Spam-Reputation der eigenen Domain verbessern mit SPF, DKIM und DMARC
Diese Anleitung beschreibt drei erweiterte Einstellungen im Domain Name System DNS, die dabei helfen, die Spam-Reputation Ihrer Domain zu verbessern: SPF, DKIM und das auf die beiden aufbauende DMARC. Weil mehr und mehr Provider diese Standards nutzen, um Spam auszusortieren, beeinflussen die Settings auch die Wahrscheinlichkeit, mit der Server die von Ihnen versandten Mails als Spam klassifizieren und aussortieren. Die Einstellungen, die Sie im Verlauf dieses Artikels setzen werden, finden Sie auch im Schritt 4 der Anleitung "E-Mail-Adressen mit eigener Domain nutzen".
Mit den Einstellungen aus dieser Anleitung erreichen sie Ihre Adressaten zuverlässiger, ganz nebenbei erfüllt Ihre Domain und somit auch jede Ihrer E-Mails dann aber auch sinnvolle und verbreitete Internetstandards – was nicht zuletzt auch auch der Sicherheit dient. mailbox.org empfiehlt grundsätzlich, diese Einstellungen zu setzen, wenn sie eigene Domains für E-Mails nutzen. Gerade Businesskunden, die regelmäßig große Mengen an E-Mails versenden, sollten diesem Rat folgen: Es gibt deutliche Hinweise darauf, dass Provider mit steigenden Datenmengen zunehmend strenger aussortieren. Kunden, die Emailadressen "@mailbox.org" verwenden, brauchen auch hier nichts zu verändern, wir haben alle Einstellungen bereits für Sie gesetzt.
Die folgende Anleitung wird Ihnen helfen, die in dieser Tabelle beschriebenen Werte zu setzen und zu verstehen, was diese Einstellungen bedeuten:
| Hostname | Record Type | Ziel |
|---|---|---|
@ | TXT | v=spf1 include:mailbox.org ~all |
MBO0001._domainkey.example.com | CNAME | MBO0001._domainkey.mailbox.org. |
MBO0002._domainkey.example.com | CNAME | MBO0002._domainkey.mailbox.org. |
MBO0003._domainkey.example.com | CNAME | MBO0003._domainkey.mailbox.org. |
| CNAME | MBO0004._domainkey.mailbox.org. |
_dmarc.example.com | TXT | v=DMARC1;p=none;rua=mailto:postmaster@example.com |
Die Tabelle enthält Beispiele für die DNS-Einträge, die sie für Ihren Provider benötigen, um SPF, DKIM und DMARC zu konfigurieren. Ersetzen Sie dabei example.com durch ihre Domain und postmaster@example.com durch Ihre E-Mailadresse.
Voraussetzungen:
Stellen sie sicher, dass E-Mails Ihrer Domain (beispielsweise "meinname@example.com") über mailbox.org versandt und empfangen werden, dass Sie also die Anleitung E-Mail Adresse der eigenen Domain nutzen erfolgreich umgesetzt haben.
Sender Policy Framework (SPF)
Das SPF (Wikipedia) benutzen Administratoren, um im Internet bekannt zu geben, welche Server ausgehende E-Mails Ihrer Domain versenden dürfen. Die für Mails zuständigen MX-Einträge im Domain Name System definieren nur, welche Mailserver für den Empfang von E-Mails einer Domain zuständig sind. Eine Liste von Mailservern, die berechtigt sind, im Namen einer Domain Mails zu versenden, gab es hingegen nicht. Spam in dem Ausmaß wie wir es heute kennen, ist unter anderem nur möglich, weil Absender von beliebigen Rechnern (auch beispielsweise gehackte Windows-Systeme) Mails in fremden Namen verschicken können und es lange keine Methode gab, dies zu verhindern.
