Bessere Zustellbarkeit dank DKIM-, SPF- und DMARC-Eintrag - schnell und einfach anlegen.
DKIM-Eintrag
Den DKIM-Eintrag erzeugen Sie direkt im E-Mail-Marketing-System in der linken Ordnernavigation unter Einstellungen - Domain/DKIM. DKIM (DomainKeys Identifed Mail) ist eine Technologie zur Bestimmung der Authentizität von E-Mail-Absendern. Mittels eines Private-/Public-Key-Verfahrens werden vom Mailserver versendete E-Mails mit einer Signatur versehen. Anhand dieser Signatur können die Empfangsserver prüfen, ob sich hinter einer Absenderadresse wirklich der zertifizierte Versender verbirgt. Schlägt diese Authentifizierung fehl, kann die E-Mail entsprechend aussortiert werden. Damit wird der Versand von Phishing-Mails und von anderen manipulierten Versendungen, wie z.B. mit gefälschten Absendernamen, bestmöglich unterbunden. Wir sind Mitglied der Certified Senders Alliance (CSA) und dadurch verpflichtet, sicherzustellen, dass bei den über uns versendeten eMailings für die Domain der Absenderadresse DKIM eingerichtet ist. Der DKIM-Eintrag muss für alle Absenderadressen-Domains, die Sie in Ihren eMailings verwenden, gesetzt werden. Wenn Sie also ein eMailing mit der Absenderadresse „beispiel@example.com“ versenden, muss das DKIM für die Domain „example.com“ eingerichtet werden.
Bitte beachten Sie, dass der im System angezeigte DNS-TXT-Eintrag nach Anlage Ihrer Absenderadress-Domain im System in das DNS Ihrer Domain eingetragen werden muss. Hierfür bestehen leider keine allgemeingültigen Regelungen. Wir empfehlen daher, dies in enger Absprache mit dem zuständigen Administrator oder Domain-Dienstleister vorzunehmen. Eventuell müssen Sie Ihren Provider beauftragen, damit er den DKIM-Eintrag für Sie setzt. Sollten Sie die Mandantenfähigkeit nutzen, vergewissern Sie sich bitte, dass Sie die erforderlichen Einstellungen unbedingt auf globaler Ebene (NICHT auf Mandantenebene!) vornehmen. Setzen Sie das System für Ihre Kunden ein, sollten die Einstellungen in den entsprechenden Kunden-Mandanten vorgenommen werden. Die Freischaltung der Signatur im Header Ihrer E-Mails erfolgt automatisch durch das E-Mail-Marketing-System.
DKIM-Eintrag erstellen
Gehen Sie in der Ordnernavigation auf Einstellungen - Domain/DKIM und klicken Sie auf + Neu.
Domain der Absenderadresse eintragen
Tragen Sie hier die Domain ein, die Sie in der Absenderadresse der Konfiguration des eMailings verwenden.
DKIM-Schlüsselpaar erzeugen
Mit einem Klick auf „DKIM-Schlüsselpaar erzeugen“ wird ein neues DKIM-Schlüsselpaar generiert. Falls Sie einen anderen DKIM-Schlüssel als den vom System erzeugten Schlüssel verwenden möchten, tragen Sie diesen bitte in die Felder „Private Key“ und „Public Key“ ein.
DNS-TXT-Eintrag kopieren
Den DNS-TXT-Eintrag (gelb hinterlegt) tragen Sie im DNS der Absenderadress-Domain ein. Den Private Key dürfen Sie niemals weitergeben oder per E-Mail verschicken.
Wichtig!
Der DKIM-TXT-Eintrag muss unbedingt auf dem Domainpfad ems._domainkey.meine-domain.de hinterlegt werden.
DKIM-Eintrag prüfen
Die Validität des Eintrags können Sie im System direkt einsehen. Dies kann allerdings 1-2 Tage dauern, bis hier „Valide“ erscheint (wegen DNS-Propagierung), auch wenn der Eintrag korrekt gesetzt wurde.
