Salesforce DMARC-, SPF- und DKIM-Einrichtungsleitfaden

von

Zuletzt aktualisiert:
7 Lesezeit: 7 Minuten
Salesforce DMARC-, SPF- und DKIM-Einrichtungsleitfaden

Für Salesforce-Benutzer, die ihre E-Mail-Sicherheit auf die nächste Stufe heben, ihre E-Mail-Zustellbarkeit im Laufe der Zeit verbessern und die Posteingänge von Google und Yahoo erreichen möchten, ohne blockiert zu werden, ist dies der richtige Artikel! Um die Sicherheit der E-Mail-Kommunikation weiter zu verbessern, unterstützt Salesforce E-Mail-Authentifizierungsprotokolle wie DMARC, SPF und DKIM. Wenn Sie Ihre Domain vor E-Mail-basierten Angriffen schützen und Spam-Beschwerden über Ihre E-Mails reduzieren möchten, ist es unerlässlich, diese Authentifizierungsprotokolle zu implementieren. Durch die Einrichtung dieser Protokolle in Ihrem Salesforce-Konto können Sie überprüfen, ob Ihre E-Mails echt und vertrauenswürdig sind.

Das Sender Policy Framework (SPF) stellt sicher, dass nur autorisierte Server E-Mails im Namen Ihrer Domain versenden können, während DomainKeys Identified Mail (DKIM) mithilfe von kryptografischen Schlüsseln überprüft, ob Ihre E-Mail manipuliert wurde. SPF und DKIM können mit DMARC (Domain-based Message Authentication, Reporting, and Conformance) kombiniert werden, um Spoofing- und Phishing-Angriffe zu verhindern.

Dieser Artikel erklärt, wie Sie SPF-, DKIM- und DMARC-Einträge zu Ihrem Salesforce-Konto hinzufügen. Fangen wir gleich an!

Wichtigste Erkenntnisse

  1. Die Implementierung von SPF, DKIM und DMARC ist für den Schutz Ihrer E-Mail-Domäne vor Spoofing- und Phishing-Angriffen unerlässlich.
  2. SPF stellt sicher, dass nur autorisierte Server E-Mails im Namen Ihrer Domain versenden können, um die Zustellbarkeit Ihrer E-Mails zu verbessern.
  3. DKIM verwendet kryptografische Schlüssel, um die Integrität Ihrer E-Mails zu überprüfen und zu bestätigen, dass sie während der Übertragung nicht verändert wurden.
  4. DMARC gibt den Empfängerservern Anweisungen, wie E-Mails zu behandeln sind, die SPF- und DKIM-Prüfungen nicht bestehen, und verbessert so Ihre E-Mail-Sicherheitslage.
  5. Der Einsatz von Tools wie SPF Record Generators und DMARC Monitoring kann die Einrichtung vereinfachen und die Effektivität Ihrer E-Mail-Authentifizierungsprotokolle verbessern.

So fügen Sie einen SPF-Eintrag für Salesforce hinzu

Einrichten eines SPF Datensatz für Ihr Salesforce-Konto ist unerlässlich, da Salesforce einen speziellen SPF-Datensatz bereitstellt, der garantiert, dass E-Mails, die von Ihrem Konto gesendet werden, die Sicherheitsprüfungen bestehen.

Nachfolgend finden Sie die Anweisungen zum Hinzufügen von Salesforce zu Ihrem SPF-Eintrag.

Vereinfachen Sie die Einrichtung von DMARC, SPF und DKIM mit PowerDMARC!

