Knowledge Base

E-Mail-Authentifizierung

Nachdem ein Mailing vom E-Mail-Marketer beziehungsweise seinem Versanddienstleister verschickt wurde, durchläuft es mehrere Stationen. Erst wenn es alle Prüfschritte im Zustellprozess (sowohl server- als auch clientseitig) als erfolgreich bestanden hat, landet das Mailing im Postfach des Empfängers.

Zunächst filtert der empfangene Mailserver die eingehende E-Mail serverseitig mittels verschiedener Methoden. Um sicherzustellen, dass der Versender keine fremde Identität vortäuscht, wird bei den meisten E-Mail-Anbietern im ersten Schritt der Absender authentifiziert. Dazu werden der Mailserver und die Domain der Bounce-Adresse analysiert. Die Identität des Versenders wird durch unterschiedliche Authentifizierungssysteme geprüft. Die gängigsten Verfahren lernen Sie gleich kennen.

Ist der Absender eindeutig identifiziert, wird im zweiten Schritt geprüft, ob der Absender auf einer Whitelist steht. Die Server Policy beschreibt die jeweilige Konfiguration des Servers beziehungsweise die Sicherheitsrichtlinie des Servers.

Nach positiver serverseitiger Prüfung wird das Mailing schließlich dem Empfänger zugestellt. Es kann durch einen lokal installierten E-Mail-Client abgerufen werden. Damit ist der Prüfprozess jedoch noch nicht beendet. Die meisten E-Mail-Programme bringen eigene Spamfilter mit, um das Mailing nochmals clientseitig zu prüfen. Erst wenn auch diese Prüfung erfolgreich gemeistert wird, gelangt das Mailing in das Postfach des Empfängers.

Dieser Ablauf zeigt schon grob, dass der Weg eines Mailings einige Hürden zu überwinden hat. Durch technische Vorkehrungen kann in jedem einzelnen Prüfschritt Einfluss auf die Zustellbarkeit genommen werden. Dabei kommt es nicht nur auf ein korrektes technisches Setup bei demjenigen Anbieter an, über den versendet wird. Genauso wichtig ist es, dass bei Ihnen als sichtbarer Absender die Infrastruktur richtig konfiguriert ist. Denn erst dann können Sie sich eine eigene Reputation aufbauen, Ihre Marke stärken und die Hoheit über Ihre eigene Domain erhalten. Werfen wir also einen genaueren Blick auf die Verfahren und Abläufe.

Die verschiedenen Verfahren

Der Ursprung einer E-Mail kann sehr einfach gefälscht werden. Ohne E-Mail-Authentifizierung kann nicht verlässlich bestimmt werden, ob eine Nachricht tatsächlich von dem Absender stammt, von dem sie vorgibt, versendet worden zu sein. Daher wurden von E-Mail-Providern verschiedene Authentifizierungsverfahren zum Schutz der Empfänger entwickelt. Versender, die auf diese Verfahren setzen, verbessern nachhaltig ihre Reputation als vertrauenswürdiger Absender bei den E-Mail-Providern und erhöhen dadurch ihre Zustellraten.

1. Sender Policy Framework (SPF)

Das Verfahren SPF soll das Fälschen von E-Mail-Absenderadressen verhindern. Es hilft dem empfangenen E-Mail-Server die E‑Mail zu erkennen, die von einem nicht zum Versand autorisierten E-Mail-Server gesendet wurde. Das Verfahren SPF dient dazu, die E-Mail anhand der IP-Adresse des sendenden Mailservers zu validieren und damit ausschließlich der Verifikation des Absenders, genauer gesagt der Domain in der E-Mail-Adresse des Absenders. Dazu trägt der Domain-Inhaber einen sogenannten SPF-Datensatz im Domain Name System (DNS) ein. Dieser legt fest, welche Server (Domains und IP-Adresse) berechtigt sind, E-Mails aus der jeweiligen Domäne zu versenden.

