Wie helfen SPF und DKIM gegen Spam?

Der Anteil an Spam-Mails lag im April 2019 bei rund 54,8 Prozent. Alarmierende Zahlen für Newsletter-Versender. Damit Ihre Emails und Newsletter nicht dem Spam-Filter zum Opfer fallen, können Sie dank SPF und DKIM dafür sorgen, dass Sie als vertrauenswürdiger Versender eingestuft werden. Was Sie dafür tun müssen, erfahren Sie hier.

Können Sie verhindern, dass Ihre Absenderadresse gefälscht wird? Die ernüchternde Antwort lautet: nein. Jedenfalls nicht, bis der Gesetzgeber vorschreibt, dass Emails nur noch verschlüsselt und signiert versendet werden dürfen. Dennoch können Sie als Versender von Newslettern und werblichen Emails eigene Maßnahmen ergreifen, um Adressaten zu signalisieren, dass von Ihnen verschickte Emails vertrauenswürdig sind – SPF und DKIM machen es möglich. Das Grundprinzip ist einfach: Erreicht eine Email einen Server, erfolgt zunächst eine Prüfung, ob die Nachricht tatsächlich von einem Server stammt, der berechtigt ist, unter der entsprechenden Domain Emails zu verschicken. Sollten Auffälligkeiten erkennbar sein, weist der Empfänger-Server die Email ab.

Was ist SPF?

SPF (Sender Policy Framework) ist ein Spamschutz-Verfahren, das es erschwert, den Absender einer Email zu fälschen: Der Absender einer Email wird zur Authentifizierung aufgefordert.

SPF (Sender Policy Framework) ist ein Spamschutz-Verfahren,

Das SPF-Verfahren verhindert, dass der Versand von Emails über nicht legitimierte Mail Transfer Agents (MTAs) erfolgt. Hierfür trägt der Inhaber einer Domain in das Domain Name System (DNS) ein, welche Adressen von MTAs zum Versand von Emails für diese Domain berechtigt sind. In der Praxis funktioniert SPF so:

  • Das DNS sorgt dafür, dass die Anfrage nach einer URL, wie etwa www.ihreseite.de, an den richtigen Server weitergeleitet wird, der seinerseits unter einer IP-Adresse wie 190.0.2.42 erreichbar ist.
  • In jedem einzelnen DNS-Eintrag ist ein zusätzlicher Texteintrag hinterlegt, der angibt, welche Server Emails an welche Domain verschicken dürfen.
  • So kann jeder Server, der eine Email erhält, einfach überprüfen, ob die entsprechende Nachricht von einem berechtigten MTA verschickt wurde.
  • Emails von nicht autorisierten MTAs werden über den SPF-Spamschutz identifiziert und als Spam markiert.

Was ist DKIM?

DKIM (DomainKeys Identified Mail) ist ein weiteres Identifikationsprotokoll zur Sicherstellung der Authentizität von Email-Absendern.

DKIM DomainKeys Identified Mail

Als Ergänzung des SPF-Protokolls stellt DKIM sicher, dass es am Inhalt einer verschickten Email keine Veränderungen gab, bis sie den Empfänger erreicht hat. Die Grundlage bildet, wie bei den meisten kryptografischen Verfahren, ein Schlüsselpaar, bestehend aus:

  • einem privaten Schlüssel und
  • einem öffentlichen Schlüssel

 

Mit dem privaten Schlüssel codiert der Absender seine Nachricht, indem der verschickende Server der Email eine kryptografische Signatur anhängt. Daraufhin kann der Empfänger mit dem öffentlichen Schlüssel, der im DNS der Domäne verfügbar ist, überprüfen, ob die Email tatsächlich vom genannten Empfänger stammt – nur dann passt der öffentliche Schlüssel. Zudem ist dieser nur dann in der Lage, eine Email zu entschlüsseln, wenn sie auf ihrem Weg nicht verändert wurde. Die Signatur ist sozusagen eine digitale Unterschrift. Sie bestätigt, dass eine Email tatsächlich vom angegebenen Server verschickt wurde und sich im Originalzustand befindet. Sollten beide Schlüssel nicht zusammenpassen, kann der empfangende MTA die Zustellung der jeweiligen Email verweigern oder sie direkt aussortieren.