1. Den SPF-Eintrag von Salesforce einbeziehen

Fügen Sie den spezifischen SPF-Eintrag in den SPF-Datensatz Ihrer Domain ein, um E-Mails aus Salesforce zu versenden:

_spf.salesforce.com

SPF-Beispielsatz für Salesforce

Ein SPF-Beispielsatz für Salesforce könnte so aussehen:

v=spf1 mx include:_spf.salesforce.com ~all

Dies ist der einfachste SPF-Eintrag. Er gibt an, dass Ihre Domain E-Mails über Salesforce senden darf. Sie können auch mehrere "Include"-Mechanismen konfigurieren, um andere Domänen von Drittanbietern zum Senden von E-Mails in Ihrem Namen zu autorisieren. Es ist wichtig, diese Quellen in demselben SPF-Eintrag zu autorisieren, anstatt einen neuen Eintrag für dieselbe Domain zu erstellen.

2. Erstellen Sie Ihren SPF-Eintrag

Um einen fehlerfreien SPF-Eintrag zu erstellen, empfehlen wir die Verwendung eines SPF-Datensatz-Generator.

3. Testen und validieren Sie Ihren SPF-Eintrag

Sie müssen Ihren SPF-Eintrag nach dem Einrichten testen, um die ordnungsgemäße Funktion sicherzustellen. Ein SPF-Überprüfungsprogramm kann zur Überprüfung des Eintrags verwendet werden.

Hier erfahren Sie, wie Sie das Tool verwenden können:

  • Öffnen Sie zunächst das SPF Query Tool.
  • Geben Sie Ihren Domänennamen ein.
  • Klicken Sie auf die Schaltfläche "Nachschlagen".

Sie erhalten den Status "gültig", wenn Ihr SPF-Eintrag korrekt ist.

Zusätzliche Ressourcen

Weitere Informationen finden Sie unter SPF-Einrichtungsanleitung von Salesforce.

Hinzufügen eines DKIM-Datensatzes für Salesforce

Hier sind die Anweisungen zum Erstellen von DKIM-Schlüsseln in Salesforce.

1. Navigieren Sie zu DKIM-Einstellungen

Suchen Sie in der Salesforce-Einrichtung das Feld "Schnellsuche". Geben Sie "DKIM-Schlüssel" ein und wählen Sie diese Option.

2. Erstellen Sie einen neuen DKIM-Schlüssel

Nachdem Sie "DKIM-Schlüssel" ausgewählt haben, klicken Sie auf "Neue Schlüssel erstellen". Dadurch wird das DKIM-Schlüsselpaar standardmäßig in einem inaktiven Zustand erstellt.

RSA-Schlüsselgröße auswählen

Wählen Sie die Größe des RSA-Schlüssels entsprechend den Anforderungen Ihrer Organisation. Berücksichtigen Sie die Einschränkungen Ihrer E-Mail-Empfänger, bevor Sie einen Schlüssel auswählen. Beachten Sie auch die Sicherheitsvorschriften.

3. Geben Sie einen Selektornamen ein

Ihr DKIM-Selektor ist ein eindeutiger Bezeichner, mit dem Ihr DKIM-Schlüssel erkannt wird. Geben Sie einen eindeutigen Namen ein, um diesen Schlüssel von anderen zu unterscheiden.

4. Einen alternativen Selektor einstellen

Mit dem Alternate Selector kann Salesforce Ihre DKIM-Schlüssel automatisch rotieren, um die Sicherheit zu erhöhen.

5. Geben Sie den Domänennamen ein

Danach müssen Sie einen Domänennamen angeben. Dieser Name wird zum Senden von E-Mails von Ihrem Salesforce-Konto aus verwendet. Der Domänenname kann nach der Festlegung nicht mehr geändert werden.

6. Domänenabgleichsmuster definieren

Sie können auch steuern, wann Salesforce eine E-Mail mit einem DKIM-Schlüssel signiert. Dies kann mit einem Domänenübereinstimmungsmuster erfolgen. Sie müssen eine kommagetrennte Liste von Mustern verwenden.

7. Änderungen speichern

Speichern Sie Ihre Änderungen, nachdem Sie alle oben genannten Schritte durchgeführt haben. Ihr TXT-Eintrag für den DKIM-Schlüssel wird dann von Salesforce in Ihrem DNS veröffentlicht.

