Was ist DKIM & SPF? Und wie richtet man es ein?

Das ist ernst. Es geht um die Zustellbarkeit Ihrer E-Mails. Aus eigener Erfahrung weiß ich, dass diese Akronyme ungewohnt und beängstigend klingen und völlig uninteressant erscheinen mögen. Oder vielleicht klingen sie vertraut, aber Sie haben sich nie darum gekümmert, was sie wirklich bedeuten.

So oder so ist es an der Zeit, ein wenig darüber zu lernen, was SPF & DKIM ist und wie Sie sie in Ihren DNS-Einträgen für Ihren Mailserver einrichten, wenn Sie eine bessere Kontrolle über die Zustellbarkeit Ihrer E-Mails haben wollen.

Dieser Beitrag wurde erstmals am 1. September 2016 veröffentlicht und am 14. Juli 2020 aktualisiert.

Ich werde mein Bestes tun, um das in einfachen Worten zu erklären, die nicht nur von Programmierern verstanden werden.

Was ist SPF? Wie funktioniert SPF?

Einfach gesagt ist Sender Policy Framework (SPF) ein Sicherheitsmechanismus, der verhindern soll, dass die bösen Buben in Ihrem Namen E-Mails versenden. Bei diesem Mechanismus dreht sich alles um die Kommunikation zwischen DNS-Servern… und das ist der Punkt, an dem es anfängt, beängstigend zu klingen! Aber keine Panik. Ich werde versuchen, es so einfach wie möglich zu halten.

Sagen wir, Sie haben eine E-Mail an Bob geschickt. Aber woher weiß der DNS-Server von Bob, dass die E-Mail tatsächlich von Ihnen gesendet wurde? Das Problem ist, dass er das eigentlich nicht weiß. Es sei denn, Sie haben SPF auf Ihrem DNS-Server eingestellt.

SPF legt fest, welche IP-Adressen verwendet werden können, um E-Mails von Ihrer Domäne zu versenden. Stellen wir uns also zwei mögliche Server-„Unterhaltungen“ vor. Um das Ganze zu vereinfachen, nehmen wir an, Ihr Name ist Mike.

Szenario 1 – Sie haben kein SPF eingerichtet.

Mikes Server: Hey, Bobs Server. Ich habe eine neue Nachricht von Mike erhalten.
Bobs Server: Hi Mike’s server. Wie lautet dein SPF?
Mikes Server: Ja, das mit dem SPF… Wen interessiert das schon, wirklich. Ich habe keins. Vertrau mir, es ist von Mike.
Bobs Server: Wenn du kein SPF hast, kann ich nicht sicher sein, dass es Mike war, der das geschickt hat. Gib mir Mikes erlaubte IPs, damit ich sie mit deinen vergleichen kann.
Mikes Server: Ich habe die Liste von Mikes erlaubten IPs nicht.
Bobs Server: Dann will ich deine Nachricht nicht. Zustellung verweigert. Sorry, Kumpel…

Szenario 2 – Du hast SPF eingerichtet.

Mikes Server: Hey, Bobs Server. Ich habe eine neue Nachricht von Mike erhalten.
Bobs Server: Hi Mike’s server. Wie lautet deine SPF?
Mikes Server: Bitte sehr, hier ist mein SPF. Es gibt eine ganze Liste von IPs, die Mike selbst als diejenigen deklariert hat, die in seinem Namen verwendet werden können.
Bob’s server: Ok, lass mal sehen… Und die Nachricht, die du für mich hast, wird von der IP 64.233.160.19 gesendet. Ok, sie steht auf der Liste. Alles sieht gut aus. Gib mir die Nachricht, ich werde sie Bob zeigen. Danke!

Ich entschuldige mich bei allen technisch versierten Lesern dieses Blogs für diese unwissende Vereinfachung. Bitte verzeihen Sie uns Dummköpfen und denken Sie daran, dass wir Sie um Ihren super-analytischen Verstand beneiden.

