DMARC ohne DKIM

Die Antwort lautet: Ja, Sie können DMARC ohne DKIM konfigurieren.

Aber ist es eine gute Idee, dies zu tun?

Dieser Artikel geht dieser Frage nach. Und erörtert die Folgen der Konfiguration von DMARC ohne DKIM.

Verstehen der DMARC-Authentifizierungsstandards

DMARC ist ein Protokoll, mit dem Sie E-Mail-Nachrichten von Ihrer Domäne authentifizieren können. Es verwendet eine Reihe von Regeln, um festzustellen, ob eine E-Mail-Nachricht legitim ist oder nicht.

SPF und DKIM sind zwei weitere Protokolle, die im Rahmen von DMARC zur Authentifizierung verwendet werden.

SPF ist ein Akronym für Sender Policy Framework - es legt fest, wie E-Mail-Anbieter die Identität von Absendern überprüfen und Spam-Nachrichten blockieren können.

DKIM ist ein Akronym für DomainKeys Identified Mail. Die Nachricht wird beim Versand verschlüsselt und beim Eintreffen auf dem Zielserver mit Hilfe von Public-Key-Kryptographie erneut signiert.

DMARC, SPF und DKIM - bilden zusammen die drei Säulen der E-Mail-Authentifizierung. Sie gewährleisten, dass Ihre E-Mails nicht gefälscht, manipuliert oder von Dritten gehackt werden.

DMARC-Bewertungsalgorithmus 

Der DMARC-Bewertungsalgorithmus ist ein boolescher Wert, der die Authentifizierungsergebnisse von SPF und DKIM berücksichtigt. Danach entscheidet er, ob eine E-Mail-Nachricht als legitim akzeptiert wird oder nicht.

Das Ergebnis hängt von zwei möglichen Ergebnissen ab:

1. Bestanden: Die E-Mail besteht entweder sowohl die SPF- als auch die DKIM-Authentifizierung ODER nur eine von beiden. Sie wird also als sauber angesehen. Und wird daher vom empfangenden Server akzeptiert.

Um den "Pass"-Authentifizierungsalgorithmus in einfache Gleichungen zu fassen:

DMARC-Authentifizierungspass = SPF-Eintrag mit gültiger SPF-Kennungsausrichtung + DKIM-Eintrag mit gültiger DKIM-Kennungsausrichtung

OR (wenn DKIM fehlt)

DMARC-Authentifizierungspass = SPF-Datensatz mit einer gültigen SPF-Kennungsausrichtung

OR (wenn SPF fehlt)

DMARC-Authentifizierungspass = DKIM-Datensatz mit gültigem DKIM-Identifier-Abgleich

2. Fehlgeschlagen: Die Nachricht hat sowohl die SPF- als auch die DKIM-Authentifizierungsprüfung nicht bestanden, was darauf hindeutet, dass sie entweder missgestaltet ist oder bösartige Inhalte enthält.

Kann ich DMARC ohne DKIM einrichten?

DMARC funktioniert in den drei folgenden Szenarien:

  1. sowohl gültiges SPF als auch DKIM sind vorhanden
  2. gültiges SPF ohne DKIM ist vorhanden
  3. gültiges DKIM ohne SPF ist vorhanden

Sie können DMARC also auch ohne DKIM einrichten.

DMARC baut zu Authentifizierungszwecken auf SPF und DKIM auf, doch handelt es sich dabei um orthogonale Technologien.

Im Allgemeinen ist SPF ein "Pfadautorisierungs"-Mechanismus, d. h. er erlaubt einer IP-Adresse, Nachrichten im Namen einer bestimmten Domäne zu senden. DKIM hingegen ist ein "Inhaltsintegritäts"-Mechanismus, der sicherstellt, dass die von Ihnen gesendeten Nachrichten nicht verändert werden, wenn sie den Server erreichen.

Das bedeutet, dass sie in ihrer Wirksamkeit nicht voneinander abhängig sind; sie können parallel oder sogar unabhängig voneinander eingesetzt werden.

Es wird jedoch empfohlen, sowohl SPF als auch DKIM zusammen mit DMARC zu verwenden, da beide zusammenarbeiten, um robustere DMARC-Authentifizierungsfunktionen zu bieten. DMARC ohne DKIM ist zwar möglich, aber nicht zu empfehlen. 

Wie behandeln E-Mail-Clients E-Mails ohne DKIM?

Die meisten E-Mail-Clients behandeln E-Mails, die kein DKIM haben, als Spam.

In einigen Fällen kann dies dazu führen, dass die Nachricht vom E-Mail-Server des Empfängers als Spam markiert wird.

Einige E-Mail-Anbieter zeigen den Empfängern Ihre Nachrichten möglicherweise als von einer anderen Domäne stammend an, als Sie beabsichtigt haben.

