Skip to main content

SPF, DKIM und DMARC - Spam-Reputation verbessern und Bounces vermeiden

Spam Reputation verbessern und Bounces vermeiden

Was wird in diesem Artikel beschrieben?

Neben allgemeinen Infos zu den Protokollen, Parametern und DMARC-Berichten, finden Sie hier folgende Anleitungen mit Beispielkonfigurationen:

  1. Setzen des SPF-Eintrags und der Parameter als TXT-Record in den DNS-Einstellungen Ihres Providers
  2. Setzen der DKIM-Einträge als CNAME-Records in den DNS-Einstellungen Ihres Providers
  3. Setzen des DMARC-Eintrags und der Parameter als TXT-Record in den DNS-Einstellungen Ihres Providers

Vorraussetzung

Stellen Sie vorerst sicher, dass die E-Mails Ihrer Domain (beispielsweise "mein.name@example.com") über mailbox.org versendet und empfangen werden können. Folgen Sie dazu der Anleitung: E-Mail Adresse der eigenen Domain nutzen

Dieser Artikel soll Ihnen dabei helfen, die Zuverlässigkeit der Zustellung von E-Mails in Verbindung mit eigener Domain zu erhöhen, fehlerhafte Zustellungen und Bounces zu vermeiden (z.B. Undelivered Mail Returned to Sender) und sicherstellen, dass Ihre E-Mails den Spam-Filter von Google und anderen E-Mail-Providern erfolgreich passieren können. Des Weiteren hilft die korrekte Implementierung von SPF und DKIM dabei, die Spam-Reputation Ihrer Domain dauerhaft zu verbessern. Privatkunden die E-Mail-Adressen mit "@mailbox.org" ohne eigene Domain verwenden, müssen sich hier keine Gedanken machen. Wir haben alle Einstellungen bereits für Sie gesetzt.

Diese Anleitung beschreibt drei wichtige Protokolle und deren Einstellungen im Domain Name System (DNS): SPF, DKIM und das darauf aufbauende Protokoll DMARC. Weil die meisten E-Mail-Anbieter diese Standards nutzen um Spam zu erkennen, senken Sie mit einer entsprechenden Konfiguration das Risiko, dass Server die von Ihnen versandten Mails als Spam klassifizieren und aussortieren. Grundsätzlich sind dafür drei Einträge nötig, die in den DNS-Einstellungen Ihres Hosting-Providers hinterlegt werden müssen.

Mit den Einstellungen aus dieser Anleitung erreichen Sie Ihre Adressaten zuverlässiger und ganz nebenbei erfüllt Ihre Domain, und somit auch jede Ihrer E-Mails, auch die entsprechenden Internetstandards – was nicht zuletzt der allgemeinen Sicherheit dient. mailbox.org empfiehlt grundsätzlich, diese Einstellungen zu setzen, wenn Sie eigene Domains für E-Mails nutzen. Gerade Geschäftskunden und Unternehmen die regelmäßig große Mengen an E-Mails versenden, sollten diesem Rat folgen: Es gibt deutliche Hinweise darauf, dass Provider zunehmend strenger aussortieren.

Es lohnt sich deshalb, die Begriffe SPF, DKIM und DMARC näher zu betrachten. Diese drei Protokolle sind Kernelemente der E-Mail-Authentifizierung und spielen eine entscheidende Rolle bei der Erkennung und Prävention von Spam und Phishing-Versuchen. Infolgedessen sind sie auch stark mit der Spam-Reputation Ihrer Domain verknüpft und haben einen direkten Einfluss darauf, wie wahrscheinlich es ist, dass Ihre E-Mails als Spam eingestuft oder abgelehnt werden.

Eine Reihe von E-Mail-Dienstanbietern, darunter auch Google, verwenden diese Protokolle, um die Authentizität von E-Mails zu überprüfen. Wenn eine E-Mail, die von Ihrer Domain gesendet wird, die SPF- oder DKIM-Prüfungen nicht besteht, kann Google die E-Mail ablehnen und einen Bounce generieren. Ein Bounce ist im Grunde eine automatische Antwort, die signalisiert, dass die E-Mail nicht zugestellt werden konnte. In diesem Fall wäre die wahrscheinlichste Ursache für den Bounce, dass die E-Mail als potenzieller Spam oder Phishing-Versuch eingestuft wurde.