Die Moral dieser beiden kurzen Dialoge ist jedenfalls: Setzen Sie Ihren SPF. Wenn Sie das nicht tun, sehen Sie vielleicht wie ein Bösewicht aus, und nicht alle Ihre E-Mails werden zugestellt.

Welche Anwendungen sollten Sie in Ihr SPF aufnehmen?

Die allgemeine Idee ist, sicherzustellen, dass alle Anwendungen, die in Ihrem Namen E-Mails senden (und ihr eigenes SMTP verwenden, nicht Ihres), in Ihrem SPF enthalten sind. Wenn Sie z. B. Google Apps verwenden, um E-Mails von Ihrer Domäne aus zu versenden, sollten Sie Google in Ihr SPF aufnehmen. Hier ist die Anleitung von Google, wie man das macht.

Aber es ist wichtig, sicherzustellen, dass Google die einzige Anwendung ist, die Sie in Ihrem SPF „zulassen“ sollten. Wir verwenden zum Beispiel HelpScout, um unsere Support-E-Mails zu verwalten, und MailChimp, um unsere Newsletter zu versenden. Wir nehmen beide in unsere SPF auf.

Sollten Sie Woodpecker auch in meine SPF aufnehmen?

Nein. Wie ich bereits erwähnt habe, sollten Sie daran denken, die Anwendungen in Ihren SPF-Eintrag aufzunehmen, die in Ihrem Namen E-Mails versenden, aber ihr eigenes SMTP verwenden. Woodpecker verwendet Ihr SMTP, um Ihre E-Mails zu versenden, ist also eher ein Online-E-Mail-Client mit Superkräften als eine App für den Massenversand von E-Mails.

Das heißt, dass die Zustellbarkeit der von Woodpecker versandten E-Mails von der Reputation Ihrer Domain abhängt. Die Einrichtung von SPF und DKIM hilft Ihnen, den guten Ruf Ihrer Domain zu schützen und damit die Zustellbarkeit Ihrer E-Mails zu verbessern.

Wie richtet man den SPF-Eintrag auf dem Server Schritt für Schritt ein?

Der erste Schritt besteht darin, den aktuellen SPF-Eintrag zu überprüfen. Sie können dazu Tools verwenden wie:

• MxToolbox
• Google Apps Toolbox

Wenn Sie dort Ihre Domain eingeben (ich würde z.B. woodpecker.co eingeben), führen die Tools einige Tests durch und zeigen Ihnen Ihren aktuellen SPF-Eintrag oder eine Benachrichtigung, dass er noch nicht eingerichtet wurde.

Abhängig von Ihrem Domain-Host sind die Schritte unterschiedlich. Im Grunde geht es darum, eine richtig strukturierte Textzeile an der richtigen Stelle in der Konsole einzufügen.

Wenn Sie beispielsweise Google Apps verwenden, um alle E-Mails von Ihrer Domain zu versenden, würde die Zeile wie folgt aussehen:

„v=spf1 include:_spf.google.com ~all“

Der „v=spf1“-Teil des Datensatzes wird als Version bezeichnet, und die Teile, die danach folgen, werden Mechanismen genannt.

Sehen wir uns nun an, was jeder Teil genau bedeutet.

1. v=spf1 dieses Element identifiziert den Datensatz als SPF
2. include:_spf.google.com dieser Mechanismus schließt Mailserver ein, die autorisierte Server sind
3. ~all dieses Element zeigt an, dass, wenn eine E-Mail von einem nicht autorisierten (nicht im „include:“-Mechanismus aufgeführten) Server empfangen wird, sie als „soft fail“ gekennzeichnet wird, was bedeutet, dass sie durchgelassen werden kann, aber als Spam oder verdächtig gekennzeichnet werden könnte.

