+49 (0)4284 927 838
office@daschub.de
Menu

SPF-, DKIM- und DMARC E-Mail-Authentifizierung

E-Mail-Authentifizierung schützt vor Angriffen, bei denen die Identität vertrauenswürdiger Sender vorgegaukelt wird.

Quelle: Franz Tertsch Datenschutzmanagement 2024

Damit schützen die SPF-, DKIM- und DMARC Protokolle vorallem bei Spoofing und Phishing. Gleichzeitig werden Sie durch den einsatz diese Protokolle zur E-Mail-Authentifizierung als sicherer Absender erkannt. Die Authentifizierung Ihrer ausgehenden E-Mail bestätigt einem Internet Service Provider (ISP), dass eine Nachricht tatsächlich von Ihrem Unternehmen stammt oder in Ihrem Namen von einem autorisierten Drittanbieter gesendet wurde.

Um sicherzustellen, dass Versender einer E-Mail keine fremde Identität vortäuscht, wird bei immer mehr E-Mail-Postfachanbietern im ersten Schritt der Absender authentifiziert. Dazu werden der versendende Mail-Server und Absender- und Antwortadressen analysiert. Die Identität der Versender wird dabei durch unterschiedliche Authentifizierungsverfahren geprüft. Zurzeit werden hierzu die Protokolle das SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) und DMARC (Domain-based Message Authentication, Reporting, and Conformance) zur eindeutigen Identifizierung verwendet.

Kann DMARC funktionieren, wenn DKIM oder SPF fehlschlägt?

Ja, wenn E-Mails sowohl mit SPF- als auch mit DKIM-Mechanismen abgeglichen werden, muss nur eine der beiden Prüfungen bestanden werden (entweder SPF oder DKIM), um auch DMARC zu bestehen. Wenn sich Ihr DMARC-Abgleich jedoch nur auf die SPF- oder DKIM-Authentifizierung stützt, schlägt DMARC fehl, wenn SPF oder DKIM fehlschlägt.

Wie Sie sehen macht es nur Sinn wenn alle drei Authentifizierungsverfahren, also SPF-, DKIM- und DMARC-Einträge im Domain-Name-System (DNS) eingetragen werden.

 

Ist der Einsatz der SPF, DKIM und DMARC Protokolle Pflicht?

Ja, der Einsatz von Authentifizierungsverfahren beim E-Mail-Versand ist laut der DS-GVO Pflicht!

Art. 25 Abs. 1 der DS-GVO – Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen:

“Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen”.

 

Die Technische Richtlinie „E-Mail-Authentifizierung“ (BSI TR-03182)

Konzeptionelle Übersicht von BSI TR-03108 und BSI TR-03182Um E-Mail Empfänger wirksam vor Identitätsmissbrauch zu schützen sind laut BSI die gängigen Authentifizierungsmaßnahmen zu implementieren.

Quelle: BSI

Lesen sie mehr hierzu auf der Seite des BSI


Welches Authentifizierungsverfahren sollte verwendet werden?

Die SPF- und DKIM-Protokolle dienen beide dem Schutz vor unbefugter Nutzung. Sie funktionieren unabhängig voneinander.

Dabei kann jeder Empfänger mit einer fehlgeschlagenen Nachricht anders umgehen. So kann der Empfänger die Nachricht direkt in den Junk-Ordner umleiten, oder zusätzliche Tests durchführen. Sie als Absender werden dabei immer ins Ungewisse gelassen, ob Ihre E-Mail akzeptiert wurde.


Durch Hinzufügen eines DMARC-Eintrags zum DNS können Sie bestimmte Regeln für eingehende E-Mails festlegen:

  • Quarantäne,
  • Zurückweisen,
  • Durchlassen.

Außerdem können Sie mit Hilfe des DMARC Protokolls ein Bericht erhalten, wenn die von ihnen gesendete E-Mail nicht akzeptiert wird.


Viele E-Mail-Postfachanbietern verwenden alle drei Authentifizierungsverfahren, also SPF-, DKIM- und DMARC-Einträge im DNS. Auch aus diesem Grund sollten Sie alle drei Authentifizierungsverfahren an Ihrem Domain-Name-System (DNS) hinzufügen.

