SPF, DKIM und DMARC verstehen: Ein vollständiger Leitfaden

Blog

Schützen Sie Ihre E-Mail-Kommunikation mit SPF, DKIM und DMARC. Schützen Sie sich vor E-Mail-Spoofing und sorgen Sie für sichere, vertrauenswürdige Interaktionen. Starten Sie noch heute!

von Ahona Rudra

Lesezeit: 9 min
SPF, DKIM und DMARC verstehen: Ein vollständiger Leitfaden
Inhaltsverzeichnis-

Was sind SPF, DKIM und DMARC?

SPF, DKIM und DMARC sind die drei wichtigsten E-Mail-Authentifizierungsprotokolle. SPF, DMARC und DKIM verhindern gemeinsam, dass unbefugte Quellen Ihre Domäne nutzen, um betrügerische E-Mails an Ihre Interessenten, Kunden, Mitarbeiter, Drittanbieter, Interessengruppen usw. zu senden. SPF und DKIM helfen dabei, die Legitimität der E-Mail nachzuweisen, während DMARC den E-Mail-Server des Empfängers anweist, was mit E-Mails zu tun ist, die die Authentifizierungsprüfungen nicht bestehen.

  • Sender Policy Framework (SPF): Überprüft die IP-Adresse des Absenders, um sicherzustellen, dass dieser berechtigt ist, E-Mails im Namen Ihrer Domäne zu versenden.
  • DomainKeys Identified Mail (DKIM): Fügt E-Mails eine digitale Signatur hinzu, die die Identität des Absenders verifiziert und eine Manipulation der Nachricht verhindert.
  • Domänenbasierte Nachrichtenauthentifizierung, Berichterstattung und Konformität (DMARC): Bietet einen Richtlinienrahmen zur Durchsetzung von SPF- und DKIM-Prüfungen und zur Erstellung von Berichten über E-Mail-Authentifizierungsergebnisse.

Wichtigste Erkenntnisse

  1. SPF, DKIM und DMARC sind wichtige Protokolle, die zusammenarbeiten, um die E-Mail-Sicherheit zu verbessern und die unbefugte Nutzung Ihrer Domain zu verhindern.
  2. Die E-Mail-Authentifizierung ist von entscheidender Bedeutung für den Schutz vor Phishing und Spoofing, die einen erheblichen Anteil an Cyberangriffen ausmachen.
  3. Die Implementierung dieser Protokolle kann zu einem deutlichen Rückgang der Spoofing-Versuche führen und so die allgemeine Sicherheit Ihrer Domain verbessern.
  4. Die Pflege und regelmäßige Aktualisierung Ihrer SPF-, DKIM- und DMARC-Einstellungen gewährleistet einen wirksamen Schutz Ihrer E-Mail-Kommunikation.
  5. Fortgeschrittene Techniken wie MTA-STS und BIMI können Ihre E-Mail-Authentifizierungsstrategie weiter stärken, indem sie die Sicherheit und die Sichtbarkeit der Marke erhöhen.


Verständnis der E-Mail-Authentifizierung

E-Mail-Authentifizierung ist der Prozess der Überprüfung der Legitimität von E-Mail-Quellen. Dies ist eine wesentliche Sicherheitsmaßnahme, die von Unternehmen ergriffen wird, um sicherzustellen, dass nur legitime Absender E-Mails im Namen ihrer Domäne versenden können. SPF, DKIM und DMARC bilden die Säulen der E-Mail-Authentifizierung, indem sie die Absender und den E-Mail-Inhalt überprüfen und festlegen, wie auf Nachrichten reagiert werden soll, die nicht authentifiziert wurden.

Aus dem DBIR-Bericht von Verizon geht hervor, dass 94 % aller Cyberangriffe mit einer E-Mail beginnen! Dies unterstreicht die wachsende Bedrohung durch Spoofing und seine Ausbreitung. 

