E-Mail: SPF, DKIM und DMARC für Absender einrichten

Um sich vor Spam zu schützen oder selbst nicht auf einer Sperrliste zu gelangen gibt es einige Maßnahmen die man ergreifen kann. Wer eine eigene E-Mail-Domäne verwendet muss in Sachen SPF, DKIM und DMARC selbst Hand anlegen. Am Beispiel der beiden Anbieter IONOS (by 1&1) sowie ALL-INKL zeige ich nachfolgend auf an welchen Stellen was einzutragen ist und wie man das Ganze testet.

Die Reihenfolge der einzelnen oben genannten Techniken ist relevant, denn das Eine baut auf dem Anderen auf. Zumindest ist SPF und DKIM Voraussetzung für DMARC.

IONOS (by 1&1)

IONOS bietet über mehrere Seiten bzw. Stellen hinweg Informationen zu den genannten Techniken (siehe die Links und Quellen am Ende dieses Beitrags). Alle notwendigen Schritte werden im Kundencenter vorgenommen.

SPF

  • Auf “Domains & SSL” klicken.
  • Bei der gewünschten Domain bei Aktionen (Zahnrad-Symbol) “DNS” auswählen.
  • Auf “Record hinzufügen” klicken und “IONOS SPF (TXT)” (für den Standard-Eintrag des Providers) oder “SPF (TXT)” (für eigene/angepasste Einträge) auswählen.
  • Hat man “IONOS SPF (TXT)” ausgewählt wird automatisch ein Eintrag mit folgendem Wert gesetzt:
    v=spf1 include:_spf-eu.ionos.com ~all

    Ältere und frühere manuelle Einträge sehen womöglich so aus:

    v=spf1 include:_spf.perfora.net include:_spf.kundenserver.de ~all
  • Hat man “SPF (TXT)” ausgewählt kann der “Hostname” so belassen werden und im Feld Wert trägt man den gewünschten Wert ein.

Damit ist der SPF-Eintrag gesetzt.

DKIM

IONOS selbst bietet kein Tool an um den Wert des DKIM-Eintrags erzeugen zu können. In der Hilfe verweist man auf den EasyDMARC – DKIM Record Generator. Ironisch mutet dabei folgende Aussage in der IONOS-Hilfe an: “Die meisten E-Mail-Provider nehmen Ihnen diese Arbeit ab.” Ja, ok, aber dieser Anbieter offenbar nicht.

Als weiteres kommt erschwerend hinzu, das IONOS für die eigenen Mailserver kein DKIM unterstützt, Nutzer die ihre Postfächer direkt dort haben bleiben also außen vor!

Update 28.02.2024: Mittlerweile hat IONOS die DKIM-Einträge für die eigenen Mailserver automatisch ergänzt, d.h. die in diesem Abschnitt genannten Schritte sind nur notwendig wenn man einen eigenen Mailserver oder einen anderen Mailprovider verwendet.

Betreibt man einen eigenen Mailserver wie z.B. MDaemon müssen dort die DKIM-Schlüssel erzeugt werden. Im DNS der betreffenden Domäne wird dann der öffentliche DKIM-Schlüssel eingetragen.

  • Auf “Domains & SSL” klicken.
  • Bei der gewünschten Domain bei Aktionen (Zahnrad-Symbol) “DNS” auswählen.
  • Auf “Record hinzufügen” klicken und “TXT” auswählen.
  • Bei “Hostname” den Selektor + die Erweiterung “._domainkey”, z.B. “MDaemon._domainkey” eintragen.
  • Im Feld Wert ist zwingend “v=DKIM1;p=<Öffentlicher Schlüssel>” einzutragen.
  • Den Record speichern.

DMARC

Auch für die Erzeugung des DMARC-Eintrags bietet IONOS kein eigenes Tool an und verweist auf den EasyDMARC – DMARC Record Generator.

Man macht alle notwendigen und gewünschten Angaben und erzeugt den Wert. Anbei ein Screenshot:

Bei IONOS pflegt man die Daten dann wie folgt ein:

  • Auf “Domains & SSL” klicken.
  • Bei der gewünschten Domain bei Aktionen (Zahnrad-Symbol) “DNS” auswählen.
  • Auf “Record hinzufügen” klicken und “TXT” auswählen.
  • Bei “Hostname” “_dmarc” eintragen.
  • Als Wert die Ausgabe aus dem Generator einfügen.

