So überprüfen Sie, ob Ihre E-Mail-Authentifizierung für DKIM, DMARC, SPF und BIMI korrekt eingerichtet ist

Wenn Sie große Mengen an Marketing-E-Mails versenden, ist es wahrscheinlich, dass Ihre E-Mails nicht in den Posteingang gelangen, wenn Sie Ihre E-Mail-Authentifizierung nicht konfiguriert haben. Wir arbeiten mit vielen Unternehmen zusammen und unterstützen sie bei der E-Mail-Migration, IP-Erwärmung und Zustellbarkeitsproblemen. Die meisten Unternehmen sind sich nicht einmal bewusst, dass sie ein Problem haben. Sie glauben, dass die Abonnenten einfach nicht mit ihren E-Mails interagieren.

Phishing

Dabei geht es vor allem um das wachsende Problem bösartiger und betrügerischer E-Mails Phishing E-Mails. Phishing ist ein Cyberangriff, bei dem Einzelpersonen oder Organisationen versuchen, Menschen dazu zu verleiten, vertrauliche Informationen wie Passwörter oder Kreditkartendaten preiszugeben, indem sie sich als vertrauenswürdige Unternehmen ausgeben. Dies geschieht in erster Linie per E-Mail. Der Angreifer sendet eine E-Mail, die scheinbar von einer legitimen Quelle stammt, und führt Sie dann zu einer Zielseite, bei der es sich Ihrer Meinung nach um eine Anmelde- oder andere Authentifizierungsseite handelt, auf der das Opfer versehentlich seine persönlichen Daten eingibt.

Die unsichtbaren Probleme der Zustellbarkeit

Es gibt drei unsichtbare Probleme bei der Zustellbarkeit von E-Mails, die Unternehmen nicht kennen:

1. Genehmigung – E-Mail-Dienstleister (ESPs) die Opt-in-Berechtigungen verwalten… aber der Internetdienstanbieter (ISP) verwaltet das Gateway für die Ziel-E-Mail-Adresse. Es handelt sich um ein von Natur aus fehlerhaftes System, das betrügerische Machenschaften wie Phishing in die Höhe schnellen ließ. Sie können als Unternehmen alles richtig machen, um Berechtigungen und E-Mail-Adressen zu erhalten, und der ISP hat keine Ahnung und blockiert Sie möglicherweise trotzdem. Die ISPs gehen davon aus, dass Sie ein Spammer sind oder bösartige E-Mails versenden … es sei denn, Sie beweisen das Gegenteil.
2. Posteingang Platzierung – ESPs fördern konsequent hohe Zustellraten, die Unsinn sind. Eine E-Mail, die direkt in den Junk-Ordner weitergeleitet wird und von Ihrem E-Mail-Abonnenten nie gesehen wird, wird technisch zugestellt. Um die Platzierung Ihres Posteingangs wirklich zu überwachen, müssen Sie a verwenden Samenliste Schauen Sie bei jedem ISP nach, ob Ihre E-Mail im Posteingang oder im Junk-Ordner gelandet ist. Mein Unternehmen kann diese Tests auch für Sie durchführen.
3. Ruf – ISPs und Drittanbieterdienste verwalten auch Reputationswerte für die Absender-IP-Adresse Ihrer E-Mail. Es gibt Blacklists, die ISPs verwenden können, um alle Ihre E-Mails insgesamt zu blockieren, oder Sie haben möglicherweise einen schlechten Ruf, der dazu führen würde, dass Sie in den Junk-Ordner weitergeleitet werden. Sie können viele Dienste nutzen, um Ihre IP-Reputation zu überwachen, aber ich wäre etwas pessimistisch, da viele keinen Einblick in den Algorithmus jedes ISP haben.

