E-Mail: SPF, DKIM und DMARC für Absender einrichten

Um sich vor Spam zu schützen oder selbst nicht auf einer Sperrliste zu gelangen gibt es einige Maßnahmen die man ergreifen kann. Wer eine eigene E-Mail-Domäne verwendet muss in Sachen SPF, DKIM und DMARC selbst Hand anlegen. Am Beispiel der beiden Anbieter Ionos by 1&1 sowie ALL-INKL zeige ich nachfolgend auf an welchen Stellen was einzutragen ist und wie man das Ganze testet.

Die Reihenfolge der einzelnen oben genannten Techniken ist relevant, denn das Eine baut auf dem Anderen auf. Zumindest ist SPF und DKIM Voraussetzung für DMARC.

Ionos by 1&1

Ionos bietet über mehrere Seiten bzw. Stellen hinweg Informationen zu den genannten Techniken (siehe die Links und Quellen am Ende dieses Beitrags). Alle notwendigen Schritte werden im Kundencenter vorgenommen.

SPF

  • Auf „Domains & SSL“ klicken.
  • Bei der gewünschten Domain bei Aktionen (Zahnrad-Symbol) „DNS“ auswählen.
  • Auf „Record hinzufügen“ klicken und „SPF (TXT)“ auswählen.
  • Der „Hostname“ kann so belassen werden. Im Feld „Wert“ folgendes einfügen und speichern:
    v=spf1 include:_spf.perfora.net include:_spf.kundenserver.de ~all

In der Vorschau kann man erkennen, was nun konkret „zusammengebaut“ wird. Ein Beispiel:

meinedomain.de 3600 IN TXT "v=spf1 include:_spf.perfora.net include:_spf.kundenserver.de ~all"

Damit ist der SPF-Eintrag gesetzt.

DKIM

Ionos selbst bietet kein Tool an um den Wert des DKIM-Eintrags erzeugen zu können. In der Hilfe verweist man auf den EasyDMARC – DKIM Record Generator. Ironisch mutet dabei folgende Aussage in der Ionos-Hilfe an: „Die meisten E-Mail-Provider nehmen Ihnen diese Arbeit ab.“ Ja, ok, aber dieser Anbieter offenbar nicht.

Als weiteres kommt erschwerend hinzu, das Ionos für die eigenen Mailserver kein DKIM unterstützt, Nutzer die ihre Postfächer direkt dort haben bleiben also außen vor!

Betreibt man einen eigenen Mailserver wie z.B. MDaemon müssen dort die DKIM-Schlüssel erzeugt werden. Im DNS der betreffenden Domäne wird dann der öffentliche DKIM-Schlüssel eingetragen.

  • Auf „Domains & SSL“ klicken.
  • Bei der gewünschten Domain bei Aktionen (Zahnrad-Symbol) „DNS“ auswählen.
  • Auf „Record hinzufügen“ klicken und „TXT“ auswählen.
  • Bei „Hostname“ den Selektor + die Erweiterung „._domainkey“, z.B. „MDaemon._domainkey“ eintragen.
  • Im Feld Wert ist zwingend „v=DKIM1;p=<Öffentlicher Schlüssel>“ einzutragen.
  • Den Record speichern.

DMARC

Auch für die Erzeugung des DMARC-Eintrags bietet Ionos kein eigenes Tool an und verweist auf den EasyDMARC – DMARC Record Generator.

Man macht alle notwendigen und gewünschten Angaben und erzeugt den Wert. Anbei ein Screenshot:

Bei Ionos pflegt man die Daten dann wie folgt ein:

  • Auf „Domains & SSL“ klicken.
  • Bei der gewünschten Domain bei Aktionen (Zahnrad-Symbol) „DNS“ auswählen.
  • Auf „Record hinzufügen“ klicken und „TXT“ auswählen.
  • Bei „Hostname“ „_dmarc“ eintragen.
  • Als Wert die Ausgabe aus dem Generator einfügen.

ALL-INKL

All-inkl macht es einem einfach auf die relevanten Informationen zuzugreifen und diese einzupflegen. Im KAS gibt es den Menüpunkt „Hilfe / FAQ“ über dessen Suchfeld man bequem nach den genannten Techniken suchen kann. Als Ergebnis erhält man Beschreibungen samt Erklärungen sowie Links zu den passenden Stellen. Der Zugriff auf diese Inhalte ist selbstverständlich auch ohne Anmeldung und über die Homepage möglich. Über’s KAS hat man es etwas schneller und einfacher.

SPF

Um den SPF-Eintrag anlegen zu können geht man wie folgt vor:

  • Am KAS anmelden.
  • Auf „Tools – DNS-Einstellungen“ klicken.
  • Die betreffende Domain bearbeiten.
  • Auf „neuen DNS-Eintrag erstellen“ klicken.
  • Bei „Typ“ „SPF (TXT)“ auswählen.
  • Bei „Data“  „v=spf1 mx a ?all“ einfügen.

