SPF, DKIM und DMARC verstehen: Ein vollständiger Leitfaden
SPF, DKIM und DMARC sind wichtige E-Mail-Authentifizierungsprotokolle, die Ihre Domäne schützen und die Zustellbarkeit von E-Mails verbessern sollen. Diese Protokolle arbeiten zusammen, um die Identität des Absenders zu überprüfen und E-Mail-Spoofing zu verhindern. Dabei handelt es sich um eine weit verbreitete Cyberkriminalität, bei der sich böswillige Akteure als legitime Absender ausgeben, um Empfänger dazu zu verleiten, auf bösartige Links zu klicken oder Anhänge zu öffnen.
- Sender Policy Framework (SPF): Überprüft die IP-Adresse des Absenders, um sicherzustellen, dass dieser berechtigt ist, E-Mails im Namen Ihrer Domäne zu versenden.
- DomainKeys Identified Mail (DKIM): Fügt E-Mails eine digitale Signatur hinzu, die die Identität des Absenders verifiziert und eine Manipulation der Nachricht verhindert.
- Domänenbasierte Nachrichtenauthentifizierung, Berichterstattung und Konformität (DMARC): Bietet einen Richtlinienrahmen zur Durchsetzung von SPF- und DKIM-Prüfungen und zur Erstellung von Berichten über E-Mail-Authentifizierungsergebnisse.
Lassen Sie uns tief in das Verständnis von SPF, DKIM und DMARC eintauchen - die grundlegenden Elemente der E-Mail-Authentifizierung.
Verständnis der E-Mail-Authentifizierung
E-Mail-Authentifizierung ist der Prozess der Überprüfung der Legitimität von E-Mail-Quellen. Dies ist eine wesentliche Sicherheitsmaßnahme, die von Unternehmen ergriffen wird, um sicherzustellen, dass nur legitime Absender E-Mails im Namen ihrer Domäne versenden können. SPF, DKIM und DMARC bilden die Säulen der E-Mail-Authentifizierung, indem sie die Absender und den E-Mail-Inhalt überprüfen und festlegen, wie auf Nachrichten reagiert werden soll, die nicht authentifiziert wurden.
Die wachsende Bedrohung durch E-Mail-Spoofing
Unter E-Mail-Spoofing versteht man das Fälschen von Domänennamen und E-Mail-Adressen in böswilliger Absicht. Gefälschte E-Mails werden von Angreifern verschickt, die sich als seriöse Unternehmen ausgeben, um ahnungslose Opfer zu betrügen. Aus dem DBIR-Bericht von Verizon geht hervor, dass 94 % aller Cyberangriffe mit einer E-Mail beginnen! Dies unterstreicht die wachsende Bedrohung durch Spoofing und dessen Verbreitung.
Warum E-Mail-Authentifizierung wichtig ist
Die E-Mail-Authentifizierung ist die erste Verteidigungslinie gegen E-Mail-Spoofing. Durch die Überprüfung der Legitimität der Absender verhindert die Authentifizierung, dass gefälschte E-Mails zugestellt werden. Kunden haben nach der Implementierung von E-Mail-Authentifizierungsprotokollen einen Rückgang der Spoofing-Versuche von ihrer eigenen Domain um mehr als 90 % gemeldet.
Was sind SPF, DKIM und DMARC?
SPF, DKIM und DMARC sind E-Mail-Authentifizierungsprotokolle. Zusammen SPF, DMARC und DKIM verhindern, dass nicht autorisierte Quellen Ihre Domäne nutzen, um betrügerische E-Mails an Ihre Interessenten, Kunden, Mitarbeiter, Drittanbieter, Interessengruppen usw. zu senden. SPF und DKIM helfen dabei, die Legitimität der E-Mail nachzuweisen, während DMARC den E-Mail-Server des Empfängers anweist, was mit E-Mails zu tun ist, die die Authentifizierung prüft.
Die Rolle von SPF, DKIM und DMARC
Die E-Mail-Authentifizierung ist wichtig für den Schutz Ihrer Marke vor E-Mail-basierten Cyberangriffen, die mit Phishing- und Impersonationstechniken versucht werden. Die E-Mail-Authentifizierung beruht in erster Linie auf den Protokollen SPF, DKIM und DMARC sowie auf zusätzlichen Protokollen wie MTA-STS, BIMI und ARC, die Ihre Sicherheit noch weiter verbessern können! Im Folgenden erfahren Sie, warum Sie diese implementieren sollten:
- Sie stellen sicher, dass Ihr Domänenname nicht gefälscht und missbraucht werden kann.