E-Mail-Authentifizierung

Die beste Vorgehensweise zur Vermeidung von Problemen bei der Platzierung im Posteingang besteht darin, sicherzustellen, dass Sie E-Mail-Authentifizierungsdatensätze eingerichtet haben, anhand derer ISPs prüfen und überprüfen können, ob die von Ihnen gesendeten E-Mails tatsächlich von Ihnen und nicht von jemandem gesendet wurden, der vorgibt, Ihr Unternehmen zu sein. Dies geschieht durch einige Standards:

• Sender-Richtlinien-Framework (SPF) – der älteste Standard, bei dem Sie einen TXT-Eintrag bei Ihrer Domain-Registrierung registrieren (DNS), die angibt, welche Domains bzw IP Adressen, von denen aus Sie E-Mails für Ihr Unternehmen versenden. Ich versende zum Beispiel E-Mails für Martech Zone von Google-Arbeitsbereich.

v=spf1 include:_spf.google.com ~all

• Domain-basierte Nachrichtenauthentifizierung, Berichterstattung und Konformität (DMarc) – dieser neuere Standard verfügt über einen verschlüsselten Schlüssel, der sowohl meine Domain als auch den Absender validieren kann. Jeder Schlüssel wird von meinem Absender erstellt, um sicherzustellen, dass von einem Spammer gesendete E-Mails nicht gefälscht werden können. Wenn Sie Google Workspace verwenden, finden Sie hier Folgendes wie man DMARC einrichtet.
• DomainKeys-identifizierte E-Mail (DKIM) – Zusammen mit dem DMARC-Eintrag informiert dieser Eintrag ISPs darüber, wie meine DMARC- und SPF-Regeln zu behandeln sind und wohin Zustellbarkeitsberichte gesendet werden sollen. Ich möchte, dass ISPs alle Nachrichten ablehnen, die DKIM oder SPF nicht bestehen, und ich möchte, dass sie Berichte an diese E-Mail-Adresse senden.

v=DMARC1; p=reject; rua=mailto:dmarc@martech.zone; aspf=s; fo=s;

• Markenindikatoren zur Nachrichtenidentifikation (BIMI) – die neueste Ergänzung, BIMI bietet ISPs und ihren E-Mail-Anwendungen die Möglichkeit, das Logo der Marke im E-Mail-Client anzuzeigen. Es gibt sowohl einen offenen Standard als auch einen verschlüsselter Standard für Gmail, wo Sie auch ein verschlüsseltes verifiziertes Markenzertifikat benötigen (CMV). Die Zertifikate sind teuer, deshalb mache ich das noch nicht. VMCs werden von zwei anerkannten Prüfstellen ausgestellt: Anvertrauen kombiniert mit einem nachhaltigen Materialprofil. DigiCert. Weitere Informationen finden Sie unter BIMI-Gruppe.

v=BIMI1; l=https://martech.zone/logo.svg;a=self;

So validieren Sie Ihre E-Mail-Authentifizierung

Alle mit jeder E-Mail verknüpften Quell-, Weiterleitungs- und Validierungsinformationen finden Sie in den Nachrichtenkopfzeilen. Wenn Sie ein Zustellbarkeitsexperte sind, ist es ziemlich einfach, diese zu interpretieren, aber wenn Sie ein Anfänger sind, sind sie unglaublich schwierig. So sieht der Nachrichtenkopf für unseren Newsletter aus: Ich habe einige der automatischen Antwort-E-Mails und Kampagneninformationen ausgegraut:

Wenn Sie es durchlesen, können Sie meine DKIM-Regeln sehen, ob DMARC bestanden wird (nicht) und SPF bestanden wird … aber das ist eine Menge Arbeit. Es gibt jedoch eine viel bessere Problemumgehung DKIMValidator. DKIMValidator stellt Ihnen eine E-Mail-Adresse zur Verfügung, die Sie zu Ihrer Newsletter-Liste hinzufügen oder über Ihre Büro-E-Mail senden können … und sie übersetzen die Kopfzeileninformationen in einen schönen Bericht:

Zuerst validiert es meine DMARC-Verschlüsselung und DKIM-Signatur, um zu sehen, ob es besteht oder nicht (es tut es nicht).