In Outlook und Google Mail beispielsweise wird Ihre E-Mail ohne DKIM im Posteingang des Empfängers mit der korrekten Absenderadresse angezeigt, aber als "gesendet von" oder "über" eine andere Person.

Dies kann für die Empfänger verwirrend sein und sie sogar zu der Annahme verleiten, dass nicht Sie, sondern jemand anderes die Nachricht geschickt hat.

Beispiel 1 (Outlook)

Abb. 1 Ohne DKIM: Outlook zeigt im Posteingang des Empfängers die Adresse "gesendet von" an.

Abb. 2 Mit DKIM: Outlook zeigt nur die FROM-Adresse an.

Beispiel #2 (Gmail)

Abb. 3 Ohne DKIM: Gmail zeigt im Posteingang des Empfängers die Adresse "via" an.

Abb.4 Mit DKIM: Gmail zeigt nur die FROM-Adresse an.

Wenn DKIM in Ihrer E-Mail vorhanden ist, treten die oben genannten Probleme jedoch nicht auf. Der sendende Server wird nicht mehr auf dem Bildschirm des Kunden angezeigt, so dass die Wahrscheinlichkeit, dass die E-Mail in Spam- oder Junk-Ordnern landet, geringer ist. Und die einzige Information, die sie haben, ist die FROM-Adresse - was einen hohen Vertrauensfaktor für die versendenden Unternehmen bedeutet, die über E-Mail-Marketingstrategien nach Kunden suchen.

Folgen der Einrichtung von DMARC mit und DMARC ohne DKIM

Die Einrichtung von DMARC mit DKIM kann verhindern, dass Ihre E-Mail-Nachrichten von Spam-Filtern erkannt und blockiert werden.

Die Einrichtung von DMARC ohne DKIM kann jedoch zu einer Zunahme von Fehlalarmen sowie zu Verzögerungen führen, wenn ein Empfänger versucht, die E-Mail-Adresse des Absenders zu überprüfen.

In diesem Abschnitt werden wir einige der möglichen Folgen der Einrichtung von DMARC mit und DMARC ohne DKIM betrachten.

1. Bei der Überprüfung des E-Mail-Vertrauens

Beim SPF-basierten Ansatz würde sich der DMARC-Schutz auf die unsichtbaren Absenderadressen des Umschlags (MAIL FROM oder Return-path) beschränken. Diese werden für den Empfang von Bounces (Non-Delivery Reports) von Absendern verwendet.

Wenn DKIM jedoch mit SPF kombiniert wird, wird der DMARC-Schutz für die "Header From:"-Adresse sowie für die Adressen aktiviert, die für die Empfänger sichtbar sind. Dadurch entsteht ein größeres Gefühl des Vertrauens in E-Mails als bei der Verwendung von DMARC mit SPF allein.

2. Beim Weiterleiten von E-Mails

Die SPF-Authentifizierung funktioniert, indem Sie eine E-Mail mit Ihrem SPF-Eintrag (der IP-Adresse des Servers, von dem Sie E-Mails senden möchten) an einen anderen Server senden. Der andere Server prüft dann, ob diese IP-Adresse bei ihm registriert ist, und antwortet mit seinem eigenen SPF-Eintrag - wenn er keinen hat, lehnt er die Anfrage ab.

Im Falle einer E-Mail-Weiterleitung kann die SPF-Authentifizierung fehlschlagen, da nicht gewährleistet ist, dass die IP-Adresse des Zwischenservers in der SPF-Liste für die sendende Domäne enthalten ist. Dies hat zur Folge, dass eine legitime E-Mail ohne DKIM-Signatur die DMARC-Authentifizierung nicht bestehen, was zu einem falsch negativen Ergebnis führt.

Wäre DKIM für diese Domäne konfiguriert worden, wäre das falsch-negative Ergebnis nicht aufgetreten.

Aber warum?

Die DKIM-Signatur (d=) wird an den eigentlichen E-Mail-Text angehängt, während SPF an die Kopfzeile "Return-Path" angehängt wird.

Bei der E-Mail-Weiterleitung wird der Text der E-Mail nicht berührt oder verändert, so dass die DKIM-Signatur (d=), die im Text der E-Mail enthalten ist, intakt bleibt. Das bedeutet, dass die Identität des Absenders mit dem im E-Mail-Text enthaltenen Paar aus öffentlichem und privatem Schlüssel überprüft werden kann und die DMARC-Authentifizierung bestanden wird.

SPF hingegen ist an den "Return-Path"-Header angehängt, der sich bei einer E-Mail-Weiterleitung ändert. Seine Gültigkeit wird also nicht überprüft, was zu einem falsch negativen Ergebnis führt.

Zusammenfassend lässt sich sagen, dass die SPF-Authentifizierung aufgrund der E-Mail-Weiterleitung fehlschlägt, DKIM jedoch die E-Mail-Weiterleitung übersteht, da es an den E-Mail-Text angehängt ist. Daher ist es wichtig, DMARC auch mit DKIM einzurichten.