- Sie helfen Ihnen, Phishing-, Spamming-, Ransomware-Angriffe usw. zu verhindern, die im Namen Ihres Unternehmens geplant und durchgeführt werden.
- Sie verbessern die E-Mail-Zustellbarkeitsrate Ihrer Domain. Eine schlechte E-Mail-Zustellbarkeitsrate wirkt sich auf die interne Kommunikation sowie auf Marketing- und PR-Kampagnen aus, Kundenbindungsrateusw.
Wo können Sie Ihre SPF-, DKIM- und DMARC-Einträge finden?
SPF-, DKIM- und DMARC-Einträge werden in Ihrem Domain Name System (DNS) gespeichert. Das DNS wird gemeinhin als das Telefonbuch des Internets bezeichnet, das Domänennamen in die entsprechenden IP-Adressen umwandelt. Das DNS wird als Datenbank für die Speicherung der Informationen Ihrer Domäne in Form von DNS-Einträgen verwendet.
SPF, DKIM und DMARC existieren als DNS-Einträge, die Sie veröffentlichen und in Ihrem DNS speichern können. Bei der Überprüfung der E-Mail-Authentifizierung fragen die empfangenden MTAs Ihr DNS ab, um diese Datensätze abzufragen und auf der Grundlage der darin definierten Anweisungen oder Informationen Maßnahmen zu ergreifen.
Wie richtet man SPF, DKIM und DMARC ein?
Befolgen Sie diese Anweisungen, um SPF, DKIM und DMARC zum Schutz Ihrer Domain und Ihrer E-Mails einzurichten.
- Erstellen Sie einen SPF DNS-Eintrag.
- Erstellen Sie Ihren öffentlichen DKIM-Schlüssel.
- Erstellen Sie Ihre DMARC-Richtlinie DMARC-Berichte erfassen und aktivieren
- Richten Sie eine spezielle Mailbox ein, um Ihre DMARC-Berichte zu erhalten, oder verwenden Sie eine Plattform zur Analyse von DMARC-Berichten.
- Veröffentlichen Sie Ihre SPF-, DKIM- und DMARC-Einträge im DNS
SPF: Verifizierung Ihrer E-Mail-Absender
Sender Policy Framework oder SPF ist ein E-Mail-Authentifizierungsprotokoll, bei dem Domänenbesitzer alle Server eintragen, die E-Mails über ihre Domäne versenden dürfen. Dies geschieht durch die Erstellung eines TXT SPF-Eintrag der im DNS veröffentlicht wird. Wenn die IP-Adresse eines Absenders nicht auf der Liste steht, schlägt die Authentifizierung fehl, und die E-Mail wird möglicherweise als Spam oder verdächtig eingestuft. SPF hat jedoch einige Beschränkungen: Es bricht zusammen, wenn eine Nachricht weitergeleitet wird oder das Limit von 10 DNS-Lookups überschritten wird.
Wenn Sie bereits einen SPF-Eintrag haben, können Sie unseren SPF-Datensatz-Prüfung verwenden, um sicherzustellen, dass er fehlerfrei ist.
SPF einrichten
- Identifizieren Sie alle Ihre E-Mail-Versandquellen (einschließlich Drittanbieter).
- Erstellen Sie einen SPF-Eintrag mit einem kostenlosen SPF-Generator Werkzeug. Der Eintrag sollte alle Ihre Sendequellen autorisieren.
- Kopieren Sie die Satzsyntax.
- Melden Sie sich bei Ihrer DNS-Verwaltungskonsole an.
- .fügen Sie den Eintrag in Ihren DNS-Eintragsbereich unter dem Ressourcentyp "TXT" ein.
Warten Sie ein paar Stunden, bis die Änderungen umgesetzt sind. Sobald dies geschehen ist, können Sie unsere SPF-Eintrag nachschlagen Werkzeug verwenden, um einen fehlerfreien Datensatz sicherzustellen.
Gemeinsame Herausforderungen mit SPF
Es gibt einige allgemeine Herausforderungen, denen sich Domänenbesitzer bei der SPF-Implementierung gegenübersehen. Sie sind wie folgt:
- Das Überschreiten des DNS-Lookup-Limits von 10 bricht SPF
- Das Überschreiten des Limits von 2 ungültigen Lookups kann SPF zerstören.
