Zum Hauptinhalt springen

E-Mail Authentifizierung einrichten (SPF, DKIM, DMARC)

Du kannst die Zustellraten deiner Kampagnen weiter verbessern, indem du SPF, DKIM und DMARC für deine Absenderdomain nutzt.

Allgemeines

Wir empfehlen dies zusammen mit einer eigenen Hyperlink-Domain zu verwenden.

  • Du kannst die Zustellraten deiner Mailings weiter verbessern, wenn du für deine Absenderdomain einen SPF-, DKIM- und DMARC-Record setzt.

  • Google fordert von Massenversendern (> 5.000 Mails pro Tag) zwingend eine DMARC-Authentifizierung, damit Mails an Google-Adressen zugestellt werden.

  • Wir empfehlen dir, alle drei Records (SPF, DKIM, DMARC) zu setzen, auch wenn du täglich weniger Mails versendest!

Wichtige E-Mail-Authentifizierungsprotokolle

SPF, DKIM und DMARC sind wichtige E-Mail-Authentifizierungsprotokolle, die dazu beitragen, deine Domain vor E-Mail-Spoofing und Phishing-Angriffen zu schützen. Die korrekte Einrichtung dieser Protokolle ist für die Verbesserung der E-Mail-Zustellbarkeit und den Aufbau einer positiven Domain-Reputation unerlässlich.

SPF (Sender Policy Framework) ermöglicht es, festzulegen, welche Server E-Mails im Namen deiner Domain versenden dürfen.

DKIM (DomainKeys Identified Mail) fügt den von dir gesendeten E-Mails eine digitale Signatur hinzu, die es dem Server des Empfängers ermöglicht, die Authentizität der E-Mail zu überprüfen.

DMARC (Domain-based Message Authentication, Reporting & Conformance) baut auf SPF und DKIM auf, indem es eine Richtlinie bereitstellt, die empfangende Server anweist, wie E-Mails zu behandeln sind, die SPF- und/oder DKIM-Prüfungen nicht bestehen. Außerdem bietet es einen Berichtsmechanismus für die Ergebnisse der E-Mail-Authentifizierung.

Um SPF-, DKIM- oder DMARC-Datensätze zu konfigurieren, benötigst du Zugriff auf die DNS-Einstellungen deiner Website, was in der Regel den Besitz der Domain oder einen autorisierten Zugriff erfordert.

Insbesondere DMARC-Einträge sind sensibel und ihre genaue Einrichtung ist wichtig. Um dich bei dieser heiklen Angelegenheit zu unterstützen, haben wir in diesem Artikel eine Schritt-für-Schritt-Anleitung bereitgestellt. Frage im Zweifelsfall einen Experten.

1. DKIM-Authentifizierung einrichten

CNAME-Record

Erstelle einen neuen CNAME-Record für deine Absenderdomain:

Typ

Präfix

Wert

CNAME

cemsc._domainkey

dkim.cemsc.net

Beispiel der Eingabeoberfläche in Strato

DKIM-Versand aktivieren

Du musst jetzt noch den DKIM-Versand für deinen Account aktivieren. Dies geschieht in dem Fenster mit den Optimierungsmöglichkeiten.

Alternativ kann der DKIM-Versand auch jederzeit im Benutzerkonto oben rechts aktiviert und deaktiviert werden.

2. SPF-Authentifizierung einrichten

TXT-Record

Erstelle einen neuen TXT-Record für deine Absenderdomain

Typ

Präfix

Wert

TXT

v=spf1 mx include:cemsc.net ~all

Beispiel der Eingabeoberfläche in Strato

3. DMARC-Authentifizierung einrichten

3.1 DMARC-Richtlinie festlegen

Du musst zunächst deine DMARC-Richtlinie festlegen, die angibt, wie der empfangende Server mit E-Mails umgehen soll, die die SPF- und/oder DKIM-Authentifizierung nicht bestehen.

Die Optionen der Richtlinie sind:

  • 'none': Nichts tun, nur Daten sammeln und Berichte erstellen

  • 'quarantine': Nicht authentifizierte E-Mails in den Spam- oder Junk-Ordner verschieben

  • 'reject': Nicht authentifizierte E-Mails vollständig ablehnen

Die Verwendung von p=quarantine oder p=reject spiegelt die wahre Absicht von DMARC wider und sollte daher verwendet werden. Die Richtlinie p=none sollte nur bei der Einrichtung und beim Testen, ob DMARC richtig funktioniert, verwendet werden. p=none bedeutet nämlich, dass du im Grunde nichts tust, um Mailbox-Anbietern zu helfen, Phishing-Angriffe zu stoppen und Empfänger zu schützen.

3.2 Prozentsatz deiner DMARC-Richtlinie festlegen

Als Nächstes musst du dich für den Prozentsatz deiner DMARC-Richtlinie entscheiden. Dieser bestimmt den Prozentsatz des E-Mail-Verkehrs deiner Domain, auf den die DMARC-Richtlinie angewendet werden soll.

Wenn du eine Option wie p=reject verwendest, empfehlen wir dir, mit einem niedrigen Prozentsatz (z. B. 10 %) zu beginnen und ihn schrittweise zu erhöhen, während du die Berichte überwachst und Vertrauen in deine E-Mail-Authentifizierung gewinnst. Dies ist bei p=none nicht notwendig.

3.3 DMARC als TXT-Record erstellen

Erstelle einen DMARC-Record als TXT-Record, der zu den DNS-Einstellungen deiner Domain hinzugefügt werden muss. Der Eintrag sollte das folgende Format haben:

v=DMARC1; p=[Richtlinie]; pct=[Prozentsatz]; rua=mailto:[E-Mail für aggregierte Berichte]; ruf=mailto:[E-Mail für forensische Berichte]

Ersetze die Platzhalter mit deiner gewählten Richtlinie, deinem Prozentsatz und den E-Mail-Adressen für den Empfang von aggregierten und forensischen Berichten.

3.4 TXT-Eintrag zu den DNS-Einstellungen hinzufügen

Füge den in Schritt 3 erstellten TXT-Eintrag zu den DNS-Einstellungen deiner Domain hinzu und speichere ihn. Wenn du beispielsweise 'quarantine' als Richtlinie mit einer Anwendungsrate von 50 % auswählst und die Reports an deine Adresse "dmarc@deinewebsite.de" erhalten möchtest, würde dein DMARC-Eintrag so aussehen:

Typ

Präfix

Wert

TXT

_dmarc

v=DMARC1; p=quarantine; pct=50; rua=mailto:dmarc-reports@deinedomain.de; ruf=mailto:dmarc-reports@deinedomain.de

Wenn du auf Nummer Sicher gehen willst, kannst du auch mit der Richtlinie p=none starten und sie später verschärfen:

Typ

Präfix

Wert

TXT

_dmarc

v=DMARC1; p=none; rua=mailto:dmarc@deinewebsite.de; ruf=mailto:dmarc@deinewebsite.de

Nach dem Einrichten von DMARC solltest du die erhaltenen Berichte überwachen und deine Richtlinie sowie den Prozentsatz bei Bedarf anpassen. Dies hilft dabei, die Zustellbarkeit deiner E-Mails zu optimieren und deine Domain zusätzlich vor Spoofing- und Phishing-Angriffen zu schützen.

Beispiel der Eingabeoberfläche in Strato

Überprüfung

Unser System erkennt automatisch, ob alle Records korrekt gesetzt wurden. Ist das der Fall, wird in der Detailansicht eines ungesendeten Mailings kein Hinweis auf Optimierungsmöglichkeiten angezeigt.


Zusätzlich kannst du im Benutzerkonto alle verwendeten Absederdomains prüfen:

Hat dies Ihre Frage beantwortet?