Worum geht es?

SPF, DKIM und DMARC – was nach einer wahllosen Aneinanderreihung von Buchstaben aussieht, hat eine große Bedeutung in der abgesicherten E-Mail-Kommunikation. Manche werden diese Begriffe sicher schon einmal gehört haben, für alle anderen klären wir einmal auf: Was hat es mit SPF, DKIM und DMARC auf sich?

Seit Juni 2023 nimmt Google nur noch E-Mails von Absendern an, die einen gültigen SPF-Record („Sender Policy Framework”, ein Verfahren zur Verhinderung von gefälschten Absenderadressen) konfiguriert haben. Seit Februar 2024 muss auch DKIM („DomainKeys Identified Mail”, ein Identifikationsprotokoll zur Sicherstellung der Authentizität von E-Mail-Absendern) eingerichtet sein – beim Versand von Massenmails. Andere Mailprovider verfolgen ähnliche Ziele und auch wenn die Restriktionen durch die Beschränkung auf Massenmailings noch sehr sanft ausfallen, haben die Ankündigungen schon etwas bewirkt. Viele Unternehmen setzen sich mit den Themen SPF, DKIM und DMARC auseinander, um auch in Zukunft eine gute Zustellbarkeit der eigenen, geschäftlichen E-Mails gewährleisten zu können.

Wie immer bei solchen (komplexen) IT-Themen, die neu aufkommen oder zumindest breiter bekannt werden, gibt es viele Missverständnisse und Unklarheiten. Ein guter Grund, das Thema E-Mail, Zustellbarkeit und die Technologien SPF, DKIM und DMARC einmal genauer zu beleuchten.

Eine Reise in die Vergangenheit

1971 verschickte der amerikanische Programmierer Ray Tomlinson die erste E-Mail. In den nächsten Jahren wurden Protokolle und Standards entwickelt, die zum größten Teil auch heute noch im Einsatz sind. Das Protokoll zum Versenden von E-Mails „SMTP” (Simple Mail Transfer Protocol) wurde 1982 veröffentlicht. Die Protokolle zum Abrufen von E-Mails (POP3 und IMAP) wurden beide ebenfalls in den 80er Jahren entwickelt und standardisiert. Auch die Grundlagen zum Aufbau einer E-Mail mit Headern und Anhängen stammen aus dieser Zeit, wurden aber über die Jahre immer wieder erweitert und überarbeitet.

2023 gab es laut Statista weltweit 4,37 Milliarden E-Mail-Nutzer. 73 Prozent der Menschen in Europa haben ein E-Mail-Postfach. Aktuell werden weltweit etwa 350 Milliarden E-Mails pro Tag versendet und empfangen. Beeindruckende Zahlen.

Wer ist der Absender?

Ein Grundproblem der Technologie „E-Mail” ist, dass der Aufbau und der Transport von E-Mails voneinander getrennt sind. In den Kopfzeilen einer E-Mail, dem sogenannten Header, kann ein beliebiger Absender stehen. Rein technisch muss das nicht der Absender sein, der auch genutzt wird, um die E-Mail über das Protokoll SMTP zu versenden. Oder anders ausgedrückt: der Absender einer E-Mail kann sehr einfach gefälscht werden. In der Anfangszeit der E-Mail war das kein großes Thema. Mit fortschreitender kommerzieller Nutzung wurde genau das aber zum großen Problem. E-Mails wurden nicht mehr nur in der direkten Kommunikation zwischen zwei Menschen eingesetzt. Massenmailings in Form von Newslettern kamen auf. Newsletter wurden bald nicht mehr nur zur Verbreitung von „News” eingesetzt, sondern auch für Werbung und kommerzielle Angebote. Empfänger erhielten immer mehr E-Mails, die unerwünscht waren und die daher direkt gelöscht wurden. Um, gerade bei Angeboten, die nicht unbedingt den „oberen” Produktkategorien zugehören, die Chance auf Öffnung und das Lesen von solchen Mails beim Empfänger zu erhöhen, wurden Absender gefälscht – Spam- und später Phishing-Mails wurden erfunden.

