So authentifizieren Sie Ihre E-Mail

Ihr Leitfaden zu SPF, DMARC & DKIM

Foto von NeONBRAND auf Unsplash

Zugangsvoraussetzungen:

  • Ihr DNS-Editor (Domain Name System) (d. H. GoDaddy Admin, bei dem die E-Mail-Adressen registriert sind)
  • E-Mail-Administratorkonten von Drittanbietern (E-Mail-Blast-Dienst [Mailchimp, ConstantContact usw.], zusätzlicher E-Mail-Server, den Sie möglicherweise verwenden usw.)

Möglicherweise lesen Sie dies, weil Sie Hilfe bei der Behebung eines soeben erhaltenen Fehlers benötigen. Dieser Fehler besagt möglicherweise etwas über Ihre DMARC-Einträge und dass die E-Mail nicht authentifiziert wurde. Und höchstwahrscheinlich haben Sie versucht, jemandem eine E-Mail mit der Adresse "@ gmail.com" oder "@ yahoo.com" oder einem ähnlichen kostenlosen, großen E-Mail-Anbieter zu senden, dessen Standardrichtlinien höher sind als die eines von Ihnen eingerichteten E-Mail-Servers durch Ihre eigene Firma.

Ich war auch dabei und hatte einige Zeit Mühe, dies herauszufinden - nicht nur, was Sie brauchen, sondern auch, wie man es richtig macht.

Um die E-Mail-Authentifizierung zu 100% zu gewährleisten, müssen drei Einstellungen vorgenommen werden:

  • SPF (Sender Policy Framework): Ein Framework zur Verhinderung von E-Mail-Fälschungen, auch bekannt als Spoofing. Spoofing ist, wenn jemand vorgibt, von Ihrer E-Mail-Adresse gesendet zu werden.
  • DKIM (DomainKeys Identified Mail): Damit kann ein Server E-Mails in Ihrem Namen senden, während er authentifiziert wird, um sicherzustellen, dass Sie es wirklich sind. Wenn Sie beispielsweise MailChimp oder ConstantContact für Newsletter-Explosionen verwenden und angeben, dass diese von "john@doecompany.com" stammen, werden die E-Mails weiterhin vom MailChimp- oder ConstantContacts-Server gesendet. Sie haben jedoch mit Ihrem Blast-E-Mail-Dienst bestätigt, dass Sie es sind und nicht jemand, der vorgibt, Sie zu sein. Dies ist die wichtigste Einstellung für Unternehmen, da es sonst zu einer hohen Absprungrate kommt!
  • DMARC (domänenbasierte Nachrichtenauthentifizierung, Berichterstellung und Konformität): Auch ein Anti-Spoofing-Mechanismus, der in Verbindung mit SPF funktioniert. Das eine oder andere zu haben ist ineffektiv - Sie werden beides brauchen, um richtig geschützt zu sein.

DNS-Editor / DNS-Zonen-Editor, GoDaddy-Screenshot-Beispiele (Melden Sie sich an und navigieren Sie zuerst zu Ihrem Admin-Dashboard):

GoDaddy Manage Domains Dashboard Screenshot mit Pfeil auf die Option Verwalten. (1)GoDaddy Domains Dashboard-Screenshot, wobei der Pfeil auf die Option

Wählen Sie die Domain aus, zu der Sie die DNS-Einträge hinzufügen möchten, nachdem Sie auf Zonen verwalten geklickt haben.

GoDaddy DNS Zone Editor-Administrator-Dashboard-Screenshot mit Pfeil auf der Option Hinzufügen. (1)

Im unteren Bereich Ihrer Datensätze auf der rechten Seite finden Sie eine Schaltfläche "Hinzufügen", die zum folgenden Dialogfeld führt, in dem Sie die SPF-, DMARC- und DKIM-Einträge einzeln eingeben können:

GoDaddy Add DNS Entry-Admin-Dashboard-Screenshot mit Schaltfläche, die auf Save-Schaltfläche und TXT als Typ zeigt, _dmarc als Host und dem erforderlichen Wert unter TXT-Wert hervorgehoben. (1)

Weitere Leitfäden für Zoneneditoren finden Sie in der Wissensdatenbank / im Support-Center Ihres Domain-Anbieters.

SPF einrichten:

Der SPF ist am einfachsten einzurichten. Sie benötigen zwei Dinge:

  1. Ihr DNS-Editor (d. H. GoDaddy Admin Portal)
  2. Die IP-Adresse Ihres E-Mail-Servers

Nach dem Zugriff auf Ihren DNS-Editor (in CPanel auch als DNS-Zonen-Editor bezeichnet) möchten Sie einen neuen TXT-Eintrag erstellen. In diesem TXT-Eintrag sollten Sie 3 mögliche Felder haben: Host, TXT-Wert / Wert & TTL (Time-To-Live). In diese Felder geben Sie Folgendes ein (einige Details können abweichen, dies basiert auf einer GoDaddy-Installation):

Gastgeber: @
TXT-Wert: v = spf1 + a + mx + ip4:  ~ all
TTL: 1 Stunde
GoDaddy DNS-Beispiel-TXT-Eintrag für die SPF-Einstellungen wie oben beschrieben.

Erklärung / Bedeutung dieser Einstellungen:

"@" Ist die Bezeichnung in GoDaddy, die sich auf die Domain bezieht, in der Sie arbeiten. Wenn Sie also in "doecompany.com" arbeiten, können Sie "@" durch "doecompany.com" ersetzen, und das Ergebnis ist dasselbe. Es wird jedoch empfohlen, anstelle von GoDaddy das Symbol "@" zu verwenden.

ist die IP, von der Ihre E-Mails gesendet werden. Dies ist nicht unbedingt dieselbe IP-Adresse, auf der die eigentliche Website gehostet wird.

+ a: Beinhaltet einen Datensatz

+ mx: Enthält den Mailserver-Datensatz

+ ip4: Gibt an, von welchem ​​IPv4-Server aus

~ all: Aufzeichnungen außerhalb der zuvor deklarierten schlagen fehl.

TTL = 1 Stunde (oder 3600 Sekunden): Time-to-Live oder wie oft dies ablaufen sollte. Wenn Sie den E-Mail-Server wechseln, sind Sie froh, dass es nur eine maximale Lücke von 1 Stunde gibt, in der keine Authentifizierung erfolgt.

DKIM einrichten:

Dies ist die mühsamste der drei und die kritischste. Sie authentifizieren die dritte Partei, die im Namen Ihres E-Mail-Namens gesendet werden soll, d. H. "John@doecompany.com".

Ich habe derzeit 2 DKIMs eingerichtet:

  1. Für meinen eigentlichen Mailserver, der auf einem anderen Server als meine eigentliche Website ausgeführt wird (dies ist in Unternehmensumgebungen häufiger der Fall).
  2. Für meinen E-Mail-Newsletter-Blast-Dienstleister (ConstantContact in diesem Fall könnte es sich leicht um Mailchimp oder eine andere Person in Ihrem Fall handeln).

Für beide Szenarien ist Ihre Beinarbeit dieselbe. Sie müssen sich an den E-Mail-Support Ihres Mail-Servers oder an den E-Mail-Sendedienst eines Drittanbieters wenden und das DKIM für Ihr Konto auf deren Seite installieren lassen.

Dies liegt völlig in Ihrer Hand und dauert in der Regel 1 bis 2 Tage, um diese Aufgabe zu erledigen. Grundsätzlich wird ein RSA mit mindestens 1024-Bit-Codierung (besser 2048) auf dem Server registriert und installiert.

Nachdem sie es eingerichtet haben, senden sie Ihnen einen öffentlichen Schlüssel, den Sie im nächsten Schritt zum Einrichten Ihres DKIM-Datensatzes verwenden werden.