DKIM Information:
DKIM Signature

Message contains this DKIM Signature:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=circupressmail.com;
	s=cpmail; t=1643110423;
	bh=PTOH6xOB3+wFZnnY1pLaJgtpK9n/IkEAtaO/Xc4ruZs=;
	h=Date:To:From:Reply-to:Subject:List-Unsubscribe;
	b=HKytLVgsIfXxSHVIVurLQ9taKgs6hAf/s4+H3AjqE/SJpo+tamzS9AQVv3YOq1Nt/
	 o1mMOkAJN4HTt8JXDxobe6rJCia9bU1o7ygGEBY+dIIzAyURLBLo5RzyM+hI/X1BGc
	 jeA93dVXA+clBjIuHAM9t9LGxSri7B5ka/vNG3n8=


Signature Information:
v= Version:         1
a= Algorithm:       rsa-sha256
c= Method:          relaxed/relaxed
d= Domain:          circupressmail.com
s= Selector:        cpmail
q= Protocol:        
bh=                 PTOH6xOB3+wFZnnY1pLaJgtpK9n/IkEAtaO/Xc4ruZs=
h= Signed Headers:  Date:To:From:Reply-to:Subject:List-Unsubscribe
b= Data:            HKytLVgsIfXxSHVIVurLQ9taKgs6hAf/s4+H3AjqE/SJpo+tamzS9AQVv3YOq1Nt/
	 o1mMOkAJN4HTt8JXDxobe6rJCia9bU1o7ygGEBY+dIIzAyURLBLo5RzyM+hI/X1BGc
	 jeA93dVXA+clBjIuHAM9t9LGxSri7B5ka/vNG3n8=
Public Key DNS Lookup

Building DNS Query for cpmail._domainkey.circupressmail.com
Retrieved this publickey from DNS: v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC+D53OskK3EM/9R9TrX0l67Us4wBiErHungTAEu7DEQCz7YlWSDA+zrMGumErsBac70ObfdsCaMspmSco82MZmoXEf9kPmlNiqw99Q6tknblJnY3mpUBxFkEX6l0O8/+1qZSM2d/VJ8nQvCDUNEs/hJEGyta/ps5655ElohkbiawIDAQAB
Validating Signature

result = fail
Details: body has been altered

Dann schlägt es meinen SPF-Eintrag nach, um zu sehen, ob es besteht (es tut es):

SPF Information:
Using this information that I obtained from the headers

Helo Address = us1.circupressmail.com
From Address = info@martech.zone
From IP      = 74.207.235.122
SPF Record Lookup

Looking up TXT SPF record for martech.zone
Found the following namesevers for martech.zone: ns57.domaincontrol.com ns58.domaincontrol.com
Retrieved this SPF Record: zone updated 20210630 (TTL = 600)
using authoritative server (ns57.domaincontrol.com) directly for SPF Check
Result: pass (Mechanism 'include:circupressmail.com' matched)

Result code: pass
Local Explanation: martech.zone: Sender is authorized to use 'info@martech.zone' in 'mfrom' identity (mechanism 'include:circupressmail.com' matched)
spf_header = Received-SPF: pass (martech.zone: Sender is authorized to use 'info@martech.zone' in 'mfrom' identity (mechanism 'include:circupressmail.com' matched)) receiver=ip-172-31-60-105.ec2.internal; identity=mailfrom; envelope-from="info@martech.zone"; helo=us1.circupressmail.com; client-ip=74.207.235.122

Und schließlich gibt es mir einen Einblick in die Nachricht selbst und ob der Inhalt möglicherweise einige SPAM-Erkennungstools kennzeichnet, überprüft, ob ich auf schwarzen Listen stehe, und sagt mir, ob es empfohlen wird, an den Junk-Ordner gesendet zu werden:

SpamAssassin Score: -4.787
Message is NOT marked as spam
Points breakdown: 
-5.0 RCVD_IN_DNSWL_HI       RBL: Sender listed at https://www.dnswl.org/,
                            high trust
                            [74.207.235.122 listed in list.dnswl.org]
 0.0 SPF_HELO_NONE          SPF: HELO does not publish an SPF Record
 0.0 HTML_FONT_LOW_CONTRAST BODY: HTML font color similar or
                            identical to background
 0.0 HTML_MESSAGE           BODY: HTML included in message
 0.1 DKIM_SIGNED            Message has a DKIM or DK signature, not necessarily
                            valid
 0.0 T_KAM_HTML_FONT_INVALID Test for Invalidly Named or Formatted
                            Colors in HTML
 0.1 DKIM_INVALID           DKIM or DK signature exists, but is not valid

Stellen Sie sicher, dass Sie alle ESP- oder Messaging-Dienste von Drittanbietern testen, von denen Ihr Unternehmen E-Mails sendet, um sicherzustellen, dass Ihre E-Mail-Authentifizierung richtig eingerichtet ist!

