Für die Prüfung von gültigen E-Mail Absendern stehen unterschiedliche Technologien zur Verfügung. Jede für sich genommen stellt aber nur einen Baustein einer Gesamtlösung dar. Nach aktuellem Standard ist die Empfehlung, alle drei Technologien zu implementieren.
Die Technologien sind:
- SPF – Sender Policy Framework
Mit Hilfe des SPF Eintrages in einer DNS Zone wird beschrieben, welche Serversysteme befugt sind, E-Mails im Namen der Domäne zu versenden. Werden E-Mails unter verschiedenen Absendedomänen versendet, so muss für jede Absenderdomäne ein SPF Eintrag konfiguriert werden.
- DKIM – Domain Keys Identified Mail
DKIM verfolgt das gleiche Ziel wie SPF. Jedoch wird bei DKIM ein Teil der E-Mail Informationen mit einem privaten Schlüssel verschlüsselt. Der öffentliche Schlüssel wird über die DNS Zone des E-Mail Absenders bereitgestellt. Die Schlüsselerstellung erfolgt heutzutage in den meisten Fällen direkt im E-Mail Server, da dieser auch die Verschlüsselung der Nachrichten durchführt.
- DMARC – Domain-based Message Authentication, Reporting & Conformance
DMARC setzt auf SPF und DKIM auf. DMARC führt ein sog. Alignment für SPF und DKIM durch. Dieses Alignment beschreibt eine Richtlinie, die festlegt, wie streng ein empfangender Mail-Server die Absenderinformationen gegen SPF und DKIM prüfen bzw. bewerten soll. Stefan Cink hat hierzu einen ausführlichen Artikel im Net at Work Blog verfasst.
Das nachfolgende Schaubild verdeutlicht die Relation der Protokolle zu einander.
Die Konfiguration von SPF, DKIM und DMARC ist kein Ersatz für E-Mail Nachrichtenverschlüsselung oder eine Transportverschlüsselung bei der E-Mail Übertragung. Vielmehr mehr dienen die genannten drei Technologien der Erkennung und Bewertung von gültigen Absendern und stellen einen Schutzmechanismus vor Spam dar.
Man darf nicht vergessen, dass die Konfiguration der drei Technoligen nur ein Angebot für andere E-Mail Server darstellt. Als Absender hat man schlicht keine Kontrolle darüber, ob und wie SPF, DKIM oder DMARC von der empfangenden Seite ausgewertet werden. Werden sie aber ausgewertet, so müssen die Konfigurationen korrekt und fehlerfrei sein und keine Testeinträge mehr enthalten.
Die nachfolgenden Abschnitte beschreiben insbesondere die DNS Konfiguration für SPF, DKIM und DMARC. Dieser Blogeintrag stellt keine detaillierte Bewertung der drei Technologien dar, sondern beschreibt deren Implementierung.
SPF
Für jede Domäne, die E-Mails versendet, ist ein SPF Eintrag (Resource Record) in der DNS Zone einzutragen. Ein SPF Eintrag ist immer vom Typ TXT und nutzt keinen Hostnamen (oder Resource Record Namen). Er gilt immer für die gesamte zu betrachtende Zone.
Beispiel
mcsmemail.de. 3600 IN TXT "v=spf1 mx a:mail.mcsmemail.de ?all"
Das nachfolgende Beispiel zeigt das Anlegen eines SPF TXT Eintrages in einer DNS Verwaltungsoberfläche eines Internet-Hosters. Das Textfeld für den Hostnamen bleibt leer.
Die im Beispiel verwendeten Einträge bedeuten:
v=spf1
Die SPF Version des Texteintrage
mx
Die in der DNS Zone konfigurierten MX Servereinträge für eingehende E-Mails sind valide Sender
a:mail.mcsmemail.de
Der in der DNS Zone existierende A Resource Record ist ebenfalls an valider Sender
?all
Neutrale Bewertung von nicht genannten Systemen, die ebenfalls E-Mails mit dieser Domäne senden
Die Erstellung der SPF Konfiguration erfolgt am einfachsten über einen der zahlreiche Online-Konfiguratoren. Diese werten bereits die aktuelle Konfiguration der DNS Zone aus.
DKIM
Bei einem DKIM Eintrag erfolgt die Konfiguration ebenfalls über einen TXT Eintrag in der DNS Zone der Absenderdomäne. Im Gegensatz zum SPF Eintrag ist ein Name für den Resource Record verpflichtend. Im Zusammenhang mit DKIM spricht man hier vom einem Selektor.
Ein DKIM DNS Eintrag erfolgt immer unterhalb der DNS Subdomäne _domainkey.
Beispiel
nsp._domainkey.mcsmemail.eu. 3600 IN TXT "v=DKIM1\; k=rsa\; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQChZM8yjegaKfd0ssKyezTW/7xbDSNc0uPd50xa5/ecerv1v3mHKM+T7mClzRmIEx+Ji6AisVeo2uvjTYPemHFMBlQpuS/4zc2QxWHqp62FSQ7lASBOzDfUrIwayPVqwSPD6NrnfVSWoUNrFGGSVeU5uLASecBzTfxPukqTHgYKhQIDAQAB"
Das nachfolgende Beispiel zeigt das Anlegen eines DKIM TXT Eintrages in einer DNS Verwaltungsoberfläche eines Internet-Hosters. Das Textfeld für den Hostnamen enthält den Selektor nsp und die Subdomäne _domainkey.
Die im Beispiel verwendeten Einträge bedeuten:
v=DKIM1
Die DKIM Version des DNS Eintrages
k=rsa
Verschlüsselungsmethode des öffentlichen Schlüssels
p=MIGfMA….
Der öffentliche Schlüssel des DKIM Schlüsselpaares
DMARC
Die Konfiguration von DMARC erfolgt ebenfalls über einen TXT Eintrag in der DNS Zone der absendenden Domäne. Für die Konfiguration wird der definierte Resource Record Name _dmarc verwendet.
Beispiel
_dmarc.mcsmemail.de. 3600 IN TXT "v=DMARC1\; p=none\; rua=mailto:DMARCRUA@mcsmemail.de\; ruf=mailto:DMARCRUF@mcsmemail.de\; fo=1\; adkim=s\; aspf=s\; rf=afrf\"
Das nachfolgende Beispiel zeigt das Anlegen eines DMARC TXT Eintrages in einer DNS Verwaltungsoberfläche eines Internet-Hosters. Das Textfeld für den Hostnamen enthält immer den Namen _dmarc.
Die im Beispiel verwendeten Einträge bedeuten:
v=DMARC1
Die DMARC Version des DNS Eintrages
p=none
Keine definierte Policy für DMARC (Dies sollte immer das Startszenario sein
