Verschicke E-Mails an Posteingänge, nicht an Spam-Ordner

Du hast einen erfolgreichen Newsletter, lädst Kund:innen immer wieder zu Veranstaltungen ein, machst Werbung für deine Produkte in einem Webshop, oder hast eine Software die ihre Benutzer:innen über Benachrichtigungen am Laufenden hält? Dann hast du bestes Interesse, dass diese E-Mails im Posteingang der Benutzer:innen landet.

Dazu kommt, dass Google und Yahoo ihre Spamrichtlinien im Februar 2024 verschärfen.

Im ersten Schritt sind bei den Verschärfungen von Google und Yahoo Sender mit 500.000 E-Mails oder mehr betroffen. Aber generell kannst du mit folgenden Tipps den Spamscore deiner E-Mails reduzieren.

Welche Anforderungen bringen die neuen Richtlinien?

  • Absender von E-Mails müssen Authentication für ihre Domain implementiert haben und eine Richtlinie angeben, wie mit Nachrichten umgegangen werden soll, deren Authentication fehlschlägt
  • 1-Klick Abmeldung muss möglich sein
  • Gemeldeter Spam sollte unter 0,10% bleiben und 0,30% nie übersteigen

Was ist Authentication für E-Mails?

Durch Authentication-Protokolle für E-Mails wird sichergestellt, dass E-Mails vertrauenswürdiger sind. Es gibt zwei Protokolle, die hier wesentlich sind:

  • Sender Policy Framework (SPF)
  • Domain Keys Identified Mail (DKIM)

Vereinfacht gesagt erlauben es diese beiden Protokolle im Tandem dem empfangenden E-Mail-Server sicherzustellen, dass der sendende Server ein Server unter dem Einflussbereich des Domaininhabers ist und dass der ausgehende Server die E-Mail selbst versendet hat, was er durch eine Signatur bestätigt.

Das Problem dieser beiden Protokolle ist, dass der empfangende Server selbst entscheidet, wie er mit einer E-Mail umgeht, die diesen Kriterien nicht entspricht.

Fall 1: Der empfangende Server lässt die E-Mail durch. Im ersten Blick ein Vorteil für den Versender. Aber was ist, wenn der Inhalt nicht vom Besitzer der versendenden Domain kommt? Die E-Mail enthält unerwünschte Nachrichten oder sogar schädigende Inhalte, der Empfänger ist genervt oder erleidet Schaden :imp:. Das bedeutet automatisch auch einen Schaden für denjenigen, der als Absender der E-Mail erscheint.

Fall 2: Der empfangende Server stellt die E-Mail als Spam zu. Der Empfänger sieht die Nachricht wahrscheinlich nie. Wenn es eine wichtige Information war, geht der Sender davon aus, dass die E-Mail empfangen wurde. Der Sender kann das Problem nicht identifizieren ohne mit dem Empfänger Kontakt zu haben.

Die hier fehlende Kontrolle für den Absender wird über eine eigene Richtlinie in “Domain-based Message Authentication, Reporting and Conformance”(DMARC) gesteuert.

Was wird über DMARC Richtlinien gesteuert?

Der Absender kann Empfängern einen Hinweis geben, wie mit E-Mails, die über SPF und DKIM nicht authentisiert werden konnten, umgegangen werden soll.

Es erlaubt eine Aktion zu definieren, die der empfangende E-Mail Server umsetzen soll, aber auch zu definieren, dass der empfangende E-Mail Server Fehlermeldungen zur Authentication an den Absender schickt.

Mögliche Aktionen, die der Absender definieren kann, sind:

  • none, der Empfänger soll diese Email also zustellen. Dadurch kann der Absender bei Einrichtung der Richtlinie erst mal Reports bekommen, ohne das die Zustellung weiter eingeschränkt wird.
  • quarantine, der Empfänger soll die E-Mail als Spam-Nachricht behandeln
  • reject, der Empfänger soll die Nachricht aktiv ablehnen

Auf den ersten Blick macht es vielleicht wenig Sinn, die Richtlinie nicht auf none zu setzen. Schließlich möchte ich, dass meine E-Mails zugestellt werden. Allerdings ist der Blickwinkel falsch: Ich habe hohe Sicherheit, dass meine E-Mails korrekt über SPF und DKIM authentisiert sind. Ich möchte daher, dass meine Kund:innen E-Mails, die nicht von mir stammen aber vielleicht so wirken, auch ablehnen.