Warum E-Mail-Authentifizierung wichtig ist

Die E-Mail-Authentifizierung ist die erste Verteidigungslinie gegen E-Mail-Spoofing. Unter E-Mail-Spoofing versteht man das Fälschen von Domänennamen und E-Mail-Adressen in böswilliger Absicht. Gefälschte E-Mails werden von Angreifern verschickt, die sich als seriöse Unternehmen ausgeben, um ahnungslose Opfer zu betrügen. Durch die Überprüfung der Legitimität der Absender verhindert die Authentifizierung, dass gefälschte E-Mails zugestellt werden. Kunden haben berichtet, dass die Zahl der Spoofing-Versuche von ihrer eigenen Domäne aus nach der Implementierung von E-Mail-Authentifizierungsprotokollen um mehr als 90 % zurückgegangen ist. 

Die Rolle von SPF, DKIM und DMARC

Die E-Mail-Authentifizierung ist wichtig für den Schutz Ihrer Marke vor E-Mail-basierten Cyberangriffen, die mit Phishing- und Impersonationstechniken versucht werden. Die E-Mail-Authentifizierung beruht in erster Linie auf den Protokollen SPF, DKIM und DMARC sowie auf zusätzlichen Protokollen wie MTA-STS, BIMI und ARC, die Ihre Sicherheit noch weiter verbessern können! Im Folgenden erfahren Sie, warum Sie diese implementieren sollten:

  • Sie stellen sicher, dass Ihr Domänenname nicht gefälscht und missbraucht werden kann.
  • Sie helfen Ihnen, Phishing-, Spamming-, Ransomware-Angriffe usw. zu verhindern, die im Namen Ihres Unternehmens geplant und durchgeführt werden.
  • Sie verbessern die E-Mail-Zustellbarkeitsrate Ihrer Domain. Eine schlechte E-Mail-Zustellbarkeitsrate wirkt sich auf die interne Kommunikation sowie auf Marketing- und PR-Kampagnen aus, Kundenbindungsrateusw.

Vereinfachen Sie die E-Mail-Authentifizierung mit PowerDMARC!

15-Tage-TestDemo buchen

Wo können Sie eine SPF-, DKIM- und DMARC-Prüfung durchführen?

SPF-, DKIM- und DMARC-Kontrollen können durchgeführt werden, indem überprüft wird, ob die Einträge in Ihrem Domain Name System (DNS) gespeichert sind. Das DNS wird gemeinhin als das Telefonbuch des Internets bezeichnet, das Domänennamen in die entsprechenden IP-Adressen umwandelt. Das DNS wird als Datenbank für die Speicherung der Informationen Ihrer Domäne in Form von DNS-Einträgen verwendet. 

Eine SPF-, DKIM- und DMARC-Prüfung dient der Überprüfung vorhandener DNS-Einträge, die Sie veröffentlichen und in Ihrem DNS speichern können. Bei der Überprüfung der E-Mail-Authentifizierung fragen die empfangenden MTAs Ihr DNS ab, um diese Einträge zu prüfen und auf der Grundlage der darin definierten Anweisungen oder Informationen Maßnahmen zu ergreifen. Mit dem kostenlosen SPF-Record-Checker, DKIM-Record-Checker und DMARC-Record-Checker von PowerDMARC können Sie sofort feststellen, ob Ihr DNS diese Einträge enthält!

Wie richtet man SPF, DKIM und DMARC ein?

Befolgen Sie diese Anweisungen, um SPF, DKIM und DMARC zum Schutz Ihrer Domain und Ihrer E-Mails einzurichten.