ALL-INKL

All-inkl macht es einem einfach auf die relevanten Informationen zuzugreifen und diese einzupflegen. Im KAS gibt es den Menüpunkt “Hilfe / FAQ” über dessen Suchfeld man bequem nach den genannten Techniken suchen kann. Als Ergebnis erhält man Beschreibungen samt Erklärungen sowie Links zu den passenden Stellen. Der Zugriff auf diese Inhalte ist selbstverständlich auch ohne Anmeldung und über die Homepage möglich. Über’s KAS hat man es etwas schneller und einfacher.

SPF

Um den SPF-Eintrag anlegen zu können geht man wie folgt vor:

  • Am KAS anmelden.
  • Auf “Tools – DNS-Einstellungen” klicken.
  • Die betreffende Domain bearbeiten.
  • Auf “neuen DNS-Eintrag erstellen” klicken.
  • Bei “Typ” “SPF (TXT)” auswählen.
  • Bei “Data”  “v=spf1 mx a ?all” einfügen.

Das war’s für den SPF dann auch schon.

DKIM

Im Gegensatz zu Ionos kann man bei ALL-INKL für den dortigen Mailserver den DKIM-Schlüssel ganz einfach erzeugen lassen:

  • Im KAS auf “Domain” klicken.
  • Die betreffende Domain bearbeiten.
  • Bei “DKIM Signierung” aktiviert auswählen.

Die DKIM-Schlüssel werden erzeugt und man sieht kurze Zeit später in den DNS-Einstellungen der Domain den dazugehörigen Eintrag.

Selbstverständlich kann man auch den öffentlichen DKIM-Schlüssel seines eigenen (lokalen) Mailserver eintragen:

  • Im KAS auf “Tools – DNS-Einstellungen” klicken.
  • Die betreffende Domain bearbeiten.
  • Auf “neuen DNS-Eintrag erstellen” klicken.
  • Bei “Typ” “TXT (DKIM)” auswählen.
  • Bei “Name” den Selektor + die Erweiterung “._domainkey”, z.B. “MDaemon._domainkey” eintragen.
  • Bei “Data” “v=DKIM1;p=<Öffentlicher Schlüssel>” einfügen.

DMARC

  • Im KAS auf “Tools – DNS-Einstellungen” klicken.
  • Die betreffende Domain bearbeiten.
  • Auf “neuen DNS-Eintrag erstellen” klicken.
  • Bei “Typ” “TXT ” auswählen.
  • Bei “Hostname” “_dmarc” eintragen.
  • Als Wert die Ausgabe aus den im Ionos-Abschnitt genannten Generator einfügen oder das Beispiel von All-inkl für die eigenen Bedürfnisse anpassen:
    v=DMARC1; p=reject; rua=mailto:mail@ihre-domain.de; ruf=mailto:mail@ihre-domain.de; adkim=s; aspf=r

Tests

Zum Testen der neuen Einstellungen kann man auf die Dienste von mxtoolbox.com zurückgreifen. Konkret geht es dabei um die E-Mail-Adresse “ping@tools.mxtoolbox.com”, wo man nach kurzer Zeit einen Bericht per Mail zurückerhält oder diesen auf der Homepage unter

https://mxtoolbox.com/deliverability

abrufen kann. Im Idealfall sieht der relevante Teil des Berichts dann so aus:

Weitere detaillierte Abfragen sind unter

EasyDMARC – SPF Record Lookup

EasyDMARC – DKIM Record Lookup

EasyDMARC – DMARC Record Lookup

möglich. Ein kompletter Bericht unter

EasyDMARC

angefordert werden. Zusätzlich kann man noch den Header der versendeten E-Mails analysieren:

MxToolbox – Email Header Analyzer

Update 19.07.2023: Weitere Testmöglichkeiten bietet Mailtower.app an, siehe dazu den Beitrag Mit Mailtower MX, SPF, DMARC und DKIM überprüfen.

Fazit

Ein Allheilmittel gegen Spam oder das man selbst auf einer Blacklist landet sind diese Möglichkeiten nicht. Ein Stück weit mehr Schutz und Sicherheit stellen sie dennoch dar und spätestens wenn bei einem Empfänger den man erreichen muss, die eigenen Mails abgewiesen werden oder im dortigen Spam-Ordner landen sollte man reagieren.

Die gezeigten Werte lassen sich weiter anpassen, siehe dazu die nachfolgenden Links und Quellen. Persönlich finde ich macht es einem Ionos by 1&1 etwas schwieriger, ALL-INKL bringt das Ganze schneller und übersichtlicher auf den Punkt. Funktionieren tut es letztlich bei beiden.

