Wie man es vermeidet im E-Mail Spam Ordner zu landen

E-Mails sind ein häufig genutztes Mittel, um Kunden über Vorgänge zu informieren. Umso ärgerlicher ist es, dass diese, trotz bester Intention und korrektem Inhalt, nicht beim Kunden ankommen und im Spam-Ordner landen. Ebenso kann es vorkommen, dass man sich als Absender schnell auf einer Blacklist wiederfindet.

Um Probleme dieser Art zu vermeiden, gibt es verschiedene Ansätze, die die Echtheit der gesendeten Mails verifizieren können.

SPF – Sender Policy Framework

Diese Form der E-Mail Authentifizierung schützt sowohl Sender als auch Empfänger vor Spam sowie Spoofing- (Vortäuschung falscher Identitäten) und Phishing-Angriffen (“Echt”-aussehende E-Mails um Empfänger in eine Falle zu locken, beispielsweise ist PayPal häufig davon betroffen).

Mit SPF wird ein Verfahren beschrieben,  welches validiert, ob eine E-Mail von einem autorisierten Mail-Server stammt.

Funktionsweise

Um diese Authentifizierung seitens des Empfänger-Servers zu ermöglichen, bedient sich SPF dem weitverbreiteten Domain Name System (DNS), der Auflösung von IP-Adressen zu URLs. Grundsätzlich lässt sich dieser Prozess in drei Schritte unterteilen:

  1. Der Domain-Administrator (bspw. der Inhaber der mail.google.com-Domain) erstellt in der DNS-Zone der Domain einen spezielle formatierten DNS TXT Record. Mögliche Einträge können sein:
    • Pflichtfeld: v=spf1 – identifiziert den TXT Record als SPF Record
    • ipv4, ipv6 – nur IP-Adressen mit diesem Schema werden akzeptiert
    • a – A-Record der Absender-Domain stimmt mit Sender-IP überein
    • mx – MX Resource Record, wenn die IP des Senders einem Mail-Server-Namen zuordenbar ist
    • Pflichtfeld: all – muss modifiziert werden:
      • +all: alle nicht genannten IP adressen sind auch zugelassen -> eher nutzlos
      • -all: nur aufgelistete Felder, ansonsten ablehnen
      • ~all: Akzeptieren und Fehler protokollieren
      • ?all: Mails von nicht genannten IP-Adressen sollten weder positiv noch negativ bewertet werden
  2. Sobald der Empfangsserver eine E-Mail erhält, vergleicht er die Regeln für den Return-Path (Zustellort für ursprünglich nicht zustellbare Mails) der Domain im DNS-Eintrag. Dieser Server vergleicht dann die IP des E-Mail-Senders mit den Regeln im SPF Record.
  3. Der Empfangsserver entscheidet nun aufgrund seiner Regeln, ob eine Mail akzeptiert, abgelehnt oder anderweitig markiert werden soll

Aufbau

flyacts.com TXT “v=spf1 include:emailserver1.com include:sparkpostmail.com ~all”

Dieser SPF Eintrag bedeutet, dass alle Mails die angeben, von flyacts.com geschickt zu werden, mit SPF validiert werden sollen und die Domains emailserver1.com & sparkpostmail.com ebenso validiert werden. Alle anderen Server die sich als flyacts.com ausgeben werden durch ~all als potentiell fehlerhaft behandelt.

DKIM und DMARC

DKIM und DMARC sind weitere Authentifizierungsverfahren die eine zuverlässige Zustellung von E-Mails gewährleisten sollen.

DKIM

DKIM fügt einer E-Mail eine digitale, für den Empfänger nicht lesbare Signatur in Form eines Headers hinzu. Der Empfangsserver prüft bei Erhalt der Mail den öffentlichen Schlüssel des TXT-Resourc Records der zugeordneten Mail ab. DKIM basiert auf asynchroner Verschlüsselung und unterstützt die Hashfunktionen SHA-1 und SHA-256. Mit DKIM an sich ist keine Spam-Filterung möglich, es wird lediglich Angreifern erschwert, manipulierte Absenderadressen zu nutzen. Auf Basis dessen lassen sich dann allerdings effektivere Spam-Filter implementieren.

DMARC

Diese Spezifikation baut auf SPF und DKIM auf. Hierbei wird festgelegt, wie der Empfänger die Authentifizierung durchzuführen hat bzw. wie sich SPF und DKIM zu verhalten haben. Dies unterscheidet sich zu SPF, welches bestimmt, wer die E-Mail senden darf und zu DKIM, welches dafür sorgt, dass der Absender nicht verändert wurde. Mit DMARC kann man festlegen, wie der Empfänger damit umzugehen hat, wenn einer oder beide Fälle nicht angewandt werden kann. Ähnlich den beiden vorangegangenen Verfahren, legt man einen weiteren Record an. Hervorzuheben sind die Abgleichsmodi. Hier lässt sich festlegen wie sich DKIM und DMARC verhalten sollen.