SPF-Eintrag
Das Sender Policy Framework (SPF) ist ein Verfahren, um Spam von legalen Nachrichten zu unterscheiden. Das SPF-Verfahren arbeitet mit Reverse-Einträgen, die den empfangenden Mail-Servern mitteilen, dass die E-Mail-Marketing-System-Server Mails an diese Server schicken dürfen. Der E-Mail-Server des E-Mail-Marketing-Tools versendet mit der Absender-Domain z.B. „firma.de“ an den Mailserver „firma.de“. Die Einträge sind ausgearbeitete DNS-TXT-Records, die durch eine Vertrauenswürdigkeitsstufe gekennzeichnet sind. Dadurch kann das E-Mail-System des Empfängers die Authentizität der Quelle bewerten. SPF überprüft, ob der Sender und dessen Adresse im Simple Mail Transfer Protocol (SMTP) über den betreffenden Mail-Server Nachrichten verschicken darf.
Der nachfolgend angegebene TXT-Eintrag muss in das Root-Verzeichnis des Domain-Servers eingetragen werden. Bitte verwenden Sie dabei ausschließlich ein Include-Statement, damit Sie automatisch immer die richtigen Daten hinterlegt haben.
v=spf1 mx include:_spf.senders.scnem.com -all
Sollten Sie die Versand-Domain auch für Versendungen über Ihre eigenen IPs nutzen wollen, ergänzen Sie einfach unser Include-Statement nach Ihren Daten.
Beispiel:
v=spf1 mx ip4:IHRE_EIGENE_IPs include:_spf.senders.scnem.com -all
Unter Umständen müssen Sie Ihre IT-Abteilung bitten, damit diese den SPF-Eintrag für Sie vornimmt bzw. den bestehenden Eintrag erweitert.
SPF-Eintrag
Alles hinter dem @-Zeichen ist Ihre Absender-Domain. Hierfür muss der SPF-Eintrag gesetzt werden. Wenn eine Sub-Domain als Absenderadress-Domain verwendet wird (beispiel.example.com) muss der TXT-Eintrag auf der Sub-Domain gesetzt werden.
SPF-Eintrag prüfen
In der Eingabeaufforderung/Terminal können Sie mit dem Befehl „dig txt ihre-domain.de“ feststellen, ob ein SPF-Eintrag vorhanden ist.
Zusätzlich kann auch ein Whitelisting zur Verbesserung der Zustellbarkeit Ihrer Kampagnen beitragen. Hinterlegen Sie in Ihren DNS-Einstellungen unsere Versand-IPs in einem TXT-Record für die von Ihnen genutzten Versand-Domains.
Zur Info!
Wenn Sie einen Newsletter aus dem System an Ihre eigene Domain verschicken, kann es vorkommen, dass dieser Newsletter nicht ankommt. Ihr Server verweigert die Annahme, da er weiß, dass er diesen Newsletter nicht verschickt hat, jedoch der Newsletter Ihren Server als Absender eingetragen hat.
Whitelisting!
In manchen Fällen ist es empfehlenswert, die IPs unsere Versandserver zu whitelisten.
Versand-IPs (Stand 2024)
scnem.com
80.190.129.137, 80.190.129.136, 80.190.129.135, 80.190.129.134
scnem2.com
80.190.129.142, 80.190.129.143, 80.190.129.144, 80.190.129.145
scnem3.com
80.190.118.18, 80.190.118.19, 80.190.129.216, 80.190.129.221
Weitere Informationen zum Thema SPF finden Sie auf der Webseite des SPF-Projektes: http://www.open-spf.org/.
DMARC-Eintrag
DMARC baut auf den bekannten Techniken SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail) auf, indem es festlegt, wie der E-Mail-Empfänger die Authentifizierung durchführen soll. Während die vorgenannten Techniken beschreiben, wer eine Mail versenden darf (SPF), bzw. dass diese Mail in bestimmter Weise unverändert vom Absender stammt (DKIM), kann der Absender nach der DMARC-Spezifikation zusätzlich Empfehlungen geben, auf welche Art der Empfänger mit einer Mail umgeht, die in einem oder beiden Fällen nicht den Anforderungen entspricht. Sofern der E-Mail-Empfänger die DMARC-Spezifikation anwendet, ist dadurch eine konsistente Überprüfung der Authentizität dieser E-Mail gesichert.
Einrichtung
Für die Einrichtung von DMARC ist keine Einstellung im Evalanche System nötig, da bereits alle Informationen in den Einträgen für SPF und DKIM beinhaltet sind. Sie können DMARC als Domaininhaber bzw. -verwalter über Ihren DNS-Eintrag einrichten. Kontaktieren Sie hierzu ihren Domainverwalter.
Die DMARC-Spezifikation entstand unter anderem auf Initiative
von Google, Yahoo, Microsoft, Facebook, AOL, PayPal und LinkedIn.
Google kündigte ab 01.02.2024 an, dass die folgenden drei Aspekte künftig im Fokus stehen werden:
- E Mail-Authentifizierung mittels DKIM, DMARC und SPF.
- Die Beschwerderate (Anteil der Gmail-Nutzer:innen, die Eure E Mails als Spam markieren) sollte unter 0,10 % gehalten werden und 0,30% nicht übersteigen.
- Einfache Abmeldeoption via Abmeldelink (“One Click Unsubscribe”) und List-Unsubscribe. Abmeldungen müssen zudem innerhalb von zwei Tagen bearbeitet werden. Dies wird durch die Evalanche Systeme bereits gewährleistet.
Besondere Kriterien gelten für Empfänger, die an einem Tag mehr als 5.000 Gmail-Konten beschicken. Weitere Informationen hierzu finden Sie in den Google Email Sender Guidelines.
Idealerweise sollten alle drei Standards unabhängig von der Größe des Verteilers bereits jetzt eingerichtet werden, um zukünftige Probleme bei der Zustellung zu vermeiden.
Aufbau eines Eintrags
DMARC bedient sich hierzu, wie auch SPF und DKIM, der TXT-Records des Domain Name Systems (DNS). Dort wird zusätzlich zu den SPF- und DKIM-Einträgen ein weiterer RR-Eintrag mit z.B. folgendem Aufbau (Vollständigkeit der Parameter nicht zwingend) angelegt:
v=DMARC1;p=quarantine;pct=100;rua=mailto:postmaster@example.org;ruf=mailto:forensik@example.org;adkim=s;aspf=r
Aufbau eines DMARC-Eintrags | |
Abkürzung | Bedeutung |
v | Protokollversion |
pct | Prozentualer Anteil der zu filternden Mails |
ruf | Forensischer Report wird versendet an: |
rua | Aggregierter Report wird versendet an: |
p | Anweisung, wie mit Mails der Hauptdomain zu verfahren ist |
sp | Anweisung, wie mit Mails der Subdomain zu verfahren ist |
adkim | Abgleichmodus für DKIM |
aspf | Abgleichmodus für SPF |
Quelle der Parameter: Wikipedia
Besondere Bedeutung haben die Abgleichmodi. Für SPF fordert die Spezifikation, dass erstens die Überprüfung positiv ausfällt und zweitens die From: Kopfzeile der Mail dieselbe Domain aufweist wie im SPF-Record hinterlegt. Für DKIM wird gefordert, dass die Signatur gültig ist und zusätzlich die dort genannte Domain dieselbe ist wie in der From: Kopfzeile der Mail. Als Abgleichmodi sind s=’strict’ bzw. r=’relaxed’ vorgesehen. Bei ‘strict’ müssen die Domains exakt übereinstimmen, bei ‘relaxed’ darf die From: Kopfzeile auch eine Subdomain enthalten. Über die Auswertung erhält der Sender einen täglichen Report an die genannte Adresse.
Die Policy (hier abgekürzt als ‘p’ bzw. ‘sp’ für Subdomains) legt schließlich fest, wie der Empfänger mit der Mail verfahren soll, wenn die Überprüfung scheitert. Vorgesehene Modi hierfür sind ‘none’, ‘quarantine’ und ‘reject’. ‘None’ (auch als Monitormodus bezeichnet) wird in der Regel zum Testen verwendet und macht dem Empfänger keine Vorschriften über die Verfahrensweise. ‘Quarantine’ verlangt die Kennzeichnung der Mails als Spam, ‘reject’ verlangt, die Mail zu verwerfen.
Video zum Thema DKIM und SPF