Links und Quellen:

Ionos – SPF-Record verstehen und anwenden

Fehler in der Dokumentation:

“ping.tools.mxtoolbox.com” ist definitiv keine E-Mail-Adresse, sondern eine URL. Offenbar wurde der erste Punkt und das @ vertauscht. Die richtige E-Mail-Adresse lautet also: “ping@tools.mxtoolbox.com”.

IONOS – Spam-Versand vermeiden mit SPF-Record

IONOS – DKIM (DomainKeys Identified Mail) einrichten für eine bessere E-Mail-Zustellbarkeit

rapidmail – DKIM-Key für IONOS erstellen – So geht´s!

Global Cyber Alliance – DKIM setup for 1&1 Ionos

IONOS – DMARC: Missbrauch der Mail-Domäne rechtzeitig erkennen

ALL-INKL – DNS-Werkzeuge: SPF

ALL-INKL – DNS-Werkzeuge: DKIM (bei Versand über unsere Mailserver)

ALL-INKL – DNS-Werkzeuge: DKIM (bei Versand über externe Mailserver)

ALL-INKL – DNS-Werkzeuge: DMARC

Update 28.02.2024

Die IONOS-Einträge aktualisiert.

10 Kommentare

  1. Felix

    @dkim & ionos
    Die von Ionos Schreiben auf Ihrer eigenen Internetseite zwar, dass DKIM bei Ihnen geht: https://www.ionos.de/digitalguide/e-mail/e-mail-sicherheit/dkim-domainkeys/ der “Private Key” nur vom Provider (also ionos) direkt hinterlegt werden kann.
    Nach einer halben Stunde Diskussion mit dem Support entschuldigte man sich dafür, dass das online angeboten würde, aber man DKIM in Wirklichkeit garnicht anbietet.
    Für Alle die den TXT Record nach Ihrem Tutotial oben im ionos gesetzt haben, in der Hoffnung, dass das ausreicht den öffentlichen DKIM-Key zu setzen, sei vermutet, dass ohne ein positives Mailserver-Feedback (mangels fehlender Ablgleichmöglichkeit mit dem Private key) die Emails dadurch sehr wahrscheinlich als Spam identifiziert werden.
    Deshalb besser bei Ionos ganz drauf verzichten. (Bzw. nimmt der Autor, dieses sonst sehr hilfreichen(!) Tutotials, den Bereich vill. einfach ganz raus.)

  2. Jan

    Hi Andy,
    danke für den hilfreichen Artikel! Ich würde gern noch was ergänzen, weil ich mich jetzt schon seit Tagen gewundert habe, warum das bei mir nicht funktioniert.
    Wenn man einen CDN-Provider wie z.B. Cloudflare einsetzt, müssen die entsprechenden Anpassungen auch dort im DNS ergänzt werden.
    Viele Grüße
    Jan

  3. Thorsten

    Vielen Dank für die hilfreiche Anleitung!

  4. Kevin

    Danke für die hilfreiche und einfache Erklärung.

  5. Ekki

    Sehr brauchbare Anleitung, perfekt. Danke!

  6. Matthias

    Hallo,

    danke für diesen Beitrag.

    Ich bin nicht allzu technisch versiert, schildere hier aber mal die Situation, vielleicht hilft das jemandem mit ähnlichem Problem, bzw. vielleicht kann mir jemand weiterhelfen.

    Also ich habe IONOS E-Mailadressen mit eigener .net-Domain, und versende über SMTP Mails über meinen Fastmail-Account (der versendet Mails also via IONOS, nicht über die fastmail-adresse).

    Das funktioniert alles meist problemlos. (Hinweis: Es findet ein Auto-BCC statt, bei dem versendete Emails an mich selbst gehen, und hierbei zudem in Kopie an ein GMAIL-Postfach als Backup geleitet werden).

    Wenn ich an andere Personen mit GMAIL-Adresse E-Mails versende, funktioniert das meist problemlos, aber manchmal (keine Ahnung warum) bekomme ich eine Fehlermeldung, ich glaube oft sowohl von meiner eigenen GMAIL Backup-Adresse als auch von der GMAIL-Adresse, an die ich gesendet habe.

    Diese Fehlermeldung besagt dann Folgendes:

    Mail delivery failed: returning message to sender
    von: mailer-daemon@kundenserver.de

    This message was created automatically by mail delivery software.