Der empfangende E-Mail-Server, sofern er SPF unterstützt, überprüft bei eingehender E-Mail die eingetragene Absenderdomain in den Feldern „Mail FROM“ (sog. technischer Absender). Dafür ruft er den SPF-Datensatz zu dieser Absenderdomain aus dem DNS ab: Anschließend vergleicht er die IP-Adresse, von der die E-Mail gesendet wurde, mit der IP-Adresse, die im SPF-Datensatz des Absenderdomain registriert ist. Wenn nun die ursprüngliche IP-Adresse mit einer der IP-Adressen innerhalb des SPF-Datensatz im DNS-Eintrags übereinstimmt, geht es weiter: Damit ist nämlich der sendende Mailserver autorisiert, E-Mails im Namen dieser Domain zu versenden. Die E-Mail gilt als authentisch. Findet keine Übereinstimmung statt, dann regeln die jeweiligen Spam-Einstellungen des Empfängers, ob die E-Mail angenommen oder abgelehnt wird.

Das Verfahren SPF dient ausschließlich der Verifikation des Absenders. Problematisch hierbei ist, dass der Absender und nicht die E-Mail selbst verifiziert werden kann. In diesem Fall muss der Standard DomainKeys Identified Mail (DKIM) eingesetzt werden.

2. DomainKeys Identified Mail (DKIM)

Der Standard DKIM ist eine erweiterte Methode zur Sender-Authentifizierung und dient wie SPF zur Sicherstellung der Echtheit von E-Mail-Absendern. Die Verwendung von DKIM soll sicherstellen, dass der Inhalt der versendeten E-Mail auf dem Weg zum Empfänger nicht manipuliert wurde.

DKIM basiert auf einem asymmetrischen kryptografischen Verfahren, bei dem ausgehende Nachrichten durch das Versandsystem mittels eines privaten Schlüssels mit einer digitalen Signatur versehen werden. Das empfangende System überprüft die erhaltene Nachricht anschließend anhand des im Domain Name System (DNS) frei verfügbaren und zur Absenderadresse passenden öffentlichen Schlüssels. Schlägt die Authentifizierung fehl, kann das Empfängersystem entscheiden, die Nachricht zu verwerfen.

Eine korrekte DKIM-Signatur belegt drei Sachverhalte:

  • dass der Inhalt einer E-Mail auf dem Weg zum Empfänger nicht manipuliert wurde,
  • dass die Kopfzeilen der E-Mail auf dem Weg zum Empfänger nicht manipuliert wurden,
  • und dass der Absender der Eigentümer der Domain ist oder autorisiert wurde, die E-Mail per DKIM zu signieren.

Sowohl DKIM als auch SPF sind Teil der Spezifikation Domain-based Message Authentication, Reporting and Conformance (DMARC).

3. Domain-Based Message Authentication, Reporting and Conformance (DMARC)

Die Spezifikation DMARC (deutsch: Domain-basierte Nachrichten-Authentifizierung, -Berichtswesen und -Konformität) dient der Vermeidung des Missbrauchs von E-Mail-Absenderadressen für Spam und Phishing. DMARC erweitert die bereits bekannten Standards SPF und DKIM zur Authentifizierung und Überprüfung von E-Mails.

DMARC als Richtlinie schlägt den ISPs vor, wie sie mit Nachrichten umgehen sollen, bei denen die Authentifizierung mittels SPF und DKIM fehlschlägt. Die betroffenen E-Mails werden je nach Anweisung des DMARC-Eintrags gelöscht, zurückgewiesen oder in den Spam-Ordner verschoben.

Optional kann vom Domain-Inhaber auch eine E-Mail-Adresse für tägliche Berichte angegeben werden. Dadurch erhält er automatisch Rückmeldungen über eventuelle Probleme bei der Authentifizierung durch Postfachanbieter, die den DMARC-Standard unterstützen. So können Spam- und Phishing-Attacken, bei denen die eigene Domain verwendet wird, früher erkannt werden.

Wie wird DMARC eingerichtet?

