<spf> declare your smtp servers

SPF erklärt

SPF ist die Abkürzung für „Sender Policy Framework“, einen Standard zur E-Mail-Authentifizierung (
), mit dem Sie festlegen können, welche SMTP-Server zum Versenden von E-Mails für Ihre Domain berechtigt sind.

Damit können Sie die Absenderadresse und deren Verbindung zu dem Server, der die Nachricht versendet hat, überprüfen.
Wenn E-Mails über Ihre Absenderdomain versendet werden, kann der Empfänger feststellen, ob sie von einem SMTP-Server stammen, den Sie kennen.

Es wird empfohlen, dies zu konfigurieren, da einige Empfänger Ihre Nachrichten möglicherweise ablehnen, wenn SPF gar nicht eingerichtet ist.

So funktioniert SPF

Es gibt zwei verschiedene Ansätze:

• eine „weiche“ Variante (~all-Tag), die einen „Softfail“-Fehler auslöst, wenn die Nachricht von einem nicht deklarierten Server gesendet wurde
• eine „harte“ Überprüfung (-all-Tag), die einen „Fail“-Fehler ausgibt, wenn die Nachricht von einem nicht deklarierten Server gesendet wurde

Die „sanfte“ Konfiguration führt zu weniger oder gar keinen Ablehnungen seitens der Empfänger.
Die „harte“ Konfiguration führt dazu, dass einige Nachrichten abgelehnt werden, wenn der Server nicht angegeben wurde oder in manchen Fällen, wenn die E-Mail weitergeleitet oder über eine Mailingliste versendet wurde.

Die „harte“ Konfiguration gibt dem Ziel-Mailserver mehr Spielraum bei der Entscheidung, ob die Nachricht angenommen wird oder nicht; dies ist der von uns empfohlene Ansatz.

So konfigurieren Sie SPF

Für die SPF-Konfiguration muss genau bekannt sein, welche Server Sie zum Versenden von E-Mails verwenden.

Bei RealSender sollte der TXT-Eintrag Ihrer Domain (example.com) die Zeichenfolge
a:example.realsender.com enthalten und wie folgt aussehen:

example.com   TXT   "v=spf1 a:example.realsender.com ~all" 

Bei HighSender sollte der TXT-Eintrag Ihrer Domain (example.com) die Zeichenfolge „
include:spf.realsender.com“ enthalten und wie folgt aussehen:

example.com   TXT   "v=spf1 include:spf.realsender.com ~all" 

Diese Tools helfen Ihnen bei der Überprüfung der Konfiguration:
www.kitterman.com/spf/validate.html *
ruft SPF-Einträge für den angegebenen Domainnamen ab und prüft, ob der Eintrag gültig ist
spf check online
überprüft Ihre E-Mail-SPF-Einstellungen durch das Versenden einer E-Mail-Nachricht

* = Link zu einer externen Website, wird in einem neuen Fenster geöffnet

Nachteile von SPF

Selbst wenn alles korrekt eingerichtet ist, kann die Nachrichtenüberprüfung unter
fehlschlagen, wenn die E-Mail weitergeleitet oder über eine Mailingliste versendet wurde.

In these cases, to keep the email authentication consistent,
configure the dkim signature domain to be aligned with the sender’s From address.
See: email authentication advanced » <dkim> alignment for dmarc.

<spf> check online

1. Senden Sie eine E-Mail an:

spf@tester.realsender.com

2. Überprüfen Sie die Ergebnisse der SPF-Validierung online:
   (es dauert etwa eine Minute, bis die Ergebnisse angezeigt werden)

https://tester.realsender.com/spf

Der RealSender-SPF-Check online fügt ein Präfix zum Betreff hinzu, wenn die Nachricht nicht ordnungsgemäß authentifiziert wurde:

!! spf-fail !!       Der SMTP-Server ist nicht unter den autorisierten Servern aufgeführt
                      und die E-Mail sollte abgelehnt oder verworfen werden
!! spf-softfail !!   Der SMTP-Server ist nicht unter den autorisierten Servern aufgeführt
                      dieser Fall sollte jedoch als „Softfail“ behandelt werden  
!! spf-neutral !!    Der SPF-Eintrag gibt ausdrücklich an, dass keine Aussage über die Gültigkeit getroffen werden kann  
!! spf-none !!       Die Absenderdomain enthält keine Informationen zur Authentifizierung der E-Mail  

Manchmal sind die auf Domänenebene gespeicherten Informationen nicht korrekt oder nicht verständlich.