- SPF-Datensätze sind auf eine Länge von 255 Zeichen begrenzt.
- SPF schlägt bei weitergeleiteten Nachrichten fehl
Um diese Fehler zu beheben, sollten die SPF-Datensätze mit Makros optimiert werden, um unter den festgelegten Grenzen zu bleiben. Die Kombination von SPF mit DKIM und DMARC gewährleistet außerdem eine reibungslosere Authentifizierung und Zustellbarkeit.
DKIM: Schutz für Ihre E-Mail-Inhalte
DomainKeys Identified Mail oder DKIM ermöglicht es Domänenbesitzern, E-Mails, die von ihrer Domäne gesendet werden, automatisch zu signieren. DKIM funktioniert ähnlich wie die Unterzeichnung von Bankschecks, um deren Echtheit zu bestätigen. DKIM-Signaturen sorgen dafür, dass der Inhalt Ihrer E-Mails sicher und während des Zustellungsvorgangs unverändert bleibt.
Dabei wird ein öffentlicher Schlüssel in einem DKIM-DNS-Eintrag gespeichert. Der empfangende E-Mail-Server kann auf diesen Eintrag zugreifen, um den öffentlichen Schlüssel zu erhalten. Auf der anderen Seite gibt es einen privaten Schlüssel, der vom Absender geheim gehalten wird und mit dem er die Kopfzeile der E-Mail signiert. Die empfangenden Mailserver überprüfen den privaten Schlüssel des Absenders, indem sie ihn mit dem leicht zugänglichen öffentlichen Schlüssel vergleichen.
DKIM einrichten
- Sie können DKIM ganz einfach einrichten, indem Sie einen DKIM-Eintrag mit dem kostenlosen PowerDMARC DKIM-Datensatz-Generator.
- Geben Sie Ihren Domainnamen in die Toolbox ein und klicken Sie auf die Schaltfläche DKIM-Eintrag generieren Schaltfläche.
- Sie erhalten ein Paar von privaten und öffentlichen DKIM-Schlüsseln.
- Veröffentlichen Sie den öffentlichen Schlüssel im DNS Ihrer Domäne.
- Konfigurieren Sie Ihren Mailserver so, dass er den privaten DKIM-Schlüssel verwendet, um die Kopfzeilen aller ausgehenden E-Mails zu signieren. Dieser Signierungsprozess fügt jeder E-Mail eine DKIM-Signatur hinzu, die von den Mailservern der Empfänger anhand des entsprechenden öffentlichen DKIM-Schlüssels, der in Ihrem DNS veröffentlicht ist, überprüft wird. Achten Sie darauf, Ihren privaten Schlüssel sicher aufzubewahren und ihn nicht zu veröffentlichen oder weiterzugeben.
Überprüfen Sie schließlich Ihren öffentlichen DKIM-Schlüssel mit einer DKIM-Überprüfung Tool, um sicherzustellen, dass er korrekt ist.
Vorteile von DKIM
DKIM hat mehrere Vorteile bei der E-Mail-Authentifizierung. Im Folgenden sind einige aufgeführt:
- DKIM authentifiziert weitergeleitete Nachrichten in den meisten Fällen ordnungsgemäß.
- DKIM verhindert, dass Cyber-Angreifer den Inhalt von E-Mails verändern.
- Mit DKIM kann jede Domäne ihre eigenen öffentlich-privaten Schlüsselpaare unabhängig verwalten, wodurch Unternehmen eine genauere Kontrolle über ihre E-Mail-Sicherheit erhalten.
DMARC: Verhinderung von E-Mail-Phishing und Spoofing
Domänenbasierte Nachrichtenauthentifizierung, Berichterstattung und Konformität oder DMARC weist den Server des Empfängers an, wie er mit E-Mails verfahren soll, die SPF, DKIM oder beides nicht erfüllen. Die vom Empfänger ergriffene Maßnahme hängt von der vom Absender konfigurierten DMARC-Richtlinie ab - keine, Quarantäne oder Zurückweisung.
DMARC-Richtlinien werden in einem DMARC-Eintrag festgelegt, in dem auch Anweisungen zum Senden von Berichten an Domänenadministratoren über alle E-Mails, die die Validierungsprüfungen bestanden oder nicht bestanden haben, gespeichert sind. Wenn Sie bereits eine DMARC-Richtlinieverwenden Sie unser kostenloses Tool zum Nachschlagen von DMARC-Einträgen um zu überprüfen, ob sie korrekt ist.