 

Protokolle zur E-Mail-Authentifizierung

SPF- DKIM- und DMARC E-Mail-Authentifizierung – Was ist was

SPF (Sender Policy Framework):

Die SPF-Signatur ist eine digitale Signatur, die der Identifizierung des Absenders dient. Es ermöglicht dem Empfänger, zu prüfen, ob eine E-Mail von einem autorisierten Server gesendet wurde. SPF funktioniert durch die Definition von Regeln in den DNS-Einträgen des Domäneninhabers, die angeben, welche Server berechtigt sind, E-Mails im Namen der Domäne zu senden. Wenn eine E-Mail von einem Server gesendet wird, der nicht in den SPF-Einträgen der Domäne aufgeführt ist, kann der Empfänger dies erkennen und die E-Mail möglicherweise als Spam oder betrügerisch markieren.

DKIM (DomainKeys Identified Mail):

DKIM ist ein weiteres Verfahren zur E-Mail-Authentifizierung. Es funktioniert durch das Hinzufügen einer digitalen Signatur zu jeder ausgehenden E-Mail-Nachricht. Diese Signatur wird mit einem privaten Schlüssel erstellt, der nur dem Absender bekannt ist, und kann vom Empfänger mit einem öffentlichen Schlüssel verifiziert werden, der im DNS-Eintrag der Domäne des Absenders hinterlegt ist. DKIM hilft dabei, die Integrität der E-Mail zu überprüfen und sicherzustellen, dass sie tatsächlich von der angegebenen Domäne stammt und unterwegs nicht verändert wurde.

DMARC (Domain-based Message Authentication, Reporting, and Conformance):

DMARC baut auf SPF und DKIM auf und dient dazu die den Domaininhabern, festzulegen, wie die E-Mail-Systeme der Empfänger mit E-Mails umgehen sollen, die nicht den SPF- und DKIM-Anforderungen entsprechen.

Nicht authentifizierten E-Mails werden durch vom Domaininhaber festgelegte Regeln gelöscht, zurückgewiesen oder in den Spam-Ordner verschoben. Darüber hinaus kann der Empfänger den Domain-Inhaber des Mail-Absenders über den Missbrauch und die Probleme mit der Authentifizierung informieren.

DMARC hilft zusammen mit SPF und DKIM, Spoofing-Angriffe und Phishing-Versuche zu reduzieren, indem es es schwieriger macht, gefälschte E-Mails im Namen einer bestimmten Domain zu senden.

 

Wo kann ich prüfen ob die Authentifizierungsverfahren bei mir bereits eingesetzt werden?

Sie können hier prüfen ob die Authentifizierungsverfahren bereits eingesetzt wird. Bitte beachten Sie auch ob alle drei Verfahren eingesetzt werden.

 

Ist der Einsatz der SPF, DKIM und DMARC Protokolle kostenfrei.

Ja, prinzipiell ist der Einsatz ist kostenlos, allerdings benötigen Sie etwas technisches Know-how, um den DNS-Server einzurichten und zu verwalten.

Es gibt aber auch Unternehmen die dabei behilflich sind, die Protokolle für Sie in dem zu Ihre Domain gehörender Domain-Name-System (DNS) zu implementieren. Oftmals sind diese Leistungen nicht kostenfrei und beinhalten in der Regel ein Abonnement.

 

Und was ist mit BIMI?

Brand Indicators for Message Identification, kurz BIMI, ist ein neuer Standard welches Organisationen ermöglicht, ihre eingetragenen Markenlogos in ausgehenden E-Mails gemäß den BIMI-Richtlinien anzuzeigen.

Dieser Standard ist zurzeit (03.2024) noch nicht “Stand der Technik” und fällt somit nicht unter Art. 25 Abs. 1 der DSGVO – Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen. Da es sich bei BIMI eher um eine vertrauenweckende Maßnahme, handelt – also im Bereich Marketing – , wird es möglicherweise zukünftig keine Pflicht zu der Verwendung geben.

 

Fazit:

SPF- DKIM- und DMARC E-Mail-Authentifizierung sind Mechanismen, die im Zusammenhang mit der Authentifizierung der E-Mail Absendern stehen und dazu dienen, die Sicherheit von E-Mails zu verbessern, indem sie deren Authentizität überprüfen.

Der Einsatz dieser Protokolle ist gemäß Art. 25 Abs. 1 der DS-GVO pflicht!

 

DPM-Online

Hinweis:

Datenschutzberatung und -assistenzEine Datenschutzberatung durch mich ersetzt nicht die Rechtsberatung durch einen Juristen, denn auch ein zertifizierter Datenschutzbeauftragter und -auditor (TÜV), der laut DS-GVO eine beratende Funktion hat, ist kein Fachanwalt.

Sobald eine Rechtsberatung erforderlich oder gewünscht wird, stelle ich in Absprache mit Ihnen ein Expertenteam zusammen.