Logo
1

Was ist E-Mail-Authentifizierung? Ein Blick auf die gängigsten Methoden

Author

18 Jan. 2023

Robert Brandl

Email Autentication

Bei der E-Mail-Authentifizierung wird die Identität eines E-Mail-Absenders überprüft. Dadurch möchte man sicherstellen, dass die E-Mail von einer vertrauenswürdigen Quelle stammt und nicht von einem Spammer oder Phisher.

Dies trägt dazu bei, die Zustellbarkeit Ihrer E-Mails zu verbessern. Denn wenn Sie keine Authentifizierungsmethoden verwenden, steigt die Wahrscheinlichkeit, dass Ihre E-Mails und Newsletter im Spam landen.

Lassen Sie uns nun die verschiedenen Methoden der E-Mail-Authentifizierung anschauen.

Warum ist E-Mail-Authentifizierung überhaupt ein Thema?

Das Hauptproblem bei E-Mails ist, dass es sich um ein offenes Protokoll handelt. Das ermöglicht es Spammern, E-Mail-Adressen zu verwenden, die ihnen nicht gehören.

So habe ich es beispielsweise einmal geschafft, eine E-Mail mit der Absenderadresse barack.obama@whitehouse.gov zu senden. Das war natürlich nur ein Test für mich selbst.

email spoofing examples

Denn wenn Sie sich für ein Konto bei einem seriösen Newsletter-Tool anmelden, müssen Sie als allererstes Ihre E-Mail-Adresse bestätigen.

Auf diese Weise wissen CleverReach, Mailchimp etc., dass Sie ein berechtigter Absender sind (also vielleicht nicht in jedem Fall, aber zumindest können Sie unter der Domain Ihres Unternehmens auf E-Mails zugreifen). Manchmal werden sie Sie auch gebeten, den Besitz der Domain zu bestätigen, indem sie einen Eintrag im DNS hinzufügen.

Was bedeutet DNS?

DNS steht für Domain Name System. Es ist ein System, das von Menschen lesbare Domains (z. B. www.google.com) in computerlesbare IP-Adressen umwandelt. Ohne dieses System wäre es sehr schwierig, im Internet zu surfen und E-Mails zu versenden. DNS-Server sind so etwas wie die Telefonbücher des Internets: Sie führen ein Verzeichnis der Domänennamen und übersetzen sie auf Anfrage in IP-Adressen.

Jeder Inhaber einer Domain hat über das Konto des Domain-Registrars (z. B. IONOS oder GoDaddy) Zugriff auf das DNS seiner Domäne. Sobald Sie eingeloggt sind, können Sie Ihre DNS-Einträge bearbeiten. Zu den üblichen DNS-Einträgen gehören A-Einträge, die einen Domänennamen einer IP-Adresse zuordnen, und MX-Einträge, die einen Domänennamen einem E-Mail-Server zuordnen.

Aber es gibt noch andere Möglichkeiten als die Verwendung legitimer Newsletter-Tools zum Versenden von E-Mails – dunkle Orte, in denen man Sie nicht um die Bestätigung Ihrer E-Mail-Adresse bittet, solange Sie nur genug Bargeld oder Bitcoin hinlegen.

Leider ist es immer noch ein gutes Geschäft, Phishing-Betrug und andere bösartige E-Mails zu verschicken. Und genau um das zu verhindern, gibt es folgende vier Authentifizierungsmethoden.

Die wichtigsten Authentifizierungsmethoden im E-Mail Marketing

Dies sind die gängigsten Methoden:

  • SPF (Sender Policy Framework)
  • DKIM (DomainKeys Identified Mail)
  • DMARC (Domain-based Message Authentication, Reporting & Conformance)
  • BIMI (Brand Indicators for Message Identification)

Schauen wir uns jede dieser Methoden genauer an.

1. Sender Policy Framework (SPF)

Die grundlegendste Form der E-Mail-Authentifizierung ist das Sender Policy Framework (SPF). Mit SPF können Sie festlegen, welche E-Mail-Server E-Mails im Namen Ihrer Domain versenden dürfen.

Um die SPF-Authentifizierung einzurichten, müssen Sie einen TXT-Eintrag zu Ihren DNS-Einstellungen hinzufügen. Dieser TXT-Eintrag enthält eine Liste von Servernamen oder IP-Adressen, die berechtigt sind, E-Mails für Ihrer Domain zu versenden.