DMARC erlaubt den Domain-Inhabern durch einen SPF-Eintrag im DNS (Domain Name System) anzuzeigen, dass ihre E-Mails mit DMARC geprüft werden sollen. Zudem wird den Postfachanbietern mitgeteilt, was diese machen sollen, wenn die Authentifizierung mit DMARC fehlschlägt. Dabei gibt es drei verschiedene Richtlinien zur Auswahl:

  • Keine („none“): Nur einen Eintrag im Protokoll erzeugen
  • Sperren („quarantine“): Nachricht als Spam markieren (Junk)
  • Ablehnen („reject“): Nachricht auf SMTP-Ebene abbrechen (Bounce)

Zusätzlich kann auch angegeben werden, für wie viele Prozent der Nachrichten die entsprechenden Richtlinien gelten sollen. Dies spielt gerade bei der erstmaligen Implementierung von DMARC eine Rolle, da somit effektiv vermieden werden kann, dass durch fehlerhafte Konfigurationen auf einmal sämtliche Nachrichten durch die Postfachanbieter abgewiesen werden.

Zur Konfiguration von DMARC wird durch den Domain-Inhaber ein TXT-Datensatz zum DNS-Datensatz der eigenen Domain hinzugefügt. Dies setzt jedoch voraus, dass SPF und DKIM bereits eingerichtet sind. Eine ausführliche Anleitung zum Erstellen des Eintrags und zum Aufbau der Datensätze findet sich beispielsweise bei Google.

Was bedeutet DMARC für die Zustellbarkeit?

Ob DMARC Auswirkungen auf die Zustellbarkeit von Newslettern und E-Mails hat, hängt stark von der verwendeten E-Mail-Absenderadresse sowie den SPF-, DKIM- und DMARC-Einstellungen der zugehörigen Domain ab. Im ungünstigsten Fall werden auch legitime Nachrichten von den Postfachanbietern als Spam behandelt oder gar als Bounce abgewiesen.

Werden E-Mails über eine eigene oder fremde Domain ohne DMARC oder eine eigene Domain mit korrekt konfiguriertem DMARC versendet, hat dies keine negativen Auswirkungen auf die Zustellbarkeit von Newslettern und E-Mails.

Erfolgt der Versand der E-Mails jedoch über eine fremde Domain, deren DMARC-Einstellungen dies nicht zulassen, hat dies stark negative Auswirkungen auf die Zustellbarkeit. Die entsprechenden Nachrichten werden – je nach DMARC-Einstellungen – von den Postfachanbietern der Empfänger als Spam (Junk) markiert oder komplett abgewiesen (Bounce). Hier hilft nur der Versand über eine andere Domain, deren DMARC-Einstellungen dies zulassen.

Setzen Sie die drei Verfahren SPF, DKIM und DMARC separat ein, so ist kein ausreichender Schutz gegen Spam, Phishing und Spoofing gegeben. Sogenannte Spoofer können weiterhin Nachrichten versenden, die vortäuschen, dass sie von Ihrer Domain stammen. Jede Methode hat ihren eigenen Authentifizierungs- beziehungsweise Prüfmechanismus auf bestimmter Ebene. Erst das Zusammenspiel als Trio sorgt für einen erfolgreichen Schutz vor Fälschung und Missbrauch und somit für eine eindeutige Markenidentifikation beim Empfänger. Hierbei spielt der Begriff Domain Alignment eine wesentliche Rolle.

Domain Alignment

Wer DMARC als Authentifizierungsverfahren verwenden möchte, kann auf Domain Alignment nicht verzichten. Bevor wir den Begriff Domain Alignment erklären, müssen wir zunächst verstehen, dass E-Mails immer zwei Absenderadressen haben.

