Wie helfen SPF und DKIM gegen Spam?

Gastbeitrag von Jens Jacobsen

Der Anteil an Spam-Mails lag im April 2019 bei rund 54,8 Prozent. Alarmierende Zahlen für Newsletter-Versender. Damit Ihre E-Mails und Newsletter nicht dem Spam-Filter zum Opfer fallen, können Sie dank SPF und DKIM dafür sorgen, dass Sie als vertrauenswürdiger Versender eingestuft werden. Was Sie dafür tun müssen, erfahren Sie hier.

 (Bild: SC-Networks)
Bild: SC-Networks

Können Sie verhindern, dass Ihre Absenderadresse gefälscht wird? Die ernüchternde Antwort lautet: nein. Jedenfalls nicht, bis der Gesetzgeber vorschreibt, dass E-Mails nur noch verschlüsselt und signiert versendet werden dürfen. Dennoch können Sie als Versender von Newslettern und werblichen E-Mails eigene Maßnahmen ergreifen, um Adressaten zu signalisieren, dass von Ihnen verschickte E-Mails vertrauenswürdig sind - SPF und DKIM machen es möglich. Das Grundprinzip ist einfach: Erreicht eine E-Mail einen Server, erfolgt zunächst eine Prüfung, ob die Nachricht tatsächlich von einem Server stammt, der berechtigt ist, unter der entsprechenden Domain E-Mails zu verschicken. Sollten Auffälligkeiten erkennbar sein, weist der Empfänger-Server die E-Mail ab.

Was ist SPF?

SPF (Sender Policy Framework) ist ein Spamschutz-Verfahren, das es erschwert, den Absender einer E-Mail zu fälschen: Der Absender einer E-Mail wird zur Authentifizierung aufgefordert.
Das SPF-Verfahren verhindert, dass der Versand von E-Mails über nicht legitimierte Mail Transfer Agents zur Homepage dieses Unternehmens Relation Browser (MTAs) erfolgt. Hierfür trägt der Inhaber einer Domain in das Domain Name System (DNS) ein, welche Adressen von MTAs zum Versand von E-Mails für diese Domain berechtigt sind. In der Praxis funktioniert SPF so:
  • Das DNS sorgt dafür, dass die Anfrage nach einer URL, wie etwa www.ihreseite.de, an den richtigen Server weitergeleitet wird, der seinerseits unter einer IP-Adresse wie 190.0.2.42 erreichbar ist.
  • In jedem einzelnen DNS-Eintrag ist ein zusätzlicher Texteintrag hinterlegt, der angibt, welche Server E-Mails an welche Domain verschicken dürfen.
  • So kann jeder Server, der eine E-Mail erhält, einfach überprüfen, ob die entsprechende Nachricht von einem berechtigten MTA verschickt wurde.
  • E-Mails von nicht autorisierten MTAs werden über den SPF-Spamschutz identifiziert und als Spam markiert.

Was ist DKIM?

DKIM (DomainKeys Identified Mail) ist ein weiteres Identifikationsprotokoll zur Sicherstellung der Authentizität zur Homepage dieses Unternehmens Relation Browser von E-Mail zur Homepage dieses Unternehmens Relation Browser -Absendern.

Als Ergänzung des SPF-Protokolls stellt DKIM sicher, dass es am Inhalt einer verschickten E-Mail keine Veränderungen gab, bis sie den Empfänger erreicht hat. Die Grundlage bildet, wie bei den meisten kryptografischen Verfahren, ein Schlüsselpaar, bestehend aus:
  • einem privaten Schlüssel und
  • einem öffentlichen Schlüssel
Mit dem privaten Schlüssel codiert der Absender seine Nachricht, indem der verschickende Server der E-Mail eine kryptografische Signatur anhängt. Daraufhin kann der Empfänger mit dem öffentlichen Schlüssel, der im DNS der Domäne verfügbar ist, überprüfen, ob die E-Mail tatsächlich vom genannten Empfänger stammt - nur dann passt der öffentliche Schlüssel. Zudem ist dieser nur dann in der Lage, eine E-Mail zu entschlüsseln, wenn sie auf ihrem Weg nicht verändert wurde. Die Signatur ist sozusagen eine digitale Unterschrift. Sie bestätigt, dass eine E-Mail tatsächlich vom angegebenen Server verschickt wurde und sich im Originalzustand befindet. Sollten beide Schlüssel nicht zusammenpassen, kann der empfangende MTA die Zustellung der jeweiligen E-Mail verweigern oder sie direkt aussortieren.

Noch sicherer wäre es, E-Mails komplett zu verschlüsseln. Da sich eine solche Vorgehensweise in der breiten Masse jedoch noch nicht durchgesetzt hat, wird sie nicht praktiziert.

