DKIM und Absenderdomains: DMARC
Domain-Einstellungen beinflussen Ihre Zustellbarkeitsraten in erheblichem Maße. Posteingangsserver legen daher besonders Wert auf diese Einträge. So wird die Authentizität eines Newsletters geprüft und der Empfänger infolgedessen vor Phishing sowie Spoofing geschützt. Dazu dienen vor allem die SPF- und DKIM-Einträge Ihrer Domain. Schlägt eine solche Prüfung fehl, entscheidet der Posteingangsserver nach eigenem Ermessen, wie er mit dem Newsletter weiter verfährt. Der eine Anbieter verschiebt ihn daher direkt in den Spam-Ordner, der Andere stellt ihn gar nicht erst zu.
Zustellung von Newslettern begünstigen
Die DMARC-Richtlinie Ihrer Domain teilt dem Posteingangsserver mit, was mit einem Newsletter passieren soll, der nicht authentisch ist. Neben gültigen SPF- und DKIM-Einträgen sollte daher auch eine DMARC-Richtlinie bei Ihrer Domain gesetzt sein. Anderenfalls wird die Zustellung Ihrer Newsletter zukünftig erheblich beeinträchtigt, da diese automatisch abgewiesen werden.
Im Menü DKIM und Absenderdomains können Sie sich einfache Beispiele für DMARC-Richtlinien ausgeben lassen. Folgende Varianten sind möglich:
- none: Es wird keine Maßnahme ergriffen, wenn ein Newsletter verdächtig wirkt
- quarantine: Verdächtige Newsletter werden in dem Spam-Ordner des Empfängers verschoben
- reject: Verdächtige Newsletter werden sofort verworfen, sodass der Empfänger sie nicht zugestellt bekommt
Optionale Einstellungen
DMARC wurde entwickelt, um Ihre Empfänger zu schützen. Um das volle Potenzial dieses Schutzes auszuschöpfen, sollten Sie daher perspektivisch auch komplexe DMARC-Richtlinien einrichten. Die folgenden Einstellungen sind dafür geeignet:
- adkim/aspf (DKIM alignment/SPF alignment): Genauigkeit bei der Prüfung von DKIM-/SPF-Einträgen
- sp (subdomain policy): Legt das Verhalten für Subdomains fest
- fo (failure reporting): Ermöglicht Berichte über fehlgeschlagene DKIM- und/oder SPF-Prüfungen
- ruf/rua/rf/ri: Definiert Format, Intervall und Empfänger für Berichte
- pct (percentage): Prozentsatz an insgesamt eingehenden Newslettern, welche die DMARC-Prüfung durchlaufen
Risiken von DMARC-Richtlinien
Während none und quarantine die endgültige Prüfung verdächtiger Newsletter ihren Empfängern überlassen, verhindern Sie dieses Verhalten mit reject als Absender direkt von Anfang an. Mit der reject-Variante schützen Sie also theoretisch Ihre Empfänger vor gefälschten Newslettern in Ihrem Namen. In der Praxis existieren jedoch einige Fälle, die dazu führen, dass auch legitime Newsletter die DMARC-Prüfung nicht bestehen. Dies kann insbesondere bei automatisch weitergeleiteten E-Mails auftreten.
Daher empfehlen wir zuerst mit none oder quarantine zu starten und das Öffnungsverhalten mit Hilfe von Berichten über einen längeren Zeitraum zu beobachten. So stellen Sie sicher, dass alle Sonderfälle bekannt sind bevor der Einsatz von reject stattfindet.
DMARC-Berichte
Die Auswertung von DMARC-Berichten hilft Ihnen bei der Optimierung Ihrer Richtlinien. Dazu benötigen Sie lediglich ein separates Postfach. Sobald dieses in der entsprechenden Richtlinie angeben ist, sollten Sie dort Berichte empfangen. Liegen diese vor, empfehlen wir das Aggregieren mit Hilfe von Analyse-Tools (z. B. dmarcian oder DMARC Advisor). Diese sind spezialisiert auf DMARC-Parameter und veranschaulichen Verbesserungspotenziale erheblich.