Sollte ich trotzdem mal einen Fehler in der Konfiguration haben oder andere Gründe zur Ablehnung meiner E-Mails durch den Empfänger führen, kann ich auch definieren, dass mir der Empfänger Nachrichten mit dem Grund für das Ablehnen der E-Mails zustellen soll. Damit wird es einfacher, Probleme in der eigenen E-Mail Konfiguration oder E-Mails selbst zu lösen.

Was hat die neue Versenderichtlinie mit DMARC-Richtlinien zu tun?

Zusätzlich zur Authentication verlangt die neue Versenderichtlinie von Google und Yahoo jetzt, dass Absender eine DMARC-Richtlinie festlegen.

Für große Unternehmen kann die Identifikation aller E-Mail Server ein Problem sein, so dass hier eine schrittweise Implementierung empfehlenswert ist.

Für kleine Unternehmen ist es oft klar, woher E-Mails verschickt werden, so dass diese schnell auf eine strikte DMARC-Richtlinie mit Quarantäne oder Ablehnung umstellen können.

Und eines ist klar, auch wenn die Versenderichtlinie derzeit nicht definiert, dass hier eine strikte Richtlinie angewendet werden muss, ist es im Sinn aller diese früher oder später umzusetzen.

Soll ich DMARC-Richtlinien einsetzen, wenn ich nicht unter die neue Versenderichtlinie falle?

Die Umsetzung einer strikten DMARC-Richtlinie reduziert die Wahrscheinlichkeit, dass deine E-Mails als Spam klassifiziert werden, da du damit sicherstellst, dass andere sich nicht als deine Organisation ausgeben können.

Zusätzlich ermöglicht dir das Reporting per DMARC Fehlerquellen bei der Aussendung von E-Mails zu identifizieren und ohne der Unterstützung von Empfängern zu beheben.

Wie kann ich sinnvoll mit den Mengen an Reports umgehen?

DMARC-Reports werden per E-Mail an den Absender übermittelt. Diese werden als XML-Dateien aggregiert vom jeweiligen Servern (in der Regel im Abstand von einem Tag) übermittelt. Auch wenn diese Dateien mit ein wenig Einarbeitung leicht verständlich sein, kann die Menge dann doch schnell unübersichtlich werden.

Services die Helfen

Services, die diese Nachrichten aufbereiten, können ein Ausweg sein. Zur Einrichtung aller Services wird der Zugriff auf den eigenen DNS Server benötigt. Etwas Know-How zu DNS kann auch nicht schaden, auch wenn die getesteten Services sehr gut bei der Einrichtung unterstützen. Hier eine Auswahl an Services die unterstützen:

URIports

Uri Ports Ansicht eines DMARC Reports im Detail

URIports ist ein europäisches Service, das dabei unterstützt E-Mail Reports, aber auch Website Reports, zu verarbeiten.

Nach der Anmeldung wird man in einem kurzen Prozess durch die notwendige Konfiguration des eigenen DNS-Servers geführt. Zur Einrichtung der Richtlinie bekommt man die benötigten Konfigurationen angezeigt. Der Dienst fügt dabei seine eigene Konfiguration hinzu und belässt bestehende Konfigurationen (z.B. für ein Postfach) wie sie vorher waren.

In regelmäßigen Abständen wird überprüft, ob die Konfiguration gültig ist, und Änderungen an der Konfiguration wird dokumentiert.

URIPorts DNS Monitor - zeigt die Änderung eines DNS Eintrages für DMARC mit vorherigem Wert und aktuellen Wert

Vorteile

  • Ergänzt bestehende DMARC-Einstellungen
  • Übersicht über e-mail-relevante DNS-Änderungen im DNS-Monitor
  • Hosting in :eu: (geprüft am 10.01.2024)

Nachteile

  • Benachrichtigungen über Probleme kann nur über E-Mail und Telegram konfiguriert werden (z.B. Slack, Microsoft Teams, Google Chat fehlen)

EasyDMARC

EasyDMARC - Dashboard Ansicht

EasyDMARC bietet eine einfache Konfiguration der DMAR-Richtlinie zusammen mit einfachen Reports und erweiterten Tools an.

Die Einrichtung kann dabei durch einen direkten Verweis auf eine EasyDMARC DNS-Adresse durchgeführt werden. Auch wenn hier trotzdem zu Beginn ein Eintrag im eigenen DNS angelegt werden muss, können alle weiteren Konfigurationen direkt über EasyDMARC erfolgen.

Vorteile

  • Einfachere Einrichtung durch Managed DMARC
  • Einfache UI

Nachteile

  • Die Standardeinstellung ersetzt deine bestehende DMARC-Konfiguration
  • Benachrichtigungen (in Form von Alerts) nur über E-Mail möglich

Referenzen