  1. Erstellen Sie einen SPF DNS-Eintrag.
  2. Erstellen Sie Ihren öffentlichen DKIM-Schlüssel.
  3. Erstellen Sie Ihre DMARC-Richtlinie DMARC-Berichte erfassen und aktivieren
  4. Richten Sie eine spezielle Mailbox ein, um Ihre DMARC-Berichte zu erhalten, oder verwenden Sie eine Plattform zur Analyse von DMARC-Berichten.
  5. Veröffentlichen Sie Ihre SPF-, DKIM- und DMARC-Einträge im DNS

SPF: Verifizierung Ihrer E-Mail-Absender

Sender Policy Framework oder SPF ist ein E-Mail-Authentifizierungsprotokoll, bei dem Domänenbesitzer alle Server eintragen, die E-Mails über ihre Domäne versenden dürfen. Dies geschieht durch die Erstellung eines TXT SPF-Eintrag der im DNS veröffentlicht wird. Wenn die IP-Adresse eines Absenders nicht auf der Liste steht, schlägt die Authentifizierung fehl, und die E-Mail wird möglicherweise als Spam oder verdächtig eingestuft. SPF hat jedoch einige Beschränkungen: Es bricht zusammen, wenn eine Nachricht weitergeleitet wird oder das Limit von 10 DNS-Lookups überschritten wird.

Wenn Sie bereits einen SPF-Eintrag haben, können Sie unseren SPF-Datensatz-Prüfung verwenden, um sicherzustellen, dass er fehlerfrei ist.

SPF einrichten 

  1. Identifizieren Sie alle Ihre E-Mail-Versandquellen (einschließlich Drittanbieter).
  2. Erstellen Sie einen SPF-Eintrag mit einem kostenlosen SPF-Generator Werkzeug. Der Eintrag sollte alle Ihre Sendequellen autorisieren.
  3. Kopieren Sie die Satzsyntax.
  4. Melden Sie sich bei Ihrer DNS-Verwaltungskonsole an.
  5. .fügen Sie den Eintrag in Ihren DNS-Eintragsbereich unter dem Ressourcentyp "TXT" ein.

Warten Sie ein paar Stunden, bis die Änderungen umgesetzt sind. Sobald dies geschehen ist, können Sie unsere SPF-Eintrag nachschlagen Werkzeug verwenden, um einen fehlerfreien Datensatz sicherzustellen.

Gemeinsame Herausforderungen mit SPF

Wenn man sich mit den Herausforderungen von SPF, DKIM und DMARC befasst, sollte man wissen, dass es einige allgemeine Herausforderungen gibt, denen sich Domaininhaber speziell bei der Implementierung von SPF gegenübersehen. Diese sind wie folgt: 

  • Das Überschreiten des DNS-Lookup-Limits von 10 bricht SPF
  • Das Überschreiten des Limits von 2 ungültigen Lookups kann SPF zerstören.
  • SPF-Datensätze sind auf eine Länge von 255 Zeichen begrenzt. 
  • SPF schlägt bei weitergeleiteten Nachrichten fehl 

Um diese Fehler zu beheben, sollten die SPF-Datensätze mit Makros optimiert werden, um unter den festgelegten Grenzen zu bleiben. Die Kombination von SPF mit DKIM und DMARC gewährleistet außerdem eine reibungslosere Authentifizierung und Zustellbarkeit.

DKIM: Schutz für Ihre E-Mail-Inhalte

DomainKeys Identified Mail oder DKIM ermöglicht es Domänenbesitzern, E-Mails, die von ihrer Domäne gesendet werden, automatisch zu signieren. DKIM funktioniert ähnlich wie die Unterzeichnung von Bankschecks, um deren Echtheit zu bestätigen. DKIM-Signaturen sorgen dafür, dass der Inhalt Ihrer E-Mails sicher und während des Zustellungsvorgangs unverändert bleibt.

Dabei wird ein öffentlicher Schlüssel in einem DKIM-DNS-Eintrag gespeichert. Der empfangende E-Mail-Server kann auf diesen Eintrag zugreifen, um den öffentlichen Schlüssel zu erhalten. Auf der anderen Seite gibt es einen privaten Schlüssel, der vom Absender geheim gehalten wird und mit dem er die Kopfzeile der E-Mail signiert. Die empfangenden Mailserver überprüfen den privaten Schlüssel des Absenders, indem sie ihn mit dem leicht zugänglichen öffentlichen Schlüssel vergleichen.

