Montag, 30. September 2024

Vertrauen in den Emailabsender verbessern

vor allem große Freemail Provider verschärfen systematisch die Regeln welche Post sie noch annehmen und welche sie verweigern. Die Devise lautet: SPAM gar nicht erst annehmen und dann filtern, sondern die Annahme verweigern. Dazu muss der Absender authentifiziert werden. Es gibt drei Methoden zur Erhöhung der Email Sicherheit: SPF, DKIM, DMARC. 

Der Artikel hat erstmal nur den Status: Notizzettel.

In den letzten Jahren gab es bisher die offenbar folgenden Stufen (Quelle):

  1. seit März 2023 ist für die Sendung an gmail.com ein spf oder dkim Record notwendig
  2. seit Anfang 2024 (oder auch schon länger) ist ein dmarc Record notwendig.

Google selbst schreibt es hier noch exakter. Achtung da steht immer das es Massenmails betrifft! Je nach persönlicher Situation liegt es nicht an der eigenen Domain, sondern an der gemeinsamen Nutzung des Mailservers beim Provider!?

Das Problem bei der "Fehlersuche" ist: der Absender versteht den Unzustellbarkeitsbericht nicht und es wird nicht jede Email abgewiesen, sondern offenbar "zufällig" immer mal. Google war dabei offenbar immer Vorreiter, web.de, gmx, yahoo und offenbar auch t-online ziehen nach.

Hinweis beim Absender (Beispiel): Unzustellbar ... 554 5.7.1 Spam message rejected.

Rein technisch handelt es sich für den Absender bei spf und dmarc lediglich um dns Records, bei dkim sendet der Mailserver eine Signatur. Ich habe hier ne ganz gute Erklärung des Themas gefunden.

Ich verwende das Online-Tool mxtoolbox um die Richtigkeit der Einstellung zu prüfen. Auch easydmarc hat gute Tools.

Was ist zu tun?

In jedem Fall: den Admin bitten einen spf und dmarc Record zu setzen.

Falls der Mailserver selbst betrieben wird: DKIM einrichten (Beispiel

Beispiel SPF (Bedeutung der Felder): 

Hostname @ "v=spf1 include:_spf-eu.ionos.com ~all"

Beispiel DMARC (Bedeutung der Felder)

Hostname _dmarc "v=DMARC1;p=reject;pct=100"

Hostname _dmarc "v=DMARC1;p=none"

Falls der Provider irgendwann DKIM eingeführt hat, aber die DNS Einträge nicht erweitert wurden:

Die DKIM Records eintragen, siehe hier

Keine Kommentare:

Kommentar veröffentlichen