Unsere neue DKIM- und SPF-Funktion: Für eine verbesserte Newsletter-Zustellbarkeit!

Julia · 19. Juni 2020
DKIM und SPF für verbesserte Newsletter Zustellbarkeit

Nichts ist uns wichtiger, als Ihre Newsletter sicher ans Ziel zu bringen. Deshalb prüfen wir regelmäßig neue Methoden und Techniken, die die Zustellbarkeit Ihrer Newsletter zusätzlich verbessern. Zwei davon sind die Authentifizierungsverfahren DKIM und SPF, die Sie bisher nur mit der Unterstützung unseres Support-Teams anwenden konnten. Jetzt können Sie das Ruder übernehmen! Ab sofort können Sie in Ihrem rapidmail Konto eigenständig DKIM-Keys für Ihre Absenderdomains erstellen bzw. den SPF-Record kopieren und diese dann direkt bei Ihrem Webhoster hinterlegen. So landen Ihre Newsletter sicher im Posteingang Ihrer Empfänger! 



1. Was sind DKIM-Keys und SPF-Records?

Die Validierungsmethoden DKIM und SPF werden weltweit eingesetzt, um eine maximale Sicherheit in der E-Mail-Kommunikation zu gewährleisten, sowohl auf Empfänger- als auch auf Absenderseite. Aus Ihrer Sicht als Newsletter-Versender tragen beide Verfahren außerdem dazu bei, Ihre Reputation als seriöser Versender zu stärken, was sich wiederum positiv auf die Zustellbarkeit Ihrer Newsletter auswirkt. Daher Eines schon vorweg: Wir raten allen Versendern zu einem DKIM- und SPF-Eintrag!

DKIM (DomainKeys Identified Mail)

DKIM ist ein Identifikationsprotokoll, das die „Echtheit” des E-Mail-Absenders und des E-Mail-Inhaltes sicherstellt. Das DKIM-Verfahren basiert auf dem Prinzip einer E-Mail-Verschlüsselung durch den Absenderserver und einer anschließenden Entschlüsselung durch den Empfängerserver. Dafür werden zwei DKIM-Keys benötigt, mit denen nur die Nachrichten einer bestimmten Absenderdomain ver- und entschlüsselt werden können.

Um das DKIM-Verfahren anzuwenden, erstellen Sie als Versender in Ihrem rapidmail-Konto einen öffentlichen DKIM-Key für Ihre Absenderdomain. Diesen hinterlegen Sie dann im DNS (Domain Name System) bei Ihrem Webhoster (z. B. united domains, strato, one.com oder 1&1). Beim Empfang der E-Mail kann der Server des Empfängers diesen öffentlichen DKIM-Key aus Ihrem DNS abrufen. Ihm liegt somit der Schlüssel vor, der benötigt wird, um die von Ihnen verfasste Nachricht zu entschlüsseln. 

In dem Moment, in dem Sie in Ihrem rapidmail-Konto den öffentlichen DKIM-Key für Ihr DNS generieren, wird gleichzeitig ein zweiter, privater DKIM-Key für Ihre Absenderdomain erzeugt. Dieser ist weder für Sie noch für den Empfängerserver sichtbar, sondern ist ausschließlich dem rapidmail-Server bekannt. Mithilfe des privaten DKIM-Keys erzeugt rapidmail dann eine individuelle DKIM-Signatur. Diese wird automatisch in die Kopfzeile aller Ihrer E-Mail-Newsletter eingebaut, vorausgesetzt, Sie versenden den Newsletter mit einer Absenderadresse der entsprechenden Domain, für die Sie den DKIM-Key erstellt haben. Mithilfe der DKIM-Signatur, die in der Kopfzeile gespeichert wird, verleiht rapidmail Ihren E-Mails einen individuellen Fingerabdruck. Sozusagen ein ganz bestimmtes Schloss, in welches nur der dazugehörige, öffentliche DKIM-Key hineinpasst, der in Ihrem DNS hinterlegt ist

Beim Empfang Ihres Newsletters ruft der Empfängerserver dann den öffentlichen DKIM-Key aus Ihrem DNS ab und versucht, damit die DKIM-Signatur aus dem E-Mail-Header zu validieren. Schafft er es, weiß der Empfängerserver, dass die Nachricht tatsächlich in genau dieser Form und mit genau diesem Inhalt von Ihnen als Absender versendet wurde. Mithilfe des DKIM-Verfahrens kann der Empfänger-Server also sicherstellen, dass die Nachricht auf dem Weg vom Absender zum Empfänger  von keinem „fremden” Server manipuliert wurde. Die Chancen auf eine erfolgreiche Zustellung Ihres Newsletters steigen somit erheblich.

