SPF, DKIM und DMARC verstehen: Ein einfacher Leitfaden

 (github.com/nicanorflavier)
20 Punkte von GN⁺ 2024-06-18 | 3 Kommentare | Auf WhatsApp teilen

Wofür ist dieser Leitfaden gedacht?

  • Ein unverzichtbarer Leitfaden für alle, die Anwendungen entwickeln, unterstützen oder warten, die E-Mails versenden.
  • Hilft sicherzustellen, dass E-Mails im Posteingang des Empfängers landen und nicht im Spam-Ordner.
  • Erklärt, wie man eine Domain vor Cyberkriminellen und Spam-Versendern schützt.

Warum sollte man diesen Leitfaden wählen?

  • Erklärt SPF, DKIM und DMARC mit einfachen, klaren Beschreibungen und Beispielen leicht verständlich.
  • Wird auf GitHub gehostet und lässt sich in Entwicklungsumgebungen integrieren, sodass Informationen schnell zugänglich sind.
  • Eine Dokumentation, die von der Community kontinuierlich aktualisiert und gepflegt werden kann.

Wofür ist dieser Leitfaden nicht gedacht?

  • Behandelt keine fortgeschrittenen Themen wie die Konfiguration von E-Mail-Servern, Verschlüsselung oder sichere E-Mail-Gateways.

SPF, DKIM und DMARC kurz erklärt

SPF (Sender Policy Framework)

  • SPF: Wie eine Freundesliste mit den Systemen, die E-Mails senden dürfen.
  • SPF-Record: Diese Freundesliste wird in einem DNS-TXT-Record gespeichert.
  • Beispiel: v=spf1 ip4:123.123.123.123 ~all

DKIM (DomainKeys Identified Mail)

  • DKIM: Wie eine geheime Notiz innerhalb der E-Mail.
  • DKIM-Record: Speichert den öffentlichen Schlüssel in einem DNS-TXT-Record, damit der Empfänger die Echtheit der E-Mail prüfen kann.
  • Beispiel: v=DKIM1; k=rsa; p=NICfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDBolTXCqbxwoRBffyg2efs+Dtlc+CjxKz9grZGBaISRvN7EOZNoGDTyjbDIG8CnEK479niIL4rPAVriT54MhUZfC5UU4OFXTvOW8FWzk6++a0JzYu+FAwYnOQE9R8npKNOl2iDK/kheneVcD4IKCK7IhuWf8w4lnR6QEW3hpTsawIDAQ0B

DMARC (Domain-based Message Authentication, Reporting & Conformance)

  • DMARC: Wie ein großes Regelbuch, das die Regeln von SPF und DKIM zusammenfasst.
  • DMARC-Record: Speichert dieses Regelbuch in einem DNS-TXT-Record und legt fest, wie der Empfänger die E-Mail behandeln soll.
  • Beispiel: v=DMARC1; p=none; rua=mailto:postmaster@example.com

Praktische Einsatzbeispiele für SPF, DKIM und DMARC

  • Mobile Apps: Wenn eine Fitness-App oder Banking-App E-Mails versendet, sorgen SPF, DKIM und DMARC dafür, dass diese im Posteingang und nicht im Spam-Ordner landen.
  • E-Mail-Dienstanbieter: Gmail, Yahoo, Outlook usw. verwenden SPF, DKIM und DMARC zur Authentifizierung eingehender E-Mails.
  • Social-Media-Plattformen: LinkedIn, Facebook und Twitter verwenden SPF, DKIM und DMARC beim Versand von Benachrichtigungs-E-Mails.
  • Unternehmen: Beim Versand von Werbe-E-Mails helfen SPF, DKIM und DMARC dabei, dass E-Mails nicht als Spam markiert werden und die Domain nicht für E-Mail-Spoofing missbraucht wird.
  • Behörden: Beim Versand von Benachrichtigungen an Bürger helfen SPF, DKIM und DMARC dabei, Phishing-Angriffe zu verhindern.

Was sollte man jetzt tun?

  1. E-Mail-Adressen und Domains identifizieren: Ermitteln, welche E-Mail-Adressen und Domains in der App verwendet werden.
  2. Aktuellen Status prüfen: Überprüfen, ob bereits SPF-, DKIM- und DMARC-Records vorhanden sind und korrekt konfiguriert wurden.
  3. Zugriffsrechte auf die Domain: Sicherstellen, dass die Berechtigung besteht, DNS-Records zu ändern.
  4. DMARC-Monitoring: DMARC-Berichte überwachen, prüfen, ob Probleme auftreten, und diese bei Bedarf beheben.

SPF-, DKIM- und DMARC-Status prüfen

  • MXToolbox:
    • https://mxtoolbox.com/ besuchen
    • Die Tools „SPF Record Lookup“, „DKIM Record Lookup“ und „DMARC Record Lookup“ verwenden
  • DMARCTester:

FAQ's zu SPF, DKIM und DMARC

  1. E-Mail-Adresse für DMARC-Berichte: Es empfiehlt sich, ein gemeinsames Postfach zu verwenden, das von mehreren Personen geprüft werden kann.
  2. Unterschied zwischen ~all, -all, ?all und +all im SPF-Record:
    • ~all (SoftFail): E-Mails von Servern, die nicht in der Liste stehen, werden zugelassen, könnten aber verdächtig sein.
    • -all (Fail): E-Mails von Servern, die nicht in der Liste stehen, werden abgelehnt.
    • ?all (Neutral): E-Mails werden ohne besondere Anweisung behandelt.
    • +all (Pass): E-Mails von allen Servern werden zugelassen.
  3. Kann man DMARC ohne SPF einrichten? Möglich, aber ineffizient. Es ist empfehlenswert, SPF und DKIM zusammen zu verwenden.
  4. Wenn in den E-Mail-Headern mehrere SPF-Fehlschläge und einige SPF-Erfolge zu sehen sind: Man sollte der SPF-Prüfung vertrauen, die zur eigenen Domain gehört.