Kommt eine E-Mail von einem Mailserver, der nicht auf dieser Liste steht, wird sie die SPF-Prüfung nicht bestehen. Dadurch steigt die Wahrscheinlichkeit, dass sie in den Spam-Order rutscht. Aus diesem Grunde ist es essenziell, alle die von Ihnen genutzten Dienste hinzuzufügen. In unserem Falle versenden wir etwa E-Mails über Google Workspace und Mailchimp.

Hier ist ein Beispiel für einen SPF-Eintrag:

"v=spf1 mx a include:_spf.google.com include:servers.mcsv.net ~all"

Das mcsv.net kommt übrigens von Mailchimp.

Dieser SPF-Eintrag ermöglicht es unter anderem dem Mailserver von google.com, E-Mails in unserem Namen zu versenden. Wir verwenden diesen SPF-Eintrag, weil wir Google Workspace-Kunden sind. Indem wir ihn für unseren tooltester.com-Domainnamen einrichten, teilen wir Mailbox-Anbietern wie Outlook und GMX mit, dass es für die Google-Server in gestattet ist, E-Mails für unsere Tooltester-E-Mail-Adressen zu versenden.

Und da wir auch E-Mails über Mailchimp versenden, haben wir einen weiteren „include“-Eintrag, der angibt, dass servers.mcsv.net ebenfalls in unserem Namen versenden darf.

Die SPF-Authentifizierung ist nicht die sicherste Methode, um zu verhindern, dass Ihre Domain von Betrügern verwendet wird. Denn jeder kann Ihre SPF-Einträge einsehen und versuchen, die zugelassenen Server (in unserem Fall Google) zu verwenden. In diesem speziellen Fall würde Google jedoch niemandem erlauben, den Domainnamen tooltester.com in seinem Google Workspace-Konto einzurichten.

2. DomainKeys Identified Mail (DKIM)

Hierbei handelt es sich um eine erweiterte Form der E-Mail-Authentifizierung, bei der kryptografische Signaturen verwendet werden, um die Echtheit einer E-Mail zu überprüfen.

Wenn Sie eine DKIM-Signatur einrichten, müssen Sie ein öffentliches und ein privates Schlüsselpaar erzeugen. Der private Schlüssel wird verwendet, um jede ausgehende E-Mail zu signieren, und der öffentliche Schlüssel wird in Ihren DNS-Einträgen veröffentlicht.

Wenn eine E-Mail am Zielort ankommt, kann der empfangende Server anhand des öffentlichen Schlüssels überprüfen, ob die Signatur der E-Mail mit dem privaten Schlüssel übereinstimmt und ob die E-Mail nicht manipuliert wurde.

Wenn die Signatur nicht übereinstimmt oder die Nachricht tatsächlich manipuliert wurde, schlägt DKIM fehl und die E-Mail wird mit größerer Wahrscheinlichkeit als Spam markiert.

Hier ist ein Beispiel für einen DKIM-Datensatz von CleverReach (gekürzt), mit dem wir die Ergebnisse unserer Zustellbarkeitstests versenden:

v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQChAJ81XPjt2J32Pe4zJ3OlybuYDT5
fiG7PQWIEqeUtrrr3zSQH0Pn93Hc0JPlBocz/LD8APuEGZXmvQWGNBxQt1FT3erSFTbCht9vdsC+Rn5Vii5MLi
Tcel949t4RoRpAdg8ShbwT+iyM1VwJi6s8uQIDAQAB

Mithilfe dieses Eintrags im tooltester.com-DNS, kann CleverReach in unserem Namen E-Mails versenden. Im Grunde ist die DKIM-Authentifizierung der SPF-Authentifizierung sehr ähnlich, aber sicherer, da hier zusätzlich ein privater Schlüssel verwendet wird.

3. Domain-based Message Authentication, Reporting & Conformance (DMARC)

Dies ist die fortschrittlichste und sicherste Form der E-Mail-Authentifizierung. DMARC baut auf SPF und DKIM auf und fügt ein paar weitere Funktionen hinzu.