Ich habe meine Newsletter bisher problemlos ohne hinterlegten DKIM-Key versendet. Sollte ich jetzt trotzdem einen DKIM-Key in meinem DNS speichern?

Unsere Empfehlung lautet: Ja. Tatsächlich kommt es beim Empfang Ihres Newsletters darauf an, welche E-Mail-Provider Ihre Empfänger nutzen. Bis vor einiger Zeit haben die meisten Provider nicht geprüft, ob ein DKIM-Eintrag für Ihre sichtbare Absenderdomain (z. B.@meinefirma.de) existiert. Stattdessen wurde kontrolliert, ob für die (im E-Mail-Header versteckte) Absenderdomain von rapidmail ein DKIM-Key in unserem DNS gespeichert ist. Das heißt es hat ausgereicht, dass wir als Newsletter-Software das DKIM-Verfahren angewendet haben, um eine maximale Zustellbarkeit Ihrer Mailings zu gewährleisten. Mittlerweile gibt es aber auch E-Mail-Provider wie Microsoft 365, die nur noch die sichtbare (also Ihre) Absenderdomain (z. B. @meinefirma.de) auf einen DKIM-Eintrag prüfen. Da es für Sie als Absender aber nicht offensichtlich ist, ob und welche Adressen aus Ihrer Empfängerliste Microsoft 365-Adressen sind, sollten Sie – und alle anderen Newsletter-Versender – sicherheitshalber einen DKIM-Key hinterlegen. Außerdem ist es durchaus denkbar, dass weitere E-Mail-Anbieter nachziehen und auch bald einen DKIM-Eintrag für die sichtbare Absenderdomain erwarten.

Wie oft muss man einen öffentlichen DKIM-Key im DNS hinterlegen?

Hier kommt es darauf an, wie viele verschiedene Domains Sie für den Versand Ihrer Newsletter verwenden. Ein DKIM-Key ist individuell und gilt für eine einzige Absenderdomain (z. B. @meinefirma.de). Versenden Sie Ihre Newsletter über mehrere Domains, (z. B. @meinefirma.de UND @meinverein.de), benötigen Sie zwei unterschiedliche öffentliche DKIM-Keys, die Sie im DNS der jeweiligen Domain hinterlegen müssen.

So läuft das DKIM-Verfahren ab:

DKIM-Verfahren
Die verschiedenen Schritte des DKIM-Verfahrens

SPF (Sender Policy Framework)

Neben der DKIM-Validierung ist die SPF-Authentifizierung eine weitere Methode, eine sichere E-Mail-Kommunikation zu gewährleisten. Mithilfe von SPF-Records (auch „SPF-Einträgen”), in denen der Absender bestimmte IP-Adressen für den Versand seiner E-Mails freigibt, soll das Fälschen dieser Absenderadressen durch Spam-Versender unterbunden werden.

Bisher wurde beim SPF-Verfahren nur die im E-Mail-Header verstecke Absenderdomain (also die rapidmail-Absenderdomain) anhand des SPF-Eintrags validiert. Ihre sichtbare Absenderdomain (z. B. @meinefirma.de) wurde nicht geprüft. Das heißt es hat gereicht, dass wir als Newsletter-Software für unsere Absenderdomain einen SPF-Record im DNS hinterlegt haben. Ähnlich wie bei der DKIM-Authentifizierung gibt es beim SPF-Verfahren jetzt aber eine Tendenz dahingehend, dass bestimmte Provider wie Microsoft 365 inzwischen einen SPF-Eintrag für Ihre sichtbare Absenderdomain abfragen. Um auf der sicheren Seite zu sein, sollten Sie als Newsletter-Versender jetzt daher den SPF-Eintrag aus Ihrem rapidmail-Konto kopieren und im DNS bei Ihrem Webhoster hinterlegen. Vor allem im Hinblick darauf, dass weitere E-Mail-Provider ihr Prüfverfahren in Zukunft auch dementsprechend umstellen könnten.

In Ihrem Fall versenden wir Ihre Newsletter über die IP-Adressen von rapidmail. Indem Sie in Ihrem rapidmail-Konto unseren SPF-Record kopieren und diesen bei Ihrem Webhoster im DNS hinterlegen, geben Sie sozusagen grünes Licht für den Versand Ihrer E-Mails über die rapidmail IP-Adressen.