    A message that you sent could not be delivered to one or more of its recipients. This is a permanent error.

    The following address failed:

    #####@gmail.com:
    SMTP error from remote server for TEXT command, host: gmail-smtp-in.l.google.com (108….) reason: 550-5.7.26 This mail is unauthenticated, which poses a security risk to the
    550-5.7.26 sender and Gmail users, and has been blocked. The sender must
    550-5.7.26 authenticate with at least one of SPF or DKIM. For this message,
    550-5.7.26 DKIM checks did not pass and SPF check for [####.net] (das ist die 1u1 domain) did
    550-5.7.26 not pass with ip: [212….]. The sender should visit
    550-5.7.26 https://support.google.com/mail/answer/81126#authentication ….

    — The header of the original message is following. —

    Received: from [….41] ([….41]) by mx.kundenserver.de
    (mxeue012 [….41]) with ESMTPS (Nemesis) id …
    for ; Sat, 20 May 2023 …

    ___________

    Bei 1und1 habe ich die entspr. Seite zum Einrichten von SPF gefunden, frage mich aber:
    * warum ist das nicht per default eingericht worden?
    * ist “1 Stunde” ein geeigneter default
    * was genau ist hier eigentlich los, dass das manchmal funktioniert und manchmal nicht, und warum hat nicht jeder das Problem, sodass IONOS das längst als default eingetragen hat?

    Danke für jeglichen (fast jeglichen) Kommentar!

  7. Andy

    > Bei 1und1 habe ich die entspr. Seite zum Einrichten von SPF gefunden, frage mich aber:
    > * warum ist das nicht per default eingericht worden?

    Das macht weder Ionos noch weitere Anbieter einfach so. Das hängt zum Teil damit zusammen, das die Anbieter nicht Wissen, ob man vielleicht einen eigenen Mail-Server betreibt und dann die “Standard-Einträge” kontraproduktiv sind.

    > * ist “1 Stunde” ein geeigneter default

    Das geht imho völlig i.O., da sich diese Einträge ja nicht all zu oft ändern.

    > * was genau ist hier eigentlich los, dass das manchmal funktioniert und manchmal nicht, und warum hat nicht jeder das Problem, sodass IONOS das längst als default eingetragen hat?

    Die Anbieter prüfen nicht ständig auf SPF, DKIM, usw., sondern nur sporadisch, daher klappt es mal und mal eben nicht.

    So oder so macht es (imho) Sinn SPF, DKIM und Co. zu nutzen um möglichst keine Probleme zu bekommen.
    Immer mehr Anbieter achten hinsichtlich Spam- und Malware-Schutz auf solche und weitere Techniken bzw. Details.
    Letztlich ist es zudem im eigenen Interesse, gemeint es dem des Absenders, das die eigenen Mail-Adresse oder gar die eigene Mail-Domain möglichst vertrauenswürdig ist.

  8. Christian

    Hallo Andy,

    es gab bei Shopify eine Änderung der Mail-Authentifizierungen (Kommunikation mit dem Kunden), die einen DMARC Eintrag erfordert. Bin somit auf deiner Seite gelandet und dankbar für den Post.
    Beste Grüße, Christian

  9. der bug ist das ziel

    fehlt eigentlich nicht noch die gesamte versenderseite aus dem mailprogramm heraus wenn provider selber kein dkim dmarc und dnssec etc koennen, dann kann der smtp server beim mailprovider ja auch nichts leisten, sprich bloss weil ich n dkim eintrag im DNS hinbekomme und generieren kann brauch ich dann vorgelagerte smtp-proxy software quasi die meine mail dkim maessig signiert und die validen header und pruefsummen etc der gesamten mail usw valide erzeugt bevor sie es dem ionos etc mailserver uebergibt und dieser dann im internet weiter ausliefert. oder verstehe ich das falsch?

    danke fuer dkim dmarc und dnssec neulinge

  10. Andy

    Am Beispiel der genannten beiden Anbieter sind deren Mailserver dafür verantwortlich die genannten Einträge beim Transport zu prüfen. Das Mailprogramm auf Versenderseite (sofern wir hier von Outlook, Thunderbird, etc. sprechen) hat damit erstmal wenig zu tun.

    Hab’ gehört für Thunderbird gibt es Addons die die Einträge vom Absender einer Nachricht prüfen/anzeigen können.

    Falls das Kommentar bzw. die Frage anders gemeint sind, dann bitte neu formulieren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

© 2024 Andy's Blog

Theme von Anders NorénHoch ↑