Bounce - Beispiel einer abgelehnten E-Mail

Von: MAILER-DAEMON@xxxxxx.mailbox.org An: mustermann@example.com Datum: 22.07.2023 22:29 CEST Betreff: Undelivered Mail Returned to Sender This is the mail system at host xxxxxx.mailbox.org. I'm sorry to have to inform you that your message could not be delivered to one or more recipients. It's attached below.For further assistance, please send mail to postmaster. If you do so, please include this problem report. You can delete your own text from the attached returned message.The mail system "xxxxx@gmail.com": host gmail-smtp-in.l.google.com \[108.xxx.xx.xx\] said: 550-5.7.26 This mail is unauthenticated, which poses a security risk to the 550-5.7.26 sender and Gmail users, and has been blocked. The sender must 550-5.7.26 authenticate with at least one of SPF or DKIM. For this message, 550-5.7.26 DKIM checks did not pass and SPF check for \[example.com\] did not 550-5.7.26 pass with ip: \[80.xxx.xx.xxx\].

Die Protokolle und Parameter im Überblick

SPF (Sender Policy Framework) ist ein Verfahren, das dazu dient, festzulegen, welche Mailserver berechtigt sind, E-Mails im Namen Ihrer Domain zu versenden. Durch die Verwendung von SPF können Sie verhindern, dass Spammer Ihre Domain für unerwünschte und irreführende E-Mails missbrauchen. In der Praxis prüft der Empfänger-Mailserver die SPF-Einträge in den DNS-Einstellungen Ihrer Domain und vergleicht diese mit der IP-Adresse des sendenden Mailservers. Wenn der sendende Mailserver in den SPF-Einträgen aufgeführt ist, wird die E-Mail als legitim eingestuft.

DKIM (DomainKeys Identified Mail) ist ein weiteres Verfahren zur E-Mail-Authentifizierung, das dazu dient, die Integrität und Authentizität einer E-Mail zu überprüfen. Mit DKIM signiert der sendende Mailserver jede ausgehende E-Mail mit einem digitalen Schlüssel. Dieser Schlüssel ist dann im DNS-Eintrag Ihrer Domain hinterlegt. Der Empfänger-Mailserver kann dann diese Signatur überprüfen, indem er den DKIM-Schlüssel in den DNS-Einstellungen Ihrer Domain abruft. Ist die Signatur gültig, kann der Empfänger sicher sein, dass die E-Mail tatsächlich von Ihrer Domain stammt und während der Übertragung nicht manipuliert wurde.

DMARC (Domain-based Message Authentication, Reporting & Conformance) ist ein E-Mail-Validierungsprotokoll, das auf den Technologien SPF und DKIM aufbaut und dazu dient, den Missbrauch von Domains in E-Mail-Kommunikation zu verhindern. Durch DMARC kann der Besitzer einer Domain bestimmen, wie der Empfänger-Server mit E-Mails umgehen soll, die die SPF- und DKIM-Checks nicht bestehen. Bei einer solchen Einstellung kann entschieden werden, ob die fraglichen E-Mails abgewiesen, in den Spam-Ordner verschoben oder normal zugestellt werden sollen. Zusätzlich ermöglicht DMARC den Austausch von Berichten zwischen dem sendenden und dem empfangenden Server, um das Verständnis von möglichen Sicherheitsproblemen zu verbessern. Kurz gesagt, es ist ein hilfreiches Werkzeug zur Verbesserung der E-Mail-Sicherheit und zur Erhöhung der Zustellbarkeit von legitimen E-Mails.

Beispiele für DNS-Einträge

Die Tabelle enthält Beispiele für die DNS-Einträge, die Sie für Ihren Provider benötigen, um SPF, DKIM und DMARC zu konfigurieren. Ersetzen Sie dabei example.com durch ihre Domain und "postmaster@example.com"durch Ihre E-Mailadresse.