!! spf-permerror !!  Es ist ein dauerhafter Fehler aufgetreten (z. B. ein falsch formatierter SPF-Eintrag)  
!! spf-temperror !!  Es ist ein vorübergehender Fehler aufgetreten

Die SPF-Prüfung erfolgt anhand der „Mail-From“-E-Mail-Adresse, die in den E-Mail-Headern verborgen ist.
Sichtbar ist lediglich die „From“-E-Mail-Adresse. Wenn sich die Stammdomänen unterscheiden, wird folgende Warnung angezeigt:

!! spf-diff !!       Die Stammdomänen von „Mail-From“ und „From“ sind unterschiedlich

Wenn die Nachricht sowohl die SPF-Prüfung als auch die SPF-Alignment-Prüfung für DMARC (Relaxed Alignment) besteht, erhalten Sie folgende Meldung:

|OK| spf-pass        Ihre E-Mail besteht die SPF-Prüfung + die SPF-Abgleichprüfung

Wenn nur eines von beiden, SPF ODER DKIM, die Übereinstimmungsprüfung für DMARC (gelockerte Übereinstimmung) besteht,
wird die Nachricht dennoch als „OK“ (vertrauenswürdig) eingestuft und das Tilde-Zeichen (~) am Anfang hinzugefügt:

|~OK| spf-pass       Ihre E-Mail besteht die SPF-Prüfung (nicht die DKIM-Prüfung) + DKIM-Prüfung

<dkim> seal the email content

DKIM erklärt

DKIM ist die Abkürzung für „DomainKeys Identified Mail“, einen Standard zur E-Mail-Authentifizierung (
), der sicherstellen soll, dass die E-Mail (einschließlich der Anhänge) seit dem Anbringen der „Signatur“ nicht verändert wurde.

Dies geschieht, indem jeder ausgehenden E-Mail-Nachricht eine digitale Signatur hinzugefügt wird, die mit einem Domainnamen verknüpft ist.

Es werden zwei Schlüssel verwendet: ein „öffentlicher“ und ein „privater“ Schlüssel:

1. Der „öffentliche“ Schlüssel wird im TXT-Eintrag der signierenden Domain veröffentlicht
2. Der „private“ Schlüssel wird auf dem SMTP-Server gespeichert und dient dazu, die E-Mail-Nachrichten zu „signieren“

Beim Versenden einer Nachricht generiert der SMTP-Server eine „verschlüsselte Hash-Signatur“, die auf dem Inhalt der E-Mail-Nachricht und dem privaten Schlüssel basiert.

Das Empfängersystem kann die Signatur im E-Mail-Header überprüfen, indem es sie mit dem E-Mail-Inhalt und dem „öffentlichen“ Schlüssel des Absenders abgleicht.

So richten Sie DKIM ein

DKIM-Signaturen sind für Endnutzer nicht unmittelbar sichtbar; sie werden von der E-Mail-Infrastruktur hinzugefügt und überprüft.

Die SMTP-Server von RealSender signieren alle ausgehenden E-Mail-Nachrichten mit einer DKIM-Signatur.

So konfigurieren Sie DKIM

RealSender versieht zunächst alle ausgehenden Nachrichten mit seiner eigenen, mit dem SMTP-Server verbundenen Domain,
. Auf Seiten der Benutzer oder Administratoren ist keine Konfiguration erforderlich.

Um die„DKIM-Domänenabgleichung für DMARC“zu erhalten,
muss die Nachricht mit derselben Domäne wie die des Absenders signiert sein.