DKIM einrichten 

  1. Sie können DKIM ganz einfach einrichten, indem Sie einen DKIM-Eintrag mit dem kostenlosen PowerDMARC DKIM-Datensatz-Generator.
  2. Geben Sie Ihren Domainnamen in die Toolbox ein und klicken Sie auf die Schaltfläche DKIM-Eintrag generieren Schaltfläche.
  3. Sie erhalten ein Paar von privaten und öffentlichen DKIM-Schlüsseln. 
  4. Veröffentlichen Sie den öffentlichen Schlüssel im DNS Ihrer Domäne.
  5. Konfigurieren Sie Ihren E-Mail-Server so, dass er den privaten DKIM-Schlüssel verwendet, um die Kopfzeilen aller ausgehenden E-Mails zu signieren. Dieser Signierungsprozess fügt jeder E-Mail eine DKIM-Signatur hinzu, die von den Mailservern der Empfänger anhand des entsprechenden öffentlichen DKIM-Schlüssels, der in Ihrem DNS veröffentlicht ist, überprüft wird. Achten Sie darauf, Ihren privaten Schlüssel sicher aufzubewahren und ihn nicht zu veröffentlichen oder weiterzugeben. 

Überprüfen Sie schließlich Ihren öffentlichen DKIM-Schlüssel mit einer DKIM-Überprüfung Tool, um sicherzustellen, dass er korrekt ist.

Vorteile von DKIM

Bei der Hinzufügung der SPF-, DKIM- und DMARC-Authentifizierung bietet DKIM mehrere Vorteile für die E-Mail-Authentifizierung:

  • DKIM authentifiziert weitergeleitete Nachrichten in den meisten Fällen ordnungsgemäß. 
  • DKIM verhindert, dass Cyber-Angreifer den Inhalt von E-Mails verändern.
  • Mit DKIM kann jede Domäne ihre eigenen Schlüsselpaare aus öffentlichem und privatem Schlüssel unabhängig voneinander verwalten, wodurch Unternehmen eine genauere Kontrolle über ihre E-Mail-Sicherheit erhalten.

DMARC: Verhinderung von E-Mail-Phishing und Spoofing

Domänenbasierte Nachrichtenauthentifizierung, Berichterstattung und Konformität oder DMARC weist den Server des Empfängers an, wie er mit E-Mails verfahren soll, die SPF, DKIM oder beides nicht erfüllen. Die vom Empfänger ergriffene Maßnahme hängt von der vom Absender konfigurierten DMARC-Richtlinie ab - keine, Quarantäne oder Zurückweisung.

DMARC-Richtlinien werden in einem DMARC-Eintrag festgelegt, in dem auch Anweisungen zum Senden von Berichten an Domänenadministratoren über alle E-Mails, die die Validierungsprüfungen bestanden oder nicht bestanden haben, gespeichert sind. Wenn Sie bereits eine DMARC-Richtlinieverwenden Sie unser kostenloses Tool zum Nachschlagen von DMARC-Einträgen um zu überprüfen, ob sie korrekt ist.

DMARC einrichten

  1. Sie können Ihren DMARC-Eintrag mit einem kostenlosen DMARC-Generator.
  2. Wählen Sie Ihre DMARC-Richtlinie (z. B. p=quarantine) und aktivieren Sie die DMARC-Berichterstattung, indem Sie eine E-Mail-Adresse im "rua"-Tag definieren (z. B. rua=mailto:[email protected]).
  3. Klicken Sie auf Erzeugen.
  4. Kopieren Sie den TXT-Eintrag in die Zwischenablage und fügen Sie ihn in Ihren DNS ein, um das Protokoll zu aktivieren.