Das war’s für den SPF dann auch schon.

DKIM

Im Gegensatz zu Ionos kann man bei ALL-INKL für den dortigen Mailserver den DKIM-Schlüssel ganz einfach erzeugen lassen:

  • Im KAS auf „Domain“ klicken.
  • Die betreffende Domain bearbeiten.
  • Bei „DKIM Signierung“ aktiviert auswählen.

Die DKIM-Schlüssel werden erzeugt und man sieht kurze Zeit später in den DNS-Einstellungen der Domain den dazugehörigen Eintrag.

Selbstverständlich kann man auch den öffentlichen DKIM-Schlüssel seines eigenen (lokalen) Mailserver eintragen:

  • Im KAS auf „Tools – DNS-Einstellungen“ klicken.
  • Die betreffende Domain bearbeiten.
  • Auf „neuen DNS-Eintrag erstellen“ klicken.
  • Bei „Typ“ „TXT (DKIM)“ auswählen.
  • Bei „Name“ den Selektor + die Erweiterung „._domainkey“, z.B. „MDaemon._domainkey“ eintragen.
  • Bei „Data“ „v=DKIM1;p=<Öffentlicher Schlüssel>“ einfügen.

DMARC

  • Im KAS auf „Tools – DNS-Einstellungen“ klicken.
  • Die betreffende Domain bearbeiten.
  • Auf „neuen DNS-Eintrag erstellen“ klicken.
  • Bei „Typ“ „TXT “ auswählen.
  • Bei „Hostname“ „_dmarc“ eintragen.
  • Als Wert die Ausgabe aus den im Ionos-Abschnitt genannten Generator einfügen oder das Beispiel von All-inkl für die eigenen Bedürfnisse anpassen:
    v=DMARC1; p=reject; rua=mailto:mail@ihre-domain.de; ruf=mailto:mail@ihre-domain.de; adkim=s; aspf=r

Tests

Zum Testen der neuen Einstellungen kann man auf die Dienste von mxtoolbox.com zurückgreifen. Konkret geht es dabei um die E-Mail-Adresse „ping@tools.mxtoolbox.com“, wo man nach kurzer Zeit einen Bericht per Mail zurückerhält oder diesen auf der Homepage unter

https://mxtoolbox.com/deliverability

abrufen kann. Im Idealfall sieht der relevante Teil des Berichts dann so aus:

Weitere detaillierte Abfragen sind unter

EasyDMARC – SPF Record Lookup

EasyDMARC – DKIM Record Lookup

EasyDMARC – DMARC Record Lookup

möglich. Ein kompletter Bericht unter

EasyDMARC

angefordert werden. Zusätzlich kann man noch den Header der versendeten E-Mails analysieren:

MxToolbox – Email Header Analyzer

Fazit

Ein Allheilmittel gegen Spam oder das man selbst auf einer Blacklist landet sind diese Möglichkeiten nicht. Ein Stück weit mehr Schutz und Sicherheit stellen sie dennoch dar und spätestens wenn bei einem Empfänger den man erreichen muss, die eigenen Mails abgewiesen werden oder im dortigen Spam-Ordner landen sollte man reagieren.

Die gezeigten Werte lassen sich weiter anpassen, siehe dazu die nachfolgenden Links und Quellen. Persönlich finde ich macht es einem Ionos by 1&1 etwas schwieriger, ALL-INKL bringt das Ganze schneller und übersichtlicher auf den Punkt. Funktionieren tut es letztlich bei beiden.

Links und Quellen:

Ionos – SPF-Record verstehen und anwenden

Fehler in der Dokumentation:

„ping.tools.mxtoolbox.com“ ist definitiv keine E-Mail-Adresse, sondern eine URL. Offenbar wurde der erste Punkt und das @ vertauscht. Die richtige E-Mail-Adresse lautet also: „ping@tools.mxtoolbox.com“.

Ionos – Spam-Versand vermeiden mit SPF-Record

Ionos – DKIM (DomainKeys Identified Mail) einrichten für eine bessere E-Mail-Zustellbarkeit

rapidmail – DKIM-Key für IONOS erstellen – So geht´s!

Global Cyber Alliance – DKIM setup for 1&1 Ionos

Ionos – DMARC: Missbrauch der Mail-Domäne rechtzeitig erkennen

ALL-INKL – DNS-Werkzeuge: SPF

ALL-INKL – DNS-Werkzeuge: DKIM (bei Versand über unsere Mailserver)

ALL-INKL – DNS-Werkzeuge: DKIM (bei Versand über externe Mailserver)

ALL-INKL – DNS-Werkzeuge: DMARC

Ein Kommentar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.