#Software

SPF und DKIM – Pflicht für alle Sender, die täglich 5000 E-Mails an Gmail-Konten senden

Google setzt seit Juni 2023 auf SPF und ab Februar 2024 auch auf DKIM. Diese Technologien sind jetzt unverzichtbar, um E-Mails sicher bei Gmail-Nutzern zu landen. Erfahre warum das für dich wichtig ist.

Datum
13.02.2024
Lesedauer
Nachdem Gmail mit über 1,5 Milliarden Nutzern der mit Abstand beliebteste E-Mail-Anbieter ist, und dadurch Standards für alle Mailprovider definiert, ist davon auszugehen, dass diese Regelung nach und nach für alle Mailprovider durchgesetzt wird. Seit Juni 2023 nimmt Google E-Mails nur noch an, wenn ein gültiger SPF-Eintrag vorhanden ist. Diese Richtlinie wird im Februar 2024 um DKIM erweitert – verpflichtend ist das nach aktuellem Stand allerdings nur für Sender, welche täglich mehrere tausend Nachrichten an Gmail-Konten verschicken.

Worum handelt es sich bei den beiden Technologien im Detail?

SPF (Sender Policy Framework):

SPF-Einträge werden an der Domain hinterlegt und enthalten die IP-Adressen aller Server, die E-Mails von der Domain versenden dürfen. Mailserver, die eine E-Mail Nachricht empfangen, gleichen die Nachricht mit dem SPF-Eintrag ab, bevor sie an den Posteingang des Empfängers weitergeleitet wird. Dadurch wird sichergestellt, dass die E-Mail auch wirklich von einem autorisierten Server versendet wurde. 

DKIM (DomainKeys Identified Mail): 

Mit der DKIM-Technologie können E-Mails „signiert“ werden. Dazu wird eine Public Key-Kryptographie verwendet: An der Domain wird ein öffentlicher Schlüssel als TXT-Eintrag hinterlegt. Wird eine E-Mail versendet, enthält diese im Header einen mit einem privaten Schlüssel signierten String, welcher mithilfe des öffentlichen Schlüssels gegengeprüft werden kann. Dadurch wird sichergestellt, dass die Nachricht tatsächlich von dieser Domain versendet und nicht während der Übermittlung manipuliert wurde.

Was passiert, wenn die Nachrichten die Prüfungen nicht bestehen?

Im schlimmsten Fall landet der sendende Mailserver mit seiner IP-Adresse auf einer Blacklist, und es ist oft ein zeitaufwendiger Prozess, diesen Server wieder freischalten zu lassen. Es kann auch passieren, dass der Empfängerserver die Mail ablehnt oder die E-Mail an den Spamordner des Empfängers gesendet wird.

Prüfen, ob Nachrichten die DKIM-Authentifizierung bestehen

Es gibt verschiedene Möglichkeiten, wie du testen kannst, ob DKIM richtig konfiguriert ist.Um zu prüfen ob DKIM richtig konfiguriert ist, gibt es die folgenden Schritte:


Manuelle Überprüfung im E-Mail Header:

  • Öffne den Header der E-Mail und suche nach dem DKIM-Signaturabschnitt. Dieser beginnt normalerweise mit „DKIM-Signature“
  • Überprüfe die Informationen in der DKIM-Signatur, insbesondere den Selector (z.B. „selector1“) und den Domain Key (z.B. domainkey.example.com)

DNS-Einträge prüfen:

  • Öffne die betroffene Domain im DNS-Verwaltungsbereich und suche nach den DKIM DNS-Einträgen.
  • Stelle Sicher, dass der Selector mit und der Domain Key mit den Informationen in der DKIM-Signatur übereinstimmt.
  • Beispiel eines DKIM-DNS-Eintrags: selector1._domainkey.example.com. IN TXT "k=rsa; p=MIGfMA0GCSqGSIb3DQEBA..."

DKIM-Validator verwenden:
  • Es gibt Online-Tools, welche die DKIM-Signatur überprüfen können. Ein Beispiel dafür ist der „DKIMValidator“: https://dkimvalidator.com/

Fazit

Zusammengefasst bedeutet das für unsere Kunden folgendes: Im Standard existiert beim Kunden ein Mailserver, zusätzlich werden E-Mails von unseren Shop-Servern versendet. In diesem Fall muss mindestens ein gültiger SPF-Eintrag für unsere Server an der Domain existieren.DKIM ist eine zusätzliche Sicherheit vor Spoofing und Phishing und somit Pflicht für alle Kunden, von denen sehr viele Mails an Kunden versendet werden. In diesem Fall muss DKIM dann am Kunden-Mailserver konfiguriert und die Signatur ebenfalls an unseren Servern hinterlegt werden. Solltest du dir unsicher sein, ob in deinem Fall eine Anpassung notwendig ist, oder du Hilfe bei der Konfiguration von DKIM benötigst, kannst du dich an unser Operations-Team wenden – wir prüfen das dann gerne individuell 🙌🏻