Überprüfen Sie Ihre DMARC-Implementierung mit einem DMARC-Prüfer um Ihre Konfigurationen zu validieren.

DMARC-Datensatz-Generator

DMARC-Durchsetzungsrichtlinien und -maßnahmen

Es gibt 3 Arten von DMARC-Richtlinien, die Domänenbesitzer konfigurieren können, um Maßnahmen gegen nicht authentifizierte E-Mails zu ergreifen. Sie lauten wie folgt: 

  1. Keine: Die mit p=none bezeichnete none-Richtlinie ist eine Nicht-Aktions-Richtlinie, die unauthentifizierte Nachrichten zustellt, ohne Maßnahmen gegen sie zu ergreifen. Sie ist am besten für Anfänger geeignet.
  2. Quarantäne: Die mit p=quarantine bezeichnete Quarantäne-Richtlinie ist eine erzwungene DMARC-Richtlinie, die nicht authentifizierte E-Mails unter Quarantäne stellt.
  3. Ablehnen: Die mit p=reject bezeichnete Ablehnungsrichtlinie ist eine maximale Durchsetzungsrichtlinie für DMARC, die nicht authentifizierte Nachrichten ablehnt.

Ihre DMARC-Richtlinie spielen eine wichtige Rolle bei der Abwehr von E-Mail-Bedrohungen. Mit durchgesetzten Richtlinien sind Domaininhaber besser vor Spoofing- und Phishing-Angriffen geschützt.

Erweiterte E-Mail-Authentifizierungstechniken

Die E-Mail-Authentifizierung endet nicht bei SPF, DKIM und DMARC. Um Ihre Domänen- und E-Mail-Sicherheit weiter zu verbessern, können Sie fortgeschrittene Authentifizierungstechniken einsetzen. Lassen Sie uns einige von ihnen besprechen: 

MTA-STS, BIMI und ARC

Das MTA-STS-Protokoll zur Authentifizierung gewährleistet die TLS-verschlüsselte Zustellung von E-Mail-Nachrichten in Ihrem Posteingang. Es verhindert Man-the-Middle- und DNS-Spoofing-Angriffe, indem es eine verschlüsselte SMTP-Verbindung zwischen kommunizierenden E-Mail-Servern aushandelt. 

BIMI, oder Brand Indicators for Message Identification, hilft Unternehmen, ihre Markenlogos an E-Mails anzubringen. Sie dienen der visuellen Überprüfung und Authentifizierung und verbessern die Erinnerung an die Marke und die Glaubwürdigkeit. 

ARC(Authenticated Received Chain) schafft einen Fallback-Mechanismus bei der E-Mail-Weiterleitung, indem es hilft, die ursprünglichen SPF- und DKIM-Authentifizierungs-Header zu erhalten. Dies verhindert unnötige Authentifizierungsfehler bei weitergeleiteten Nachrichten. 

Wann sollten diese Techniken eingesetzt werden?

Sobald Sie sich mit Ihrer DMARC-Einrichtungkönnen Sie diese Techniken in Phase 2 Ihrer E-Mail-Authentifizierungsreise implementieren.

Diese fortgeschrittenen Konfigurationen sind ideal für alle Unternehmen, die die Glaubwürdigkeit ihrer Marke stärken und ihre E-Mail-Reputation weiter verbessern möchten. Sie bieten zusätzliche Sicherheit zu einer grundlegenden Authentifizierungseinrichtung - so sind Sie besser gegen ausgeklügelte Cyberangriffe gewappnet. 

Implementierung und Pflege Ihrer E-Mail-Authentifizierungseinrichtung

Nachdem Sie Ihre SPF-, DKIM- und DMARC-Protokolle implementiert haben, ist es nun an der Zeit, sie zu überwachen und zu pflegen, um sicherzustellen, dass alles ordnungsgemäß funktioniert. Hier sind einige Möglichkeiten, wie Sie Ihre Authentifizierungseinrichtung pflegen können: 

Verwendung von Überwachungsinstrumenten

DMARC-Überwachung Tools sind Cloud-basierte, KI-gestützte Plattformen, die eine sofortige und einfache Überwachung Ihrer E-Mail-Authentifizierungsimplementierungen über eine einzige Schnittstelle ermöglichen.