Best Practices bei der Implementierung von DMARC

Die korrekte Implementierung von DMARC ist entscheidend für die E-Mail-Sicherheit und die Reputation des Absenders. Die von Ihnen gewählte Richtlinie hängt von Ihren Zielen für die E-Mail-Authentifizierung und Ihrer Bereitschaft ab, potenzielle Probleme zu lösen. Hier ist eine Aufschlüsselung der drei Richtlinien:

1. Keine (p=keine): Diese Richtlinie wird normalerweise zur Überwachung und Erfassung von Daten verwendet, ohne die Zustellung Ihrer E-Mails zu beeinträchtigen. Damit können Domaininhaber sehen, wer im Namen ihrer Domain E-Mails sendet. Dies ist ein guter Ausgangspunkt, um zu verstehen, wie Ihre E-Mails verarbeitet werden, und um potenzielle Authentifizierungsprobleme zu identifizieren, ohne die legitime E-Mail-Zustellung zu gefährden. Auch wenn es wie ein Ignorieren der Richtlinie erscheinen mag, ist es ein wertvolles Diagnosetool, um sicherzustellen, dass alles richtig eingerichtet ist, bevor zu restriktiveren Richtlinien übergegangen wird.
2. Quarantäne (p=Quarantäne): Diese Richtlinie legt den empfangenden Mailservern nahe, dass E-Mails, die die DMARC-Prüfungen nicht bestehen, mit Argwohn behandelt werden sollten. Normalerweise bedeutet das, sie in den Spam-Ordner zu verschieben, anstatt sie direkt abzulehnen. Dies ist ein Mittelweg, der das Risiko der Ablehnung legitimer E-Mails verringert und gleichzeitig Schutz vor betrügerischen E-Mails bietet. Es ist ein guter nächster Schritt danach keine Sobald Sie bestätigt haben, dass Ihre legitimen E-Mails die DMARC-Prüfungen bestehen.
3. Ablehnen (p=ablehnen): Dies ist die sicherste Richtlinie, die den empfangenden Servern anzeigt, dass E-Mails, die die DMARC-Prüfungen nicht bestehen, abgelehnt werden sollten. Diese Richtlinie verhindert effektiv Phishing-Angriffe und stellt sicher, dass nur authentifizierte E-Mails die Empfänger erreichen. Es sollte jedoch nach gründlichen Tests mit „Keine“- und möglicherweise „Quarantäne“-Richtlinien sorgfältig implementiert werden, um die Ablehnung legitimer E-Mails zu vermeiden.

Best Practices:

• Beginnen mit p = keine um Daten zu sammeln und sicherzustellen, dass Ihre legitimen E-Mails ordnungsgemäß authentifiziert werden.
• Umzug nach p = Quarantäne um mit dem Schutz Ihrer Domain zu beginnen und gleichzeitig das Risiko zu minimieren, dass legitime E-Mails abgelehnt werden.
• Wechseln Sie schließlich zu p = ablehnen Sobald Sie sicher sind, dass Ihre E-Mail-Versandpraktiken vollständig DMARC-konform sind, um den Schutz vor E-Mail-Betrug zu maximieren.

Jeder Schritt sollte die Analyse von DMARC-Berichten und die Anpassung Ihrer E-Mail-Versandpraktiken nach Bedarf umfassen, um sicherzustellen, dass legitime E-Mails korrekt authentifiziert werden.

SPF-Record-Builder SPF- und DKIM-Validator BIMI-Inspektor

Weitere Artikeln Martech Zone Inhalt

DMARC verstehen: Die Entwicklung der E-Mail-Authentifizierung und ihre Rolle bei der Verhinderung von Spoofing

Wie funktioniert E-Mail? Header, Routing und Technologie

Massenprüfung, Validierung und Bereinigung von Plattformen und APIs für E-Mail-Adresslisten

So verwenden Sie Widgets zur Validierung von E-Mails in Ihrem Lead-Generation-Funnel