Für Salesforce-Benutzer, die ihre E-Mail-Sicherheit auf die nächste Stufe heben, ihre E-Mail-Zustellbarkeit im Laufe der Zeit verbessern und die Posteingänge von Google und Yahoo erreichen möchten, ohne blockiert zu werden, ist dies der richtige Artikel für Sie! Um die Sicherheit der E-Mail-Kommunikation weiter zu verbessern, unterstützt Salesforce E-Mail-Authentifizierungsprotokolle wie DMARC, SPF und DKIM. Wenn Sie Ihre Domain vor E-Mail-basierten Angriffen schützen und die Zahl der Spam-Beschwerden über Ihre E-Mails reduzieren möchten, ist es unerlässlich, diese Authentifizierungsprotokolle zu implementieren. Durch die Einrichtung dieser Protokolle in Ihrem Salesforce-Konto können Sie überprüfen, ob Ihre E-Mails echt und vertrauenswürdig sind.
Sender Policy Framework (SPF) stellt sicher, dass nur autorisierte Server E-Mails im Namen Ihrer Domäne versenden können, während DomainKeys Identified Mail (DKIM) kryptografische Schlüssel verwendet, um zu überprüfen, ob Ihre E-Mails manipuliert wurden. SPF und DKIM können mit DMARC (Domain-based Message Authentication, Reporting, and Conformance) kombiniert werden, um Spoofing und Phishing-Angriffe zu verhindern.
Dieser Artikel erklärt, wie Sie SPF-, DKIM- und DMARC-Einträge zu Ihrem Salesforce-Konto hinzufügen. Fangen wir gleich an!
So fügen Sie einen SPF-Eintrag für Salesforce hinzu
Einrichten eines SPF Datensatz für Ihr Salesforce-Konto ist unerlässlich, da Salesforce einen speziellen SPF-Datensatz bereitstellt, der garantiert, dass E-Mails, die von Ihrem Konto gesendet werden, die Sicherheitsprüfungen bestehen.
Nachfolgend finden Sie die Anweisungen zum Hinzufügen von Salesforce zu Ihrem SPF-Eintrag.
1. Den SPF-Eintrag von Salesforce einbeziehen
Fügen Sie den spezifischen SPF-Eintrag in den SPF-Datensatz Ihrer Domain ein, um E-Mails aus Salesforce zu versenden:
_spf.salesforce.com
SPF-Beispielsatz für Salesforce
Ein SPF-Beispielsatz für Salesforce könnte so aussehen:
v=spf1 mx include:_spf.salesforce.com ~all
Dies ist der einfachste SPF-Eintrag. Er gibt an, dass Ihre Domain E-Mails über Salesforce senden darf. Sie können auch mehrere "Include"-Mechanismen konfigurieren, um andere Domänen von Drittanbietern zum Senden von E-Mails in Ihrem Namen zu autorisieren. Es ist wichtig, diese Quellen in demselben SPF-Eintrag zu autorisieren, anstatt einen neuen Eintrag für dieselbe Domain zu erstellen.
2. Erstellen Sie Ihren SPF-Eintrag
Um einen fehlerfreien SPF-Eintrag zu erstellen, empfehlen wir die Verwendung eines SPF-Datensatz-Generator.
3. Testen und validieren Sie Ihren SPF-Eintrag
Sie müssen Ihren SPF-Eintrag nach dem Einrichten testen, um die ordnungsgemäße Funktion sicherzustellen. Ein SPF-Überprüfungsprogramm kann zur Überprüfung des Eintrags verwendet werden.
Hier erfahren Sie, wie Sie das Tool verwenden können:
- Öffnen Sie zunächst das SPF Query Tool.
- Geben Sie Ihren Domänennamen ein.
- Klicken Sie auf die Schaltfläche "Nachschlagen".
Sie erhalten den Status "gültig", wenn Ihr SPF-Eintrag korrekt ist.
Zusätzliche Ressourcen
Weitere Informationen finden Sie unter SPF-Einrichtungsanleitung von Salesforce.
Hinzufügen eines DKIM-Datensatzes für Salesforce
Hier sind die Anweisungen zum Erstellen von DKIM-Schlüsseln in Salesforce.
1. Navigieren Sie zu DKIM-Einstellungen
Suchen Sie in der Salesforce-Einrichtung das Feld "Schnellsuche". Geben Sie "DKIM-Schlüssel" ein und wählen Sie diese Option.
2. Erstellen Sie einen neuen DKIM-Schlüssel
Nachdem Sie "DKIM-Schlüssel" ausgewählt haben, klicken Sie auf "Neue Schlüssel erstellen". Dadurch wird das DKIM-Schlüsselpaar standardmäßig in einem inaktiven Zustand erstellt.
RSA-Schlüsselgröße auswählen
Wählen Sie die Größe des RSA-Schlüssels entsprechend den Anforderungen Ihrer Organisation. Berücksichtigen Sie die Einschränkungen Ihrer E-Mail-Empfänger, bevor Sie einen Schlüssel auswählen. Beachten Sie auch die Sicherheitsvorschriften.
3. Geben Sie einen Selektornamen ein
Ihr DKIM-Selektor ist ein eindeutiger Bezeichner, mit dem Ihr DKIM-Schlüssel erkannt wird. Geben Sie einen eindeutigen Namen ein, um diesen Schlüssel von anderen zu unterscheiden.
4. Einen alternativen Selektor einstellen
Mit dem Alternate Selector kann Salesforce Ihre DKIM-Schlüssel automatisch rotieren, um die Sicherheit zu erhöhen.
5. Geben Sie den Domänennamen ein
Danach müssen Sie einen Domänennamen angeben. Dieser Name wird zum Senden von E-Mails von Ihrem Salesforce-Konto aus verwendet. Der Domänenname kann nach der Festlegung nicht mehr geändert werden.
6. Domänenabgleichsmuster definieren
Sie können auch steuern, wann Salesforce eine E-Mail mit einem DKIM-Schlüssel signiert. Dies kann mit einem Domänenübereinstimmungsmuster erfolgen. Sie müssen eine kommagetrennte Liste von Mustern verwenden.
7. Änderungen speichern
Speichern Sie Ihre Änderungen, nachdem Sie alle oben genannten Schritte durchgeführt haben. Ihr TXT-Eintrag für den DKIM-Schlüssel wird dann von Salesforce in Ihrem DNS veröffentlicht.
8. Hinzufügen von CNAME-Einträgen zu Ihrem DNS
Fügen Sie die CNAME- und alternativen CNAME-Einträge zum DNS Ihrer Domain hinzu, bevor Sie den DKIM-Schlüssel für Ihre Domain aktivieren.
9. Warten auf DNS-Veröffentlichung
Die Veröffentlichung von DNS-Einträgen dauert einige Tage. CNAME- und alternative CNAME-Einträge werden auf der Seite DKIM-Schlüsseldetails angezeigt, nachdem die DNS-Veröffentlichungszeit abgeschlossen ist.
10. Aktivieren Sie den DKIM-Schlüssel
Kehren Sie nach der Veröffentlichung des Datensatzes zur Seite mit den Details zum DKIM-Schlüssel zurück. Aktivieren Sie den DKIM-Schlüssel.
Hinweis: Salesforce rotiert die Schlüssel nach 30 Tagen. Sobald Sie also den Schlüssel aktivieren, wird Ihr sekundärer, inaktiver Schlüssel automatisch generiert.
So richten Sie DMARC für Salesforce ein
DMARC weist die Empfängerserver an, wie sie mit E-Mails umgehen sollen, die SPF- und DKIM-Authentifizierungsprüfungen nicht bestehen. Beachten Sie, dass Salesforce die DMARC-Authentifizierung nicht bereitstellen kann. Es wird daher empfohlen, mit einem externen Anbieter wie PowerDMARC zusammenzuarbeiten, um das Protokoll zu konfigurieren.
Die korrekte DMARC-Implementierung ist notwendig, um Konfigurationsprobleme zu vermeiden. Hier sind die Anweisungen zum Hinzufügen eines DMARC-Eintrags für Salesforce.
1. Wählen Sie eine DMARC-Version
Die Standardversion von DMARC ist Version 1, die wie folgt aussieht:v=DMARC1
2. Wählen Sie eine DMARC-Richtlinie
Es gibt drei DMARC-Richtlinien, die vorschreiben, wie Empfängerserver mit E-Mails umgehen sollen, die die Authentifizierungsprüfung nicht bestehen.
-
p=kein
Dies ist die erste zu aktivierende Richtlinie. Mit dieser Richtlinie passieren E-Mails die DMARC-Authentifizierung, auch wenn sie SPF- und DKIM-Prüfungen nicht bestehen. Diese Richtlinie muss bei der Ersteinrichtung von DMARC verwendet werden.
-
p=Quarantäne
Die Richtlinie isoliert die E-Mails, die die SPF- und DKIM-Authentifizierung nicht bestehen. Sie markiert die E-Mails als Spam, um den Benutzer über verdächtige E-Mails zu informieren.
-
p=ablehnen
Wie der Name schon sagt, weist diese Richtlinie die E-Mails zurück, die die Authentifizierung nicht bestehen. Sie ist normalerweise das letzte Ziel, das nach der Implementierung von DMARC erreicht werden muss.
3. Wählen Sie SPF- und DKIM-Ausrichtungsmodi (optional)
Im Folgenden wird erläutert, wie SPF-Richtlinien mit DMARC funktionieren:
- aspf=s
Der strenge SPF-Ausrichtungsmodus erfordert eine exakte Übereinstimmung zwischen der Domäne im "Return-Path" (Absender des Umschlags) und der Domäne in der "From"-Kopfzeile.
- aspf=r
Der entspannte SPF-Abgleichsmodus erlaubt einen Durchgang, auch wenn die "Return-Path"-Domäne (Absender des Umschlags) und die "From"-Header-Domäne eine organisatorische Übereinstimmung und keine exakte Übereinstimmung sind.
- adkim=s
Die Domäne in der DKIM-Signatur (das d=-Tag im DKIM-Header) muss genau mit der Domäne in der "Von"-Adresse übereinstimmen.
- adkim=r
Im entspannten Modus kann die Domäne in der DKIM-Signatur entweder dieselbe oder die gleiche Top-Level-Domäne sein wie die Domäne in der Absenderadresse.
4. Geben Sie eine prozentuale Kennzeichnung an (optional)
Hier wird der Prozentsatz der E-Mails angegeben, die der DMARC-Richtlinie entsprechen müssen. Ein pct=100 bedeutet, dass die definierte Richtlinie auf 100 % der E-Mails angewendet wird. Beginnen Sie bei der Einrichtung von DMARC mit einem niedrigeren Prozentsatz. Nach regelmäßiger Überwachung können Sie diesen Prozentsatz erhöhen.
5. Aktivieren Sie die DMARC-Berichterstattung (optional, aber empfohlen)
Aggregierte Berichterstattung
Der DMARC-Gesamtbericht liefert wertvolle Daten über die Ergebnisse Ihrer E-Mail-Authentifizierung. Für den Empfang eines aggregierten Berichts muss das RUA-Tag eingerichtet werden. Aggregierte Berichte werden entweder täglich oder wöchentlich empfangen, liegen im XML-Format vor und enthalten keine PII (Personally Identifiable Information).
Der Bericht enthält Informationen wie die sendende IP-Adresse, die Anzahl der E-Mails, SPF/DKIM-Kennungen und Ergebnisse usw. Der DMARC-Datensatz verweist das rua-Tag auf die E-Mail, die vom Domänenbesitzer für den Empfang der aggregierten Berichte angegeben wurde. Hier ist ein Beispiel:
Forensische Berichterstattung
Der DMARC-Forensikbericht enthält Informationen über einzelne E-Mails. Dazu muss das RUF-Tag in Ihrem DMARC-Datensatz gesetzt werden. Im Gegensatz zu den DMARC-Gesamtberichten, die alle 24 Stunden empfangen werden, wird ein DMARC-Forensikbericht immer dann erstellt, wenn die E-Mail die DMARC-Authentifizierung nicht bestanden hat. Forensische Berichte werden im Klartext erstellt und können sensible Informationen enthalten.
Es ist auch wichtig zu beachten, dass nicht alle DMARC-kompatiblen Mailbox-Anbieter die Erstellung von DMARC-Forensik-Berichten unterstützen.
-
Definieren Sie die Nutzungsdauer (Time to Live, TTL)
Bei der Erstkonfiguration von DMARC können Sie die Lebendige Zeit (TTL) auf 600 Sekunden einstellen. Dies ist für eine schnellere Weiterleitung hilfreich. Später können Sie die TTL auf 3600 Sekunden einstellen, um die Häufigkeit der DNS-Abfragen zu verringern, was die Belastung des DNS-Servers reduziert.
DMARC-Generatoren und -Tools
Sie können PowerDMARCs automatisierten DMARC-Datensatz-Generator-Tool verwenden, um den Prozess der DMARC-Datensatzerstellung zu vereinfachen. PowerDMARC bietet verschiedene verwaltete DMARC-Lösungen sowie granulare Überwachungs- und Berichtsoptionen. Die Kombination dieser fortschrittlichen Optionen hilft Ihnen bei der Konfiguration von technischen Protokollen wie DMARC, ohne dass es zu Problemen oder zusätzlicher Komplexität kommt.
Letzte Worte
Die Implementierung der E-Mail-Authentifizierung ist für die Stärkung der Sicherheit Ihrer Salesforce-E-Mails unerlässlich. Es liegt an Ihnen, Ihre Domains vor E-Mail-basierten Bedrohungen zu schützen.
Auch die Einrichtung dieser E-Mail-Authentifizierungsprotokolle kann mit PowerDMARC vereinfacht werden. Für weitere Details zur Implementierung können Sie uns kontaktieren oder starten Sie Ihre kostenlose Testversion jetzt!
- Die 10 wichtigsten DMARC-Anbieter auf dem Markt - 2. Januar 2025
- Was sind Sicherheitstests? Ein Leitfaden für Einsteiger - 20. Dezember 2024
- Die 10 besten Valimail-Alternativen: Ein vollständiger Vergleich mit Vor- und Nachteilen - 28. Oktober 2024