3. Beim Aktualisieren der IP-Adresse

Wenn Sie eine E-Mail senden, prüft der Empfangsserver die Kopfzeile der E-Mail, um festzustellen, ob sie manipuliert worden ist. Ist dies der Fall, lehnt der Empfangsserver Ihre Nachricht ab und sendet Ihnen eine Benachrichtigung.

An dieser Stelle kommt SPF ins Spiel. SPF prüft, ob Ihre IP-Adresse als gültige Adresse im SPF-Eintrag des sendenden Servers aufgeführt ist (mit anderen Worten, ob es keine gefälschten IP-Adressen gibt).

Wenn sich Ihre IP-Adresse ändert, muss Ihr SPF-Eintrag mit der neuen Adresse aktualisiert werden. Wie lange dies dauert, hängt davon ab, wie oft Sie Ihre IP-Adresse ändern - in den meisten Fällen dauert es bis zu 48 Stunden, bis der neue SPF-Eintrag in Kraft tritt.

Was passiert also, wenn Ihr E-Mail-Anbieter eine neue IP-Adresse zu seinem Bereich hinzufügt? In diesem Fall kann sich die Zustellung Ihrer E-Mails aufgrund der Ausbreitungszeit der SPF-Eintragsaktualisierung verzögern.

Wenn Sie jedoch sowohl DKIM als auch SPF konfiguriert haben, können Sie dieses Problem umgehen, indem Sie die kryptografische Signatur von DKIM verwenden, um zu beweisen, dass der Mailserver unter [email protected] zum Senden der Nachricht berechtigt war.

Das bedeutet, dass DKIM auch dann noch in der Lage ist, die Authentizität und Legitimität der von bestimmten Domänen stammenden E-Mails zu überprüfen, wenn sich deren IP-Bereich ändert.

Verwendung von DMARC ohne DKIM: Die möglichen OK/FAIL-Szenarien

Wenn Sie die DKIM- und SPF-Mechanismen verwenden, setzen Sie zwei verschiedene Werkzeuge ein, um dasselbe Ziel zu erreichen: Spoofing zu verhindern.

Sie funktionieren beide unabhängig voneinander, können aber auch unabhängig voneinander versagen. Beispielsweise kann SPF unabhängig von DKIM versagen, und DKIM kann unabhängig von SPF versagen.

Hier sind die vier möglichen OK/FAIL-Szenarien für die Einrichtung von DMARC ohne oder mit DKIM:

 

Szenario Bedeutung E-Mail-Zustellungsstatus
SPF ok, DKIM ok Er stellt sicher, dass E-Mails von einer legitimen Quelle gesendet werden. Der Server ist berechtigt, E-Mails zu versenden, da er über einen gültigen SPF-Eintrag und eine gültige DKIM-Signatur verfügt. Zustellung im Posteingang
SPF ok, DKIM schlägt fehl Dies bedeutet, dass die E-Mail von einem autorisierten Server zugestellt wird, die Validierung der DKIM-Signatur jedoch fehlschlägt. Zustellung im Spam- oder Junk-Ordner
SPF schlägt fehl, DKIM ok Dies bedeutet, dass die DKIM-Signatur der E-Mail gültig ist, der sendende Server jedoch nicht berechtigt ist, die E-Mail zuzustellen. Zustellung im Spam- oder Junk-Ordner
SPF schlägt fehl, DKIM schlägt fehl Wenn sowohl SPF als auch DKIM fehlschlagen, gilt eine E-Mail als gefälscht und wird von jedem DMARC-fähigen Mailserver des Empfängers zurückgewiesen. Nicht zugestellt / Abgelehnt

Eine vollständige DMARC-Implementierung ist das Gebot der Stunde!

SPF und DKIM sind die gängigsten E-Mail-Schutzmechanismen, die für die Implementierung eines ordnungsgemäßen DMARC-Eintrags verwendet werden, um E-Mail-Spoofing zu verhindern. Wenn eine ordnungsgemäße DMARC-Implementierung auf Ihre bestehende E-Mail-Infrastruktur angewendet wird, werden Ihre E-Mail-Nachrichten wie vorgesehen zugestellt. Das bedeutet weniger Spam-Beschwerden, weniger falsch-positive Einträge in Blacklists und bessere Zustellbarkeitsstatistiken für alle Ihre Abonnenten.

PowerDMARC bietet vollständige DMARC Implementierungsdienste mit DKIM-, SPF- und DMARC-Richtlinien, die für Ihre Domäne erstellt werden. Auf diese Weise erzielen Sie zuverlässigere Ergebnisse mit Ihren E-Mails.

DKIM-Eintrag generieren online oder holen Sie sich Ihren kostenlose DMARC-Testversion für eine vollständige Lösung für die komplexe und sich ständig verändernde Welt der E-Mail-Sicherheit.