Abhilfe sollten Konzepte wie SPF schaffen, das im Internet-Standard der RFC 4408 spezifizierte Sender Policy Framework. Es ermöglicht Administratoren, einer Domain mehrere Mailserver zuzuordnen und diese so als legitime Ursprünge für E-Mails von dieser Domäne zu definieren. Ein typischer SPF-Eintrag in einem Standardsetup ist im DNS als TXT-Eintrag hinterlegt und kann folgenden Inhalt haben:
v=spf1 include:mailbox.org ~all
"v=spf1" bezeichnet hier die verwendete SPF-Version, mit "include:mailbox.org" gelten automatisch auch alle SPF-Einstellungen von mailbox.org für diese Domain. Das bedeutet: Alle Mailserver von mailbox.org (sowohl die Domäne mailbox.org aber auch alle von uns verwendeten IP-Adressen) sind somit legitimiert, E-Mails mit Absendern Ihrer Domain zu verschicken. Natürlich können Sie neben mailbox.org auch weiterhin andere Mailserver für den Versand von E-Mails für ihre Domain nutzen, sie sollten diese aber ebenfalls, durch analoge Einträge im DNS legitimieren.
Mehrere SPF-Einträge sind nicht erlaubt:
Stellen Sie sicher, dass im DNS ihres Providers nur ein SPF-Record existiert. Widersprüchliche Angaben können zu Problemen führen.
Erlaubte Parameter im TXT-Record zu SPF sind:
| Einstellung | Erklärung |
|---|---|
| v=spf1 | Es handelt sich um SPF in der Version 1 |
ip4:213.203.238.0/24 | Jeder Server aus dem IPv4-Bereichen 213.203.238.0/24 darf für diese Domain E-Mails versenden. |
| ip6:fda0:6a92:125f:0:42f6:6f7e:f9fb:b531/64 | Jeder Server aus dem IPv6-Bereich ip6:fda0:6a92:125f:0:42f6:6f7e:f9fb:b531/64 darf für diese Domain E-Mails versenden. |
| mx | Erlaubt es auch allen Mailservern, die in den MX-Records dieser Domain stehen, für diese Domains E-Mails zu versenden. |
| include:example.com | Darüber hinaus sind alle Server berechtigt, die auch für die Domain example.com gelistet sind - der Server muss hier also eine weitere Abfrage nach dem TXT-Record von example.com machen. |
| ?all | Alle nicht genannten Mailserver dürfen ebenfalls unter diesem Namen Mails verschicken, ohne eine negative (oder positive) Bewertung zu bekommen. |
| -all | Alle nicht explizit genannten Mailserver sind nicht berechtigt, für diese Domain Mails zu versenden. |
| ~all | Annehmende Server sollen diese Nachricht nicht ablehnen aber weitere Tests durchführen um zu prüfen, ob die Nachricht Spam ist. |
Eine vollständige Liste aller zugelassenen Einträge im SPF-Record findet sich bei OpenSPF.
SPF - Beispielkonfiguration bei Hetzner, Netcup und INWX
Die DNS-Eingabemasken bei Providern sind nicht einheitlich. Die folgenden Abbildungen zeigen exemplarisch an den Providern Hetzner, Netcup und INWX, wie die SPF-TXT-Einträge dort aussehen sollten.
Abbildung 1: Hetzner setzt die Anführungszeichen in "Ziel" automatisch und verwendet anstelle des Namens der Domain nur ein "@".
Abbildung 2: Auch Netcup nimmt das "@" als Platzhalter für die Domain, verlangt keine Anführungszeichen.
Abbildung 3: Bei INWX kann das Feld "Name" leer bleiben.
DomainKeys Identified Mail (DKIM)
DKIM (Wikpedia) ist ein technisches Protokoll, mit dessen Hilfe sich die Authentizität von Absendern sicherstellen lässt. Es geht noch weiter als SPF, indem es die Angaben in E-Mails mit einer digitalen Signatur absichert, für die ein spezieller Schlüssel im DNS hinterlegt ist. Nur mit dessen Hilfe kann ein fremder Mailserver verifizieren, ob eine Nachricht mit einer solchen Signatur im Header wirklich von der genannten Domain versandt wurde. Der dafür benutzte E-Mail-Header lautet "DomainKey-Signature-Header". Damit das klappt, muss der Mailserveradministrator (also wir von mailbox.org) eine Signatur erzeugen und mit einem kryptographischen Verfahren signieren sowie diese für die E-Mail-Kommunikation verfügbar machen (also im Domain Name System eintragen). Wenn dieser Prozess scheitert, dann kann der Mailserver des Absenders nicht eindeutig verifiziert werden und die betreffende E-Mail erhält unter Umständen einen Malus: Sie wird eher als Spam klassifiziert und aussortiert. Wenn Sie DKIM mit der folgenden Anleitung aktivieren, dann verringern Sie die Wahrscheinlichkeit, dass empfangende Server Ihre Mails fälschlicherweise als Spam markieren.
