Blog & News

We keep you informed! Behind the scenes, there's always a lot happening and we are continuously improving our services. When there's something really interesting going on, we let you know.

Atom Feed

Back to blog

2020
03
Apr

Vertrauenswürdige E-Mails dank SPF & DKIM/DMARC

SPF/DKIM/DMARC

Während SPF bereits längst im Einsatz ist und der SPF-Eintrag für alle Domains von Onlime-Kunden automatisch hinterlegt wird, haben wir am 30. März 2020 als Ergänzung auch noch DKIM/DMARC eingeführt.

SPF steht für «Sender Policy Framework» und bezeichnet einen Abwehrmechanismus gegen Spam-Nachrichten.

DKIM kürzt den Begriff «DomainKeys Identified Mail» ab und steht für einen Standard, mit dem das Fälschen von Absenderdaten in E-Mails – das sogenannte Spoofing – verhindert werden soll. Gleichzeitig soll sichergestellt werden, dass die wesentlichen Teile der E-Mail nicht verändert wurden.

DMARC steht für «Domain-based Message Authentication, Reporting and Conformance». DMARC baut auf den beiden Techniken SPF und DKIM auf, indem es für eine Absender-Domain festlegt, wie der Empfänger die Authentifizierung von E-Mails durchführen soll und wie im Falle eines Fehlers zu verfahren ist. Es handelt sich hier also um eine weitere Spezifikation, die entwickelt wurde, um den Missbrauch von E-Mails zu reduzieren.

SPF

Mithilfe von SPF definiert die Inhaberin einer Domain, welche Server E-Mails für diese Domain verschicken dürfen und was mit E-Mails geschehen soll, die von einem nicht autorisierten Server stammen. Diese SPF-Regeln werden mittels eines DNS-Eintrags definiert, den die Mailserver des Empfängers beim Entgegennehmen der E-Mail prüfen können. Damit ist sichergestellt, dass E-Mails für die gewünschte Domain nur dann angenommen werden, wenn sie von einem «freigeschalteten» Server stammen. Natürlich vorausgesetzt, der empfangende Server prüft den SPF-Eintrag, was nicht zwingend der Fall sein muss.

Die grossen Anbieter wie Google, Yahoo, GMX prüfen den SPF-Eintrag und berücksichtigen das Resultat bei der Berechnung des Spam-scores, also der Wahrscheinlichkeit, ob eine E-Mail als Spam oder Ham eingestuft wird.

SPF für Onlime-Kunden automatisch aktiv

Der für SPF nötige DNS-Eintrag ist für Domains von Onlime-Kunden automatisch hinterlegt und kann bei Bedarf bequem über den DNS-Manager in unserem Controlpanel überschrieben werden. Ausserdem prüfen die Mailserver von Onlime GmbH alle eingehenden E-Mails mittels SPF und sorgen so dafür, dass weniger Spam in den Postfächern landet.

Der Standard SPF-Eintrag sieht so aus:

@       300 IN  TXT "v=spf1 mx include:spf.onlime.ch ~all"

Wir empfehlen den Kunden, die definitiv nur E-Mail via unsere Mailserver versenden, diesen Eintrag von «SoftFail» ~all auf das radikalere «Fail» -all anzupassen. Hinweise zur Syntax finden Sie hier: SPF Record Syntax.

DKIM/DMARC gegen Spoofing und Phishing

Neben SPF lässt sich mit DKIM die Vertrauenswürdigkeit von E-Mails weiter verbessern. Unterstützt der Mailserver der Empfängerin nämlich DKIM, kann dieser feststellen, ob die E-Mail von einem Server stammt, den die Absenderin als legitime Quelle definiert hat und ob der Inhalt der E-Mail unterwegs verändert wurde. Ziel dieses Verfahrens ist es, Spammern und Phishern ihre kriminellen Vorhaben zu erschweren.

Damit die Empfängerin zweifelsfrei feststellen kann, ob die E-Mail aus legitimer Quelle stammt, wird vom sendenden Mailserver für jede ausgehenden E-Mail eine digitale Signatur («Hash») erstellt. Diese Signatur wird aus einem privaten Schlüssel sowie dem Inhaltstext der E-Mail generiert und im Header der E-Mail abgelegt. Mit dem öffentlichen Schlüssel, der als DNS-Eintrag des Domainnamens abgelegt ist, kann der empfangende Mailserver daraufhin diesen «Hash» verifizieren.

Ist die Signatur gültig, stammt die E-Mail tatsächlich von der behaupteten Domain. Ist die Signatur ungültig, wurde die Absenderadresse oder der Inhalt der E-Mail manipuliert. Die Empfängerin kann diese Informationen verwenden, um die Bewertungssysteme und Filtertechniken ihrer Spamfilter wirkungsvoller zu gestalten.

DKIM für Onlime-Kunden automatisch aktiv

E-Mails, die über Onlime-Server verschickt werden, werden automatisch mit dem passenden DKIM-Schlüssel signiert. Der passende DNS-Eintrag ist auf den Nameservern von Onlime GmbH ebenfalls automatisch hinterlegt und kann bei Bedarf bequem über den DNS-Manager in unserem Controlpanel überschrieben werden.

Ein Standard DKIM- und der zugehörige DMARC-Eintrag sehen so aus:

onlime-20200330._domainkey  300 IN  TXT "v=DKIM1; k=rsa; p=MIIBIjA..."
_dmarc      300 IN  TXT "v=DMARC1; p=none;"

Um den DKIM-Eintrag brauchen Sie sich nie zu kümmern. Onlime ersetzt die keys regelmässig und passt dabei jeweils den DKIM-Eintrag im DNS an. Wenn Sie aber die DMARC-Richtlinie verschärfen möchten, empfehlen wir Ihnen, den _dmarc Eintrag wie folgt zu überschreiben:

_dmarc      300 IN  TXT "v=DMARC1; p=quarantine; adkim=s; aspf=s;"

Verwenden Sie dazu am besten den DMARC Record Wizard von Dmarcian, falls Sie in der Syntax von DMARC nicht geübt sind.

April 3, 2020 at 3:24 PM