Warum E-Mails nicht (mehr) ankommen …

Anbieter beliebter Maildienste wie etwa Gmail, web.de oder t-online.de versuchen, durch immer höhere Anforderungen möglichst viel Spam, Phishing und Spoofing zu blocken. Verständlich.

Ist man nun im B2C-Umfeld unterwegs und viele der eigenen Kunden nutzen diese meist kostenlosen E-Mail-Adressen, dann ist es höchste Zeit zu handeln.

Inzwischen ist es so, dass Empfängermailserver E-Mails von Absenderdomains ohne SPF und/oder DKIM schlicht und einfach nicht mehr annehmen.

„Es ist blauäugig, davon auszugehen, dass E-Mails ankommen“

Dieses Zitat eines IT-Leiters eines langjährigen Kunden, der schon vor über 10 Jahren diesen absolut richtigen Satz perfekt auf den Punkt gebracht hat, ist aktuell wie nie!

Aus Sicht der Betreiber dieser E-Mail-Dienste ist es völlig nachvollziehbar, dass sie sicherstellen wollen, dass die Mail tatsächlich von dem Absender verschickt wurde, der auch als Absender in der Mail steht.

Prinzipiell kann jeder behaupten, er sei eine beliebige E-Mail-Adresse. Es ist ein Leichtes, als Absender einfach olaf@bundeskanzler.de einzutragen. Das prüft beim Versand zunächst niemand. Der Mailserver schickt die Mail raus. Gäbe es keinen Mechanismus auf der Empfängerseite, würde diese Mail in deinem Postfach landen und du würdest dich freuen, dass der Bundeskanzler dir schreibt.

Ferner möchten Anbieter von kostenlosen E-Mail-Adressen natürlich sicherstellen, dass möglichst wenig Spam- und Phishing-Mails durchrutschen.

In den frühen Tagen des Internets war die E-Mail-Kommunikation äußerst einfach aufgebaut. Es gab nur wenige Sicherheitsmechanismen, um den Absender und die Inhalte zu verifizieren. Spam war zwar bekannt, jedoch nicht in dem Ausmaß wie heute.

Mit der zunehmenden Verbreitung von E-Mail-Marketing, Newslettern und auch schädlichen Spam-Nachrichten wurde schnell klar, dass Maßnahmen zur Authentifizierung und Integrität nötig sind, um sowohl Empfänger als auch seriöse Absender zu schützen. So entstanden im Laufe der Zeit verschiedene Protokolle und Richtlinien, die sicherstellen sollen, dass E-Mails nicht nur korrekt zugestellt, sondern auch eindeutig und sicher verifiziert werden können. Zu den bekanntesten und wichtigsten Techniken zählen DKIM, DMARC und SPF.

SPF (Sender Policy Framework) legt fest, welche IP-Adressen oder Mailserver das Recht haben, E-Mails im Namen einer bestimmten Domain zu versenden. Diese Liste wird als DNS-Eintrag hinterlegt.

Funktionsweise

• Eintrag im DNS: In einem speziellen TXT-Record wird hinterlegt, welche Mailserver oder IP-Adressen berechtigt sind, E-Mails für die Domain zu versenden
  (z.B. v=spf1 include:_spf.example.com -all).
• Überprüfung durch den Empfänger: Der empfangende Mailserver kontrolliert den SPF-Eintrag, indem er vergleicht, ob die ankommende E-Mail von einer autorisierten IP-Adresse stammt.
• Ergebnis: Besteht die Prüfung, wird die E-Mail normal weiterverarbeitet. Schlägt sie fehl, kann das zu einer Einstufung als Spam oder zur kompletten Ablehnung führen.

Warum ist SPF wichtig?

• Es verhindert, dass Unbefugte (z. B. Spammer) im Namen der Domain E-Mails verschicken.
• Es hilft, das Vertrauen in die Absenderdomäne zu stärken und die Wahrscheinlichkeit zu verringern, dass legitime E-Mails als Spam gekennzeichnet werden.

DKIM steht für DomainKeys Identified Mail und dient dazu, die Integrität und Authentizität einer E-Mail zu gewährleisten. Im Kern wird hierbei eine digitale Signatur in den E-Mail-Header integriert. Der Empfänger-Server kann anhand dieser Signatur überprüfen, ob die E-Mail tatsächlich vom angegebenen Absender stammt und ob sie auf dem Transportweg unverändert geblieben ist.

Funktionsweise

• Erstellung der Signatur: Der ausgehende Mailserver generiert aus bestimmten Teilen der E-Mail (z. B. Betreffzeile, Absender, E-Mail-Body) einen Hash-Wert und signiert diesen mit einem privaten Schlüssel.
• Öffentlicher Schlüssel im DNS: Der dazugehörige öffentliche Schlüssel wird im DNS (Domain Name System) als sogenannter TXT-Record hinterlegt.
• Verifikation beim Empfang: Der empfangende Mailserver nutzt diesen öffentlichen Schlüssel, um die Signatur zu überprüfen. Ist sie gültig, gilt die E-Mail als unverändert und authentisch.

Vorteile von DKIM

• Schutz vor Manipulation des E-Mail-Inhalts.
• Gewährleistung, dass die E-Mail tatsächlich von der angegebenen Domain signiert wurde.
• Höhere Vertrauenswürdigkeit bei empfangenden Mailservern und Spam-Filtern.

DMARC (Domain-based Message Authentication, Reporting & Conformance) baut auf DKIM und SPF auf. Es definiert, wie eine E-Mail, die behauptet, von einer bestimmten Domain gesendet worden zu sein, von Empfängern behandelt werden soll, wenn sie die DKIM- und/oder SPF-Prüfungen nicht besteht. Darüber hinaus ermöglicht DMARC, Berichte über die Anwendung dieser Richtlinien zu erhalten.

DMARC-Richtlinien (Policy)

• none (Monitor-Modus): Es erfolgt keine direkte Ablehnung. Stattdessen werden Berichte erstellt, um das Volumen und die Authentifizierungsergebnisse der versendeten E-Mails zu überwachen.
• quarantine: E-Mails, die die Authentifizierung nicht bestehen, werden als Spam markiert oder in Quarantäne verschoben.
• reject: E-Mails werden komplett abgelehnt und nicht zugestellt.

Berichterstattung

DMARC ermöglicht regelmäßige Berichte an die Domaininhaber. So können sie nachvollziehen, welche E-Mails unter welchem Absender authentifiziert wurden und wo eventuell Probleme oder Missbrauch stattfinden.

Die drei Techniken ergänzen sich in ihrer Funktion:

• SPF legt fest, welche Server E-Mails für die Domain verschicken dürfen.
• DKIM stellt sicher, dass die E-Mail auf dem Weg zum Empfänger nicht verändert wurde und tatsächlich von der Domain signiert ist.
• DMARC überwacht die Ergebnisse von SPF und DKIM und definiert, wie E-Mails behandelt werden sollen, wenn sie diese Prüfungen nicht bestehen. Gleichzeitig liefert DMARC Berichte, mit denen Domaininhaber ihre E-Mail-Senderidentität überwachen und möglichen Missbrauch erkennen können.

Zusammen bilden DKIM, DMARC und SPF eine Art „Sicherheitskette“, mit der sichergestellt wird, dass nur autorisierte Mailserver E-Mails versenden dürfen, der Inhalt unangetastet bleibt und Domaininhaber klar definieren können, was mit nicht authentifizierten E-Mails geschieht.