Blog & News

Wir halten Sie auf dem Laufenden! Hinter den Kulissen tut sich immer viel. Wenn's was wirklich interessantes zu berichten gibt, dann steht's hier.

Atom Feed

zurück zum Blog

2020
03
Apr

Vertrauenswürdige E-Mails dank SPF & DKIM/DMARC

SPF/DKIM/DMARC

Während SPF bereits längst im Einsatz ist und der SPF-Eintrag für alle Domains von Onlime-Kunden automatisch hinterlegt wird, haben wir am 30. März 2020 als Ergänzung auch noch DKIM/DMARC eingeführt.

SPF steht für «Sender Policy Framework» und bezeichnet einen Abwehrmechanismus gegen Spam-Nachrichten.

DKIM kürzt den Begriff «DomainKeys Identified Mail» ab und steht für einen Standard, mit dem das Fälschen von Absenderdaten in E-Mails – das sogenannte Spoofing – verhindert werden soll. Gleichzeitig soll sichergestellt werden, dass die wesentlichen Teile der E-Mail nicht verändert wurden.

DMARC steht für «Domain-based Message Authentication, Reporting and Conformance». DMARC baut auf den beiden Techniken SPF und DKIM auf, indem es für eine Absender-Domain festlegt, wie der Empfänger die Authentifizierung von E-Mails durchführen soll und wie im Falle eines Fehlers zu verfahren ist. Es handelt sich hier also um eine weitere Spezifikation, die entwickelt wurde, um den Missbrauch von E-Mails zu reduzieren.

SPF

Mithilfe von SPF definiert die Inhaberin einer Domain, welche Server E-Mails für diese Domain verschicken dürfen und was mit E-Mails geschehen soll, die von einem nicht autorisierten Server stammen. Diese SPF-Regeln werden mittels eines DNS-Eintrags definiert, den die Mailserver des Empfängers beim Entgegennehmen der E-Mail prüfen können. Damit ist sichergestellt, dass E-Mails für die gewünschte Domain nur dann angenommen werden, wenn sie von einem «freigeschalteten» Server stammen. Natürlich vorausgesetzt, der empfangende Server prüft den SPF-Eintrag, was nicht zwingend der Fall sein muss.

Die grossen Anbieter wie Google, Yahoo, GMX prüfen den SPF-Eintrag und berücksichtigen das Resultat bei der Berechnung des Spam-scores, also der Wahrscheinlichkeit, ob eine E-Mail als Spam oder Ham eingestuft wird.

SPF für Onlime-Kunden automatisch aktiv

Der für SPF nötige DNS-Eintrag ist für Domains von Onlime-Kunden automatisch hinterlegt und kann bei Bedarf bequem über den DNS-Manager in unserem Controlpanel überschrieben werden. Ausserdem prüfen die Mailserver von Onlime GmbH alle eingehenden E-Mails mittels SPF und sorgen so dafür, dass weniger Spam in den Postfächern landet.

Der Standard SPF-Eintrag sieht so aus:

@       300 IN  TXT "v=spf1 mx include:spf.onlime.ch ~all"

Wir empfehlen den Kunden, die definitiv nur E-Mail via unsere Mailserver versenden, diesen Eintrag von «SoftFail» ~all auf das radikalere «Fail» -all anzupassen. Hinweise zur Syntax finden Sie hier: SPF Record Syntax.

DKIM/DMARC gegen Spoofing und Phishing

Neben SPF lässt sich mit DKIM die Vertrauenswürdigkeit von E-Mails weiter verbessern. Unterstützt der Mailserver der Empfängerin nämlich DKIM, kann dieser feststellen, ob die E-Mail von einem Server stammt, den die Absenderin als legitime Quelle definiert hat und ob der Inhalt der E-Mail unterwegs verändert wurde. Ziel dieses Verfahrens ist es, Spammern und Phishern ihre kriminellen Vorhaben zu erschweren.

Damit die Empfängerin zweifelsfrei feststellen kann, ob die E-Mail aus legitimer Quelle stammt, wird vom sendenden Mailserver für jede ausgehenden E-Mail eine digitale Signatur («Hash») erstellt. Diese Signatur wird aus einem privaten Schlüssel sowie dem Inhaltstext der E-Mail generiert und im Header der E-Mail abgelegt. Mit dem öffentlichen Schlüssel, der als DNS-Eintrag des Domainnamens abgelegt ist, kann der empfangende Mailserver daraufhin diesen «Hash» verifizieren.

Ist die Signatur gültig, stammt die E-Mail tatsächlich von der behaupteten Domain. Ist die Signatur ungültig, wurde die Absenderadresse oder der Inhalt der E-Mail manipuliert. Die Empfängerin kann diese Informationen verwenden, um die Bewertungssysteme und Filtertechniken ihrer Spamfilter wirkungsvoller zu gestalten.

DKIM für Onlime-Kunden automatisch aktiv

E-Mails, die über Onlime-Server verschickt werden, werden automatisch mit dem passenden DKIM-Schlüssel signiert. Der passende DNS-Eintrag ist auf den Nameservern von Onlime GmbH ebenfalls automatisch hinterlegt und kann bei Bedarf bequem über den DNS-Manager in unserem Controlpanel überschrieben werden.

Ein Standard DKIM- und der zugehörige DMARC-Eintrag sehen so aus:

onlime-20200330._domainkey  300 IN  TXT "v=DKIM1; k=rsa; p=MIIBIjA..."
_dmarc      300 IN  TXT "v=DMARC1; p=none;"

Um den DKIM-Eintrag brauchen Sie sich nie zu kümmern. Onlime ersetzt die keys regelmässig und passt dabei jeweils den DKIM-Eintrag im DNS an. Wenn Sie aber die DMARC-Richtlinie verschärfen möchten, empfehlen wir Ihnen, den _dmarc Eintrag wie folgt zu überschreiben:

_dmarc      300 IN  TXT "v=DMARC1; p=quarantine; adkim=s; aspf=s;"

Verwenden Sie dazu am besten den DMARC Record Wizard von Dmarcian, falls Sie in der Syntax von DMARC nicht geübt sind.

3. April 2020 um 15:24