Mit DMARC können Sie festlegen, was getan werden soll, wenn eine E-Mail die SPF- oder DKIM-Prüfung nicht besteht. Sie können wählen, ob die E-Mail abgelehnt oder in den Spam-Ordner verschoben werden soll. Es gibt auch eine „none“-Policy, die besagt, dass die E-Mail normal zugestellt wird, der DMARC-Eintrag aber dennoch Daten über fehlgeschlagene Authentifizierungsversuche sammelt.

Mit DMARC können Sie auch eine E-Mail-Weiterleitung einrichten, so dass Sie Berichte über fehlgeschlagene Authentifizierungsversuche erhalten können. Sollten Ihre E-Mails nicht zugestellt werden, können diese Berichte bei der Fehlersuche hilfreich sein.

Hier ist ein Beispiel für einen DMARC-Datensatz:

v=DMARC1; p=quarantine; rua=mailto:dmarc_reports@tooltester.com

Dieser DMARC-Eintrag ist auf die „quarantine“-Richtlinie (Quarantäne) eingestellt, was bedeutet, dass E-Mails, die die SPF- oder DKIM-Prüfungen nicht bestehen, an den Spam-Ordner weitergeleitet werden. Das „rua“-Tag gibt an, wohin DMARC-Berichte gesendet werden sollen.

Ein Beispiel:

Wenn ein Spammer versucht, E-Mails mit einer @tooltester.com-E-Mail-Adresse zu versenden, wird sowohl SPF als auch DKIM fehlschlagen. Der DMARC-Eintrag gibt an, dass solche E-Mails in den Spam-Ordner des Empfängers gelangen sollten.

4. Brand Indicators for Message Identification (BIMI)

Dies ist ein neuer Standard, der noch nicht sehr weit verbreitet ist. Dennoch ist er aber vielversprechend. BIMI ermöglicht es Ihnen, Ihr Markenlogo in die Kopfzeile Ihrer E-Mails einzufügen, so dass die Empfänger auf einen Blick erkennen können, dass die E-Mail von Ihnen stammt.

Dies dient teils der Sicherheit, teils dem Marketing. Die Idee dahinter ist, dass die Empfänger, wenn sie Ihr Logo in ihrem E-Mail-Programm sehen, der E-Mail eher vertrauen und sie weniger wahrscheinlich als Spam markieren.

Um BIMI einzurichten, müssen Sie ein Validierungszertifikat erstellen und es in Ihren DNS-Einträgen veröffentlichen. Außerdem benötigen Sie eine verifizierte Absenderdomain und einen veröffentlichten DMARC-Eintrag.

Beispiel für einen BIMI-Eintrag:

bimi._domainkey.tooltester.com IN TXT "v=BIMI1; l=https://www.tooltester.com/images/logo.png;"

Dieser Datensatz gibt die Position des Markenlogos an, das für BIMI verwendet werden soll.

Sobald BIMI eingerichtet ist, wird Ihr Logo neben Ihrer E-Mail im Posteingang des Empfängers erscheinen:

deliverability newsletter

So können Sie schnell prüfen, ob eine E-Mail SPF, DKIM und DMARC erfüllt

Der einfachste Weg zu prüfen, ob eine E-Mail SPF erfüllt, ist, die E-Mail in Google Mail zu öffnen, auf die drei Punkte zu klicken und dann „Original anzeigen“ auszuwählen. Sie sehen dann eine Analyse für SPF, DKIM und DMARC als Teil des E-Mail-Headers:

gmail email header

So richten Sie die E-Mail-Authentifizierung ein

Um eine der E-Mail-Authentifizierungsmethoden einzurichten, müssen Sie Zugriff auf die DNS-Einträge Ihrer Domain haben. Jeder Inhaber eines Domainnamens hat über die Weboberfläche seines Registrars (z.B. IONOS, Namecheap usw.) Zugang.

Der grundlegende Einrichtungsprozess ist sehr einfach:

1) Sobald Sie den Authentifizierungsdatensatz (SPF, DKIM usw.) von Ihrem Newsletter-Tool erhalten haben, greifen Sie auf das Backend Ihres Domain-Anbieters zu.

Sehen Sie sich hier das Beispiel von Namecheap an. Es befindet sich unter Advanced DNS:

namecheap advanced DNS

Dann fügen Sie einen neuen Eintrag hinzu. In diesem Fall ist es ein TXT-Eintrag für unsere SPF-Signatur:

namecheap DNS

Wenn Sie sich nicht sicher sind, was Sie tun sollen, ist es immer am besten, den Support zu fragen. Die meisten Webhosting-Unternehmen bieten Live-Chat-Support an und sind meiner Erfahrung nach sehr hilfreich.