Bei der „From“- Adresse ist die Adresse gemeint, die dem Empfänger in seinem E-Mail-Client angezeigt wird. Die „Mail From“-Adresse ist im Header der E-Mail als „Return Path“ gespeichert. Verglichen mit einem klassischen Brief beschreibt die „From“-Adresse den Autor des Briefs, der im Briefkopf angegeben ist. Die „Mail From“-Adresse ist als Absender auf dem Briefumschlag zu finden, mit dem der Brief versendet wird. Kann die Post den Brief nicht an den Empfänger zustellen, geht der Brief an den genannten Absender auf dem Umschlag zurück. Übertragen auf das E-Mail-Marketing bedeutet dies, dass die Benachrichtigung über die Unzustellbarkeit der E-Mail an die „Mail From“-Adresse gesendet wird.

Domain Alignment bedeutet, dass die in SPF und DKIM verwendeten Domains teilweise mit der „From“-Adresse der E-Mail übereinstimmen müssen. Übertragen auf unsere klassische Postzustellung heißt dies, dass der Absender auf dem Umschlag mit dem Absender auf dem Brief als auch die Unterschrift im Brief (die DKIM-Domain) übereinstimmen müssen. So erkennt der Empfänger, dass er den Absender als vertrauenswürdig einstufen kann.

Auf den ersten Blick erscheint das selbstverständlich. Warum ist Alignment also so wichtig? Zahlreiche Unternehmen nutzen für Ihr E-Mail-Marketing professionelle Versanddienstleister. Und jetzt wird offensichtlich, dass in dieser Konstellation die „From“-Adresse der E-Mail und die physikalische Adresse nicht mehr übereinstimmen. Ein Domain Alignment ist nicht mehr gegeben.

Spamfilter reagieren auf unterschiedliche Angaben von Domains innerhalb einer E-Mail, wie beispielsweise bei der „From“- und der „Mail From“-Adresse und der Link Tracking Domain. Für eine hohe Zustellbarkeit ist es daher wichtig, dass Ihr E-Mail-Marketing-Anbieter für die unterschiedlichen Parameter die gleiche Domain einrichten kann. Durch Domain Alignment beziehungsweise Full Domain Alignment (schließt zusätzlich die verwendete Link Tracking Domain ein) werden alle Parameter in der E-Mail mit Ihrem Markennamen sichtbar und erkennbar. Außerdem wird dadurch sichergestellt, dass Ihre Identität im Internet nicht missbraucht wird.

4. Brand Indicators for Message Identification (BIMI)

Ein spezielles Verfahren lässt Verbraucher im Posteingang betrügerische E-Mails leichter erkennen. Außerdem bringt es Unternehmen zusätzlich eine höhere Markensichtbarkeit sowie Widerstandsfähigkeit gegenüber Phishing: Mit Brand Indicators for Message Identification (BIMI) will eine Initiative der weltweit größten Mailboxprovider einen branchenübergreifenden Standard im E-Mail-Marketing einführen. Es zeichnet sich ab, dass weitere E-Mail-Clients und neue E-Mail-Provider diesen Standard zukünftig unterstützen. Nach der Angliederung von Google im Sommer 2020 werden vermutlich andere Provider ebenfalls nachziehen und BIMI wird sich als Standard etablieren.

Dank BIMI und der Anzeige des Markenlogos sehen Empfänger in ihrem Postfach auf den ersten Blick, ob eine E-Mail wirklich von dem angegebenen Absender stammt. Damit können sie leichter erkennen, ob sie es mit einem Phishing-Versuch zu tun haben. Bei Phishing handelt es sich übrigens um betrügerische E-Mails, bei denen vertrauenswürdige Absender wie Banken oder Online-Shops nachgeahmt werden, um sensible Daten abzugreifen. Den Schaden haben Empfänger, aber auch Unternehmen, da Spam-Beschwerden negative Auswirkungen auf die Reputation der Markendomain haben.

Wird BIMI vom Absender eingesetzt, prüft der empfangende Server, ob die E-Mail von einem berechtigten Versandserver stammt und zeigt bei einem positiven Ergebnis das Markenlogo neben der Absenderadresse der E-Mail an. Voraussetzung ist, dass auch der empfangende E-Mail-Client BIMI unterstützt.