Vier Einträge sind notwendig:
Zu erfolgreichen DKIM-Einträgen gibt es verschiedene Wege. mailbox.org empfiehlt den Eintrag als "CNAME"-Record. Wir stellen aktuell vier Schlüssel für DKIM bereit, die Sie als DNS-Einträge bei Ihrem Domainregistrar hinterlegen müssen:
individueller Key (Ersetzen Sie dabei example.com durch ihre Domain) | Record Typ | Ziel (so übernehmen) |
|---|---|---|
| MBO0001._domainkey.example.com | CNAME | MBO0001._domainkey.mailbox.org. |
| MBO0002._domainkey.example.com | CNAME | MBO0002._domainkey.mailbox.org. |
| MBO0003._domainkey.example.com | CNAME | MBO0003._domainkey.mailbox.org. |
MBO0004._domainkey.example.com | CNAME | MBO0004._domainkey.mailbox.org. |
Hinterlegen Sie alle vier Keys in vier separaten CNAME-Einträgen.
Abbildung 4 zeigt einen typischen Eintrag beim Provider Hetzner. Im Auswahlmenü "Recordtyp*" wählen Sie "CNAME", unter "Hostname*" tragen sie den gewählten Key als Subdomain ihrer Domäne ein (hier MBO0001._domainkey.example.com) ebenso im Feld "Ziel*" hier (bei Hetzner) gefolgt von einem Punkt. Die Schreibweise im letzten Feld kann – genauso wie die Benennung der Felder der DNS-Eingabemaske – von Provider zu Provider variieren: Manche Provider (beispielsweise Hetzner) verlangen den abschließenden Punkt, andere ergänzen ihn – sie sollten hier unbedingt die Dokumentation ihres Providers konsultieren.
DKIM - Beispielkonfiguration bei Hetzner, Netcup und INWX
Abbildung 4: Der CNAME-DNS-Eintrag bei Hetzner für den Key MBO0001 (mit Punkt am Ende)
Abbildung 5: Der CNAME-DNS-Eintrag bei Netcup verlangt im Feld "Destination" keinen abschließenden Punkt ...
Abbildung 6: ... und auch der Provider INWX verzichtet im CNAME-DNS-Eintrag darauf.
Alte Methode:
2021 änderten wir bei mailbox.org unsere Empfehlung für den DKIM-Eintrag. Bisher rieten wir dazu, DKIM-Einträge als TXT-Records anzulegen. Diese Methode wird auch weiterhin funktionieren, sie hat allerdings einen gravierenden Nachteil: Falls wir etwas an unseren Schlüsseln ändern müssen, werden alle TXT-Einträge, die auf die alten Keys verweisen, ungültig. Kunden und Admins mit TXT-Einträgen für DKIM müssten selbst aktiv werden, um zu verhindern, dass ihre Mails höhere Spam-Bewertungen bekommen. Kunden, die unsere DKIM-Schlüssel per CNAME-Eintrag festlegen, brauchen auch dann nicht aktiv werden.
Gleichwohl können Sie das jederzeit umstellen – Wichtig ist dabei nur die Reihenfolge der Umstellung: Löschen Sie erst den TXT-Eintrag aus dem DNS und fügen Sie dann den CNAME-Eintrag hinzu. Wenn Sie beides kurz nacheinander erledigen, sollte DKIM für Ihre Domain auch während der sich anschließenden, automatischen Synchronisation des Domain Name Systems verfügbar sein.
Domain-based Message Authentication, Reporting and Conformance (DMARC)
DMARC-Einträge legen fest, ob und wie Mailserver beim E-Mail-Empfang DKIM-Signaturen und SPF-Einträge verifizieren. Wenn Sie E-Mails über mailbox.org versenden, können sie mit Hilfe des DMARC-Eintrags eine Art "Empfehlung" aussprechen, wie mit E-Mails umgegangen werden soll, die Ihren Absender tragen, aber beispielsweise nicht DKIM-signiert sind. Für DMARC-Einstellungen ist neben einem DKIM-Eintrag im DNS auch ein existierender SPF-Eintrag eine Voraussetzung. Die Abbildungen 7 bis 9 zeigen exemplarisch die DNS-Eingabemasken verschiedener Provider – auch hier sollten Sie die Dokumentation Ihres Providers konsultieren, um Fehler zu vermeiden.