Bei RealSender sollten Sie in den DNS-Einstellungen Ihrer Domain (beispiel.com) zwei CNAME-Einträge
hinzufügen, und zwar wie folgt:

key1._domainkey.example.com   CNAME   key1._domainkey.yourcompany.realsender.com
key2._domainkey.example.com   CNAME   key2._domainkey.yourcompany.realsender.com

Dieses Tool hilft Ihnen bei der Überprüfung der Konfiguration:
toolbox.googleapps.com *

* = Link zu einer externen Website, wird in einem neuen Fenster geöffnet

Nachteile von DKIM

Eine mit DKIM signierte Nachricht kann nicht verändert werden, ist aber dennoch für jeden lesbar.

Eine signierte Nachricht, die die Überprüfung nicht besteht, wird in der Regel abgelehnt.
Wenn auf dem Weg vom Absender zum Empfänger keine Änderungen vorgenommen wurden, sollte dies nicht passieren.

Es sind uns seltene Fälle bekannt, die alle mit der Zeilenlänge zusammenhängen (diese darf maximal 990 Zeichen betragen).
Manche Anwendungen senden den Inhalt in einer einzigen Zeile oder übertragen eine sehr lange Zeile innerhalb des HTML-Codes.
In diesen Fällen wird die DKIM-Signatur beschädigt, was zu dem Prüfergebnis „dkim=fail“ führt.

<dkim> check online

1. Senden Sie eine E-Mail an:

dkim@tester.realsender.com

2. Überprüfen Sie die DKIM-Validierungsergebnisse online:
   (es dauert etwa eine Minute, bis die Ergebnisse angezeigt werden)

https://tester.realsender.com/dkim

Der RealSender-DKIM-Check online fügt ein Betreff-Präfix hinzu, wenn die Nachricht nicht korrekt signiert wurde:

!! dkim-none !!      Es wurden keine DKIM-Signature-Header (weder gültige noch ungültige) gefunden  
!! dkim-fail !!      Es wurde ein gültiger DKIM-Signature-Header gefunden, aber die Signatur 
                      enthält keinen korrekten Wert für die Nachricht  

Manchmal ist es nicht möglich, die Überprüfung durchzuführen:

!! dkim-invalid !!   Es liegt ein Problem mit der Signatur selbst oder dem Eintrag des öffentlichen Schlüssels vor. 
                      Das heißt, die Signatur konnte nicht verarbeitet werden.
!! dkim-temperror !! Es wurde ein Fehler festgestellt, der wahrscheinlich nur vorübergehender Natur ist, 
                      wie beispielsweise eine vorübergehende Unmöglichkeit, einen öffentlichen Schlüssel abzurufen.

Wenn die Nachricht mit einer anderen Domain signiert wurde, wird dem Betreff ein „diff“-Hinweis hinzugefügt.
Diese Warnung wird NICHT angezeigt, wenn der Absender die SPF-Prüfung und die SPF-Übereinstimmung für DMARC besteht:

!! dkim-diff !!      Die Nachricht wurde NICHT von der Domain des Absenders signiert

Wenn die Nachricht sowohl die DKIM-Prüfung als auch die DKIM-Übereinstimmungsprüfung für DMARC (gelockerte Übereinstimmung) besteht, erhalten Sie folgende Meldung:

|OK| dkim-pass        Ihre E-Mail besteht die DKIM-Prüfung + die DKIM-Ausrichtungsprüfung

Wenn nur eines von DKIM oder SPF die Übereinstimmungsprüfung für DMARC (gelockerte Übereinstimmung) besteht,
wird die Nachricht dennoch als „OK“ (vertrauenswürdig) eingestuft und das Tilde-Zeichen (~) am Anfang hinzugefügt:

|~OK| dkim-pass       Ihre E-Mail besteht die DKIM-Prüfung (nicht die Übereinstimmung) + SPF-Übereinstimmungsprüfung