Im Dezember 2023 lag der Anteil an Spam-Mails im gesamten E-Mail-Verkehr bei 46,8 Prozent (Statista). Im Prinzip ist jede zweite E-Mail eine Spam-Mail – eine große Herausforderung für alle Mailprovider.

Frau bei der Arbeit
Frau bei der Arbeit

Lösungsversuche

SPF

Ab 2003 wurde mit dem Sender Policy Framework (SPF) ein Verfahren etabliert, mit dem der Inhaber einer Domain konfigurieren kann, welche Mailserver berechtigt sind, eine E-Mail mit der Domain-Kennung zu versenden. Standardisiert wurde das Verfahren erst 2014. Der SPF-Eintrag ist ein Teil der Konfiguration einer Domain. Er enthält im Normalfall eine Liste aller Mailserver, die für den Versand vom Eigentümer der Domain genutzt werden. Jeder empfangende Mailserver kann diese Konfiguration abfragen und bewerten. Stammt die E-Mail von einem Server, der im SPF-Eintrag der Domain genannt wird, handelt es sich mit hoher Wahrscheinlichkeit um eine gültige E-Mail. Stammt die E-Mail von einem anderen Mailserver, liegt potentiell eine Absenderfälschung vor und die Mail sollte als Spam angesehen werden.

Ein gültiger SPF-Eintrag ist mittlerweile sehr wichtig, um eine gute Zustellbarkeit von E-Mails der Domain zu gewährleisten. Ausreichend zur Abwehr von Spam und Phishing ist die Technologie „SPF” alleine aber nicht – zum Beispiel dadurch, dass in vielen Domains immer alle Mailserver des eigenen Mailhosters angegeben werden müssen. Alle Domains eines Hosters haben also häufig die gleiche SPF-Konfiguration, eine klare Unterscheidung auf Basis von einzelnen Domains gibt es nicht. Auch E-Mail-Weiterleitungen sprechen häufig gegen eine „strikte” SPF-Konfiguration.

DKIM

DKIM steht für DomainKeys Identified Mail und wurde ursprünglich von Yahoo entwickelt. 2007 wurde das Verfahren zum ersten Mal standardisiert und über die nächsten Jahre weiterentwickelt. Über ein asymmetrisches, kryptographisches Verfahren wird sichergestellt, dass eine versendete E-Mail von dem Mailserver stammt, der für den Versand von E-Mails dieser Domain verantwortlich ist und auch nicht manipuliert wurde. Über einen privaten Schlüssel, der nur dem Mailserver des Domaininhabers bekannt ist, wird eine Signierung in die E-Mail-Header eingefügt. Über die DNS-Konfiguration der Domain wird der zweite öffentliche Schlüssel bekannt gemacht. Über diesen Schlüssel können empfangende Mailserver prüfen, ob die Signierung im Mail-Header korrekt ist. Nur der / die Mailserver des Domaininhabers mit Zugriff auf den geheimen, privaten Schlüssel sind in der Lage, eine gültige Signierung durchzuführen.

Wie eingangs geschrieben, wird auch eine korrekte DKIM-Konfiguration von großen Mail-Providern immer stärker gefordert. Aktuell beschränkt sich das noch auf den Einsatz von Massenmailings, es ist aber dringend zu empfehlen, DKIM für die eigenen Domains zu konfigurieren, um eine gute Zustellbarkeit zu erreichen. Die Einrichtung ist etwas komplexer als die SPF-Konfiguration, da für DKIM einmal der private Schlüssel beim Mailprovider und der öffentliche Schlüssel beim Domain-Anbieter hinterlegt werden müssen.

Solange die Mailprovider DKIM noch nicht vollständig und strikt einfordern, ist der große Nachteil: eine fehlende DKIM-Signierung lässt keine wirklichen Rückschlüsse zu. Eine falsche DKIM-Signierung ist ein klares Zeichen für einen möglichen Fall von Phishing / Spam, eine fehlende DKIM-Signierung kann (noch) als Normalfall betrachtet werden.

DMARC

Um das Problem, dass viele Domains auch für valide / gültige E-Mails noch keine DKIM-Signierung nutzen und zum Teil auch keine vollständige SPF-Konfiguration enthalten, wurde DMARC erfunden. DMARC setzt auf SPF und DKIM auf und ist eine Domain-Konfiguration, über die den Mailservern im Internet mitgeteilt wird, wie sicher man die eigene SPF- und DKIM-Konfiguration einschätzt. Beides (SPF + DKIM) sind zwingende Voraussetzungen für die Einrichtung von DMARC. Ohne SPF oder DKIM darf bzw. sollte DMARC nicht konfiguriert und aktiviert werden. Sobald eine DMARC-Konfiguration aktiv ist, erhält man per E-Mail an die in der Konfiguration festgelegte E-Mail-Adresse Reporting-Berichte von anderen Mailprovidern über die unter der Domain versandten E-Mails.

In der DMARC-Konfiguration gibt man an, wie andere Mailserver bei Verstößen gegen die eigene SPF- und DKIM-Konfiguration umgehen sollen. Ist man sich sicher, dass die eigene Konfiguration korrekt ist, kann per Konfiguration gefordert werden, dass E-Mails mit SPF- oder DKIM-Fehlern strikt abgelehnt werden. Diese Konfiguration wird von den empfangenden Mailservern als sehr positiv bewertet, da es die Erkennung von Spam und Phishing deutlich vereinfacht.

Um auf diesen Stand zu kommen, empfiehlt es sich, die DMARC-Konfiguration im ersten Schritt auf einen reinen Reporting-Modus zu setzen. Über die zugesendeten Reports der Mailprovider erhält man einen Überblick darüber, welche Fälle es gab, in denen SPF oder DKIM nicht korrekt eingetragen waren. In den Reports können Fälle sein, in denen ein wirklicher Spam-Fall vorliegt und jemand Unbefugtes über eigene Mailserver E-Mails im Namen der Domain versendet hat – Fälle also, die man unterbinden möchte. Es können aber auch Fälle vorhanden sein, die auf Fehler in der eigenen Konfiguration hinweisen und die so behoben werden können.

DMARC ist die komplexeste der drei Technologien. Da dauerhaft die DMARC-Reports geprüft und bearbeitet werden müssen, empfiehlt es sich für diesen Schritt einen Experten im Bereich E-Mail-Hosting zu involvieren.

Was sollte man tun?

Eine gültige SPF-Konfiguration ist als Standard anzusehen und sollte dringend gesetzt sein. SPF wird in der DNS-Konfiguration der Domain eingerichtet, kann also mit Zugriff auf den Nameserver der eigenen Domain oder vom Domain-Provider eingerichtet werden.

Auch DKIM sollte aktuell für Domains, die zu geschäftlichen Zwecken eingesetzt werden, konfiguriert sein. Für die DKIM-Einrichtung wird ebenfalls Zugriff auf den Nameserver benötigt. Zusätzlich muss der Mail-Provider noch den privaten Schlüssel hinterlegen, oder den bereits hinterlegten Key für die Nameserver-Anpassung mitteilen. Liegen Domain und Postfächer bei einem einzelnen Anbieter, ist die Einrichtung am einfachsten.

DMARC verbreitet sich immer weiter, ist aktuell aber noch nicht zwingend notwendig. Ohne Einsatz von Fachkräften, die dauerhaft die eingehenden DMARC-Reports prüfen und bearbeiten, bietet das Verfahren nur wenig Mehrwert. Ist IT-Unterstützung mit Kenntnissen im Bereich E-Mail-Hosting / Domain-Konfiguration vorhanden, ist DMARC aber eine große Hilfe bei der Überwachung und Verbesserungen der eigenen Domain.