- Legen Sie im DNS einen (weiteren) "TXT" Eintrag an.
- Fügen Sie "Host", "Name" oder "Hostname" den Begriff "_dmarc" gefolgt von ihrer E-Mail-Domain ein, also beispielsweise "_dmarc.example.com". Beachten Sie dabei die unterschiedlichen Schreibweisen der Provider (siehe Infokasten auf E-Mail-Adressen mit eigener Domain nutzen).
- Fügen Sie als "Wert", "Ziel*" oder "Destination" den Teil unter "v=DMARC1;p=none;rua=mailto:postmaster@example.com" ein. Die E-Mail-Adresse, die sie hier spezifizieren, erhält ab sofort die Fehlermeldungen der DMARC-Prüfungen – sie sollten also eine eigene Adresse spezifizieren.
- Als "TTL" (Time-To-Live) empfehlen wir "400".
DMARC - Beispielkonfiguration bei Hetzner, Netcup und INWX
Beim Provider Hetzner beispielsweise sieht ein korrekter DNS-Eintrag für DMARC folgendermaßen aus:
Abbildung 7: Hetzner - Anlegen des DMARC-TXT-Eintrag im DNS
Abbildung 8: Netcup - Anlegen des DMARC-TXT-Eintrag im DNS
Abbildung 9: Anlegen des DMARC-TXT-Eintrag bei INWX
DMARC - Optionen und Parameter
Die wichtigsten Optionen für den DMARC-TXT-Eintrag im DNS auf einen Blick:
| Parameter | Erklärung |
|---|---|
| v=DMARC1 | DMARC in Protokollversion 1 wird verwendet |
| ruf=mailto:E-Mail-Adresse | Der Inhaber der genannten E-Mail-Adresse erhält Fehlerberichte ("Forensischer Report"). In Deutschland ist die Nutzung dieser Option nicht zulässig, da Sie E-Mails erhalten könnten, die nicht für Sie bestimmt waren. Wir raten von der Nutzung dieses Parameters ab. |
| rua=mailto:E-Mail-Adresse | Der Inhaber der genannten E-Mail-Adresse erhält die bisweilen umfangreichen Detailberichte über alle DMARC-Aktivitäten. Da dies zu einer großen Menge an eingehender Berichte führen kann, sollte Sie hierfür eine separate E-Mail Adresse verwenden. Die Berichte enthalten Datum, Uhrzeit, Empfänger- und Absenderdomäne, IP-Adressen, SPF- und DKIM-Informationen, die DKIM-Policy, die Anwendung fand und die mit SPF und DKIM verknüpfte Domain. |
| p=none | Dieser Parameter ist immer erforderlich, hier legen Sie fest, wie der empfangende Server verfahren soll, wenn E-Mails nicht korrekt authentifiziert werden konnten. Gültige Optionen sind: none: Es wird nichts unternommen und die Nachricht wird dem Zielpostfach zugestellt, so wie es vom Absender vorgesehen wurde. Die E-Mails werden im täglichen Bericht geloggt. Letzterer wird täglich an die im "rua"-Parameter hinterlegte Adresse geschickt (siehe oben). quarantine: Eingehende Nachrichten ohne korrekte Authentifizierung werden als Spam markiert und in den Spamordner des Empfängers gelegt. Empfänger können in diesem nachsehen, ob die E-Mails dort korrekt einsortiert wurden. reject: Nicht korrekt authentifizierte E-Mails werden abgelehnt. Der empfangende Server schickt eine Unzustellbarkeitsnachricht (bounce) an den Absender. |
Bitte beachten Sie, dass Sie die Einstellungen zu Beginn nicht auf die restriktiven Werte "quarantine" oder "reject" setzen sollten. Wir empfehlen zunächst die Option "p=none" zu verwenden, die Lage zu beobachten, die Reports auszuwerten und als Anhaltspunkte für benötigte Einstellungen zu verwenden. Funktioniert alles wie gewünscht, können Sie hier strengere Regeln eintragen. Typische Probleme, die aus zu restriktiven Einstellungen resultieren sind beispielsweise vom Empfangsserver abgelehnte E-Mails oder nicht mehr validierbare elektronische Signaturen bei E-Mail-Weiterleitungen.
Troubleshooting
SPF-Troubleshooting
Linux und macOS Benutzer können im Terminal den Befehl "dig" eingeben, gefolgt von ihrer Domain und den gewünschten Einträgen:
DNS-TXT-Abfrage im Linux Terminal
dig example.com txt
; <<>> DiG 9.11.3-1ubuntu1.13-Ubuntu <<>> example.com txt
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 64449
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;example.com. IN TXT
;; ANSWER SECTION:
example.com. 1800 IN TXT "v=spf1 include:mailbox.org ~all"
;; Query time: 120 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Fri Aug 28 12:33:50 CEST 2020
;; MSG SIZE rcvd: 174
Kontrollieren Sie bitte, ob die Zeile nach der Zeile mit "ANSWER SECTION", einen Eintrag beinhaltet, der mit "v=spf1" beginnt und "include:mailbox.org" enthält.
Windows Benutzer können an der Kommandozeile (cmd.exe) den folgenden Befehl absetzen, bitte ersetzen Sie auch hier "example.com" mit dem Namen Ihrer Domain:
DNS-TXT-Abfrage an der Windows-Befehlszeile
nslookup -type=TXT example.com
Server: UnKnown
Address: 192.168.179.1
Nicht autorisierende Antwort:
example.com text =
"_globalsign-domain-verification=ZKyu_ATrp-l27Q11kIjqiPNjI6Tt_g7vnp3qYsViBk"
"v=spf1 include:mailbox.org ~all"
Kontrollieren Sie bitte, ob die Antwort eine Zeile beinhaltet, die mit "v=spf1" beginnt und "include:mailbox.org" enthält.
DKIM-Troubleshooting
Linux und macOS Benutzer können im Terminal diesen Befehl absetzen – wichtig ist hier dass in der ANSWER SECTION diese Zeichenfolge angezeigt wird: "v=DKIM1; k=rsa;" "p=...." gefolgt vom korrekten Key.
dig MBO0001._domainkey.example.com TXT
; <<>> DiG 9.11.3-1ubuntu1.13-Ubuntu <<>> MBO0001._domainkey.example.com TXT
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 64519
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;MBO0001._domainkey.example.com. IN TXT
;; ANSWER SECTION:
MBO0001._domainkey.example.com. 3403 IN TXT "v=DKIM1; k=rsa;" "p=MIIBIkANBgkqhyiG9w0DETJUIICAQ8AMIIBCgKCAQEA2K4PavXoNY8eGK2u61" "LIQlOHS8f5sWsCK5b+RGYfo0M+aNHwfqlVdzi/IwmYnuDDuXYuCllrgnxZ4fG4yV" "aux58v9grVsFHdzdjPlAQfp5rkiETYpWRZwgsmdseJ4CoZaosTHLjPumFE/Ua2WA" "QQljqelttM9TONM9L6KxrO9t5IISD1XtJb0bq1lVI/e72k3sxPd/q77qzhTDmwN4T" "STBFDRT5sxzUJx9HNSMRRoEIHSDLTIJUK+Up8IeCx0B7CiOzG5w/cHyZ8UM5V8lkqB" "aTDK46AwTkFWETf59QxUZArG3FEH5vy9HzDmy0tGG+063/x4RqkhqMg5/ClDm+lp" "ZqWwFRAQAB"
;; Query time: 2 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Fri Aug 28 15:32:12 CEST 2020
;; MSG SIZE rcvd: 485
Windows-Benutzer können an der Kommandozeile (cmd.exe) den folgenden Befehl absetzen, bitte ersetzen Sie auch hier "example.com" mit dem Namen Ihrer Domain:
nslookup -q=txt MBO0001._domainkey.example.com
Server: UnKnown
Address: 192.168.179.1
Nicht autorisierende Antwort:
MBO0001._domainkey.example.com text =
"v=DKIM1; k=rsa;"
"p=MIIBIkANBgkqhyiG9w0DETJUIICAQ8AMIIBCgKCAQEA2K4PavXoNY8eGK2u61"
