E-Mail-Authentifizierung

Die Internet-Service-Provider (ISP) treffen in der Regel umfangreiche Vorkehrungen, um ihre Netzwerke vor Spam zu schützen. Das wird allerdings zunehmend schwieriger, weil Spammer immer neue Techniken anwenden, um ihre unerwünschten Werbebotschaften an den Spam-Filtern und den Schwarzen Listen (Blacklists) vorbeizuschleusen.

Eine oft angewendete Technik der Spammer ist das sogenannte E-Mail-Forging. Damit wollen Spammer die Herkunft ihrer E-Mails verschleiern. Die ISP treten dem mit verschiedenen Methoden der E-Mail-Authentifizierung entgegen. Mithilfe dieser Methoden versuchen sie festzustellen, ob eine eingehende E-Mail tatsächlich von dem Versender stammt, der als Absender in der E-Mail genannt ist.

Im Lauf der Zeit haben sich die drei folgenden Methoden zur E-Mail-Authentifizierung herauskristallisiert:

  • Sender Policy Framework (SPF)
  • Sender ID
  • DomainKeys und DomainKey Identified Mail (DKIM)

Der wesentliche Punkt für Sie als unser Kunde von Klick-Tipp ist, dass wir in unseren Servern SPF, Sender ID und DomainKeys/DKIM vollständig implementiert haben. Unsere DNS enthält alle für den Einsatz dieser Methoden notwendigen Angaben, und in jeder ausgehenden E-Mail – Follow-up-E-Mail und Newsletter – fügen wir digitale Signaturen ein, mit denen die ISP unsere E-Mails auch nach den DomainKeys/DKIM-Verfahren authentifizieren können. (DNS steht für Domain Name System. Darunter versteht man eine verteilte Datenbank, die den Namensraum im Internet verwaltet.)

Technisch interessierten Kunden möchten wir im Folgenden die wichtigsten Informationen zu diesen Methoden vorstellen. Wir haben versucht, diesen Beitrag so verständlich wie möglich zu halten. Das war nicht immer einfach, denn die Methoden zur E-Mail-Authentifizierung sind per se technisch anspruchsvoll.

Sender Policy Framework (SPF)

Bei der Authentifizierung mithilfe von SPF wird in der DNS einer Domain ein sogenannter Resource Record mit Informationen darüber abgelegt, welche Server für die besagte Domain E-Mails versenden dürfen. Der ISP des Empfängers überprüft, ob die E-Mail von einem Server versendet wurde, der im Resource Record der DNS der Versanddomain enthalten ist. Wenn in der DNS kein Resource Record vorhanden ist oder wenn die E-Mail von einem Server versendet wurde, der nicht im Resource Record der DNS der Versanddomain aufgeführt ist, dann stellen die meisten ISP die E-Mail nicht zu.

Zu den bekanntesten ISP, die SPF verwenden, zählen AOL, Arcor, GMX, Google Mail sowie Hotmail. Alle modernen Spamfilter nutzen die Authentifizierung nach der SPF-Methode zur Bewertung eingehender E-Mails.

Sender ID

Sender ID ist eine von Microsoft entwickelte Methode zur E-Mail-Authentifizierung. Sie funktioniert nach einem ähnlichen Prinzip wie SPF.

Sender ID erweitert die DNS der Versanddomain um Angaben zu den IP-Adressen der Mailserver, die für die besagte Domain E-Mails versenden dürfen. Der Mailserver des Empfängers stellt eine Anfrage an den für die Absenderdomain zuständigen DNS-Server. Dabei wird über einen speziellen Algorithmus die sogenannte Purported Responsible Address (PRA) einer E-Mail ermittelt. Dieser Schlüssel wird mit der offiziellen Sender ID aus der DNS verglichen. Stimmen PRA und Sender ID nicht überein, so gilt dies als starkes Indiz dafür, dass es sich um eine Spam-E-Mail mit gefälschter Absenderadresse handelt.

Sender ID ist insbesondere für den Versand an Adressaten wichtig, die die Microsoft-Dienste Hotmail, MSN und Windows Live Mail nutzen. E-Mails, die nicht ordnungsgemäß mit Sender ID gekennzeichnet sind, werden von diesen Diensten in der Regel umgehend in die Spam-Verzeichnisse verschoben (sofern sie überhaupt bis dorthin gelangen).

DomainKeys und DomainKey Identified Mail (DKIM)

Hierbei handelt es sich um spezielle Identifikationsprotokolle zur Authentifizierung von E-Mail-Versendern. Beide Protokolle funktionieren nach dem Prinzip der sogenannten asymmetrischen Verschlüsselung.

Der Inhaber einer Website, der ausgehende E-Mails mithilfe von DomainKeys/DKIM unterzeichnen möchte, muss zwei korrespondierende Schlüssel erstellen. Der erste Schlüssel wird in der DNS der Domain veröffentlicht (Public Key). Der zweite Schlüssel ist nur dem Versender bekannt (Private Key). Die Nachricht wird mithilfe des Private Key verschlüsselt. Die Ergebnisse dieser Verschlüsselung werden beim Versand als digitale Signatur in den Header der E-Mail geschrieben.

Die digitale Signatur kann nur mithilfe des Public Keys aus der DNS wieder entschlüsselt werden. Nur dann, wenn die Nachricht von dem rechtmäßigen Inhaber der Domain stammt und auf dem Weg zum Empfänger nicht verändert wurde, stimmen die entschlüsselten Werte überein.

Der Mailserver des ISP kann mithilfe von DomainKeys/DKIM sicher nachprüfen, ob die E-Mail tatsächlich von einem Server der Domain aus der E-Mail-Versandadresse stammt und ob diese E-Mail auf dem Weg zum Empfänger verändert wurde. Es ist kaum möglich, die Herkunft einer E-Mail, die mit DomainKeys/DKIM signiert wurde, zu verschleiern.

Yahoo! hat wesentlich zur Verbreitung dieser Verfahren beigetragen. Daher werden DomainKeys/DKIM insbesondere von Yahoo! Mail, aber auch von AOL, Google Mail und vielen anderen ISP verwendet.

* * * * *

Sind SPF, Sender ID und DomainKeys/DKIM für Sie noch immer böhmische Dörfer? Macht nichts. Sie als unser Kunde können darauf vertrauen, dass alle E-Mails, die Sie über unser System an Ihre Adressaten versenden, von den ISP mithilfe von SPF, Sender ID und DomainKeys/DKIM korrekt authentifiziert werden können. Wir haben diese Methoden vollständig auf unseren Mailservern implementiert.

Haben Sie Fragen zu unserer E-Mail-Authentifizierung?

Senden Sie uns Ihre Anfrage über unser Kontaktformular. Unsere Kundenbetreuung freut sich darauf, von Ihnen zu hören.

War dieser Artikel hilfreich?