1 – SPF-Prüfung

Wir möchten sicherstellen, dass die Absenderadresse nicht gefälscht oder manipuliert wurde*.
* = die Nachricht so erscheinen lassen, als stamme sie von einer anderen Person als dem tatsächlichen Absender

Die SPF-Authentifizierung hilft uns festzustellen, ob die Nachricht über einen autorisierten SMTP-Server gesendet wurde.
Diese Informationen werden im DNS der Domain gespeichert, also an einem sicheren Ort außerhalb der E-Mail-Nachricht.

Nur wenn die Nachricht NICHT korrekt authentifiziert wurde:
wird das Symbol !! (Achtung) an den Betreff angehängt:
wird einer der folgenden Hinweise in den Kopf der Nachricht, in die Zeile „X-RealSender“, eingefügt:

:: spf-none ::       Die Absenderdomain enthält keine Informationen zur Authentifizierung der E-Mail  
:: spf-softfail ::   Der SMTP-Server ist nicht unter den autorisierten Servern aufgeführt, dieser Fall sollte jedoch als „Softfail“ behandelt werden  
:: spf-fail ::       Der SMTP-Server ist nicht unter den autorisierten Servern aufgeführt, und die E-Mail sollte abgelehnt oder verworfen werden

Manchmal sind die auf Domänenebene gespeicherten Informationen nicht korrekt oder nicht verständlich.

:: spf-permerror ::  Es ist ein dauerhafter Fehler aufgetreten (z. B. ein falsch formatierter SPF-Eintrag)

Die SPF-Prüfung erfolgt anhand der „Mail From“-E-Mail-Adresse, die in den E-Mail-Headern verborgen ist.
Sichtbar ist lediglich die „From“-E-Mail-Adresse. Wenn sich die Stammdomänen unterscheiden, wird folgende Warnung angezeigt:

:: spf-diff ::       Die Stammdomänen von „Mail From“ und „From“ sind unterschiedlich

2 – DKIM-Prüfung

DKIM (DomainKeys Identified Mail) ermöglicht es Absendern nachzuweisen, dass die E-Mail tatsächlich von ihnen versendet wurde und nach dem Versand nicht verändert wurde.
Dies wird erreicht, indem jeder ausgehenden E-Mail-Nachricht eine digitale Signatur (ein Siegel) beigefügt wird, die mit einem Domainnamen verknüpft ist.

Nur wenn die Nachricht NICHT korrekt signiert wurde:
wird das Symbol !! (Achtung) an den Betreff angehängt:
wird einer der folgenden Hinweise in den Kopf der Nachricht, in die Zeile „X-RealSender“, eingefügt:

:: dkim-none ::      Es wurden keine DKIM-Signature-Header (weder gültige noch ungültige) gefunden  
:: dkim-fail ::      Es wurde ein gültiger DKIM-Signature-Header gefunden, aber die Signatur enthält keinen korrekten Wert für die Nachricht  

Manchmal ist es nicht möglich, die Überprüfung durchzuführen:

:: dkim-invalid ::   Es liegt ein Problem mit der Signatur selbst oder dem Eintrag des öffentlichen Schlüssels vor. Das heißt, die Signatur konnte nicht verarbeitet werden.
:: dkim-temperror :: Es wurde ein Fehler festgestellt, der wahrscheinlich nur vorübergehender Natur ist, wie z. B. eine vorübergehende Unmöglichkeit, einen öffentlichen Schlüssel abzurufen.

Wenn die Nachricht mit einer anderen Domain signiert wurde, wird ein Hinweis auf die Abweichung hinzugefügt:
Diese Warnung erscheint NICHT, wenn der Absender die SPF-Prüfung besteht:

:: dkim-diff ::      Die Nachricht wurde NICHT von der Domain des Absenders signiert

3 – DMarC-Abstimmung

DMARC (Domain-based Message Authentication, Reporting and Conformance),
ist ein Standard zur E-Mail-Authentifizierung, der entwickelt wurde, um gefälschte E-Mails mit gefälschten Domänen zu bekämpfen.

Im Kapitel „3.1. Identifikatorabgleich“ heißt es:

   E-Mail-Authentifizierungstechnologien authentifizieren verschiedene (und
  unterschiedliche) Aspekte einer einzelnen Nachricht.  Beispielsweise authentifiziert [DKIM]
  die Domäne, die die Nachricht signiert hat,
  während [SPF] entweder die Domäne authentifizieren kann, die im
  RFC5321.MailFrom-Teil (MAIL FROM) von [SMTP] oder im RFC5321.EHLO/
   HELO-Domäne oder beides.  Dies können unterschiedliche Domänen sein, und sie sind
   für den Endbenutzer in der Regel nicht sichtbar.