Wie aber lässt sich sicherstellen, dass ein Betrüger die (verschlüsselte) digitale Unterschrift nicht einfach an eine beliebige andere E-Mail anhängt? Oder dass ein Phisher nicht zum Beispiel eine E-Mail, die er selbst von einer Bank bekommen hat, manipuliert, indem er seine eigene URL einträgt, um seine Opfer dorthin zu locken? Das Zauberwort lautet "Hash".

Was ist ein Hash?

Der Hash bildet die Quersumme des Inhalts einer E-Mail.

Wörtlich bedeutet "hash" so viel wie "das Gehackte". Ein Hash sieht aus wie eine durch den Fleischwolf gedrehte Nachricht. Was bleibt, ist ein wilder Zeichensalat. Ändert man nur ein einziges Zeichen in der E-Mail, ändert sich der komplette Hash. Damit ist es für Betrüger praktisch unmöglich, den Text so zu manipulieren, dass er denselben Hash wie die Original-Nachricht hat. In der Praxis funktioniert das folgendermaßen:
  • Vor dem Versand errechnet der Mail-Server einen sogenannten Hashcode des E-Mail Inhalts und hängt diese digitale Signatur der Nachricht an.
  • Daraufhin decodiert der empfangende MTA zunächst die Signatur.
  • Dann entschlüsselt er die Absender-Domäne mit dem öffentlichen Schlüssel und berechnet einen neuen Hashcode.
  • Anschließend überprüft der MTA, ob der gelieferte entschlüsselte und der selbst berechnete Hashcode übereinstimmen.
  • Im Fall einer Übereinstimmung kann der Empfänger sicher sein, dass die entsprechende E-Mail tatsächlich von der angegebenen Domäne stammt.

Was ist DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) ist ein E-Mail-Authentifizierungs-, Richtlinien- und Berichtsprotokoll.
DMARC gewährleistet eine noch größere Sicherheit, da SPF und DKIM miteinander kombiniert. So bieten einige Marketing-Automation-Plattformen, darunter auch Email-Marketing Software zur Homepage dieses Unternehmens Relation Browser Dienstleister-Dossier einsehen Evalanche, die Möglichkeit, SPF- und DKIM-Einträge zu nutzen. Der Vorteil: Die Zustellrate steigt deutlich an, weil weniger E-Mails als Spam markiert werden. Um die weitere Verbreitung des DKIM- und des SPF-Protokolls voranzutreiben, haben sich einige Unternehmen zur DMARC zur Homepage dieses Unternehmens Relation Browser -Initiative zusammengeschlossen.
Als E-Mail-Authentifizierungs-, Richtlinien- und Berichtsprotokoll steht DMARC für Domain-based Message Authentication, Reporting & Conformance. Es basiert auf den bestehenden SPF- und DKIM-Protokollen und funktioniert folgendermaßen:
  • Das DMARC-Protokoll verknüpft den Domänennamen des Autors ("From:") mit veröffentlichten Richtlinien für die Behandlung von Authentifizierungsfehlern beim Empfänger und mit Berichten von Empfängern an die Absender.
  • Das erlaubt, eine Domäne vor betrügerischen E-Mails besser zu schützen und sie entsprechend zu überwachen.

Grenzen

DKIM und SPF haben natürlich auch Grenzen. Sollte der Rechner des tatsächlichen Absenders gehackt worden sein, sind beide Verfahren wirkungslos. Dann kann es passieren, dass Betrüger über die entsprechenden Hardware E-Mails verschicken, ohne dass es der Nutzer bemerkt. Das Fatale daran: Die Nachrichten sind mit seiner digitalen Unterschrift ganz korrekt signiert. Darum ist jeder User gefordert, für die Sicherheit seines Rechners zu sorgen.

Jetzt kostenloses E-Book herunterladen


Sie wollen mehr dazu erfahren, wie Sie vertrauenswürdige Emails und Newsletter verschicken können? Holen Sie sich jetzt das E-Book "E-Mail-Marketing und Lead Management rechtskonform gestalten" zur Homepage dieses Unternehmens Relation Browser Dienstleister-Dossier einsehen und erfahren Sie mehr zum Thema "Datenschutz beim Newsletterversand".

Verantwortlich für den Inhalt dieses Beitrags ist ausschließlich das herausgebende Unternehmen.

Verantwortlich für den Inhalt der Gastbeiträge sind die jeweils herausgebenden Unternehmen.

Ihr Gastbeitrag fehlt hier? Einfach Plus-Mitglied werden und dann zum Eintrag Ihres Unternehmens im Dienstleister-Verzeichnis hochladen.