DokumentationBest-Practice-Leitfaden zur Zustellbarkeit

Authentifizierung

Letzte Aktualisierung: 14. Oktober 2025

Erstellt für:

  • Beginner
  • Leader
  • User

SPF spf

: SPF (Sender Policy Framework) ist ein Standard für die E-Mail-Authentifizierung, mit dem der Inhaber einer Domain angeben kann, welche E-Mail-Server E-Mails im Namen dieser Domain senden dürfen. Bei diesem Standard wird die Domain in der Kopfzeile “Return-Path” der E-Mail (auch als “Envelope From”-Adresse bezeichnet) genutzt.

NOTE
Sie können dieses externe Tool) verwenden um einen SPF-Eintrag zu überprüfen.

SPF ist eine Technik, mit der Sie in gewissem Umfang sicherstellen können, dass der in einer E-Mail verwendete Domain-Name nicht gefälscht wird. Wenn eine Nachricht von einer Domain empfangen wird, wird der DNS-Server der Domain abgefragt. Die Antwort ist ein kurzer Datensatz (der SPF-Datensatz), der angibt, welche Server für das Senden von E-Mails von dieser Domain autorisiert sind. Wenn wir davon ausgehen, dass nur der Eigentümer der Domain über die Mittel verfügt, um diesen Datensatz zu ändern, können wir davon ausgehen, dass mit dieser Technik die Absenderadresse nicht gefälscht werden kann, zumindest nicht der Teil rechts von „@“.

In der endgültigen RFC 4408-Spezifikation werden zwei Elemente der Nachricht verwendet, um die als Absender betrachtete Domain zu bestimmen: die vom SMTP-Befehl „HELO“ (oder „EHLO„) angegebene Domain und die von der Adresse des „Return-Path“-Headers (oder „MAIL FROM„) angegebene Domain, die auch die Bounce-Adresse ist. Verschiedene Überlegungen ermöglichen es, nur einen dieser Werte zu berücksichtigen. Wir empfehlen, dass beide Quellen dieselbe Domain angeben.

Durch die Überprüfung des SPF ist eine Auswertung der Gültigkeit der Absender-Domain gewährleistet.

  • None: Es konnte keine Auswertung durchgeführt werden.
  • Neutral: Die abgefragte Domain ermöglicht keine Auswertung.
  • Pass: Die Domain wird als authentisch betrachtet.
  • Fehler: Die Domain ist gefälscht und die Nachricht sollte abgelehnt werden.
  • SoftFail: Die Domain ist wahrscheinlich gefälscht, aber die Nachricht sollte nicht nur aufgrund dieses Ergebnisses abgelehnt werden.
  • TempError: Ein temporärer Fehler hat die Auswertung angehalten. Die Nachricht kann abgelehnt werden.
  • PermError: Die SPF-Einträge der Domain sind ungültig.

Beachten Sie, dass es bis zu 48 Stunden dauern kann, bis Einträge auf der Ebene der DNS-Server berücksichtigt werden. Diese Verzögerung hängt davon ab, wie oft die DNS-Caches der empfangenden Server aktualisiert werden.

DKIM dkim

Die DKIM-Authentifizierung (DomainKeys Identified Mail) ist eine Nachfolgeauthentifizierung von SPF. Sie verwendet eine Verschlüsselung mit öffentlichem Schlüssel, mit der der empfangende E-Mail-Server überprüfen kann, ob eine Nachricht tatsächlich von der Person oder Entität gesendet wurde, von der sie behauptet, dass sie gesendet wurde, und ob der Nachrichteninhalt zwischen dem ursprünglichen Versand (und DKIM „signiert„) und dem Empfang geändert wurde. Bei diesem Standard wird in der Regel die Domain im “Von”- oder “Absender”-Header genutzt.

DKIM kommt aus einer Kombination der DomainKeys, Yahoo! Cisco und IDENTIFIZIERTE INTERNET-MAIL-AUTHENTIFIZIERUNGSPRINZIPIEN UND WIRD VERWENDET, UM DIE AUTHENTIZITÄT DER ABSENDER-DOMAIN ZU ÜBERPRÜFEN UND DIE INTEGRITÄT DER NACHRICHT ZU GARANTIEREN.

DKIM hat sozusagen die DomainKeys-Authentifizierung ersetzt.

Für die Verwendung von DKIM müssen folgende Voraussetzungen gegeben sein:

  • Sicherheit: Verschlüsselung ist ein Schlüsselelement der DKIM. Um das Sicherheitsniveau der DKIM zu gewährleisten, ist 1024b die empfohlene Verschlüsselungsgröße. Niedrigere DKIM-Schlüssel werden von den meisten Zugriffsanbietern nicht als gültig erachtet.
  • Reputation: Die Reputation basiert auf der IP-Adresse und/oder der Domain, aber der weniger transparente DKIM-Selektor ist auch ein Schlüsselelement, das berücksichtigt werden muss. Die Auswahl des Selektors ist wichtig: Vermeiden Sie es, den „Standard“ beizubehalten, der von jedem verwendet werden könnte und daher eine schwache Reputation hat. Sie müssen einen anderen Selektor für Aufbewahrungs- vs. Akquise-Kommunikation und für die Authentifizierung implementieren.

Weitere Informationen zu den Voraussetzungen für die Verwendung von DKIM finden Sie in diesem Abschnitt.

DMARC dmarc

DMARC (Domain-based Message Authentication, Reporting and Conformance) ist die neueste Art der E-Mail-Authentifizierung. Bei der Entscheidung, ob eine E-Mail weitergeleitet wird oder fehlschlägt, kommt sowohl SPF- als auch DKIM-Authentifizierung zum Einsatz. DMARC ist in zweierlei Hinsicht einzigartig und leistungsstark:

  • Konformität - Auf diese Weise kann der Absender die ISPs anweisen, was mit jeder Nachricht zu tun ist, die sich nicht authentifizieren kann (zum Beispiel: akzeptieren Sie sie nicht).
  • Reporting - liefert dem Absender einen detaillierten Bericht mit allen Nachrichten, bei denen die DMARC-Authentifizierung fehlgeschlagen ist, sowie der jeweils verwendeten Absender-Domain und IP-Adresse. Auf diese Weise kann ein Unternehmen legitime E-Mails identifizieren, bei denen die Authentifizierung fehlschlägt und die eine Art von „Fehlerbehebung“ erfordern (z. B. Hinzufügen von IP-Adressen zu seinem SPF-Eintrag). Außerdem können die Quellen und die Prävalenz von Phishing-Versuchen in ihren E-Mail-Domains identifiziert werden.
NOTE
DMARC kann die von 250ok erstellten Berichte nutzen.
recommendation-more-help
deliverability-learn-help-deliverabilty-main