   DMARC authentifiziert die Verwendung der RFC5322.From-Domäne, indem es verlangt, dass
   diese mit einem authentifizierten Identifikator übereinstimmt (abgestimmt ist).
   
   -- https://tools.ietf.org/html/rfc7489#section-3.1

Das bedeutet ganz einfach:

   Wenn ein Absender seine E-Mail mittels SPF und/oder DKIM authentifiziert,  
   muss mindestens eine der Domains mit der Absender-Domain übereinstimmen

Dieser Ansatz ist weithin anerkannt und gilt allgemein
als bewährte Methode zur Identifizierung vertrauenswürdiger Absenderdomänen.

• Bei der SPF-Authentifizierung
  muss die Stammdomain der „Mail From“-Adresse mit der Stammdomain der „From“-Adresse übereinstimmen.
  Bei der gelockerten Übereinstimmung kann jede beliebige Subdomain verwendet werden, ohne dass die Anforderung an die Domain-Übereinstimmung verletzt wird.

• Für die DKIM-Authentifizierung
  muss die Stammdomain der DKIM-Signaturdomain mit der Absenderdomain übereinstimmen.
  Bei einer gelockerten Übereinstimmung kann jede beliebige Subdomain verwendet werden, ohne dass die Anforderung an die Domain-Übereinstimmung verletzt wird.

1. Beide Regeln werden eingehalten:
   Die Absenderdomain ist vollständig vertrauenswürdig:
   Die Nachricht kommt unverändert an

2. Wenn nur eine der beiden Regeln erfüllt ist
   wird das Tilde-Zeichen (~) an den Betreff angehängt,
   wird eine der folgenden Erläuterungen in den Kopf der Nachricht eingefügt

~ ... Betreff ...
X-RealSender: ~ | spf=bestanden (Domäne NICHT abgeglichen) | dkim=bestanden | ~

~ ... Betreff ...
X-RealSender: ~ | spf=pass | dkim=pass (Domäne NICHT abgeglichen) | ~

1. überhaupt keine Ausrichtung
   die Warnungen „:: spf-diff ::“ und „:: dkim-diff ::“
   werden im Betreff angezeigt

4 – doppelte Spam-Tags

DMARC wird von immer mehr Unternehmen eingesetzt, um ihre Absender vor Spoofing zu schützen.
Die Nutzung erfordert eine ordnungsgemäße Authentifizierung mittels SPF oder DKIM sowie die Übereinstimmung der „From“- und „Mail-From“-Domains.

For more information:
<dmarc> act on fraudulent email

Nachrichten von Absendern mit dem _dmarc-Eintrag „
“ werden, sofern sie NICHT authentifiziert sind, im Betreff mit zwei [ SPAM ]-Markierungen hervorgehoben:

[ SPAM ] ... Betreff der Nachricht ... [ SPAM ]

Nachrichten ohne den _dmarc-Eintrag, bei denen sowohl die SPF- als auch die DKIM-Authentifizierung fehlschlagen,
werden mit dem Tag [suspicious] im Betreff gemeldet:

[verdächtig] … Betreff der Nachricht … 

Clientseitiger Absenderfilter

Die „spamstop“-App von RealSender ist eine effiziente Anti-Spam-Lösung
in Kombination mit einem Filter, der Nachrichten
nach Absendern sortiert, die NICHT in Ihrem Adressbuch enthalten sind.

Die meisten modernen E-Mail-Programme bieten diese Funktion an.
Hier sind einige Konfigurationsbeispiele:

serverseitiger Absenderfilter

Nicht alle E-Mail-Programme bieten ausgefeilte Möglichkeiten zum Filtern von E-Mails.
In solchen Fällen kann man bereits im Vorfeld Maßnahmen ergreifen.

Mit der Funktion „Autorisierte Absender“ können Sie Nachrichten
nur von Absendern empfangen, die Sie zuvor autorisiert haben
(Sie können auch die gesamte Domain angeben, z. B. @example.com):

Alle normalen E-Mails werden wie gewohnt in Ihrem Posteingang ankommen.
Alle Spam-E-Mails werden in ein anderes Postfach weitergeleitet:
oder in den „Junk“-Ordner des Benutzers in Microsoft 365 Exchange.

Es gehen keine E-Mails verloren.
Sie können den Ordner mit den gelöschten Nachrichten ein- oder mehrmals täglich durchsehen.
So sparen Sie viel wertvolle Zeit.

Sicherheitseinstellungen

Sie sorgen für zusätzliche Sicherheit bei Ihren E-Mails.

Um Ihre E-Mail-Postfächer
vor gefälschten Absendern und gefährlichen Anhängen zu schützen.

Sicherheitsoptionen, die auf Wunsch aktiviert werden: