So erstellen Sie E-Mail-Validierungsdatensätze:SPF, DKIM, DMARC

Hatten Sie jemals:

• Eine E-Mail-Nachricht kommt mit einer kryptischen Antwort wie „5.7.1 Befehl zurückgewiesen“ zurück, oder hat Ihnen jemand eine E-Mail geschickt, nur um eine ähnliche Nachricht zu erhalten?
• Ein E-Mail-Bounce mit einer klaren Antwort auf einen SPF-Eintrag oder einen DKIM- (oder DomainKeys-)Eintragsfehler?
• Ihre E-Mails landen im Spam-Ordner des Ziels oder kommen gar nicht an?

Was verursacht das? Warum wird es abgelehnt oder als Spam gefiltert? Obwohl es weitere Gründe dafür geben kann, dass eine Nachricht als Spam gefiltert wird, tritt meistens eines der oben genannten Probleme auf, weil es ein Problem mit der E-Mail-Spoofing-Schutzkonfiguration der sendenden Domain gibt.

Diese Schutzmaßnahmen heißen SPF, DKIM und DMARC und haben jeweils die Form eines oder zweier DNS-Einträge, die konfiguriert werden können, um sicherzustellen, dass die E-Mail-Sendereputation Ihrer Domain solide bleibt.

Während diese Aufzeichnungen einzeln keine Verhinderung von gefälschten Adressen garantieren, tragen sie zusammen viel dazu bei, dies zu verhindern. Spammer verwenden häufig Absenderfälschungen, um ihre Empfänger dazu zu bringen, ihre SPAM-E-Mails zu lesen.

Tipp:DKIM hat auch einen übereinstimmenden E-Mail-Header. Wenn Sie sich also für die Verwendung eines DKIM-DNS-Eintrags entscheiden, müssen Sie sicherstellen, dass alle E-Mail-Nachrichten über Ihren SMTP-Server geleitet werden – es kann keine zusätzlichen E-Mail-Quellen geben, oder alternative E-Mail-Server verwendet, während Sie einen veröffentlichten DKIM-DNS-Eintrag haben.

Hier ist eine Aufschlüsselung der einzelnen Arten von Datensätzen und ihrer Funktionsweise.

SPF-Eintrag

Mit SPF-Einträgen kann ein Domaininhaber/-manager angeben, welche Server E-Mails im Namen dieser Domain senden dürfen. Dadurch wird verhindert, dass Spammer oder andere böswillige Akteure E-Mails senden, die scheinbar von Ihrer Domain stammen.

Brauchen Sie Hilfe, um Ihren SPF-Eintrag richtig zu machen? Scrollen Sie nach unten zu unserem SPF Record Generator unten.

Wie funktioniert das? Ein SPF-Eintrag ist ein DNS-Eintrag für Ihre Domain (ein Eintrag vom Typ TXT), der wie folgt aussieht:

v=spf1 include:_spf.websavers.ca +a +mx +ip4:2.2.2.2 -all

Lassen Sie uns das aufschlüsseln. Jeder Teil des Datensatzes bedeutet etwas anderes und ist durch Leerzeichen getrennt:

1. v=spf1 –> Dies zeigt an, dass es sich um einen SPF-Eintrag, Version 1 (Standard/Standard) handelt
2. enthalten:_spf.websavers.ca –> Include-Anweisungen bedeuten, SPF-Einträge einzuschließen, die unter der angegebenen Adresse verfügbar sind. Dieser spezielle bedeutet, alle Postausgangsserver einzubeziehen, die Websavers als akzeptabel erachtet. Sie werden unter _spf.websavers.ca veröffentlicht (Sie können jedoch nicht in einem Webbrowser dorthin gehen, um sie anzuzeigen, sie sind nur für DNS-Anfragen sichtbar)
3. +a +mx –> Erlauben Sie Servern, die sich sowohl an den A- als auch an den MX-Eintragsadressen befinden, das Senden von E-Mails. Sie können Ihre Domain nachschlagen, um zu erfahren, wie die A- und MX-Einträge eingestellt sind, oder einfach in Plesk oder bei Ihrem DNS-Host nachsehen, wenn der DNS nicht bei uns gehostet wird.
4. +ip4:2.2.2.2 –> Der Server mit der IP-Adresse 2.2.2.2 darf E-Mails von Ihrer Domain versenden
5. -alle –> Anderen Servern das Senden von Nachrichten nicht erlauben.

Möglicherweise sehen Sie, dass andere ~all (mit einer Tilde anstelle eines Gedankenstrichs) verwenden, was ein schwaches Äquivalent zu unserem Standard „-all“ ist. Die Verwendung eines ~ ist in etwa so, als würde man sagen:„Wenn es nicht zu diesen passt, liegt es an Ihnen, ob es legitim ist oder nicht“. Wir empfehlen dringend, wie oben gezeigt „-all“ zu verwenden. Dies weist auf eine viel strengere Aussage von „nur diese Server sind gültig“ hin.

Wenn Sie mehr über SPF erfahren möchten, wie z. B. zusätzliche Optionen für das, was Sie hinzufügen können, besuchen Sie die OpenSPF-Website.

Server, die nicht in Ihrem SPF-Eintrag mit einer der oben beschriebenen Methoden erscheinen, dürfen keine E-Mails über die E-Mail-Adressen dieser Domain senden, und alle Nachrichten, die über diese Server gesendet werden, werden wahrscheinlich als Spam gekennzeichnet oder blockiert vollständig am Zielort.

Verwenden Sie externe E-Mail? Auch wenn Sie zu einem externen E-Mail-Anbieter wechseln, Ihre Website aber bei uns gehostet bleibt, ist es dennoch wichtig, sowohl +a beizubehalten und enthalten:_spf.websavers.ca in Ihrem SPF-Eintrag. Dies liegt daran, dass Ihre Website E-Mails häufig direkt von dem Server versendet, auf dem sie gehostet wird (z. B. Registrierungs- oder Bestellbenachrichtigungs-E-Mails), anstatt sie über Ihren E-Mail-Anbieter zu senden, und Sie möchten dennoch zulassen, dass diese E-Mails erfolgreich gesendet werden.

SPF-Eintragsgenerator

Wir haben ein Tool entwickelt, das Ihnen hilft, den richtigen SPF-Eintrag für Ihre Domain zu generieren. Bitte füllen Sie das untenstehende Formular aus und es wird ein SPF-Eintrag generiert, den Sie verwenden können.

Allgemeine SPF-Konfigurationsreferenz

Die folgenden Werte sind nicht den gesamten SPF-Eintrag, nur den Teil, den Sie Ihrem SPF-Eintrag hinzufügen möchten, damit die SMTP-Server des übereinstimmenden Unternehmens E-Mails im Namen Ihrer Domain senden können.

Achten Sie beim Hinzufügen darauf, dass zwischen diesen Zusätzen und den anderen Teilen des SPF-Eintrags Leerzeichen stehen. Stellen Sie außerdem sicher, dass Ihr Datensatz mit v=spf1 beginnt und endet entweder mit ~all (lose) oder -alle (strenger). Sehen Sie sich den Beispieldatensatz oben auf dieser Seite an, um zu sehen, wo diese Datensätze einzufügen sind.

• Websaver: gehören:_spf.websavers.ca
• Google: include:_spf.google.com (Details)
• Bellnexxia: +ptr:bellnexxia.net
• Eastlink: gehören:_spf.eastlink.ca
• Microsoft Office 365 :include:spf.protection.outlook.com (Details)
• GoDaddy: umfassen:spf.secureserver.net
• Yahoo: Nicht möglich. Verwendet stattdessen DMARC und erzwingt, dass ihr SMTP nur von Yahoo-Konten verwendet wird.
• Shopify: umfassen:shops.shopify.com (Details)

DKIM-Eintrag

DKIM-Einträge sind keine unbedingt erforderliche Komponente, sie werden jedoch mehr Vertrauen schaffen, also sollten Sie sie verwenden, wenn Sie sie verwenden können.

Das größte Problem bei DKIM-Einträgen besteht darin, dass es sich um ein zweiteiliges Validierungssystem handelt:sowohl einen DNS-Eintrag als auch einen Header, der von Ihrem Postausgangsserver (SMTP) zu jeder einzelnen E-Mail hinzugefügt wird. Aus diesem Grund müssen Sie unbedingt sicherstellen, dass alle E-Mails, die von @yourdomain.com-Adressen gesendet werden, genau denselben SMTP-Server durchlaufen. Das bedeutet, dass Nachrichten, die über Ihre Website, CRM und andere web- oder serverbasierte Tools gesendet werden, die E-Mails im Namen Ihrer Domäne senden, ebenfalls so konfiguriert werden müssen, dass Ihr SMTP-Server zum Übertragen von Nachrichten verwendet wird.

• Externer E-Mail-Host :Wenn Ihre E-Mail extern gehostet wird, müssen Sie leider mit Ihrem E-Mail-Anbieter sprechen, um den korrekten DNS-Eintrag für die Anwendung zu erhalten.
• Websavers Exchange Mail: Unser Exchange-Dienst ist ein solcher Dienst, der DKIM nicht unterstützt, daher können Sie diesen Abschnitt überspringen.
• Websavers Plesk-Hosting: Wenn Sie bei uns auf Shared, Reseller oder VPS (mit Plesk Panel) gehostet werden, können Sie einfach DKIM in Plesk aktivieren und sowohl den SMTP-Server als auch Ihr DNS entsprechend konfigurieren! In diesem Plesk-Leitfaden erfahren Sie, wie Sie DKIM aktivieren. Wenn Ihr DNS extern ist, können Sie den DNS-Eintrag überprüfen, den Plesk zu diesem Zweck erstellt hat, und Sie müssen ihn bei Ihrem DNS-Host duplizieren. Beachten Sie, dass wir Ihnen bei diesem Vorgang nur helfen können, wenn Ihr DNS bei uns gehostet wird, andernfalls muss Ihr DNS-Host Ihr Weg für Unterstützung sein.

DMARC-Eintrag

Wo DKIM und SPF verwendet werden, um zu überprüfen, ob E-Mails von den richtigen Servern kommen, baut DMARC auf diesen Tools (insbesondere SPF) auf und wird verwendet, um zu überprüfen, ob der Umschlag und die E-Mail-Adressen korrekt sind. Es hilft auch Absendern zu wissen, wie ihre Post bei den großen Anbietern wie Google und Microsoft ankommt, indem es eine E-Mail-Adresse veröffentlicht, an die Sie (als Absender) Berichte über die Zustellbarkeit erhalten möchten.

Während der SPF-Eintrag keine Subdomain verwendet und sich direkt auf Ihre Root-Domain (@) bezieht, verwendet DMARC die Subdomain _dmarc . So sieht das am einfachsten aus:

• Subdomain:_dmarc
• Typ:TXT
• Wert:v=DMARC1; p=keine

Aber dieser Eintrag sagt im Grunde „Hey, ich habe einen SPF-Eintrag und möglicherweise einen DKIM-Eintrag, aber ich möchte nicht, dass Sie (der Empfänger) irgendetwas Besonderes mit DMARC machen“. Lassen Sie es uns ein wenig aufpeppen und ein paar alternative Werte zur Verfügung stellen. Beachten Sie, dass die Subdomain und der Typ bei allen immer dieselben sind wie oben und Sie sollten niemals mehrere DMARC-Einträge veröffentlichen.

Das folgende Datensatzbeispiel besagt, dass alle Nachrichten, die nicht übereinstimmen (SPF, DKIM, Envelope), unter Quarantäne gestellt werden sollen (dies bedeutet normalerweise, Spam einzufügen, aber einige Anbieter verbergen die Nachricht buchstäblich vor den Empfängern, bis ein E-Mail-Administrator sie durchlässt). Außerdem heißt es, dass bei 20 % aller von Ihrer Domain empfangenen Nachrichten bei Fehlern ein Bericht über jeden Fehler an die angegebene E-Mail-Adresse gesendet werden soll.

v=DMARC1; p=quarantine; pct=20; ruf=mailto:[email protected];

Der folgende Datensatz sagt:Alle Nachrichten ablehnen, die nicht übereinstimmen; dass Sie Berichte über 100 % der Ausfälle erhalten möchten; dass DKIM als entspannt behandelt werden sollte; dass SPF als streng behandelt werden sollte; dass Sie keine *individuellen* Berichte über jeden Nachrichtenfehler sehen möchten (ruf ), sondern einen aggregierten Bericht erhalten (rua ). Ich glaube, dass die Berichte in der Regel monatlich gesendet werden, aber dies kann im Ermessen des empfangenden Anbieters wie Google oder Microsoft liegen.

v=DMARC1; p=reject; pct=100; adkim=r; aspf=s rua=mailto:[email protected];

Sie müssen die tatsächliche E-Mail-Adresse eingeben, an die Sie diese Berichte erhalten möchten, andernfalls lassen Sie einfach die Option rua/ruf und die Option pct weg, da sie nutzlos sind, wenn Sie die Berichte nicht sehen möchten. Sie können pct und ruf/rua mit p=none verwenden. Das bedeutet lediglich, dass der empfangende Server die Nachricht normal weiterleitet, selbst wenn die DKIM-, SPF- und DMARC-Prüfungen fehlschlagen.

Die adkim- und aspf-Optionen scheinen standardmäßig entspannt zu sein, wenn Sie sie weglassen.

Tipp:Sie sollten immer DMARC verwenden, auch wenn Sie DKIM nicht aktiviert haben. Stellen Sie jedoch sicher, dass Sie SPF richtig konfiguriert haben, sonst ist DMARC für Sie nicht hilfreich.

Wo lege ich diese DNS-Einträge ab?

Wenn Ihr DNS bei uns gehostet wird, können Sie Ihre DNS-Einträge wie folgt bearbeiten. In dieser Anleitung möchten Sie einen vorhandenen Datensatz des Typs TXT bearbeiten .

Wenn Ihr DNS woanders gehostet wird, müssen Sie sich bei deren Panel anmelden, um Ihren SPF-Eintrag zu bearbeiten oder hinzuzufügen.

Bei unserem Plesk-Hosting konfigurieren wir alle diese Datensätze für Sie, aber wenn Sie Probleme mit der Zustellbarkeit haben, sollten Sie überprüfen, ob sie korrekt sind. Möglicherweise haben Sie eine ältere Version des Datensatzes, die nicht optimal ist, oder Sie oder jemand mit Zugriff auf Ihr Konto hat ihn möglicherweise geändert, ohne die Auswirkungen zu kennen.

Bitte erstellen Sie nicht mehrere SPF-Einträge. Wenn Sie in Ihren DNS-Einstellungen einen vorhandenen sehen, bearbeiten Sie diesen, anstatt einen zweiten hinzuzufügen . Doppelte Datensätze führen häufig dazu, dass keiner von ihnen funktioniert.

Da es sich um DNS-Einträge handelt, dauert es einige Stunden (bis zu 48 Stunden), bis die Änderungen, die Sie an Ihren DNS-Einstellungen vornehmen, weltweit wirksam werden. Bitte haben Sie etwas Geduld.

Fehlerbehebung

SPF-Fehler zu viele Suchvorgänge: Wenn Sie bei einem SPF-Datensatzprüfer einen Fehler wegen zu vieler Suchen sehen, ist die einfache Interpretation, dass Ihr Datensatz zu viele Elemente enthält. Die einzige Möglichkeit, dies zu lösen, besteht darin, die unwichtigsten Elemente aus Ihrem SPF-Eintrag zu entfernen und/oder E-Mail-Dienste zu konsolidieren, damit Sie nicht so viele verwenden. Wenn Sie einen Mailinglistendienst verwenden, können Sie dessen Konfiguration ändern, um eine Subdomain wie mailing-list.mydomain.com zu verwenden, und diesen Teil Ihres SPF-Eintrags stattdessen in den SPF-Eintrag der Subdomain verschieben.

Lesen Sie hier mehr über den Fehler „SPF Too Many Lookups“ in diesem ausführlichen Artikel.

Wenn Sie einen externen E-Mail-Dienst wie Google Workspace (ehemals G Suite) verwenden, entfernen Sie am besten den Websavers-Teil des SPF-Eintrags (include:_spf.websavers.ca), um die Gesamtzahl der Suchen zu reduzieren ). Stellen Sie in diesem Fall jedoch absolut sicher, dass alle Websites, die Sie bei uns gehostet haben, so konfiguriert sind, dass sie E-Mails über den SMTP-Dienst Ihres externen E-Mail-Anbieters senden (wie in diesem Beispiel Google Workspace). Dadurch wird sichergestellt, dass alle von der Website kommenden E-Mails über einen SMTP-Server geleitet werden, der in Ihrem SPF-Eintrag autorisiert bleibt, und nicht über unsere Server, die nicht in Ihrem SPF-Eintrag verbleiben.

Wenn Sie die „include“-Anweisung entfernen müssen, behalten Sie diese auf jeden Fall bei, da sie es unserem Haupt-Mail-Relay ermöglicht, Ihre E-Mails weiterhin zuzustellen:

+ip4:149.56.38.109

Nachrichten werden an Spam oder Junk gesendet: Wenn Sie alle oben genannten DNS-Einträge erfolgreich konfiguriert haben und dies 48 Stunden her ist (denken Sie daran, dass DNS-Änderungen einige Zeit brauchen, um sich zu verbreiten), Ihre E-Mails jedoch immer noch in Junk-Ordnern Ihrer Empfänger landen, lesen Sie bitte unsere Anleitung zur Fehlerbehebung hier.