8. Hinzufügen von CNAME-Einträgen zu Ihrem DNS

Fügen Sie die CNAME- und alternativen CNAME-Einträge zu den DNS-Einstellungen Ihrer Domain hinzu, bevor Sie den DKIM-Schlüssel für Ihre Domain aktivieren.

9. Warten auf DNS-Veröffentlichung

Die Veröffentlichung von DNS-Einträgen dauert einige Tage. CNAME- und alternative CNAME-Einträge werden auf der Seite DKIM-Schlüsseldetails angezeigt, nachdem die DNS-Veröffentlichungszeit abgeschlossen ist.

10. Aktivieren Sie den DKIM-Schlüssel

Kehren Sie nach der Veröffentlichung des Datensatzes zur Seite mit den Details zum DKIM-Schlüssel zurück. Aktivieren Sie den DKIM-Schlüssel.

Hinweis: Salesforce rotiert die Schlüssel nach 30 Tagen. Sobald Sie also den Schlüssel aktivieren, wird Ihr sekundärer, inaktiver Schlüssel automatisch generiert.

So richten Sie DMARC für Salesforce ein

DMARC weist die Empfängerserver an, wie sie mit E-Mails umgehen sollen, die SPF- und DKIM-Authentifizierungsprüfungen nicht bestehen. Beachten Sie, dass Salesforce die DMARC-Authentifizierung nicht bereitstellen kann. Es wird daher empfohlen, mit einem externen Anbieter wie PowerDMARC zusammenzuarbeiten, um das Protokoll zu konfigurieren.

Die korrekte Implementierung von DMARC ist erforderlich, um Konfigurationsprobleme zu vermeiden. Hier finden Sie eine Anleitung zum Hinzufügen eines DMARC-Eintrags für Salesforce.

1. Wählen Sie eine DMARC-Version

Die Standardversion von DMARC ist Version 1, die wie folgt aussieht:v=DMARC1

2. Wählen Sie eine DMARC-Richtlinie

Es gibt drei DMARC-Richtlinien, die vorschreiben, wie Empfängerserver mit E-Mails umgehen sollen, die die Authentifizierungsprüfung nicht bestehen.

  • p=kein

Dies ist die erste Richtlinie, die aktiviert wird. Mit dieser Richtlinie bestehen E-Mails die DMARC-Authentifizierung auch dann, wenn sie die SPF- und DKIM-Prüfungen nicht bestehen. Diese Richtlinie muss bei der Ersteinrichtung von DMARC verwendet werden.

  • p=Quarantäne

Die Richtlinie isoliert die E-Mails, die die SPF- und DKIM-Authentifizierung nicht bestehen. Sie markiert die E-Mails als Spam, um den Benutzer über verdächtige E-Mails zu informieren.

  • p=ablehnen

Wie der Name schon sagt, werden bei dieser Richtlinie E-Mails abgelehnt, die die Authentifizierung nicht bestehen. Dies ist in der Regel das letzte Ziel, das nach der Implementierung von DMARC erreicht werden soll.

3. Wählen Sie SPF- und DKIM-Ausrichtungsmodi (optional)

Im Folgenden wird erläutert, wie SPF-Richtlinien mit DMARC funktionieren:

  • aspf=s

Der strenge SPF-Ausrichtungsmodus erfordert eine exakte Übereinstimmung zwischen der Domäne im "Return-Path" (Absender des Umschlags) und der Domäne in der "From"-Kopfzeile. 

  • aspf=r

Der entspannte SPF-Abgleichsmodus erlaubt einen Durchgang, auch wenn die "Return-Path"-Domäne (Absender des Umschlags) und die "From"-Header-Domäne eine organisatorische Übereinstimmung und keine exakte Übereinstimmung sind.

  • adkim=s

Die Domain in der DKIM-Signatur (das d= Tag im DKIM-Header) muss genau mit der Domain in der „Von“-Adresse übereinstimmen. 