HostnameRecord TypeZielProtokoll
@TXTv=spf1 include:mailbox.org ~allSPF
MBO0001._domainkey.example.comCNAMEMBO0001._domainkey.mailbox.org.DKIM
MBO0002._domainkey.example.comCNAMEMBO0002._domainkey.mailbox.org.DKIM
MBO0003._domainkey.example.comCNAMEMBO0003._domainkey.mailbox.org.DKIM
MBO0004._domainkey.example.comCNAMEMBO0004._domainkey.mailbox.org.DKIM
_dmarc.example.comTXTv=DMARC1;p=none;rua=mailto:postmaster@example.comDMARC

Die Protokolle und Parameter im Detail

Sender Policy Framework (SPF)

Das SPF (Wikipedia) benutzen Administratoren, um im Internet bekannt zu geben, welche Server ausgehende E-Mails Ihrer Domain versenden dürfen. Die für Mails zuständigen MX-Einträge im Domain Name System definieren nur, welche Mailserver für den Empfang von E-Mails einer Domain zuständig sind. Eine Liste von Mailservern, die berechtigt sind, im Namen einer Domain Mails zu versenden, gab es hingegen nicht. Spam in dem Ausmaß wie wir es heute kennen, ist unter anderem nur möglich, weil Absender von beliebigen Rechnern (auch beispielsweise gehackte Windows-Systeme) Mails in fremden Namen verschicken können und es lange keine Methode gab, dies zu verhindern.

Abhilfe sollten Konzepte wie SPF schaffen, das im Internet-Standard unter RFC 4408 spezifizierte Sender Policy Framework. Es ermöglicht Administratoren einer Domain bestimmte Mailserver zuzuordnen und diese so als legitime Absender für E-Mails von dieser Domäne zu definieren. Ein typischer SPF-Eintrag in einem Standardsetup ist im DNS als TXT-Eintrag hinterlegt und kann folgenden Inhalt haben:

v=spf1 include:mailbox.org ~all

Was bedeutet dieser Eintrag?

"v=spf1" bezeichnet hier die verwendete SPF-Version, mit "include:mailbox.org" gelten automatisch auch alle SPF-Einstellungen von mailbox.org für diese Domain. Das bedeutet: Alle Mailserver von mailbox.org (sowohl die Domäne mailbox.org aber auch alle von uns verwendeten IP-Adressen) sind somit legitimiert, E-Mails mit Absendern Ihrer Domain zu verschicken. Natürlich können Sie neben mailbox.org auch weiterhin andere Mailserver für den Versand von E-Mails für ihre Domain nutzen, Sie sollten diese aber ebenfalls durch Einträge im DNS legitimieren.  

Mehrere SPF-Einträge sind nicht erlaubt:

Stellen Sie sicher, dass in den DNS-Einstellungen ihres Providers nur ein SPF-Record existiert. Widersprüchliche Angaben können zu Problemen führen!

Erlaubte Parameter im TXT-Record zu SPF

EinstellungErklärung
v=spf1Es handelt sich um SPF in der Version 1
ip4:213.203.238.0/24Jeder Server aus dem IPv4-Bereichen 213.203.238.0/24 darf für diese Domain E-Mails versenden.
ip6:fda0:6a92:125f:0:42f6:6f7e:f9fb:b531/64Jeder Server aus dem IPv6-Bereich ip6:fda0:6a92:125f:0:42f6:6f7e:f9fb:b531/64 darf für diese Domain E-Mails versenden.
mxErlaubt es auch allen Mailservern, die in den MX-Records dieser Domain stehen, für diese Domains E-Mails zu versenden.
include:example.comDarüber hinaus sind alle Server berechtigt, die auch für die Domain example.com gelistet sind. Der Servermuss hier also eine weitere Abfrage nach dem TXT-Record von example.com machen.
?allAlle nicht genannten Mailserver dürfen ebenfalls unter diesem Namen Mails verschicken, ohne eine negative (oder positive) Bewertung zu bekommen.
-allMailserver, die nicht in diesem Eintrag aufgeführt sind, dürfen keine E-Mails für diese Domain versenden.
~allAnnehmende Server sollen diese Nachricht nicht ablehnen aber weitere Tests durchführen um zu prüfen, ob die Nachricht Spam ist.

Liste aller SPF-Einträge

Eine vollständige Liste aller zugelassenen Einträge im SPF-Record findet sich bei OpenSPF.

SPF - Beispielkonfiguration bei Hetzner, Netcup und INWX

Die DNS-Eingabemasken bei Providern sind nicht einheitlich. Die folgenden Abbildungen zeigen exemplarisch und anhand von Beispielen der Provider Hetzner, Netcup und INWX, wie die SPF-TXT-Einträge dort aussehen sollten.

