einer Bank bekommen hat, manipuliert, indem er seine eigene URL einträgt, um seine Opfer dorthin zu locken? Das Zauberwort lautet „Hash“.

Was ist ein Hash?

Der Hash bildet die Quersumme des Inhalts einer E-Mail.

Wörtlich bedeutet „hash“ so viel wie „das Gehackte“. Ein Hash sieht aus wie eine durch den Fleischwolf gedrehte Nachricht. Was bleibt, ist ein wilder Zeichensalat. Ändert man nur ein einziges Zeichen in der E-Mail, ändert sich der komplette Hash. Damit ist es für Betrüger praktisch unmöglich, den Text so zu manipulieren, dass er denselben Hash wie die Original-Nachricht hat. In der Praxis funktioniert das folgendermaßen:

  • Vor dem Versand errechnet der Mail-Server einen sogenannten Hashcode des E-Mail Inhalts und hängt diese digitale Signatur der Nachricht an.
  • Daraufhin decodiert der empfangende MTA zunächst die Signatur.
  • Dann entschlüsselt er die Absender-Domäne mit dem öffentlichen Schlüssel und berechnet einen neuen Hashcode.
  • Anschließend überprüft der MTA, ob der gelieferte entschlüsselte und der selbst berechnete Hashcode übereinstimmen.
  • Im Fall einer Übereinstimmung kann der Empfänger sicher sein, dass die entsprechende E-Mail tatsächlich von der angegebenen Domäne stammt.

Was ist DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) ist ein E-Mail-Authentifizierungs-, Richtlinien- und Berichtsprotokoll.

DMARC - Domain-based Message Authentication, Reporting & Conformance

DMARC gewährleistet eine noch größere Sicherheit, da SPF und DKIM miteinander kombiniert. So bieten einige Marketing-Automation-Plattformen, darunter auch Email-Marketing Software Evalanche, die Möglichkeit, SPF- und DKIM-Einträge zu nutzen. Der Vorteil: Die Zustellrate steigt deutlich an, weil weniger E-Mails als Spam markiert werden. Um die weitere Verbreitung des DKIM- und des SPF-Protokolls voranzutreiben, haben sich einige Unternehmen zur DMARC-Initiative zusammengeschlossen.

Als E-Mail-Authentifizierungs-, Richtlinien- und Berichtsprotokoll steht DMARC für Domain-based Message Authentication, Reporting & Conformance. Es basiert auf den bestehenden SPF- und DKIM-Protokollen und funktioniert folgendermaßen:

  • Das DMARC-Protokoll verknüpft den Domänennamen des Autors („From:“) mit veröffentlichten Richtlinien für die Behandlung von Authentifizierungsfehlern beim Empfänger und mit Berichten von Empfängern an die Absender.
  • Das erlaubt, eine Domäne vor betrügerischen E-Mails besser zu schützen und sie entsprechend zu überwachen.

Grenzen

DKIM und SPF haben natürlich auch Grenzen. Sollte der Rechner des tatsächlichen Absenders gehackt worden sein, sind beide Verfahren wirkungslos. Dann kann es passieren, dass Betrüger über die entsprechenden Hardware E-Mails verschicken, ohne dass es der Nutzer bemerkt. Das Fatale daran: Die Nachrichten sind mit seiner digitalen Unterschrift ganz korrekt signiert. Darum ist jeder User gefordert, für die Sicherheit seines Rechners zu sorgen.

 

JETZT KOSTENLOSES E-BOOK HERUNTERLADEN

Sie wollen mehr dazu erfahren, wie Sie vertrauenswürdige Emails und Newsletter verschicken können? Holen Sie sich jetzt das E-Book "E-Mail-Marketing und Lead Management rechtskonform gestalten" und erfahren Sie mehr zum Thema "Datenschutz beim Newsletterversand".

 

Jetzt herunterladen

Bildnachweis Titelbild u. Symbolbilder: © BillionPhotos.com – Fotolia.com

 

DKIM, SPF und was Sie gegen Spammer tun können

Jeder kennt die seltsamen eMails, die scheinbar von eigentlich vertrauenswürdigen Absendern stammen. Angebote für Online-Casinos, Medikamente oder Dating-Services etc.
Der Grund dafür ist, dass sich die Absenderadresse von Mails relativ einfach fälschen lässt.

Können Sie verhindern, dass auch Ihre Absenderadresse gefälscht wird? Die schnelle Antwort ist nein. Jedenfalls nicht, ohne dass sich alle auf verschlüsselten und signierten Mailversand einigen.

Sie können aber dennoch Schritte ergreifen, um zu signalisieren, dass die von Ihnen verschickten Mails vertrauenswürdig sind.

(mehr …)

Bitte bewerten Sie diesen Beitrag. Damit helfen Sie uns, die Qualität des Blogs zu verbessern.
1 Star / hat nicht geholfen2 Stars / hat kaum geholfen3 Stars / hat etwas geholfen4 Stars / hat gut geholfen5 Stars / hat sehr geholfen (4 Bewertungen, durchschnittlich: 5.00 von 5)
   
Loading...

Über den Autor:
Jens Jacobsen

Jens Jacobsen ist Gastautor für das Evalanche-Blog und arbeitet seit 1998 als Konzepter und Berater fürs Web. Er unterstützt etablierte Unternehmen wie auch Startups beim Erstellen von Websites, Apps und interaktiven Anwendungen. Sein Schwerpunkt liegt darauf, die Sicht der Kunden und Nutzer von Anfang an einzubringen.

Er befasst sich mit User und Customer Experience, untersucht Bedürfnisse, Erwartungen und Verhalten der Nutzer und optimiert mit diesem Wissen Bestellprozesse wie auch die gesamte digitale Kommunikation. Auch hilft er Unternehmen bei der Neukundengewinnung und Marketing Automation.

In seinen Büchern „Website-Konzeption“ (1. Auflage 2001, 8. Auflage 2016) und „Praxisbuch Usability & UX“ (2017) gibt er sein Wissen weiter, ebenso bei Coachings und Seminaren.

Alle Artikel des Autors
nach oben