Woher weiß ich, ob die Authentifizierung erfolgreich war?

Wenn Sie einen Newsletter-Dienst wie z.B. CleverReach nutzen, wird dies für Sie überprüft, wie Sie auf dem Screenshot sehen können:

cleverreach dkim

Zusätzliche Tipps für die Zustellung Ihrer E-Mails

Überwachen Sie die Zustellbarkeit Ihrer E-Mails

Verwenden Sie Monitoring-Tools wie Glockapps oder Mailtester, um die Zustellbarkeit Ihrer E-Mails zu überwachen. Diese geben Ihnen einen detaillierte Berichte und zeigen Ihnen, ob Ihre E-Mails zugestellt, gebounct oder als Spam markiert wurden. Sehen Sie sich diesen Beispielbericht von Glockapps an:

glockapps results

Glockapps zeigt Ihnen auch, ob Ihre E-Mails SPF, DKIM und DMARC bestehen. Dies ist sehr hilfreich bei der Fehlersuche, falls einige Ihrer E-Mails nicht zugestellt werden.

Verwenden Sie eine einheitliche Absenderadresse

Wechseln Sie nicht die Absender-Domain oder die E-Mail-Versandadresse. Verwenden Sie dieselbe E-Mail-Adresse, damit die Mailbox-Anbieter lernen, dass Ihre Empfänger Newsletter von dieser Adresse erhalten möchten. Außerdem können Sie Ihre Empfänger bitten, Ihre Absender-E-Mail-Adresse zu ihren Kontakten hinzuzufügen.

Senden Sie relevante und gezielte Inhalte

Je relevanter und zielgerichteter der Inhalt Ihrer E-Mail ist, desto unwahrscheinlicher ist es, dass sie als Spam eingestuft wird (im Idealfall ist das Gegenteil der Fall: Sie werden von den Empfängern als sichere Nachricht eingestuft, falls Sie jemals von einem Spamfilter erfasst werden). Verwenden Sie das Double-Opt-In-Verfahren, um sicherzustellen, dass die Personen, die sich anmelden, auch wirklich von Ihnen hören wollen.

Beginnen Sie ein Gespräch

Sind Sie auch manchmal genervt von noreply@company.com E-Mail-Adressen?

Ich verstehe, dass es nervig sein kann, wenn Leute auf Ihren Newsletter antworten, indem sie einfach auf die Schaltfläche „Antworten“ klicken. Das Gute daran ist jedoch, dass E-Mail-Anbieter (Gmail, Outlook usw.) dies als positives Zeichen dafür werten, dass die Leute Ihre E-Mails tatsächlich erhalten möchten.

Listenhygiene praktizieren

E-Mail-Listen, die nicht gut gepflegt werden, werden mit größerer Wahrscheinlichkeit als Spam eingestuft oder gar nicht zugestellt. Das bedeutet, dass Sie regelmäßig unzustellbare E-Mails, Abmeldungen und Personen, die sich nie mit Ihren E-Mails befassen, entfernen sollten. Es gibt auch zahlreiche E-Mail-Bereinigungsdienste (z. B. BriteVerify, QuickEmailVerification, MailerCheck), die Ihnen dabei helfen können.

Und zu guter Letzt, vergessen Sie nicht die Basics

Vermeiden Sie die Verwendung von spammigen Worten in Ihren E-Mail-Betreffzeilen, kaufen Sie keine E-Mail-Listen und versenden Sie nicht zu oft Newsletter.

Fazit: E-Mail-Authentifizierung

E-Mail-Authentifizierung ist kein Allheilmittel für den Erfolg des E-Mail-Marketings, aber sie ist ein wichtiges Puzzleteil.

Sie können auch direkt den nächsten Schritt gehen und BIMI einrichten. Dies kann helfen Ihre Zustellbarkeit weiter zu verbessern, indem es den Empfängern ein Markenlogo im Posteingang anzeigt.

Haben Sie noch Fragen zur E-Mail-Authentifizierung oder zur Zustellbarkeit im Allgemeinen? Lassen Sie es mich in den Kommentaren wissen!