Abschluss

  • SPF, DKIM und DMARC sind die stillen Helden der E-Mail-Sicherheit.
  • Diese drei spielen eine wichtige Rolle dabei, die Vertrauenswürdigkeit von E-Mails zu erhalten.

Meinung von GN⁺

  • Die Bedeutung von E-Mail-Sicherheit: E-Mail ist ein wichtiges Kommunikationsmittel, daher ist Sicherheit von großer Bedeutung.
  • Die Notwendigkeit von SPF, DKIM und DMARC: Diese drei Technologien sind unverzichtbar, um E-Mail-Spoofing und Phishing-Angriffe zu verhindern.
  • Worauf man bei der Einführung achten sollte: Konfiguration und Monitoring sind erforderlich, und fehlerhafte Einstellungen können Probleme bei der E-Mail-Zustellung verursachen.
  • Verwandte Tools: Mit Tools wie MXToolbox und DMARCTester lässt sich der Konfigurationsstatus leicht prüfen.
  • Industriestandard: Um die E-Mail-Sicherheit zu stärken, haben sich SPF, DKIM und DMARC als Industriestandard etabliert.

Verwandte Beiträge

3 Kommentare

 
kty1965 2024-06-21

SPF, DKIM und DMARC scheinen inzwischen sehr wichtig geworden zu sein
 
ninebow 2024-06-19

Wenn man Google Workspace oder SES verwendet, kommen neben den MX-Records nach und nach weitere Einstellungen wie SPF und DKIM dazu. Ich hatte mir ehrlich gesagt nie die Mühe gemacht, das wirklich nachzuschlagen, und dachte einfach nur, dass es schon irgendwie funktionieren wird – also vielen Dank! :D
 
GN⁺ 2024-06-18
Hacker-News-Kommentare

  • Erfahrung eines IT-Administrators: Bei der IT-Verwaltung in kleinen und mittleren Unternehmen erhält man häufig Anfragen, E-Mails freizugeben, die wegen fehlerhafter SPF-Records in Quarantäne gelandet sind. Statt Whitelists zu verwenden, wird geholfen, die SPF-Records zu korrigieren. Zur Automatisierung wurde dafür ein Skript in der Sprache Racket geschrieben.

  • Buchempfehlung: Michael W. Lucas arbeitet an einem Buch mit dem Titel "Run Your Own Mail Server", das die Einrichtung von SPF/DKIM/DMARC ausführlich behandelt. Seine Tutorials und Vorträge auf der BSDCan wurden besucht, und das Buch wird empfohlen.

  • Bedarf an einem SPF/DKIM/DMARC-Leitfaden: Es wird ein SPF/DKIM/DMARC-Leitfaden für App-Entwickler benötigt, die E-Mails über andere Domains versenden. Viele Ticket-Systeme und Marketing-Plattformen verstehen diese Konzepte nicht.

  • Wichtigkeit der Automatisierung: Jemand betreibt ein Startup, das die Einrichtung von SPF/DKIM/DMARC automatisiert, und bewertet die Qualität des Leitfadens sehr hoch. Allerdings treten diese Probleme für Nutzer meist nur einmal auf, weshalb ein langfristiges Verständnis schwer aufzubauen ist. Automatisierung ist daher wichtig.

  • Empfehlung für Debugging-Tools: Es wird ein Link zu einem guten Tool zum Debuggen von DMARC-Problemen geteilt.

  • Empfehlung für Test-Tools: Die kostenlosen Versionen von mail-tester.com und eu.dmarcian.com werden als Test-Tools empfohlen. Außerdem wird ein Blog-Link geteilt, um DKIM besser zu verstehen.

  • Spam-Problem: Selbst bei perfekt konfigurierter E-Mail-Einrichtung werden Nachrichten in Gmail manchmal als Spam eingestuft. Trotz hunderter investierter Stunden ließ sich das Problem nicht lösen, weshalb schließlich ein Drittanbieter-Hosting-Service wie iCloud genutzt wurde.

  • Notwendigkeit von E-Mail-Vielfalt: Man sollte sich nicht auf E-Mail-Dienste großer Unternehmen wie Apple, Google und Microsoft verlassen, sondern nach Möglichkeit einen eigenen Mailserver betreiben.

  • Kostenloser DMARC-Monitoring-Service: Ein Dienst namens Postmark bietet kostenloses DMARC-Monitoring an.

  • Ergebnisse der SPF/DKIM/DMARC-Konfiguration: Es werden Ergebnisse für eine Beispiel-Domain geteilt, bei der SPF, DKIM und DMARC alle erfolgreich bestanden wurden.