DMARC-Berichte auswerten

Die Analyse Ihrer DMARC-Berichte kann eine Fülle von Informationen über die Ergebnisse der E-Mail-Authentifizierung und die Sendequellen Ihrer Domain liefern. Dies kann helfen, Unstimmigkeiten zu erkennen und Spoofing-Versuche zu verhindern. 

Regelmäßige Updates und Wartung

Es ist wichtig, dass Sie Ihre SPF-, DKIM- und DMARC-Richtlinien sowie die erweiterten Authentifizierungsverfahren regelmäßig überprüfen, um sicherzustellen, dass sie ordnungsgemäß funktionieren. SPF muss möglicherweise regelmäßig aktualisiert werden, um neue Sendequellen einzubeziehen, DKIM-Schlüssel müssen zur Verbesserung der Sicherheit häufig ausgetauscht werden, und DMARC-Richtlinien müssen durchgesetzt werden, um Cyberangriffe zu verhindern. Ohne Aktualisierungen oder ordnungsgemäße Wartung können Ihre Implementierungen unwirksam werden. 

Einpacken

Sobald Sie diese Sicherheitsprotokolle für Ihre Domain eingerichtet haben, müssen Sie damit beginnen, Ihre Berichte zu überwachen, um verdächtige Aktivitäten zu erkennen. Wenn Sie diese Protokolle richtig konfigurieren und verwalten, können Sie die Sicherheit und Zustellbarkeit Ihrer Domäne erheblich verbessern. 

Denken Sie daran, dass diese Authentifizierungsprotokolle zusammen das Phishing-Risiko verringern können, aber sie schützen nicht vor jeglicher E-Mail-basierter Cyberkriminalität. Daher ist es wichtig, die Mitarbeiter entsprechend zu schulen und zu sensibilisieren.

Allgemeine Fragen zu SPF, DKIM und DMARC

Kann ich DMARC ohne SPF und DKIM erstellen?

Die Antwort lautet nein. Um DMARC einzurichten, muss entweder SPF oder DKIM zuerst implementiert werden. Ohne SPF oder DKIM wird Ihre DMARC-Konfiguration nicht funktionieren.

Sind für DMARC sowohl SPF als auch DKIM erforderlich? 

DMARC erfordert nicht sowohl SPF als auch DKIM. Jedes der beiden Protokolle kann vor der Einrichtung von DMARC eingerichtet werden. Wir empfehlen jedoch, beide zu implementieren, um die Sicherheit zu erhöhen.

Verwendet Google Mail SPF oder DKIM?

Ja. Die aktualisierten Absenderrichtlinien von Google Mail verlangen von allen Absendern, dass sie entweder SPF oder DKIM implementieren, um E-Mails erfolgreich an Google Mail-Postfächer zu senden.

Kann eine Domäne 2 DKIM-Einträge haben?

Eine Domäne kann 2 oder mehr DKIM-Einträge mit unterschiedlichen Selektoren haben, so dass empfangende Server den richtigen DKIM-Eintrag während der Authentifizierung leicht finden können.

Wie kann ich feststellen, ob die Protokolle aktiviert sind?

Um herauszufinden, ob Ihre Authentifizierungsprotokolle für Ihre Domäne aktiviert sind, können Sie unsere Tools zur Überprüfung von DNS-Einträgen in Powertoolbox verwenden oder Ihre E-Mail-Header analysieren.

Neueste Beiträge von Ahona Rudra (alle anzeigen)
Die größten Computer-Sicherheitsrisiken und wie man sich schützen kannComputersicherheitsrisikenWas ist Defense in Depth Security_?Was ist Defense in Depth Security?