BIMI baut auf Anti-Spam-Basics wie SPF, DKIM und DMARC auf. Der Absender wird bei BIMI anhand von DMARC verifiziert. Empfangende E-Mail-Clients können über den DMARC-Eintrag der versendenden Domain sowie einen speziellen BIMI-DNS-Eintrag das Logo abrufen und im Posteingang anzeigen.

Unternehmen profitieren bei BIMI von weniger Spam-Beschwerden und steigern ihre Reputation als seriöser Versender. Sie stärken durch die Anzeige des Markenlogos im Posteingang das Vertrauen der Empfänger und erreichen eine höhere Markensichtbarkeit. Letztendlich führt das auch zu einer höheren Öffnungsrate.

Reputation

Die meisten Zustellbarkeitsprobleme hängen mit dem Ruf des Absenders zusammen, denn die Reputation ist ausschlaggebend dafür, ob die E-Mail die Prüfschritte im Zustellprozess besteht oder nicht. Anfangs wurde die Reputation vorwiegend über den so genannten „Sender Score“ von Return Path bestimmt. Er ermöglicht Prognosen für die Spamfilter-Quote und die Zustellungswahrscheinlichkeit.

Heute haben die meisten Internet Service Provider (ISP) ihre eigene Reputationsdatenbank, die anhand individueller Regeln und Kennzahlen geführt wird.

Reputation und Zustellbarkeit beeinflussen sich wechselseitig: Eine hohe Reputation sorgt für eine hohe Zustellbarkeit von Mailings. Eine schlechte Zustellbarkeit (beispielsweise aufgrund zahlreicher Bounces) beeinflusst die Reputation negativ. Ist die Reputation schlecht, wirkt sich das negativ auf die Zustellbarkeit aus.

Des Weiteren werden die beiden folgenden Verfahren zur Reputationsbestimmung eingesetzt:

Greylisting

Im Rahmen des sogenannten „Greylisting“ wird das Mailing beim ersten Zustellversuch vom E-Mail-Provider absichtlich abgewiesen. Dabei wird eine Kombination aus Absender, Empfänger und Uhrzeit gespeichert. Erst wenn innerhalb einer bestimmten Zeit ein zweiter Zustellversuch unternommen wird, akzeptiert der E-Mail-Anbieter das Mailing.

Da die meisten Spam-Bots nur einen Zustellversuch unternehmen, ist diese einfache Methode sehr effektiv gegen Spam-Mails. Seriöse Versanddienstleister führen dagegen immer mehrere Zustellversuche durch.

Greylisting wird nur bei unbekannten Absendern durchgeführt. Sobald ein Absender vertrauenswürdig ist und einmal den Prozess durchlaufen hat, wird das Mailing direkt ausgeliefert.

Throttling (deutsch: Drosselung)

Wenn ein E-Mail-Provider die Anzahl der E-Mails, die während eines bestimmten Zeitraums von einem bestimmten Absender eingehen, begrenzt (also drosselt), spricht man von Throttling. Die Gründe dafür können unterschiedlich sein und jeder Provider definiert eigene Regeln, wann er eingehende E-Mails drosselt: zum Beispiel wenn die IP unbekannt ist oder zu viele Spam-Fallen angeschrieben wurden. Es gibt aber auch Provider, die nur eine bestimmte Anzahl von E-Mails pro IP-Adresse und Stunde oder Tag zulassen: Enthält ein Verteiler beispielsweise viele Yahoo-Adressen und das E-Mail-Limit des Providers wird während des Versands überschritten, können E-Mails temporär abgelehnt werden. Um das zu vermeiden, kann es helfen, Versandvolumen und/oder -frequenz etwas zu reduzieren oder nach Zielgruppen zu selektieren und diese zeitversetzt und „häppchenweise“ anzuschreiben.

Darüber hinaus gilt es die Zustellrate und die Bouncerate im Auge zu behalten, wenn es um Reputation und Zustellbarkeit im E-Mail-Marketing geht.