Noch sicherer wäre es, Emails komplett zu verschlüsseln. Da sich eine solche Vorgehensweise in der breiten Masse jedoch noch nicht durchgesetzt hat, wird sie nicht praktiziert.

Wie aber lässt sich sicherstellen, dass ein Betrüger die (verschlüsselte) digitale Unterschrift nicht einfach an eine beliebige andere Email anhängt? Oder dass ein Phisher nicht zum Beispiel eine Email, die er selbst von einer Bank bekommen hat, manipuliert, indem er seine eigene URL einträgt, um seine Opfer dorthin zu locken? Das Zauberwort lautet „Hash“.

Was ist ein Hash?

Der Hash bildet die Quersumme des Inhalts einer Email.

Wörtlich bedeutet „hash“ so viel wie „das Gehackte“. Ein Hash sieht aus wie eine durch den Fleischwolf gedrehte Nachricht. Was bleibt, ist ein wilder Zeichensalat. Ändert man nur ein einziges Zeichen in der Email, ändert sich der komplette Hash. Damit ist es für Betrüger praktisch unmöglich, den Text so zu manipulieren, dass er denselben Hash wie die Original-Nachricht hat. In der Praxis funktioniert das folgendermaßen:

  • Vor dem Versand errechnet der Mail-Server einen sogenannten Hashcode des Email Inhalts und hängt diese digitale Signatur der Nachricht an.
  • Daraufhin decodiert der empfangende MTA zunächst die Signatur.
  • Dann entschlüsselt er die Absender-Domäne mit dem öffentlichen Schlüssel und berechnet einen neuen Hashcode.
  • Anschließend überprüft der MTA, ob der gelieferte entschlüsselte und der selbst berechnete Hashcode übereinstimmen.
  • Im Fall einer Übereinstimmung kann der Empfänger sicher sein, dass die entsprechende Email tatsächlich von der angegebenen Domäne stammt.

Was ist DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) ist ein Email-Authentifizierungs-, Richtlinien- und Berichtsprotokoll.

DMARC - Domain-based Message Authentication, Reporting & Conformance

DMARC gewährleistet eine noch größere Sicherheit, da SPF und DKIM miteinander kombiniert. So bieten einige Marketing-Automation-Plattformen, darunter auch Email Marketing Software Evalanche, die Möglichkeit, SPF- und DKIM-Einträge zu nutzen. Der Vorteil: Die Zustellrate steigt deutlich an, weil weniger Emails als Spam markiert werden. Um die weitere Verbreitung des DKIM- und des SPF-Protokolls voranzutreiben, haben sich einige Unternehmen zur DMARC-Initiative zusammengeschlossen.

Als Email-Authentifizierungs-, Richtlinien- und Berichtsprotokoll steht DMARC für Domain-based Message Authentication, Reporting & Conformance. Es basiert auf den bestehenden SPF- und DKIM-Protokollen und funktioniert folgendermaßen:

  • Das DMARC-Protokoll verknüpft den Domänennamen des Autors („From:“) mit veröffentlichten Richtlinien für die Behandlung von Authentifizierungsfehlern beim Empfänger und mit Berichten von Empfängern an die Absender.
  • Das erlaubt, eine Domäne vor betrügerischen Emails besser zu schützen und sie entsprechend zu überwachen.

Grenzen

DKIM und SPF haben natürlich auch Grenzen. Sollte der Rechner des tatsächlichen Absenders gehackt worden sein, sind beide Verfahren wirkungslos. Dann kann es passieren, dass Betrüger über die entsprechenden Hardware Emails verschicken, ohne dass es der Nutzer bemerkt. Das Fatale daran: Die Nachrichten sind mit seiner digitalen Unterschrift ganz korrekt signiert. Darum ist jeder User gefordert, für die Sicherheit seines Rechners zu sorgen.

 

JETZT KOSTENLOSES E-BOOK HERUNTERLADEN

Sie wollen mehr dazu erfahren, wie Sie vertrauenswürdige Emails und Newsletter verschicken können? Holen Sie sich jetzt das E-Book "E-Mail-Marketing und Lead Management rechtskonform gestalten" und erfahren Sie mehr zum Thema "Datenschutz beim Newsletterversand".

 

Jetzt herunterladen

Bildnachweis Titelbild u. Symbolbilder: © BillionPhotos.com – Fotolia.com

 

nach oben