Wenn Sie aber noch weitere Anwendungen verwenden (z. B. etwas zum Versenden Ihres Newsletters, etwas zum Versenden Ihrer Support-Nachrichten usw.), wird die Zeile etwas länger, weil Sie alle anderen Anwendungen mit einbeziehen müssen. Oder wenn Sie nicht Google Apps, sondern einen Server eines anderen Anbieters, z. B. GoDaddy, verwenden, sieht die Zeile anders aus.

Hier erfahren Sie, wie Sie SPF für die gängigsten Domain-Hosts einrichten:

• Google
• Microsoft
• Zoho
• NameCheap
• GoDaddy
• Amazon SES

Oder Sie können sich diese Schritt-für-Schritt-Anleitung ansehen, in der unsere Support-Chefin Julia erklärt, wie es geht:

Wenn du Woodpecker gerade nutzt oder testest und dir nicht sicher bist, ob dein SPF richtig eingestellt ist, kannst du es direkt in der App überprüfen: gehe zu EINSTELLUNGEN > EMAILKONTEN > ZUSTELLBARKEIT (auf der linken Seite) oder kontaktiere uns, um individuelle Hilfe zu erhalten.

Versenden Sie leistungsstarke E-Mails & Erhöhen Sie die Anzahl der Antworten

Was ist DKIM?

DomainKeys Identified Mail (DKIM) ist ein Standard, der aus demselben Grund wie SPF geschaffen wurde: um zu verhindern, dass sich die Bösewichte als E-Mail-Absender ausgeben. Es ist eine Möglichkeit, Ihre E-Mails zusätzlich zu signieren, so dass der Server des Empfängers überprüfen kann, ob der Absender wirklich Sie sind oder nicht.

Indem Sie DKIM auf Ihrem DNS-Server einstellen, fügen Sie eine zusätzliche Möglichkeit hinzu, Ihren Empfängern mitzuteilen: „Ja, ich bin es wirklich, der diese Nachricht sendet“.

Das ganze Konzept basiert auf der Ver- und Entschlüsselung der zusätzlichen Signatur, die in die Kopfzeile Ihrer Nachricht gesetzt wird. Um dies zu ermöglichen, benötigen Sie zwei Schlüssel:

• den privaten Schlüssel (der nur für Ihren Bereich gilt und nur Ihnen zur Verfügung steht.
• den öffentlichen Schlüssel (den Sie mit Hilfe des DKIM-Standards zu Ihren DNS-Einträgen hinzufügen, damit der Server des Empfängers ihn abrufen und Ihre versteckte Signatur aus dem Header Ihrer Nachricht entschlüsseln kann).

Nehmen Sie Game of Thrones, um sich ein Bild von DKIM zu machen. Ned Stark schickt einen Raben mit einer Nachricht an König Robert. Jeder könnte ein Stück Papier nehmen, eine Nachricht schreiben und sie mit Ned Stark unterschreiben. Aber es gibt eine Möglichkeit, die Nachricht zu authentifizieren – das Siegel. Nun weiß jeder, dass Neds Siegel ein Schattenwolf ist (das ist der öffentliche Schlüssel). Aber nur Ned hat das Originalsiegel und kann es auf seine Nachrichten setzen (das ist der private Schlüssel).

Das Setzen von DKIM bedeutet lediglich, dass die Informationen über den öffentlichen Schlüssel in die Datensätze Ihres Servers aufgenommen werden. Es ist auch ein txt-Eintrag, der an der richtigen Stelle platziert werden muss.

Wenn Sie das eingerichtet haben, wird der Server des Empfängers jedes Mal, wenn jemand eine E-Mail von Ihnen erhält, versuchen, Ihre versteckte Signatur mithilfe des öffentlichen Schlüssels zu entschlüsseln. Gelingt dies, wird Ihre Nachricht zusätzlich authentifiziert und die Zustellbarkeit aller Ihrer E-Mails erhöht.

Wie richtet man den DKIM-Eintrag auf dem Server Schritt für Schritt ein?