  • adkim=r

Im entspannten Modus kann die Domäne in der DKIM-Signatur entweder dieselbe oder die gleiche Top-Level-Domäne sein wie die Domäne in der Absenderadresse. 

4. Geben Sie eine prozentuale Kennzeichnung an (optional)

Hier wird der Prozentsatz der E-Mails angegeben, die der DMARC-Richtlinie entsprechen müssen. Ein Wert von pct=100 bedeutet, dass die definierte Richtlinie auf 100 % der E-Mails angewendet wird. Beginnen Sie bei der Einrichtung von DMARC mit einem niedrigeren Prozentsatz. Nach regelmäßiger Überwachung können Sie diesen Prozentsatz erhöhen.

Aggregierte Berichterstattung

Der DMARC-Gesamtbericht liefert wertvolle Daten über die Ergebnisse Ihrer E-Mail-Authentifizierung. Für den Empfang eines aggregierten Berichts muss das RUA-Tag eingerichtet werden. Aggregierte Berichte werden entweder täglich oder wöchentlich empfangen, liegen im XML-Format vor und enthalten keine PII (Personally Identifiable Information). 

Der Bericht enthält Informationen wie die sendende IP-Adresse, die Anzahl der E-Mails, SPF/DKIM-Kennungen und Ergebnisse usw. Der DMARC-Datensatz verweist das rua-Tag auf die E-Mail, die vom Domänenbesitzer für den Empfang der aggregierten Berichte angegeben wurde. Hier ist ein Beispiel: 

rua=mailto:[email protected].

Forensische Berichterstattung

Der DMARC-Forensikbericht enthält Informationen zu einzelnen E-Mails. Dazu muss das RUF-Tag in Ihrem DMARC-Eintrag gesetzt werden. Im Gegensatz zu den DMARC-Gesamtberichten, die alle 24 Stunden empfangen werden, wird ein DMARC-Forensikbericht immer dann erstellt, wenn eine E-Mail die DMARC-Authentifizierung nicht besteht. Forensikberichte liegen im Klartext vor und können sensible Informationen enthalten. 

ruf=mailto:[email protected].

Es ist auch wichtig zu beachten, dass nicht alle DMARC-kompatiblen Mailbox-Anbieter die Erstellung von DMARC-Forensik-Berichten unterstützen. 

  1. Definieren Sie die Nutzungsdauer (Time to Live, TTL)

Bei der Erstkonfiguration von DMARC können Sie die Lebendige Zeit (TTL) auf 600 Sekunden einstellen. Dies ist für eine schnellere Weiterleitung hilfreich. Später können Sie die TTL auf 3600 Sekunden einstellen, um die Häufigkeit der DNS-Abfragen zu verringern, was die Belastung des DNS-Servers reduziert.

DMARC-Generatoren und -Tools

Sie können PowerDMARCs automatisierten DMARC-Datensatz-Generator-Tool verwenden, um den Prozess der DMARC-Datensatzerstellung zu vereinfachen. PowerDMARC bietet verschiedene verwaltete DMARC-Lösungen sowie granulare Überwachungs- und Berichtsoptionen. Die Kombination dieser fortschrittlichen Optionen hilft Ihnen bei der Konfiguration von technischen Protokollen wie DMARC, ohne dass es zu Problemen oder zusätzlicher Komplexität kommt.

Abschließende Worte

Die Implementierung der E-Mail-Authentifizierung ist für die Stärkung der Sicherheit Ihrer Salesforce-E-Mails unerlässlich. Es liegt an Ihnen, Ihre Domains vor E-Mail-basierten Bedrohungen zu schützen.

Auch die Einrichtung dieser E-Mail-Authentifizierungsprotokolle kann mit PowerDMARC vereinfacht werden. Für weitere Details zur Implementierung können Sie uns kontaktieren oder starten Sie Ihre kostenlose Testversion jetzt!