Abbildung 1: Hetzner setzt die Anführungszeichen in "Ziel" automatisch und verwendet anstelle des Namens der Domain nur ein "@".

Abbildung 2: Auch Netcup nimmt das "@" als Platzhalter für die Domain, verlangt keine Anführungszeichen.

Abbildung 3: Bei INWX kann das Feld "Name" leer bleiben.

DomainKeys Identified Mail (DKIM)

DKIM (Wikpedia) ist ein technisches Protokoll, mit dessen Hilfe sich die Authentizität von Absendern sicherstellen lässt. Dieses Protokoll geht noch einen Schritt weiter als SPF, indem es die Angaben in E-Mails mit einer digitalen Signatur absichert, für die zuvor ein spezieller Schlüssel im DNS hinterlegt wurde. Nur mit mit diesem Schlüssel kann ein fremder Mailserver verifizieren, ob die empfangene Nachricht mit einer solchen Signatur im Header wirklich von der genannten Domain versandt wurde. Der dafür benutzte E-Mail-Header lautet "DomainKey-Signature-Header". Damit das funktioniert, muss der Mailserver-Administrator (also wir von mailbox.org) eine Signatur erzeugen und mit einem kryptographischen Verfahren signieren, sowie diese für die E-Mail-Kommunikation verfügbar machen (also im Domain Name System eintragen). Wenn dieser Prozess scheitert, dann kann der Mailserver des Absenders nicht eindeutig verifiziert werden und die betreffende E-Mail wird eher als Spam klassifiziert und somit aussortiert. Wenn Sie DKIM mit der folgenden Anleitung aktivieren, dann verringern Sie die Wahrscheinlichkeit, dass empfangende Server Ihre Mails fälschlicherweise als Spam markieren.

DKIM Parameter & Einstellungen

Zu erfolgreichen DKIM-Einträgen gibt es verschiedene Wege. mailbox.org empfiehlt den Eintrag als "CNAME"-Record. Wir stellen aktuell vier Schlüssel für DKIM bereit, die Sie als DNS-Einträge bei Ihrem Domainregistrar hinterlegen müssen. Hinterlegen Sie alle vier Keys in vier separaten CNAME-Einträgen:

Individueller Key (ersetzen Sie dabei example.com durch ihre Domain)Record TypeZiel
MBO0001._domainkey.example.comCNAMEMBO0001._domainkey.mailbox.org.
MBO0002._domainkey.example.comCNAMEMBO0002._domainkey.mailbox.org.
MBO0003._domainkey.example.comCNAMEMBO0003._domainkey.mailbox.org.
MBO0004._domainkey.example.comCNAMEMBO0004._domainkey.mailbox.org.

Abbildung 4 (Tabelle) zeigt einen typischen Eintrag beim Provider Hetzner. Im Auswahlmenü "Recordtyp" wählen Sie "CNAME", unter "Hostname" tragen sie den gewählten Key als Subdomain ihrer Domäne ein (hier MBO0001._domainkey.example.com) ebenso im Feld "Ziel*" hier (bei Hetzner) gefolgt von einem Punkt. Die Schreibweise im letzten Feld kann – genauso wie die Benennung der Felder der DNS-Eingabemaske – von Provider zu Provider variieren: Manche Provider (beispielsweise Hetzner) verlangen den abschließenden Punkt, andere ergänzen ihn – Sie sollten hier unbedingt die Dokumentation ihres Providers konsultieren.

DKIM - Beispielkonfigurationen bei Hetzner, Netcup und INWX

Abbildung 5: Der CNAME-DNS-Eintrag bei Hetzner für den Key MBO0001 (mit Punkt am Ende)

Abbildung 6: Der CNAME-DNS-Eintrag bei Netcup verlangt im Feld "Destination" keinen abschließenden Punkt ...

Abbildung 7: ... und auch der Provider INWX verzichtet im CNAME-DNS-Eintrag darauf.

