Kurz zum Hintergrund
Fast jedes Unternehmen versendet heute E-Mails über verschiedene Systeme und Dienstleister. Ein Teil der E-Mails wird über den „normalen“ E-Mail-Server versendet, ein Teil über Newsletter-Tools, weitere über ein CRM-Tool, die Webseite oder den Online-Shop.
Theoretisch ist es sogar so, dass jeder mit ein bisschen IT-Kenntnissen sich einen eigenen E-Mail-Server installieren und damit E-Mails im Namen jeder beliebigen E-Mail-Adresse versenden kann. Das stellt jeden Spamfilter vor eine Herausforderung. Der Spamfilter fragt sich bei jeder eingehenden E-Mail: Ist die E-Mail wirklich von der Absenderadresse, die sie vorgibt zu sein oder wurde die Absenderadresse gefälscht, um sich als ein anderes Unternehmen auszugeben oder von dessen Reputation zu profitieren?
Um allem Spamfiltern weltweit diese Aufgabe zu erleichtern (und damit das Risiko zu senken, dass die eigenen validen E-Mails im Spamfilter landen), gibt es seit einigen Jahren die Möglichkeit, dass jeder Inhaber einer Domain zentral und öffentlich bekanntgeben kann, welche Systeme E-Mails im Namen der eigenen Domain versenden dürfen und welche nicht. Hierzu eignet sich der DNS-Server am Besten, bei dem auch hinterlegt ist, unter welcher IP-Adresse die Webseite und der Mailserver hinterlegt ist.
SPF – Der Vorläufer mit Schwächen
Als Erstes wurde hierzu der Standard SPF (Sender Policy Framework) entwickelt. Bei SPF handelt es sich im Grunde um einen DNS-Eintrag, in dem alle Systeme hinterlegt werden, die im Namen der jeweiligen Domain E-Mails versenden dürfen. Der SPF-Eintrag einer Domain wird von jedem Spamfilter abgefragt, der eine E-Mail von der jeweiligen Domain erhält. Diesen Vorgang nennt man SPF-Check.
Leider hat SPF zahlreiche Schwächen, so dass oftmals auch valide E-Mails den SPF-Check nicht bestehen.
DKIM – Die wichtigste Grundlage für DMARC
Daher wurde ein zusätzlicher Standard entwickelt, der sich DKIM (DomainKeys Identified Mail) nennt. Hierbei wird durch den Mailserver automatisch jeder E-Mail eine digitale Signatur, also eine Art Briefsiegel, hinzugefügt. Der öffentliche Schlüssel mit dem die Signatur (das Siegel) von dem empfangenden Spamfilter validiert werden kann, wird ebenfalls zentral auf dem DNS-Server hinterlegt.
Somit sieht der Spamfilter des Empfängers, dass die E-Mail von einem vertrauenswürdigen System kommt und die E-Mails unterwegs nicht manipuliert wurde. DKIM ist dabei deutlich zuverlässiger als SPF, verfügt jedoch nicht über einen Mechanismus, der Konsequenzen aus einem nicht bestandenen DKIM-Check zieht.
Und nun zu DMARC
Der Standard DMARC (Domain-based Message Authentication, Reporting and Conformance) wurde erfunden, damit der Domaininhaber in einer Richtlinie festlegen kann, was mit E-Mail passieren soll, die weder den SPF- noch den DKIM-Check bestehen. Zur Auswahl steht „nichts“, „in den Spamordner verschieben“ oder „Abweisen“.
Damit der Domaininhaber sicherstellen kann, dass alle seine validen E-Mails den SPF- und den DKIM-Check zuverlässig bestehen und im Posteingang der Empfänger landen, gibt es bei DMARC auch eine Reporting-Funktionalität. Dabei wird der Domaininhaber von den Spamfiltern oder Mailservern der Empfänger darüber informiert, welche Systeme und Dienstleister im Namen ihrer Domain E-Mails versendet haben. Und ob diese E-Mails den SPF- und den DKIM-Check bestanden haben.
Wenn jemand die Absenderadresse einer Domain fälscht, deren DMARC-Richtlinie auf “Reject” (Abweisen) steht, dann kann jeder Spamfilter erkennen, dass es sich um eine gefälschte E-Mail handelt und sie abweisen. Das erhöht nicht nur die IT-Sicherheit, sondern sorgt auch dafür, dass E-Mails und Newsletter dieser Domain eine höhere Vertrauenswürdigkeit bei Spamfiltern genießen. Teils ist es auch eine zwingende Anforderung seitens der E-Mail-Anbieter, dass alle E-Mails diese Checks bestehen.
Wer dann noch die Reporting-Funktionalität von DMARC nutzt und die Reports regelmäßig auswertet, kann sicherstellen, dass die eigenen validen E-Mails aus allen Quellen die SPF- und DKIM-Checks bestehen. Damit können unerwünschte Seiteneffekte, wie eine kontinuierlich falsch erfolgte Klassifizierung valider E-Mails und Newsletter als Spam, vermieden werden.
Ich empfehle für die Auswertung der DMARC-Reports ein entsprechendes Tool zu nutzen, das die Reports, die Domaininhaber von anderen Mailservern zugesendet bekommen, grafisch ansprechend aufbereitet. Diese Tools erhalten ihre Informationen von anderen Mailservern über eine im DMARC-Eintrag hinterlegte E-Mail-Adresse.
Um die Vorteile von DMARC nutzen zu können, benötigt ein Unternehmen also ein Tool zum Monitoring der DMARC-Reports und es sollte die DMARC-Policy so einstellen, dass gefälschte E-Mails verworfen werden. Daher rate ich davon ab, einfach irgendeinen generischen DMARC-Eintrag zu setzen, der in der Anleitung eines Newslettertools zu finden war.
Nehmen Sie besser Kontakt mit einem erfahrenen DMARC-Experten auf, um Ihre Domain so zu konfigurieren, dass sie nicht mehr als Absender gefälschter E-Mails missbraucht werden kann. Professionell konfiguriert steigt auch die Reputation Ihrer E-Mails und Newsletter und senkt damit das Risiko, dass sie fälschlicherweise als Spam klassifiziert werden.