Zunächst müssen Sie den öffentlichen Schlüssel erzeugen. Dazu müssen Sie sich bei der Verwaltungskonsole Ihres E-Mail-Anbieters anmelden. Die nächsten Schritte können je nach E-Mail-Anbieter unterschiedlich sein.

Wenn Sie Google Apps zum Versenden Ihrer E-Mails verwenden, finden Sie hier eine schrittweise Anleitung. Benutzer von Google Apps E-Mail sollten wissen, dass die DKIM-Signaturen standardmäßig ausgeschaltet sind, so dass Sie sie manuell in Ihrer Google Admin-Konsole aktivieren müssen.

Wenn Sie den öffentlichen Schlüssel haben, nehmen Sie den generierten txt-Eintrag und fügen ihn an der richtigen Stelle in Ihre DNS-Einträge ein.

Schließlich müssen Sie die E-Mail-Signierung aktivieren, um E-Mails mit Ihrer Signatur zu versenden, die mit Ihrem privaten Schlüssel verschlüsselt sind. So geht’s, wenn Sie Google Apps zum Versenden Ihrer E-Mails verwenden.

So richten Sie DKIM in einigen anderen Domain-Hosts ein:

• Microsoft
• Zoho
• NameCheap

Für weitere Details sehen Sie sich eine Videoanleitung an, die erklärt, wie es geht:

Wenn Sie derzeit Woodpecker verwenden und keinen IT-Mitarbeiter haben, den Sie um Hilfe bei den SPF- und DKIM-Einstellungen bitten können, können Sie sich an uns wenden, um individuelle Hilfe zu erhalten.

Wenn Sie überprüfen möchten, ob Ihr SPF und DKIM richtig eingestellt sind, können Sie dies in der App tun: Gehen Sie zu EINSTELLUNGEN > EMAILKONTEN > ZUSTELLBARKEIT (auf der linken Seite).

SPF & DKIM einrichten und die Zustellbarkeit verbessern

Wenn Sie viele E-Mails versenden, sei es für das Marketing oder für den Inbound- oder Outbound-Verkauf, ist der Ruf Ihrer Domain entscheidend und Sie sollten sich wirklich gut darum kümmern. Sie wollen nicht, dass Ihre Domain auf einer schwarzen Liste landet und Ihre E-Mails in Spam landen. Die korrekte Einstellung der SPF- und DKIM-Einträge auf Ihrem DNS-Server ist ein notwendiger Schritt zur Sicherheit Ihrer Domäne und zu einer hohen Zustellbarkeit Ihrer Nachrichten.

Die Einrichtung mag kompliziert erscheinen, aber sie ist zweifellos die Mühe wert. An Ihrer Stelle würde ich in meinem Woodpecker-Konto nachsehen, ob SPF und DKIM richtig eingestellt sind, oder meine IT-Mitarbeiter bitten, das zu tun (wenn Sie kein Woodpecker-Nutzer sind). Und wenn sich herausstellt, dass die Antwort „nein“ lautet, würde ich sie bitten, mir zu helfen. Und ich würde mich nicht von ihnen abspeisen lassen. Nicht damit.

Sehen Sie sich auch diese vier Beiträge über die Zustellbarkeit von E-Mails an:

• Was können wir tun, um unsere Zustellbarkeit von Kalt-E-Mails zu verbessern? >>
• Warum richten wir ein separates Postfach für ausgehende Kampagnen ein? >>
• Antworten auf 8 häufig gestellte Fragen zur Zustellbarkeit von E-Mails >>
• 14 Zustellbarkeitsprüfungen, die Sie vor dem Versenden Ihrer Cold-E-Mail-Kampagne durchführen sollten >>

Senden Sie leistungsstarke E-Mails & steigern Sie die Antworten

Cathy Patalas

Chief Growth Officer bei Woodpecker.co

Cathy hat diesen Blog vor langer Zeit begonnen, obwohl es scheint, als sei es gestern gewesen.