Alte Methode:

2021 änderten wir bei mailbox.org unsere Empfehlung für den DKIM-Eintrag. Bisher rieten wir dazu, DKIM-Einträge als TXT-Records anzulegen. Diese Methode wird auch weiterhin funktionieren, sie hat allerdings einen gravierenden Nachteil: Falls wir etwas an unseren Schlüsseln ändern müssen, werden alle TXT-Einträge, die auf die alten Keys verweisen, ungültig. Kunden und Admins mit TXT-Einträgen für DKIM müssten selbst aktiv werden, um zu verhindern, dass ihre Mails höhere Spam-Bewertungen bekommen. Kunden, die unsere DKIM-Schlüssel per CNAME-Eintrag festlegen, brauchen auch dann nicht aktiv werden.  

Gleichwohl können Sie das jederzeit umstellen – Wichtig ist dabei nur die Reihenfolge der Umstellung: Löschen Sie erst den TXT-Eintrag aus dem DNS und fügen Sie dann den CNAME-Eintrag hinzu. Wenn Sie beides kurz nacheinander erledigen, sollte DKIM für Ihre Domain auch während der sich anschließenden, automatischen Synchronisation des Domain Name Systems verfügbar sein.

Domain-based Message Authentication, Reporting and Conformance (DMARC)

DMARC-Einträge (Wikipedia) legen fest, ob und wie Mailserver beim E-Mail-Empfang DKIM-Signaturen und SPF-Einträge  verifizieren. Wenn Sie E-Mails über mailbox.org versenden, können sie mit Hilfe des DMARC-Eintrags eine Art "Empfehlung" aussprechen, wie mit E-Mails umgegangen werden soll, die Ihren Absender tragen, aber beispielsweise nicht DKIM-signiert sind. Für DMARC-Einstellungen ist neben einem DKIM-Eintrag im DNS auch ein existierender SPF-Eintrag eine Voraussetzung. Die Abbildungen 7 bis 9 zeigen exemplarisch die DNS-Eingabemasken verschiedener Provider – auch hier sollten Sie die Dokumentation Ihres Providers konsultieren, um Fehler zu vermeiden.

  • Legen Sie im DNS einen (weiteren) TXT Eintrag an.

  • Fügen Sie unter Host, Name oder Hostname den Parameter _dmarc. gefolgt von ihrer E-Mail-Domain ein, also beispielsweise:

    _dmarc.example.com

    Beachten Sie dabei die unterschiedlichen Schreibweisen der Provider (siehe Infokasten auf E-Mail-Adressen mit eigener Domain nutzen).

  • Fügen Sie unter Wert, Ziel oder Destination diesen Parameter ein:

    v=DMARC1;p=none;rua=mailto:postmaster@example.com

    Die E-Mail-Adresse, die sie hier spezifizieren, erhält ab sofort die Fehlermeldungen der DMARC-Prüfungen – sie sollten also eine eigene Adresse spezifizieren.

  • Als "TTL" (Time-To-Live) empfehlen wir "400".

DMARC - Beispielkonfigurationen bei Hetzner, Netcup und INWX

Beim Provider Hetzner beispielsweise sieht ein korrekter DNS-Eintrag für DMARC folgendermaßen aus: 

Abbildung 8: Hetzner - Anlegen des DMARC-TXT-Eintrag im DNS

Abbildung 9: Netcup - Anlegen des DMARC-TXT-Eintrag im DNS

Abbildung 10: Anlegen des DMARC-TXT-Eintrag bei INWX

DMARC - Optionen und Parameter

ParameterBeschreibung
v=DMARC1DMARC in Protokollversion 1 wird verwendet
ruf=mailto:E-Mail-AddresseDer Inhaber der genannten E-Mail-Adresse erhält Fehlerberichte (Forensischer Report)

In Deutschland ist die Nutzung dieser Option nicht zulässig, da Sie E-Mails erhalten könnten, die nicht für Sie bestimmt waren. Wir raten von der Nutzung dieses Parameters ab.
rua=mailto:E-Mail-AdresseDer Inhaber der genannten E-Mail-Adresse (diese E-Mail-Adresse muss zur Domain gehören, über die der Versand läuft) erhält die bisweilen umfangreichen Detailberichte über alle DMARC-Aktivitäten. Da dies zu einer großen Menge an eingehender Berichte führen kann, sollte Sie hierfür eine separate E-Mail Adresse verwenden. Die Berichte enthalten Datum, Uhrzeit, Empfänger- und Absenderdomäne, IP-Adressen, SPF- und DKIM-Informationen, die DKIM-Policy, die Anwendung fand und die mit SPF und DKIM verknüpfte Domain.
p=noneDieser Parameter ist immer erforderlich. Hier legen Sie fest, wie der empfangende Server verfahren soll, wenn E-Mails nicht korrekt authentifiziert werden konnten. Gültige Optionen sind:

p=none: Es wird nichts unternommen und die Nachricht wird dem Zielpostfach zugestellt, so wie es vom Absender vorgesehen wurde. Die E-Mails werden im täglichen Bericht geloggt. Letzterer wird täglich an die im "rua"-Parameter hinterlegte Adresse geschickt (siehe oben).