Genau wie bei den SPF- und DMARC-Einträgen greifen Sie auf Ihren DNS-Editor (in CPanel auch als DNS-Zonen-Editor bezeichnet) zu und erstellen einen neuen TXT-Eintrag. In diesem TXT-Eintrag sollten Sie 3 mögliche Felder haben: Host, TXT-Wert / Wert & TTL (Time-To-Live). In diese Felder geben Sie Folgendes ein (einige Details können abweichen, dies basiert auf einer GoDaddy-Installation, bei der die E-Mails auf inmotionhosting.com und ConstantContact als Newsletter-Service gehostet werden). Denken Sie daran, 1 separaten Eintrag pro DKIM-Datensatz vorzunehmen:

Host:  ._ Domain-Schlüssel
TXT-Wert: v = DKIM1; k = rsa; p = <öffentlicher Schlüssel>
TTL: 1 Stunde

Stellen Sie sicher, dass nach den Symbolen "=" keine Leerzeichen stehen.

GoDaddy DNS-Beispiel-TXT-Eintrag für die DKIM-Einstellungen wie oben beschrieben.

Erklärung / Bedeutung dieser Einstellungen:

Der Host kann ein Name oder eine Nummer sein und ist für die dritte Partei wirklich einzigartig. Wenn eine E-Mail in Ihrem Namen gesendet wird, enthält die Kopfzeile diesen Namen oder diese Nummer. Das ist der Datensatz, nach dem unter Ihrer Domain gesucht wird.

In den Begriffen von Laien und in unserem Beispiel würde der Empfängerserver die DNS-Einträge von "doecompany" aufrufen und prüfen, ob das, was der Drittanbieter für wahr hält, vorhanden ist. Nur wenn der öffentliche Schlüssel ordnungsgemäß mit dem Schlüssel auf dem Server validiert wurde, werden die E-Mails versendet.

v = DKIM1: Gibt einfach die Version von DKIM an, die verwendet wird, um weiter zu klären, wonach gesucht werden soll.

k = rsa: RSA ist die typischste Methode, die als Schlüssel (k) verwendet wird. Ihr Drittanbieter kann sich dafür entscheiden, etwas anderes zu verwenden. RSA mit einer 2048-Bit-Verschlüsselung ist jedoch die derzeit sicherste Option. 1024 Bit ist auch gut.

p = <öffentlicher Schlüssel>: Anstelle von <öffentlicher Schlüssel> erhalten Sie entweder eine 1024-Bit- oder eine 2048-Bit-Zeichenfolge aus scheinbar zufälligem Text und Zahlen oder anderen Werten, die für die von der dritten Partei gewählte Verschlüsselung geeignet sind.

TTL = 1 Stunde (oder 3600 Sekunden): Time-to-Live oder wie oft dies ablaufen sollte. Wenn Sie den E-Mail-Server wechseln, sind Sie froh, dass es nur eine maximale Lücke von 1 Stunde gibt, in der keine Authentifizierung erfolgt.

DMARC einrichten:

Erinnerung: Damit die DMARC ihre Arbeit erledigen kann, MÜSSEN Sie zuvor SPF UND DKIM einrichten. Weil DMARC die SPF- und DKIM-Einstellungen überprüft und ob der Absender für diese Einstellungen geeignet ist und kein Spoofer ist. Wenn SPF & DKIM nicht eingerichtet sind, funktioniert DMARC nicht und führt zu abgelehnten E-Mails.

Genau wie bei den SPF-Einträgen greifen Sie auf Ihren DNS-Editor (in CPanel auch als DNS-Zonen-Editor bezeichnet) zu und erstellen einen neuen TXT-Eintrag. In diesem TXT-Eintrag sollten Sie 3 mögliche Felder haben: Host, TXT-Wert / Wert & TTL (Time-To-Live). In diese Felder geben Sie Folgendes ein (einige Details können abweichen, dies basiert auf einer GoDaddy-Installation, bei der die E-Mails auf inmotionhosting.com gehostet werden):

Gastgeber: _dmarc
TXT-Wert: v = DMARC1; p = ablehnen; sp = keine; adkim = r; aspf = r; pct = 100; fo = 0; rf = afrf; ri = 86400
TTL: 1 Stunde
GoDaddy DNS-Beispiel-TXT-Eintrag für die DMARC-Einstellungen wie oben beschrieben.