Der Empfängerserver prüft dann beim Eingang der E-Mail, ob die IP-Adresse, über die Ihr Newsletter versendet wurde, im SPF-Record unserer Absenderdomain (bisheriges Vorgehen) bzw. Ihrer Absenderdomain (neues Vorgehen z. B. bei Microsoft 365) gelistet und damit zum Versand berechtigt ist. Ist dies der Fall, steigt die Wahrscheinlichkeit, dass der Server die E-Mail zum Empfänger durchlässt. Ist dies nicht der Fall, besteht die Gefahr, dass Ihr Newsletter vom Empfängerserver wie Spam behandelt und nicht an den Abonnenten zugestellt wird. Das SPF-Verfahren stellt daher eine weitere Möglichkeit dar, das Risiko einer Spam-Einstufung Ihrer Newsletter zu senken und somit die Zustellbarkeit Ihrer Mailings zu verbessern.

So läuft das SPF-Verfahren ab:

SPF-Verfahren
Die verschiedenen Schritte der SPF-Validierung

2. Welche Vorteile haben DKIM-Keys und SPF-Records für Newsletter-Versender?

Wenn Sie einen DKIM-Key für Ihre Absenderdomain erstellen und in Ihrem DNS hinterlegen, weiß der Empfangsserver nach erfolgreicher Validierung Ihrer E-Mail, dass die Nachricht noch „original” ist, also nicht auf dem Weg zu Ihrem Empfänger von einem fremden Server manipuliert wurde. 

Dadurch steigt die Wahrscheinlichkeit, dass Ihre E-Mail von den Spamfiltern der E-Mail-Programme Ihrer Empfänger als seriös eingestuft wird und die Empfangsserver Ihre Nachricht erfolgreich zustellen. Inzwischen legen alle bekannten E-Mail-Provider beim Empfang einer E-Mail großen Wert darauf, dass die Entschlüsselung per DKIM-Key erfolgreich ist, weshalb wir Newsletter-Versendern dazu raten, einen DKIM-Key zu generieren und diesen im DNS Ihrer jeweiligen Domain  zu speichern. Auch weil so auf lange Sicht die Reputation als seriöser Newsletter-Versender gestärkt wird, was die Zustellbarkeit der Mailings langfristig stark verbessern kann.

Ein weiterer Vorteil der DKIM-Authentifizierung ist außerdem, dass Sie dadurch der Gefahr einer Verfälschung Ihrer Absenderdomain durch Spam-Versender entgegenwirken. Die Wahrscheinlichkeit sinkt erheblich, dass Spammails mit einer (verfälschten) Absenderadresse kursieren, die den Eindruck erweckt, dass die E-Mail von Ihrem Unternehmen stammt. Mithilfe des DKIM-Verfahrens können Sie also das Risiko einschränken, dass Ihr Firmenimage durch solche verschleierten Spammails geschädigt wird, da die E-Mail-Provider anhand des gescheiterten Entschlüsselungsversuchs erkennen, dass der Inhalt der Nachricht wahrscheinlich manipuliert wurde.

Das SPF-Verfahren ist ein zusätzlicher Weg, die E-Mail-Kommunikation über Ihre Domain sicherer zu machen. Sie erteilen darüber eine offizielle, öffentliche Genehmigung, dass Nachrichten Ihrer Absenderdomain über die IP-Adressen von rapidmail versendet werden dürfen. Ähnlich wie bei der DKIM-Methode erkennt der Empfangsserver hier, dass die Nachricht von einem dazu autorisierten Server gesendet wurde, was das Risiko einer Spameinstufung Ihres Newsletters mindert. Auch hier wird Ihr guter Ruf als seriöser Versender langfristig gefestigt. Die Anwendung der SPF-Authentifizierung ist also eine weitere wichtige Maßnahme, um die Zustellbarkeit Ihrer Newsletter zu verbessern.

Generell lässt sich festhalten, dass sowohl das Hinterlegen eines DKIM-Keys als auch eines SPF-Records auf lange Sicht zu einer besseren Zustellbarkeit Ihrer Newsletter führen – und das bei einem geringen zeitlichen sowie administrativen Aufwand für die Einrichtung. Deshalb raten wir allen Versendern dringend dazu, eine DKIM- und SPF-Validierung für Ihre Absenderdomains anzuwenden.