p=quarantine: Eingehende Nachrichten ohne korrekte Authentifizierung werden als Spam markiert und in den Spamordner des Empfängers gelegt. Empfänger können in diesem nachsehen, ob die E-Mails dort korrekt einsortiert wurden.

p=reject: Nicht korrekt authentifizierte E-Mails werden abgelehnt. Der empfangende Server schickt eine Unzustellbarkeitsnachricht (bounce) an den Absender. Um einen positiven Effekt für Ihre Spamreputation zu erzielen, sollten Sie nach einer Testphase auf "p=reject" oder "p=quarantine" umschalten.

DMARC - Beobachten, auswerten & anpassen

Bitte beachten Sie, dass Sie die Einstellungen beim "p"-Parameter zu Beginn nicht auf die restriktiven Werte "quarantine" oder "reject" setzen sollten. Wir empfehlen zunächst die Option "p=none" zu verwenden, die Lage zu beobachten, die Reports auszuwerten und als Anhaltspunkte für benötigte Einstellungen zu verwenden. Typische Probleme, die aus zu restriktiven Einstellungen resultieren, sind beispielsweise vom Empfangsserver abgelehnte E-Mails (Bounces) oder nicht mehr validierbare elektronische Signaturen bei E-Mail-Weiterleitungen. Gelegentlich nutzen andere Abteilungen Ihrer Firma den Mailserver für Anwendungen, von denen der Mailadmin nichts weiß, die aber gleichzeitig für die Firma von hoher Bedeutung sein könnten (Monitoring, Marketing-Newsletter, etc.). Aus den Reports können Sie nützliche Informationen gewinnen und entsprechende Maßnahmen ergreifen. Ist alles geklärt, sollten Sie hier eine strengere Regel eintragen. Achten Sie bei der Auswertung der DMARC Reports auf folgende Faktoren:

  1. Welche Server oder externe Anbieter versenden E-Mails im Namen Ihrer Domain?
  2. Welcher Anteil der E-Mails aus Ihrer Domain erfüllt die DMARC-Anforderungen?
  3. Welche Server oder Services versenden E-Mails, die nicht den DMARC-Richtlinien entsprechen?

DMARC-Berichte auswerten & verstehen

Es gibt zwei Typen von DMARC-Berichten:

DMARC-Aggregatberichte

DMARC-Aggregatberichte geben Einblick in die DMARC-Aktivitäten einer bestimmten Domain über einen festgelegten Zeitraum. Diese zusammengefassten DMARC-Berichte liefern Informationen wie die Anzahl der Nachrichten, die die DMARC-Authentifizierung erfolgreich oder nicht erfolgreich durchlaufen haben, die IP-Adressen der sendenden Server und die angewendeten Authentifizierungsverfahren.

DMARC-Forensikberichte

DMARC-Forensikberichte bieten tiefe Einblicke in spezifische E-Mail-Nachrichten, die die DMARC-Prüfung nicht bestanden haben. Diese forensischen DMARC-Auswertungen beinhalten sowohl die komplette E-Mail-Nachricht als auch Daten zum Authentifizierungsstatus und den Ursachen des Fehlschlags. Mithilfe dieser Berichte lassen sich bestimmte Fälle von E-Mail-Täuschung oder Missbrauch nachvollziehen.

Es gibt unterschiedliche Formate, in denen DMARC-Berichte erstellt werden können, einschließlich XML, CSV und JSON. Das gewählte Format hängt von den Vorlieben des Domain-Inhabers oder seines DMARC-Serviceanbieters ab. Manche E-Mail-Empfänger bieten dem Domain-Inhaber zudem DMARC-Fehlerberichte an, welche Informationen über Nachrichten bereitstellen, die an der DMARC-Prüfung gescheitert und daher abgelehnt oder in Quarantäne versetzt wurden.

Mehr Details zu DMARC-Auswertung

Für mehr Details zur Auswertung von DMARC-Berichten, bietet diese Seite (verfügbar auf Deutsch & Englisch) nützliche Informationen: Was sind DMARC-Berichte und kann man sie lesen?

Troubleshooting

SPF-Troubleshooting

Linux & macOS

Linux und macOS Benutzer können im Terminal den Befehl "dig" nutzen, gefolgt von ihrer Domain und den gewünschten, abzufragenden Einträgen: 

DNS-TXT-Abfrage im Linux Terminal

dig example.com txt

; DiG 9.11.3-1ubuntu1.13-Ubuntu example.com txt
;; global options: +cmd
;; Got answer:
;; HEADER- opcode: QUERY, status: NOERROR, id: 64449
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;example.com. IN TXT

;; ANSWER SECTION:
example.com. 1800 IN TXT "v=spf1 include:mailbox.org ~all"

;; Query time: 120 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Fri Aug 28 12:33:50 CEST 2020
;; MSG SIZE rcvd: 174

Kontrollieren Sie bitte, ob die Zeile nach der Zeile mit "ANSWER SECTION", einen Eintrag beinhaltet, der mit "v=spf1" beginnt und  "include:mailbox.org" enthält.

Windows

Windows Benutzer können in der Kommandozeile (cmd.exe) den folgenden Befehl absetzen, bitte ersetzen Sie auch hier "example.com" mit dem Namen Ihrer Domain:

DNS-TXT-Abfrage an der Windows-Befehlszeile

nslookup -type=TXT example.com

Server: UnKnown
Address: 192.168.179.1

Nicht autorisierende Antwort:
example.com text

"\_globalsign-domain-verificationZKyu\_ATrp-l27Q11kIjqiPNjI6Tt\_g7vnp3qYsViBk"

"v=spf1 include:mailbox.org ~all"

Kontrollieren Sie bitte, ob die Antwort eine Zeile beinhaltet, die mit v=spf1 beginnt und include:mailbox.org enthält.

DKIM-Troubleshooting

Linux & macOS

Linux und macOS Benutzer können im Terminal diesen Befehl absetzen – wichtig ist hier, dass in der ANSWER SECTION diese Zeichenfolge angezeigt wird: v=DKIM1; krsa; p... gefolgt vom korrekten Key.

dig MBO0001.\_domainkey.example.com TXT

; >> DiG 9.11.3-1ubuntu1.13-Ubuntu >> MBO0001.\_domainkey.example.com TXT
;; global options: +cmd
;; Got answer:
;; ->>HEADER- opcode: QUERY, status: NOERROR, id: 64519
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;MBO0001.\_domainkey.example.com. IN TXT

;; ANSWER SECTION:
MBO0001.\_domainkey.example.com. 3403 IN TXT "v=DKIM1; krsa;" "pMIIBIkANBgkqhyiG9w0DETJUIICAQ8AMIIBCgKCAQEA2K4PavXoNY8eGK2u61" "LIQlOHS8f5sWsCK5b+RGYfo0M+aNHwfqlVdzi/IwmYnuDDuXYuCllrgnxZ4fG4yV" "aux58v9grVsFHdzdjPlAQfp5rkiETYpWRZwgsmdseJ4CoZaosTHLjPumFE/Ua2WA" "QQljqelttM9TONM9L6KxrO9t5IISD1XtJb0bq1lVI/e72k3sxPd/q77qzhTDmwN4T" "STBFDRT5sxzUJx9HNSMRRoEIHSDLTIJUK+Up8IeCx0B7CiOzG5w/cHyZ8UM5V8lkqB" "aTDK46AwTkFWETf59QxUZArG3FEH5vy9HzDmy0tGG+063/x4RqkhqMg5/ClDm+lp" "ZqWwFRAQAB"

;; Query time: 2 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Fri Aug 28 15:32:12 CEST 2020
;; MSG SIZE rcvd: 485

Windows

Windows-Benutzer können an der Kommandozeile (cmd.exe) den folgenden Befehl absetzen, bitte ersetzen Sie auch hier "example.com" mit dem Namen Ihrer Domain:

nslookup -type=txt MBO0001.\_domainkey.example.com
Server: UnKnown
Address: 192.168.179.1

Nicht autorisierende Antwort:
MBO0001.\_domainkey.example.com text

"v=DKIM1; krsa;"
"pMIIBIkANBgkqhyiG9w0DETJUIICAQ8AMIIBCgKCAQEA2K4PavXoNY8eGK2u61"
"LIQlOHS8f5sWsCK5b+RGYfo0M+aNHwfqlVdzi/IwmYnuDDuXYuCllrgnxZ4fG4yV"
"aux58v9grVsFHdzdjPlAQfp5rkiETYpWRZwgsmdseJ4CoZaosTHLjPumFE/Ua2WA"
"QQljqelttM9TONM9L6KxrO9t5IISD1XtJb0bq1lVI/e72k3sxPd/q77qzhTDmwN4T"
"STBFDRT5sxzUJx9HNSMRRoEIHSDLTIJUK+Up8IeCx0B7CiOzG5w/cHyZ8UM5V8lkqB"
"aTDK46AwTkFWETf59QxUZArG3FEH5vy9HzDmy0tGG+063/x4RqkhqMg5/ClDm+lp"
"ZqWwFRAQAB"

Prüfen Sie bitte, dass in der Antwort die Zeichenfolge "v=DKIM1; krsa;" "p..." enthalten ist, gefolgt von einer mehrzeiligen Darstellung des DKIM-Schlüssels.

DMARC-Troubleshooting

Linux & macOS

Linux und macOS Benutzer können im Terminal diesen Befehl absetzen – wichtig ist hier dass in der ANSWER SECTION diese Zeichenfolge angezeigt wird: v=DMARC1; p=.... Was danach folgt, hängt von den individuellen Einstellungen ab.

dig _dmarc.example.com TXT

; <<>> DiG 9.11.3-1ubuntu1.13-Ubuntu <<>> _dmarc.example.com TXT
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 35986
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;_dmarc.example.com. IN TXT

;; ANSWER SECTION:
_dmarc.example.com. 1800 IN TXT "v=DMARC1; p=none; rua=mailto:dmarcrep@example.com; ruf=mailto:dmarcrep@example.com; rf=afrf; sp=none; fo=0; ri=86400; adkim=r; aspf=r; pct=0"

;; Query time: 137 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Fri Aug 28 15:41:16 CEST 2020
;; MSG SIZE rcvd: 191

Windows

Windows Benutzer können an der Windows Befehlszeile (cmd.exe) diesen Befehl absetzen – wichtig ist hier dass in der Antwort diese Zeichenfolge angezeigt wird: v=DMARC1; p=.... Was danach folgt, hängt von den individuellen Einstellungen ab.

nslookup -typetxt \_dmarc.example.com

Server: UnKnown

Address: 192.168.179.1

Nicht autorisierende Antwort:

\_dmarc.meinname.de text
v=DMARC1; p=none; rua=mailto:dmarcrep@example.com;
rufmailto:dmarcrep@example.com; rfafrf; sp=none; fo0; ri86400; adkimr;
aspfr; pct0"
  1. Weitereführende Informationen zu diesem Thema finden Sie in auch in diesem Vortrag unseres CEO's Peer Heinlein:SPF / DKIM-Vortrag und in einemVideo von der Minidebconf 2021 in Regensburg.
  2. Prüfen Sie SPF, DKIM und DMARC mit diesem Tool: Die europäische Kommission stellt ein Tool bereit, in dem Sie die Funktionalität von SPF, DKIM und DMARC überprüfen können. Hierzu müssen Sie eine Testnachricht senden, so dass auch die vom E-Mail-Abieter verwendeten Postausgangsserver sicher bestimmt werden können:https://mecsa.jrc.ec.europa.eu
  3. Bis 2021 empfahl mailbox.org, DKIM-Informationen in TXT-Einträgen zu hinterlegen – hier finden Sie die (inzwischen veraltete) Anleitung: DKIM-Eintraege ueber TXT-Felder im DNS setzen
  4. Sie können Ihr Setup mit Google oder Yahoo Test-Accounts testen:https://www.appmaildev.com/en/dkim
  5. Zusätzliche Informationen zu denAnforderungen für die E-Mail-Authentifizierung für das Senden an Gmail-Konten