"LIQlOHS8f5sWsCK5b+RGYfo0M+aNHwfqlVdzi/IwmYnuDDuXYuCllrgnxZ4fG4yV"
"aux58v9grVsFHdzdjPlAQfp5rkiETYpWRZwgsmdseJ4CoZaosTHLjPumFE/Ua2WA"
"QQljqelttM9TONM9L6KxrO9t5IISD1XtJb0bq1lVI/e72k3sxPd/q77qzhTDmwN4T"
"STBFDRT5sxzUJx9HNSMRRoEIHSDLTIJUK+Up8IeCx0B7CiOzG5w/cHyZ8UM5V8lkqB"
"aTDK46AwTkFWETf59QxUZArG3FEH5vy9HzDmy0tGG+063/x4RqkhqMg5/ClDm+lp"
"ZqWwFRAQAB"
Prüfen Sie bitte, dass in der Antwort die Zeichenfolge "v=DKIM1; k=rsa;" "p=...." enthalten ist, gefolgt von einer mehrzeiligen Darstellung des DKIM-Schlüssels.
DMARC-Troubleshooting
Linux und macOS Benutzer können im Terminal diesen Befehl absetzen – wichtig ist hier dass in der ANSWER SECTION diese Zeichenfolge angezeigt wird: "v=DMARC1; p=...." was danach folgt, hängt von den individuellen Einstellungen ab
dig _dmarc.example.com TXT
; <<>> DiG 9.11.3-1ubuntu1.13-Ubuntu <<>> _dmarc.example.com TXT
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 35986
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;_dmarc.example.com. IN TXT
;; ANSWER SECTION:
_dmarc.example.com. 1800 IN TXT "v=DMARC1; p=none; rua=mailto:dmarcrep@example.com; ruf=mailto:dmarcrep@example.com; rf=afrf; sp=none; fo=0; ri=86400; adkim=r; aspf=r; pct=0"
;; Query time: 137 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Fri Aug 28 15:41:16 CEST 2020
;; MSG SIZE rcvd: 191
Windows Benutzer können an der Windows Befehlszeile (cmd.exe) diesen Befehl absetzen – wichtig ist hier dass in der Antwort diese Zeichenfolge angezeigt wird: "v=DMARC1; p=...." was danach folgt, hängt von den individuellen Einstellungen ab
nslookup -type=txt _dmarc.example.com
Server: UnKnown
Address: 192.168.179.1
Nicht autorisierende Antwort:
_dmarc.meinname.de text =
"v=DMARC1; p=none; rua=mailto:dmarcrep@example.com;
ruf=mailto:dmarcrep@example.com; rf=afrf; sp=none; fo=0; ri=86400; adkim=r;
aspf=r; pct=0"
Weiterführende Links und Tools
- Weitere Details zu diesem Thema finden Sie in diesem Vortrag unseres CEO Peer Heinlein: SPF / DKIM-Vortrag und in einem Video von der Minidebconf 2021 in Regensburg.
- Prüfen Sie SPF, DKIM und DMARC mit diesem Tool: Die europäische Kommission stellt ein Tool bereit, in dem Sie die Funktionalität von SPF, DKIM und DMARC überprüfen können. Hierzu müssen Sie eine Testnachricht senden, so dass auch die vom E-Mail-Abieter verwendeten Postausgangsserver sicher bestimmt werden können. Am Ende des Tests erhalten Sie eine detaillierte Auflistung der Sicherheitsparameter Ihres Setups. https://mecsa.jrc.ec.europa.eu
- Bis 2021 empfahl mailbox.org, DKIM-Informationen in TXT-Einträgen zu hinterlegen – hier finden Sie die (inzwischen veraltete) Anleitung: DKIM-Eintraege ueber TXT-Felder im DNS setzen
- Sie können Ihr Setup mit Google oder Yahoo E-Mail Accounts testen: https://www.appmaildev.com/en/dkim
Verwandte Artikel
-
Page:
-
Page:
-
Page:
-
Page:
-
Page: