Knowledge Base

E-Mail-Authentifizierung

Nachdem ein Mailing vom E-Mail-Marketer beziehungsweise seinem Versanddienstleister verschickt wurde, durchläuft es mehrere Stationen. Erst wenn es alle Prüfschritte im Zustellprozess (sowohl server- als auch clientseitig) als erfolgreich bestanden hat, landet das Mailing im Postfach des Empfängers.

Zunächst filtert der E-Mail-Provider serverseitig die eingehende E-Mail mittels verschiedener Methoden. Um sicherzustellen, dass der Versender keine fremde Identität vortäuscht, wird bei den meisten E-Mail-Anbietern im ersten Schritt der Absender authentifiziert. Dazu werden der Mailserver und die Domain der Bounce-Adresse analysiert. Die Identität des Versenders wird durch unterschiedliche Authentifizierungssysteme geprüft. Die gängigsten Verfahren lernen Sie gleich kennen.

Ist der Absender eindeutig identifiziert, wird im zweiten Schritt geprüft, ob der Absender auf einer Whitelist steht.

Nach positiver serverseitiger Prüfung wird das Mailing schließlich dem Empfänger zugestellt. Es kann durch einen lokal installierten E-Mail-Client abgerufen werden. Damit ist der Prüfprozess jedoch noch nicht beendet. Die meisten E-Mail-Programme bringen eigene Spamfilter mit, um das Mailing nochmals clientseitig zu prüfen. Erst wenn auch diese Prüfung erfolgreich gemeistert wird, gelangt das Mailing in das Postfach des Empfängers.

Dieser Ablauf zeigt schon grob, dass der Weg eines Mailings einige Hürden zu überwinden hat. Werfen wir also einen genaueren Blick auf die Verfahren und Abläufe.

 

Die verschiedenen Verfahren

Die E-Mail-Authentifizierungsverfahren wurden von E-Mail-Providern zum Schutz der Empfänger entwickelt. Versender, die auf diese Verfahren setzen, verbessern nachhaltig ihre Reputation als vertrauenswürdiger Absender bei den E-Mail-Providern und erhöhen dadurch ihre Zustellraten.

1. Sender Policy Framework (SPF)

Das Verfahren Sender Policy Framework (SPF) soll das Fälschen von E-Mail-Absenderadressen verhindern. Dazu trägt der Domain-Inhaber einen sogenannten SPF-Datensatz im Domain Name System (DNS) ein. Dieser legt fest, welche Server (Domains und IP-Adresse) berechtigt sind, E-Mails aus der jeweiligen Domäne zu versenden.

Der empfangende E-Mail-Server, sofern er SPF unterstützt, überprüft bei eingehender E-Mail die eingetragene Absenderdomain in den Feldern „Mail FROM“ (sog. technischer Absender). Dafür ruft er den SPF-Datensatz zu dieser Absenderdomain aus dem DNS ab: Anschließend vergleicht er die IP-Adresse, von der die E-Mail gesendet wurde, mit der IP-Adresse, die im SPF-Datensatz des Absenderdomain registriert ist. Wenn nun die ursprüngliche IP-Adresse mit einer der IP-Adressen innerhalb des SPF-Datensatz im DNS-Eintrags übereinstimmt, geht es weiter: Damit ist nämlich der sendende Mailserver autorisiert, E-Mails im Namen dieser Domain zu versenden. Die E-Mail gilt als authentisch. Findet keine Übereinstimmung statt, dann regeln die jeweiligen Spam-Einstellungen des Empfängers, ob die E-Mail angenommen oder abgelehnt wird.

Das Verfahren SPF dient ausschließlich der Verifikation des Absenders. Problematisch hierbei ist, dass nur der Absender und nicht die E-Mail selbst verifiziert werden kann. In diesem Fall muss der Standard DomainKeys Identified Mail (DKIM) eingesetzt werden.

2. DomainKeys Identified Mail (DKIM)

Der Standard DKIM ist eine erweiterte Methode zur Sender-Authentifizierung und dient wie SPF zur Sicherstellung der Echtheit von E-Mail-Absendern. DKIM basiert auf einem asymmetrischen kryptografischen Verfahren, bei dem ausgehende Nachrichten durch das Versandsystem mittels eines privaten Schlüssels mit einer digitalen Signatur versehen werden. Das Empfängersystem überprüft die erhaltene Nachricht anschließend anhand des im Domain Name System (DNS) frei verfügbaren und zur Absenderadresse passenden öffentlichen Schlüssels. Schlägt die Authentifizierung fehl, kann das Empfängersystem entscheiden, die Nachricht zu verwerfen.

Sowohl DKIM als auch SPF sind Teil der Spezifikation Domain-based Message Authentication, Reporting and Conformance (DMARC).

3. Domain-Based Message Authentication, Reporting and Conformance (DMARC)

Die Spezifikation Domain-based Message Authentication, Reporting and Conformance (DMARC, deutsch Domain-basierte Nachrichten-Authentifizierung, -Berichtswesen und -Konformität) dient der Vermeidung des Missbrauchs von E-Mail-Absenderadressen für Spam und Phishing. DMARC basiert auf den bereits bekannten Standards SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail) zur Authentifizierung und Überprüfung von E-Mails.

Bei DMARC handelt es sich um eine gemeinsame und allgemein verfügbare technische Spezifikation verschiedener Organisationen, wie zum Beispiel AOL, Google, Microsoft und Yahoo!. Domain-Inhaber legen über entsprechende Richtlinien fest, was mit Nachrichten geschehen soll, die von ihrer eigenen Domain versendet werden und bei denen die Authentifizierung mittels SPF und DKIM bei den Empfängern fehlschlägt. Die Fälschung von Absenderadressen und die Manipulation von E-Mail-Kopfzeilen während des Transports werden dadurch erkannt.

Optional kann vom Domain-Inhaber auch eine E-Mail-Adresse für tägliche Berichte angegeben werden. Dadurch erhält er automatisch Rückmeldungen über eventuelle Probleme bei der Authentifizierung durch Postfachanbieter, die den DMARC-Standard unterstützen. So können Spam- und Phishing-Attacken, bei denen die eigene Domain verwendet wird, früher erkannt werden.

Wie wird DMARC eingerichtet?

DMARC erlaubt den Domain-Inhabern durch einen SPF-Eintrag im DNS (Domain Name System) anzuzeigen, dass ihre E-Mails mit DMARC geprüft werden sollen. Zudem wird den Postfachanbietern mitgeteilt, was diese machen sollen, wenn die Authentifizierung mit DMARC fehlschlägt. Dabei gibt es drei verschiedene Richtlinien zur Auswahl:

  • Keine („none“): Nur einen Eintrag im Protokoll erzeugen
  • Sperren („quarantine“): Nachricht als Spam markieren (Junk)
  • Ablehnen („reject“): Nachricht auf SMTP-Ebene abbrechen (Bounce)

Zusätzlich kann auch angegeben werden, für wie viele Prozent der Nachrichten die entsprechenden Richtlinien gelten sollen. Dies spielt gerade bei der erstmaligen Implementierung von DMARC eine Rolle, da somit effektiv vermieden werden kann, dass durch fehlerhafte Konfigurationen auf einmal sämtliche Nachrichten durch die Postfachanbieter abgewiesen werden.

Zur Konfiguration von DMARC wird durch den Domain-Inhaber ein TXT-Datensatz zum DNS-Datensatz der eigenen Domain hinzugefügt. Dies setzt jedoch voraus, dass SPF und DKIM bereits eingerichtet sind. Eine ausführliche Anleitung zum Erstellen des Eintrags und zum Aufbau der Datensätze findet sich beispielsweise bei Google.

Was bedeutet DMARC für die Zustellbarkeit?

Ob DMARC Auswirkungen auf die Zustellbarkeit von Newslettern und E-Mails hat, hängt stark von der verwendeten E-Mail-Absenderadresse sowie den SPF-, DKIM- und DMARC-Einstellungen der zugehörigen Domain ab. Im ungünstigsten Fall werden auch legitime Nachrichten von den Postfachanbietern als Spam behandelt oder gar als Bounce abgewiesen.

Werden E-Mails über eine eigene oder fremde Domain ohne DMARC oder eine eigene Domain mit korrekt konfiguriertem DMARC versendet, hat dies keine negativen Auswirkungen auf die Zustellbarkeit von Newslettern und E-Mails.

Erfolgt der Versand der E-Mails jedoch über eine fremde Domain, deren DMARC-Einstellungen dies nicht zulassen, hat dies stark negative Auswirkungen auf die Zustellbarkeit. Die entsprechenden Nachrichten werden – je nach DMARC-Einstellungen – von den Postfachanbietern der Empfänger als Spam (Junk) markiert oder komplett abgewiesen (Bounce). Hier hilft nur der Versand über eine andere Domain, deren DMARC-Einstellungen dies zulassen.

Mit einer eigenen Versand-Domain mit DKIM- und SPF-Authentifizierung bauen sich Unternehmen nachhaltig eine eigene Reputation auf. Das erhöht ihre Vertrauenswürdigkeit bei Internet Service Providern zusätzlich. Der Grund: Je einheitlicher die in den Nachrichten enthaltenen Header-Informationen sind, desto mehr Vertrauen haben Empfänger, da die E-Mails eindeutig einem Absender zugeordnet werden. Und dies zahlt wiederum positiv auf die Marke ein.

4. Brand Indicators for Message Identification (BIMI)

Ein spezielles Verfahren lässt Verbraucher im Posteingang betrügerische E-Mails leichter erkennen. Außerdem bringt es Unternehmen zusätzlich eine höhere Markensichtbarkeit sowie Widerstandsfähigkeit gegenüber Phishing: Mit Brand Indicators for Message Identification (BIMI) will eine Initiative der weltweit größten Mailboxprovider einen branchenübergreifenden Standard im E-Mail-Marketing einführen. Zu der Bewegung gehören Konzerne wie Oath (Verizon, AOL, Yahoo), Comcast, Agari, RP, Valimail und PayPal. Wenn sich der Standard durchsetzt, könnten weitere E-Mail-Clients folgen.

Dank BIMI und der Anzeige des Markenlogos sehen Empfänger in ihrem Postfach auf den ersten Blick, ob eine E-Mail wirklich von dem angegebenen Absender stammt. Damit können sie leichter erkennen, ob sie es mit einem Phishing-Versuch zu tun haben. Bei Phishing handelt es sich übrigens um betrügerische E-Mails, bei denen vertrauenswürdige Absender wie Banken oder Online-Shops nachgeahmt werden, um sensible Daten abzugreifen. Den Schaden haben Empfänger, aber auch Unternehmen, da Spam-Beschwerden negative Auswirkungen auf die Reputation der Marken-Domain haben.

Wird BIMI vom Absender eingesetzt, prüft der empfangende Server, ob die E-Mail von einem berechtigten Versand-Server stammt und zeigt bei einem positiven Ergebnis das Markenlogo neben der Absenderadresse der E-Mail an. Voraussetzung ist, dass auch der empfangende E-Mail-Client BIMI unterstützt.

BIMI baut auf Anti-Spam-Basics wie SPF, DKIM und DMARC auf. Der Absender wird bei BIMI anhand von DMARC verifiziert. Empfangende E-Mail-Clients können über den DMARC-Eintrag der versendenden Domain sowie einen speziellen BIMI-DNS-Eintrag das Logo abrufen und im Posteingang anzeigen.

Unternehmen profitieren bei BIMI von weniger Spam-Beschwerden und steigern ihre Reputation als seriöser Versender. Sie stärken durch die Anzeige des Markenlogos im Posteingang das Vertrauen der Empfänger und erreichen eine höhere Markensichtbarkeit. Letztendlich führt das auch zu einer höheren Öffnungsrate.

Reputation

Die meisten der Zustellbarkeitsprobleme hängen mit dem Ruf des Absenders zusammen, denn die Reputation ist ausschlaggebend dafür, ob die E-Mail als Spam oder Phishing-Versuch herausgefiltert wird. Meist wird die Reputation über den so genannten „Sender Score“ von Return Path bestimmt. Er ermöglicht Prognosen für die Spamfilter-Quote und die Zustellungswahrscheinlichkeit.

Der Sender Score Algorithmus bewertet die Reputation der ausgehenden Mail Server IP auf einer Skala von 0 bis 100. Den größten Einfluss auf diese Bewertung hat die Beschwerderate. Sie gibt prozentual an, wie viele Empfänger in der Vergangenheit Mailings eines Absenders als Spam eingestuft haben. Außerdem hat jede nicht erreichbare E-Mail-Adresse (Bounces) negativen Einfluss auf den Sender Score. Tritt ein Absender in eine Spam-Falle (E-Mail-Adressen, die als Fallen für Spammer ausgelegt werden), wird er besonders hart abgestraft.

Ein niedriger Sender Score kann die Zustellbarkeit negativ beeinflussen. Ein Sender Score im grünen Bereich von 80 und mehr Punkten hingegen spricht für eine gute Zustellbarkeit der Mailings von mindestens 85 Prozent.

Neben dem Sender Score werden außerdem noch die beiden folgenden Verfahren zur Reputationsbestimmung eingesetzt:

Greylisting

Im Rahmen des sogenannten „Greylisting“ wird das Mailing beim ersten Zustellversuch vom E-Mail-Provider absichtlich abgewiesen. Dabei wird eine Kombination aus Absender, Empfänger und Uhrzeit gespeichert. Erst wenn innerhalb einer bestimmten Zeit ein zweiter Zustellversuch unternommen wird, akzeptiert der E-Mail-Anbieter das Mailing.

Da die meisten Spam-Bots nur einen Zustellversuch unternehmen, ist diese einfache Methode sehr effektiv gegen Spam-Mails. Seriöse Versanddienstleister führen dagegen immer mehrere Zustellversuche durch.

Greylisting wird nur bei unbekannten Absendern durchgeführt. Sobald ein Absender vertrauenswürdig ist und einmal den Prozess durchlaufen hat, wird das Mailing direkt ausgeliefert.

Throttling

Viele E-Mail-Anbieter legen eine maximal mögliche Anzahl an E-Mails pro Absender in einem bestimmten Zeitraum fest. Wenn Ihr Verteiler beispielsweise viele Yahoo-Adressen enthält und das E-Mail-Limit des Providers während des Versands überschritten wird, können E-Mails blockiert werden oder direkt im Spam-Ordner des Empfängers landen. Gleichzeitig steigt das Risiko, dass Sie als Spammer eingestuft werden.