Erklärung / Bedeutung dieser Einstellungen:

Der Host wird als "_dmarc" deklariert, da er in GoDaddy automatisch ".johndoe.com" als Subdomain hinzufügt. Dies bedeutet, dass beim Versenden einer E-Mail die DMARC unter diesem Selektor immer mit Ihrer Domain abgeglichen wird. Wenn dies nicht richtig als "_dmarc" eingerichtet ist, können die E-Mail-Server Ihren DMARC-Eintrag nicht finden und versagen Ihre E-Mail automatisch, da sie glauben, dass kein Eintrag vorhanden ist.

v = DMARC1: Deklariert die Version der DMARC, um zu verdeutlichen, was verwendet wird, und um die Authentifizierung zu legitimieren.

p = ablehnen: E-Mails werden vom Empfänger-E-Mail-Server abgelehnt, wenn sie nicht mit den DMARC-Datensätzen übereinstimmen.

sp = none: Überprüfen Sie nicht, ob Subdomains und die Hauptdomain übereinstimmende Einstellungen haben. Dies ist optional.

adkim = r: Ob Sie mit den DKIM-ID-Einstellungen streng (s) oder locker (r) sein möchten; entspannt ist die Standardeinstellung.

aspf = r: Gibt an, ob die SPF-ID-Einstellungen streng (s) oder locker (r) sein sollen. entspannt ist die Standardeinstellung.

pct = 100: 100 Prozent der E-Mails sind von der DMARC betroffen. Ganzzahlige Werte nur zwischen 1 und 100. Der kleinere Satz würde nur zum Testen Sinn machen; sollte aus Sicherheitsgründen 100 sein.

fo = 0: Ein DMARC-Fehlerbericht wird erstellt, wenn SPF & DKIM nicht authentifiziert werden können. 0 ist der Standardwert. Andere sind 1, d und s. 1 ist, wenn einer der beiden fehlschlägt, um einen Datensatz zu generieren. d Wenn die Signatur die Auswertung nicht bestanden hat. s Wenn die SPF-Auswertung fehlgeschlagen ist.

rf = afrf: Die Formatierung für die Nachrichtenfehlerberichte. afrf ist der einzige unterstützte Wert zum Zeitpunkt dieses Schreibens.

ri = 86400: Wie viele Sekunden vergingen, bis der Bericht an den Absender gesendet wurde. 86400 ist die Standardeinstellung, dh 24 Stunden oder 1 Tag. Viele der wichtigsten Postfachanbieter wie Google Mail, Yahoo usw. senden mehr als einen Bericht pro Tag.

TTL = 1 Stunde (oder 3600 Sekunden): Time-to-Live oder wie oft dies ablaufen sollte. Wenn Sie den E-Mail-Server wechseln, sind Sie froh, dass es nur eine maximale Lücke von 1 Stunde gibt, in der keine Authentifizierung erfolgt.

Und so authentifizieren Sie Ihre E-Mails richtig. Ich hoffe, das hat Ihnen einiges an Rätsel und Komplikationen genommen. Sie werden auf dem Weg sein, diese lästigen Kickbacks von Ihrem Mailer-Daemon nicht mehr zu bekommen!

Autor:

Andreas Lopez - https://www.linkedin.com/in/andreaslopez/

Herausgeber:

Stevan Pupavac - https://www.linkedin.com/in/stevan-pupavac/

Frederick Alcantara - https://www.linkedin.com/in/frederick-alcantara/

Quellen:

  1. GoDaddy Screenshots von DMARCanalyzer.com: https://www.dmarcanalyzer.com/dmarc/dmarc-record-setup-guides/dmarc-setup-guide-godaddy/