Für zuverlässige E-Mail-Übermittlung verwenden wir SPF, DKIM,
DMARC und MTA-STS. Diese Standards prüfen die Absenderidentität,
signieren Nachrichten, bekämpfen Spam und sichern den Transport.
Im Folgenden wird erläutert was es mit den E-Mail -Authentifizierungsprotokollen auf sich hat und wie sie konfiguriert werden.
Was ist SPF?
SPF (Sender Policy
Framework) ist eine Technologie, die verhindert, dass Unbefugte Ihre
E-Mail-Adresse für Spam oder Phishing-Nachrichten missbrauchen können.
In einem SPF-Eintrag wird in Form eines DNS-TXT Eintrags definiert
welche Server berechtigt sind, E-Mails im Namen Ihrer Domain zu senden.
Die Empfangsserver prüfen ob eine E-Mail tatsächlich von einem
autorisierten Server stammt. Falls dem nicht so ist, wird die Nachricht
als Spam markiert oder gar nicht akzeptiert.
Wie richte ich SPF ein?
Gehen Sie im Kundenlogin auf DNS/Domains und wählen Sie Ihre Domain aus.
Prüfen Sie hier Ihre TXT-Einträge. Über die Filter-Regeln (Typ) können Sie sich ausschließlich TXT-Einträge anzeigen lassen.
Vergewissern Sie sich, dass ein DNS-Eintrag in folgendem Format vorliegt.
| Aktiv | Typ | Hostname | Daten |
|---|---|---|---|
| Ja | TXT | Name Ihrer Domain. | v=spf1 include:spf.greensta.de -all |
Falls ein solcher Eintrag nicht existiert, kann dieser erstellt werden indem Sie die grüne TXT Schaltfläche auswählen und Ihre Domain in das Feld “Hostname” eintragen.
Hinweis: Im TXT-Eintrag gehört hinter den Domainnamen ein Punkt.
Zur Verdeutlichung:
Falsch: “domainname.de”
Richtig: “domainname.de.”
Optionen
Haben Sie einen gültigen SPF-Eintrag eingerichtet, können Sie auf den SPF-Eintrag klicken.
Anschließend können SPF Mechanismus-Optionen ausgwählt werden.
Pass: Mails von anderen Sendern zulassen
Fail: Mails von anderen Sendern abweisen
SoftFail: Mails von anderen Sendern zulassen aber markieren
Neutral: Nichts unternehmen
Eine Übersicht mit den notwendigen DNS Einträgen können Sie außerdem unter Angabe Ihrer Domain auf unserer DNS Hilfeseite abrufen.
Was ist DKIM?
DKIM (Domain Keys Identified Mail) ist eine E-Mail-Authentifizierungstechnik, die es dem Empfänger ermöglicht, zu überprüfen, ob eine E-Mail tatsächlich vom Eigentümer dieser Domain gesendet wurde. Dies geschieht durch eine digitale Signatur der E-Mail. Diese DKIM-Signatur ist ein Header, der der Nachricht hinzugefügt wird und durch Verschlüsselung gesichert ist.
Wie richte ich DKIM ein?
Gehen Sie im Kundenlogin auf E-Mail und wählen Sie Ihre Domain aus.
Durch das Klicken auf den Button DomainKeys Identified Mail (DKIM) werden weitere Optionen angezeigt.
Um DKIM initial einzurichten aktivieren Sie den Haken bei DKIM aktivieren und klicken dann auf den Button erstelle DKIM Schlüssel. Klicken Sie dann unten auf Speichern. Der notwendige DNS-Eintrag wird automatisch erstellt.
Nach dieser Einrichtung werden Mails, die Sie über unseren Server mail.greensta.de versenden automatisch mit DKIM signiert.
Was ist DMARC?
DMARC (Domain-based Message Authentication) setzt SPF und DKIM ein und legt fest, was mit nicht authentifizierten E-Mails geschehen soll.
Es hilft dabei, unerwünschte Nachrichten zu blockieren oder in den Spam-Ordner zu verschieben.
Wie kann ich DMARC nutzen?
Gehen Sie im Kundenlogin auf DNS/Domains und wählen Sie Ihre Domain aus.
Sie können nun auf die grüne Schaltfläche DMARC klicken.
Es öffnet sich eine neue Oberfläche in der Einstellungen vorgenommen werden können.
Wir empfehlen folgende Einstellungen:
| Einstellung | Auswahl |
|---|---|
| Mail Empfänger Policy | abweisen |
| ‘Aggregate Data Reporting’ Adresse | dmarc-report@greensta.de |
| DKIM Identifier alignment | strict |
| Abgleichsmodus (‘alignment mode’) für SPF | strict |
| Subdomain Policy (Defaults identisch zur Domain) | reject |
Haben Sie Ihre Einstellungen vorgenommen klicken Sie auf Speichern. Es wird automatisch ein DNS-TXT Eintrag erstellt, den Sie prüfen können.
Wenn Sie sich an unsere Empfehlung halten sieht der DMARC Eintrag wie folgt aus:
| Typ | Name | Daten |
|---|---|---|
| TXT | _dmarc.domainname.de. |
v=DMARC1; p=reject; rua=mailto:dmarc-report@greensta.de; adkim=s; aspf=s; sp=reject |
Was ist MTA-STS?
MTA-STS (Mail Transfer Agent - Strict Transport Security) sichert die Verbindung zwischen dem Absender- und Empfangsserver, indem TLS (Transport Layer Security) erzwungen wird. Dadurch werden E-Mails während der Übermittlung verschlüsselt.
Wie kann ich MTA-STS nutzen?
MTA-STS wird durch das Anlegen eines bestimmten DNS Eintrags umgesetzt. Dieser Eintrag definiert, dass alle Kommunikationen mit anderen Servern über TLS erfolgen müssen. Falls dem nicht so ist, werden Mails verweigert.
Der DNS Eintrag hierfür sieht wie folgt aus:
| Typ | Hostname | Zielhostname |
|---|---|---|
| CNAME | mta-sts.kundendomain.de | mta-sts-cname.greensta.de. |
| CNAME | _mta-sts.domainname.de | mta-sts-txt.greensta.de. |
| TXT | _smtp._tls.domainname.de | “v=TLSRPTv1;rua=mailto:mta-sts-reports@teuto.net” |