Red Sifts Leitfaden zur Konfiguration von E-Mail-Protokollen

Veröffentlicht am:21. August 2024
Zuletzt geändert am:1. April 2026
Kapitel:5 Min. Lesezeit
Leitfaden:78 Min. Lesezeit
image
Entdecken Sie unseren Leitfaden
In diesem Kapitel
In diesem Kapitel

Email Security Glossary of Terms

Here is a glossary of terms that you may come across when you are setting up your email configuration, learning more about email security, or using OnDMARC.

Sender IP

The IP address of the originating server.

EHLO domain

The domain name given in the EHLO command MUST be either a primary host name (a domain name that resolves to an address resource record (RR) or, if the host has no name, an address literal.

PTR record

A PTR record is a DNS record that resolves an IP address to a domain name. It does the opposite of what an A record does.

A record

An A record resolves a domain name to an IP address. It does the opposite of what the PTR record does.

DMARC

DMARC stands for Domain-based Message Authentication, Reporting, and Conformance. It’s an outbound email security protocol that protects domains against exact impersonation.

OnDMARC simplifies the complexities of DMARC by automating processes and providing clear instructions on how to block unauthorized use of your domain.

DMARC Compliant

Being DMARC compliant means that your domain is in either a policy of quarantine p=quarantine or reject p=reject.

SPF

SPF stands for Sender Policy Framework. It was developed to combat sender address forgery. It is an authentication protocol which verifies the Return-Path/MAIL FROM or HELO/EHLO identities during email transmission.

TXT Record

TXT record is a type of DNS resource record (RR) used to associate an arbitrary text with a host.

DKIM

DKIM stands for DomainKeys Identified Mail and it is a protocol that helps organizations claim responsibility for an email. It provides a method for validating a domain name associated with an email through the use of cryptography. 

DKIM Signing Domain

This is the domain name identity that has signed the email with its cryptographic signature.

DKIM Selector

The selector is an arbitrary string travelling along with each DKIM signed email which helps the recipient to find the public key in your DNS and validate the DKIM signature. 

DKIM Canonicalization

Canonicalization is a method used by the sender to normalize or standardize the email header and body before signing it with DKIM. Two canonicalization algorithms exist - relaxed and simple for each header and body. The simple algorithm tolerates almost no modification and the relaxed algorithm tolerates common modifications such as whitespace replacement and header field line rewrapping.

DKIM Signed Headers

This is a complete and ordered list of header fields presented to the signing algorithm.

DKIM Signature

This contains the DKIM signature data of the email.

DKIM signing domain

This is the domain name identity for which DKIM signed the email.

DKIM Key Length

This is the size of the DKIM key being used when signing the email. Longer keys are considered stronger and more secure. 

TTL

TTL or time to live is a mechanism that limits the lifespan or lifetime of data in a computer or network.

From Domain

This email header displays who the message is from. This is the visible domain shown in your mail client.

Return Path

The email header is used to indicate where bounces should be sent in case an email cannot be delivered. Depending on the mail provider receiving the email an SPF check is either done on this email header first or the EHLO or both.

p=

The p= is a DMARC tag that specifies the policy used. Examples include: ​ p=none - means no policy will be applied to emails that fail DMARC p=quarantine - means quarantine emails that fail DMARC p=reject - means reject emails that fail DMARC.

pct=

The pct= is a DMARC tag that specifies to what percentage of emails the policy should be applied to. If this tag is absent then 100% of the emails will have the policy applied. Other examples:

  • p=reject; pct=20 means that the specified policy will apply to 20% of the emails, the remaining 80% will have the policy of quarantine applied as this is the next policy down.
  • p=quarantine; pct=50 means that the specified policy will apply to 50% of the emails, the remaining 50% will have the policy of none applied as this is the next policy down.
  • p=none; pct=100 means that the specified policy will apply to 100% of the emails.

rua=

The rua= is a DMARC tag that tells the recipient where to send the DMARC aggregate reports to.

ruf=

The ruf= is a DMARC tag that tells the recipient where to send the DMARC forensic reports.

SPF domain

SPF uses the Return-Path/MAIL-FROM domain of emails in order to look up the SPF record of the email sender.

sp=

The sp= is a DMARC tag that specifies the subdomain policy used. 

adkim=

adkim= is a DMARC tag that specifies whether a strict or relaxed DKIM alignment mode is required by the Domain Owner.

aspf=

aspf= is a DMARC tag which specifies whether strict or relaxed SPF alignment mode is required by the Domain Owner.

Sender Score

Score from 0 to 100 given to a sender. A score below 20 means it is a suspicious address, a score between 20 and 70 is from an average sender, and only really trustworthy senders get a score over 70.

Validity Certified Allowlist

Validity offers allowlists as a positive reputation signal to assist you with quickly identifying the best mailers and making informed decisions on message handling.

Return Path Blocklist

The Validity Blocklist (RPBL) is a real-time list of IP addresses categorized as the “worst of the worst”, based on reputation and other data we receive from our partners.

The value is a combination of the following factors:

  • botnet = IP addresses observed exhibiting botnet characteristics in message transmission
  • noauth= IP addresses transmitting messages lacking/failing SPF and DKIM authentication, and with poor Sender Score reputation
  • pristine = IP addresses with messages hitting pristine traps
  • suspect_attach = IP addresses observed transmitting messages with suspicious attachments
free trial imagefree trial image
How secure is your email setup? Check in less than a minute

Häufig gestellte Fragen: Leitfaden zur Konfiguration von E-Mail-Protokollen

Was ist der Unterschied zwischen SPF Hard Fail (-all) und Soft Fail (~all), und welches sollte ich 2026 verwenden?

In einer Zeit vor DMARC verwendeten SPF-Records häufig den Mechanismus „-all“, um Absender-Richtlinien streng durchzusetzen. Die aktuellen Branchenempfehlungen im Jahr 2026 bevorzugen jedoch „~all“, um Sicherheit und Zustellbarkeit auszubalancieren und unnötige Ablehnungen gültiger E-Mails zu vermeiden, die möglicherweise bei SPF fehlschlagen, aber DKIM und DMARC bestehen.

Das liegt daran, dass „~all“ in Kombination mit DMARC (bei p=reject) weiterhin nicht authentifizierte E-Mails ablehnt, falls SPF und DKIM fehlschlagen, aber keine legitimen E-Mails blockiert. Dadurch wird die allgemeine E-Mail-Zustellbarkeit erhöht.

Die DMARC-Spezifikation (RFC 7489) besagt, dass ein „-“-Präfix wie bei „-all“ bei einem SPF-Mechanismus des Absenders dazu führen kann, dass Ablehnungen bereits frühzeitig während der Verarbeitung wirken und somit Nachrichten zurückgewiesen werden, bevor eine DMARC-Prüfung stattfindet. Verwenden Sie „-all“ ausschließlich für inaktive, nicht versendende Domains (Domains, die keinerlei E-Mails senden). DMARC ignoriert die Unterschiede zwischen Soft Fail und Hard Fail in der SPF-Konfiguration und behandelt beide als SPF-Fehler.

Wie funktioniert das DMARC-Alignment und was ist der Unterschied zwischen Strict und Relaxed Alignment?

DMARC verlangt nicht nur, dass SPF oder DKIM bestanden werden, sondern es erfordert auch, dass mindestens eine der von SPF oder DKIM verwendeten Domains mit der im From-Header gefundenen Domain übereinstimmt (Alignment). Eine korrekte Ausrichtung ist im Jahr 2026 entscheidend für die E-Mail-Zustellbarkeit, da große Postfachanbieter diese Anforderungen durchsetzen.

Bei SPF bedeutet Identifier Alignment, dass die Überprüfung von MAIL FROM/Return-PATH bestanden werden muss und außerdem der Domain-Anteil des MAIL FROM/Return-PATH mit der Domain in der From-Adresse übereinstimmen muss. Bei Strict Alignment müssen die Domains exakt übereinstimmen, während im Relaxed Alignment auch Subdomains zulässig sind, solange sie zur selben Organisationsdomain gehören.

Beispiel: Ist MAIL-FROM/RETURN-PATH @ondmarc.com und der From-Header @knowledge.ondmarc.com, so gilt dies bei Strict Alignment als nicht ausgerichtet. Im Relaxed Alignment-Modus würde DMARC allerdings als bestanden gelten.

Was sind DMARC-Aggregatberichte und Forensikberichte und worin unterscheiden sie sich?

Ein DMARC-Aggregatbericht enthält Informationen über den Authentifizierungsstatus von im Namen einer Domain versandten Nachrichten. Es handelt sich um einen XML-Feedbackbericht, der einen umfassenden Überblick über E-Mails gibt, die SPF und DKIM bestanden oder nicht bestanden haben. Der Bericht bietet Domain-Inhabern genaue Einblicke darüber, welche Quellen im Namen Ihrer Domain E-Mails senden und welches Ergebnis (welche empfangsseitige Richtlinie) angewendet wurde.

Empfänger sehen sich das „rua“-Tag Ihres DMARC-Records an und senden Berichte an diese Adresse. Das Intervall für Aggregatberichte kann im DMARC-Record über das „ri“-Tag festgelegt werden (Standard: 86400 Sekunden = 24 Stunden). Forensikberichte enthalten detailliertere Informationen zu einzelnen Authentifizierungsfehlern. Jegliche personenbezogenen Daten (PII) werden entfernt, aber Informationen zur Fehlersuche wie SPF- und DKIM-Header-Fehlinformationen, die gesamte From-Adresse und der Betreff der E-Mail werden mit aufgenommen.

Die Adresse für den Empfang von Forensic-Berichten wird über das „ruf“-Tag im DMARC-Record angegeben. Nicht alle empfangenden Systeme unterstützen den Versand von Forensikberichten. Red Sift OnDMARC ist eine der wenigen DMARC-Lösungen am Markt, die Forensikberichte dank der Partnerschaft mit Yahoo empfangen kann.

Was sind SPF-Makros und warum können sie die Zustellbarkeit beeinflussen?

Ein SPF-Makro bezeichnet einen Mechanismus in SPF-Records, mit dem wiederverwendbare IP-Adressenlisten definiert werden. SPF-Makros bieten mehr Flexibilität und Wartungsfreundlichkeit, da komplexe IP-Adressmengen in einem einzigen Mechanismus definiert und in mehreren SPF-Records referenziert werden können. Anstatt einzelne IP-Adressen für jeden berechtigten E-Mail-Server zu listen, kann beispielsweise ein Makro wie „%{i}“ verwendet werden, das auf die Absender-IP der E-Mail verweist. So kann man eine große Liste autorisierter IPs verwalten, ohne die SPF-Query-Grenze zu erreichen, und gleichzeitig unkenntlich machen, welche IPs öffentlich abgefragt werden dürfen.

Abhängig davon, wie der SPF-Record mit Makros aufgebaut ist, kann fehlende Makro-Erweiterung jedoch zu SPF-Fehlern oder „Neutral“-Ergebnissen führen (gekennzeichnet durch den ?all-Mechanismus). Spielen SPF-Makros eine entscheidende Rolle bei der Autorisierung legitimer Versandserver, können E-Mails möglicherweise eher bei der SPF-Prüfung durchfallen oder von empfangenden Systemen, die auf SPF-Verifizierung setzen, als verdächtig markiert werden.

Was ist MTA-STS und wie sollte es eingesetzt werden, um E-Mail-Blockaden zu vermeiden?

Mail Transfer Agent Strict Transport Security (MTA-STS) ist ein Standard zur Verschlüsselung von Nachrichtenübertragungen zwischen zwei Mailservern. Er legt fest, dass E-Mails nur über eine TLS-verschlüsselte Verbindung übertragen werden dürfen, wodurch verhindert wird, dass E-Mails von Cyberkriminellen abgefangen werden können.

Die Einführung von MTA-STS hat 2026 signifikant zugenommen, da Organisationen die Sicherheit der Transportebene beim E-Mail-Versand als unverzichtbar betrachten. Empfangende Domains müssen zur Aktivierung von MTA-STS mitteilen, dass sie MTA-STS in ihrem DNS unterstützen, und eine Policy-Konfigurationsdatei auf ihrer Website veröffentlichen.

MTA-STS sollte vorsichtig aktiviert werden, um zu verhindern, dass E-Mails fälschlicherweise blockiert werden. Zunächst sollte die Aktivierung im Testmodus erfolgen, damit TLS-Berichte Fehlerquellen aufdecken können, bevor die Richtlinie endgültig auf „enforce“ gesetzt wird. Dieses gestufte Vorgehen wird 2026 voraussichtlich zum Standard für Organisationen bei der Implementierung von Transportverschlüsselung.

Was ist TLS-RPT und wie funktioniert es mit MTA-STS?

SMTP TLS Reporting (oder kurz TLS-RPT) ermöglicht die Meldung von TLS-Konnektivitätsproblemen auf Seiten der sendenden MTAs, definiert in RFC8460. Ähnlich wie DMARC setzt TLS-RPT auf per E-Mail versendete Berichte, um Domain-Inhaber über Zustellprobleme infolge von TLS-Problemen zu informieren. Diese Berichte enthalten festgestellte MTA-STS-Policies, Verkehrsdaten, fehlgeschlagene Verbindungen und Fehlerursachen.

Mit Red Sift OnDMARCs MTA-STS-Funktion entfällt der komplexe Einrichtungsaufwand: Sie müssen lediglich die MTA-STS Smart Records, die OnDMARC bereitstellt, in Ihr DNS eintragen und Red Sift übernimmt den Rest, wie Hosting der Policy-Datei, Wartung des SSL-Zertifikats und das Flaggen von Policy-Verstößen über den TLS-Bericht. Moderne DMARC-Plattformen bieten 2026 zunehmend gehostetes MTA-STS als Standardfeature an, um die Einführung der Transportverschlüsselung zu erleichtern.

Was ist DANE und wie unterscheidet es sich von MTA-STS?

Veröffentlicht unter RFC 7671 führt DANE (DNS-based Authentication of Named Entities) einen Internet-Standard zur Einrichtung von TLS-Kommunikation zwischen Client und Server ein, ohne dass auf vertrauenswürdige Zertifizierungsstellen (CAs) zurückgegriffen werden muss.

Das klassische CA-Modell für TLS erlaubt jeder CA ein Zertifikat für jede beliebige Domain auszustellen. DANE geht einen anderen Weg und stützt sich auf DNSSEC (Domain Name System Security Extensions), um einen Domainnamen kryptografisch einem Zertifikat zuzuordnen. DANE nutzt das bestehende DNSSEC-Protokoll, um sicherzustellen, dass die empfangenen Daten authentisch und unverändert sind.

Außerdem führt DANE einen neuen DNS-RR-Typ namens TLSA ein, über den dem Client signalisiert wird, dass ein Server TLS unterstützt. Die Empfehlung lautet, sowohl MTA-STS als auch DANE zu implementieren. DANE ist in vielen Behörden der EU vorgeschrieben, öffentliche Einrichtungen sind zur Einführung oft verpflichtet.

Sowohl DANE als auch MTA-STS bieten Schutz nur, wenn der Absender dies unterstützt. Viele Absender unterstützen aber nur eines von beidem, daher erhöht die Implementierung beider Methoden die Gesamtsicherheit. 2026 setzen Organisationen meist zuerst auf MTA-STS für mehr Kompatibilität und ergänzen DANE für höhere Sicherheit wo vorgeschrieben.

Welchen Zweck hat die DMARC-Subdomain-Policy (sp-Tag) und wie sollte sie eingesetzt werden?

Mit der Subdomain-Policy können Domain-Administratoren verschiedene Domains und Subdomains je nach Status auf ihrer DMARC-Reise unterschiedlich schützen. Sind beispielsweise alle Ihre E-Mail-Dienste für die Hauptdomain vollständig mit SPF und DKIM konfiguriert, können Sie die Hauptdomain mit einer DMARC-Policy p=reject schützen und die Subdomains auf p=none belassen – oder umgekehrt.

Wenn Sie einen E-Mail-Dienst haben, der nicht DMARC-konform ist (kein SPF oder DKIM unterstützt), können Sie ihm eine Subdomain zuweisen und dafür eine andere DMARC-Policy definieren, ohne den Schutz Ihrer anderen Domains zu gefährden. So können Sie den E-Mail-Verkehr über verschiedene Subdomains verteilen und jede einzeln absichern.