DMARC einrichten
- Sie können Ihren DMARC-Eintrag mit einem kostenlosen DMARC-Generator.
- Wählen Sie Ihre DMARC-Richtlinie (z. B. p=quarantine) und aktivieren Sie die DMARC-Berichterstattung, indem Sie eine E-Mail-Adresse im "rua"-Tag definieren (z. B. rua=mailto:[email protected]).
- Klicken Sie auf Erzeugen.
- Kopieren Sie den TXT-Eintrag in die Zwischenablage und fügen Sie ihn in Ihren DNS ein, um das Protokoll zu aktivieren.
Überprüfen Sie Ihre DMARC-Implementierung mit einem DMARC-Prüfer um Ihre Konfigurationen zu validieren.
DMARC-Durchsetzungsrichtlinien und -maßnahmen
Es gibt 3 Arten von DMARC-Richtlinien, die Domänenbesitzer konfigurieren können, um Maßnahmen gegen nicht authentifizierte E-Mails zu ergreifen. Sie lauten wie folgt:
- Keine: Die mit p=none bezeichnete none-Richtlinie ist eine Nicht-Aktions-Richtlinie, die unauthentifizierte Nachrichten zustellt, ohne Maßnahmen gegen sie zu ergreifen. Sie ist am besten für Anfänger geeignet.
- Quarantäne: Die mit p=quarantine bezeichnete Quarantäne-Richtlinie ist eine erzwungene DMARC-Richtlinie, die nicht authentifizierte E-Mails unter Quarantäne stellt.
- Ablehnen: Die mit p=reject bezeichnete Ablehnungsrichtlinie ist eine maximale Durchsetzungsrichtlinie für DMARC, die nicht authentifizierte Nachrichten ablehnt.
Ihre DMARC-Richtlinie spielen eine wichtige Rolle bei der Abwehr von E-Mail-Bedrohungen. Mit durchgesetzten Richtlinien sind Domaininhaber besser vor Spoofing- und Phishing-Angriffen geschützt.
Erweiterte E-Mail-Authentifizierungstechniken
Die E-Mail-Authentifizierung endet nicht bei SPF, DKIM und DMARC. Um Ihre Domänen- und E-Mail-Sicherheit weiter zu verbessern, können Sie fortgeschrittene Authentifizierungstechniken einsetzen. Lassen Sie uns einige von ihnen besprechen:
MTA-STS, BIMI und ARC
Das MTA-STS-Protokoll zur Authentifizierung gewährleistet die TLS-verschlüsselte Zustellung von E-Mail-Nachrichten in Ihrem Posteingang. Es verhindert Man-the-Middle- und DNS-Spoofing-Angriffe, indem es eine verschlüsselte SMTP-Verbindung zwischen kommunizierenden E-Mail-Servern aushandelt.
BIMI, oder Brand Indicators for Message Identification, hilft Unternehmen, ihre Markenlogos an E-Mails anzubringen. Sie dienen der visuellen Überprüfung und Authentifizierung und verbessern die Erinnerung an die Marke und die Glaubwürdigkeit.
ARC (Authenticated Received Chain) schafft einen Fallback-Mechanismus bei der E-Mail-Weiterleitung, indem es hilft, die ursprünglichen SPF- und DKIM-Authentifizierungs-Header zu erhalten. Dies verhindert unnötige Authentifizierungsfehler bei weitergeleiteten Nachrichten.
Wann sollten diese Techniken eingesetzt werden?
Sie können diese Techniken in Phase 2 Ihrer E-Mail-Authentifizierung implementieren, sobald Sie mit Ihrer SPF-, DKIM- und DMARC-Einrichtung vertraut sind.
Diese fortgeschrittenen Konfigurationen sind ideal für alle Unternehmen, die die Glaubwürdigkeit ihrer Marke stärken und ihre E-Mail-Reputation weiter verbessern möchten. Sie bieten zusätzliche Sicherheit zu einer grundlegenden Authentifizierungseinrichtung - so sind Sie besser gegen ausgeklügelte Cyberangriffe gewappnet.
Implementierung und Pflege Ihrer E-Mail-Authentifizierungseinrichtung
Nachdem Sie Ihre SPF-, DKIM- und DMARC-Protokolle implementiert haben, ist es nun an der Zeit, sie zu überwachen und zu pflegen, um sicherzustellen, dass alles ordnungsgemäß funktioniert. Hier sind einige Möglichkeiten, wie Sie Ihre Authentifizierungseinrichtung pflegen können:
Verwendung von Überwachungsinstrumenten
DMARC-Überwachung Tools sind Cloud-basierte, KI-gestützte Plattformen, die eine sofortige und einfache Überwachung Ihrer E-Mail-Authentifizierungsimplementierungen über eine einzige Schnittstelle ermöglichen.
DMARC-Berichte auswerten
Die Analyse Ihrer DMARC-Berichte kann eine Fülle von Informationen über SPF-, DKIM- und DMARC-Authentifizierungsergebnisse und die Sendequellen Ihrer Domain liefern. Dies kann helfen, Unstimmigkeiten zu erkennen und Spoofing-Versuche zu verhindern.
Regelmäßige Updates und Wartung
Es ist wichtig, dass Sie Ihre SPF-, DKIM- und DMARC-Richtlinien sowie die erweiterten Authentifizierungsverfahren regelmäßig überprüfen, um sicherzustellen, dass sie ordnungsgemäß funktionieren. SPF muss möglicherweise regelmäßig aktualisiert werden, um neue Sendequellen einzubeziehen, DKIM-Schlüssel müssen zur Verbesserung der Sicherheit häufig ausgetauscht werden, und DMARC-Richtlinien müssen durchgesetzt werden, um Cyberangriffe zu verhindern. Ohne Aktualisierungen oder ordnungsgemäße Wartung können Ihre Implementierungen unwirksam werden.
Einpacken
Sobald Sie DKIM, SPF und DMARC für Ihre Domain eingerichtet haben, müssen Sie mit der Überwachung Ihrer Berichte beginnen, um verdächtige Aktivitäten zu erkennen. Wenn Sie diese Protokolle richtig konfigurieren und verwalten, können Sie die Sicherheit und Zustellbarkeit Ihrer Domäne erheblich verbessern.
Denken Sie daran, dass diese Authentifizierungsprotokolle zusammen das Phishing-Risiko verringern können, aber sie schützen nicht vor jeglicher E-Mail-basierter Cyberkriminalität. Daher ist es wichtig, die Mitarbeiter entsprechend zu schulen und zu sensibilisieren.
Allgemeine Fragen zu SPF, DKIM und DMARC
Kann ich DMARC erstellen, wenn SPF und DKIM nicht hinzugefügt wurden?
Die Antwort lautet nein. Um DMARC einzurichten, muss entweder SPF oder DKIM zuerst implementiert werden. Ohne SPF oder DKIM wird Ihre DMARC-Konfiguration nicht funktionieren.
Sind für DMARC sowohl SPF als auch DKIM erforderlich?
DMARC erfordert nicht sowohl SPF als auch DKIM. Jedes der beiden Protokolle kann vor der Einrichtung von DMARC eingerichtet werden. Wir empfehlen jedoch, beide zu implementieren, um die Sicherheit zu erhöhen.
Verwendet Google Mail SPF oder DKIM?
Ja. Die aktualisierten Absenderrichtlinien von Google Mail verlangen von allen Absendern, dass sie entweder SPF oder DKIM implementieren, um E-Mails erfolgreich an Google Mail-Postfächer zu senden.
Kann eine Domäne 2 DKIM-Einträge haben?
Eine Domäne kann 2 oder mehr DKIM-Einträge mit unterschiedlichen Selektoren haben, so dass empfangende Server den richtigen DKIM-Eintrag während der Authentifizierung leicht finden können.
Woher weiß ich, dass DMARC, DKIM und SPF aktiviert sind?
Um herauszufinden, ob DMARC, DKIM und SPF für Ihre Domain aktiviert sind, können Sie unsere Tools zur Überprüfung von DNS-Einträgen in Powertoolbox verwenden oder Ihre E-Mail-Header analysieren.
- 5 Arten von Sozialversicherungs-E-Mail-Betrug und wie man sie verhindern kann - 3. Oktober 2024
- PowerDMARC erhält das 2024 G2 Fall Leader Badge für DMARC-Software - 27. September 2024
- 8 sichere E-Mail-Marketing-Tipps für Online-Unternehmen - 25. September 2024