Trotzdem sollten Sie im Hinterkopf behalten, dass beide Authentifizierungsmethoden keine 100-prozentige Sicherheit bieten können, dass die Newsletter immer erfolgreich an alle Empfänger zugestellt werden können. Die Validierung durch DKIM und SPF stellen für die E-Mail-Provider Ihrer Empfänger zwar starke Argumente FÜR eine Zustellung Ihrer Mailings dar, jedoch gibt es zahlreiche weitere Faktoren (z. B. Formulierung der Betreffzeile, E-Mail-Größe, Interaktion der Empfänger …), die bei der Entscheidung eines Spamfilters berücksichtigt werden, ob Ihre E-Mail als Spam eingestuft wird oder nicht.


3. Wann sollte ich DKIM-Keys und SPF-Records hinterlegen?

Generell raten wir allen Newsletter-Versendern dazu, DKIM-Keys und SPF-Records für die jeweilige Absenderdomain im DNS zu speichern. Vor allem in folgenden Fällen sollten Sie beide Verfahren auf jeden Fall anwenden:

  • Sie versenden Ihre Newsletter an eine hohe Anzahl von Empfängern: Wenn Sie mehrere Tausend Empfänger gleichzeitig anschreiben, schauen Spamfilter hier besonders genau hin, da die hohe Empfängeranzahl ein Hinweis auf eine Spammail sein könnte. Diese werden gewöhnlich auch an eine große Masse von E-Mail-Adressen gleichzeitig versendet. Durch die DKIM- und SPF-Verifizierung wirken Sie der Spameinstufung hier entgegen. 
  • Unter Ihren Empfängeradressen befinden sich Microsoft 365-Adressen: Dieser E-Mail-Provider prüft nur noch Ihre sichtbare Absenderdomain (z. B.@meinefirma.de) und nicht mehr die im E-Mail-Header versteckte rapidmail-Absenderadresse auf einen DKIM- sowie einen SPF-Eintrag. Allgemein könnte der Trend jetzt in die Richtung gehen, dass auch andere E-Mail-Provider in Zukunft die sichtbare Absenderdomain per DKIM- und SPF-Verfahren kontrollieren. Außerdem ist es für Sie als Absender nicht immer offensichtlich, welche Adressen aus Ihrer Empfängerliste zu welchem Provider gehören. Daher ist in jedem Fall eine DKIM- und SPF-Authentifizierung als Absicherung empfehlenswert.
  • Wenn Sie einen DMARC-Record in Ihrem DNS hinterlegt haben: DMARC (Domain-based Message Authentication) ist ein weiteres Authentifizierungsverfahren, das verhindern soll, dass die eigene Versanddomain ohne explizite Erlaubnis von anderen Versendern (v. a. Spam-Versendern) genutzt wird. Die Voraussetzung dafür, dass die DMARC-Validierung funktioniert, sind ein eingetragener DKIM-Key und ein SPF-Record.

4. Wie kann ich DKIM-Keys und SPF-Records mit rapidmail erstellen?

Für eine maximale Zustellbarkeit Ihrer Newsletter zu sorgen, hat für uns oberste Priorität. Allen voran für unseren Zustellbarkeits-Experten Matthias, der sich täglich darum kümmert, dass Ihre Mailings sicher im Postfach Ihrer Empfänger landen.

Zwar war es bisher auch schon möglich, mit rapidmail einen DKIM-Key und einen SPF-Record erstellen zu lassen. Jedoch mussten Sie als Kunde dazu für jede neue Absenderdomain eine Anfrage an unser Support-Team stellen, das Ihnen die Einträge dann zur Verfügung gestellt hat, sobald unser IT-Team die Keys generiert hatte.

Wir hatten ins Auge gefasst, diesen umständlichen Prozess in Zukunft zu vermeiden und Ihnen die Möglichkeit zu geben, in Ihrem rapidmail Konto eigenständig DKIM-Keys zu erstellen und den SPF-Eintrag zu kopieren. Und tadaaaa – nach „ein bisschen” Bastelarbeit unsererseits ist das jetzt möglich!

Mit wenigen Klicks können Sie für alle Ihre Absenderdomains selbst DKIM-Keys generieren bzw. den SPF-Record kopieren und diese direkt bei Ihrem Webhoster im DNS hinterlegen. Wie das genau funktioniert? Werfen Sie einfach einen Blick auf unsere Schritt-für-Schritt-Anleitungen:


Haben Sie noch Fragen zur neuen DKIM- und SPF-Funktion? Kein Problem, unser sympathisches Support-Team hilft Ihnen gerne weiter!