Mit DKIM und SPF an den Spamfiltern vorbei: So verbessern Sie Ihre Newsletter-Zustellbarkeit

Lea
·
15. August 2022
Briefkasten, in dem dank DKIM und SPF ein Newsletter landet

Die erfolgreiche Zustellung Ihrer Newsletter liegt uns sehr am Herzen. Deshalb prüfen wir regelmäßig neue Methoden und Verfahren, die Ihre E-Mail-Zustellbarkeit zusätzlich optimieren. Zwei dieser Verfahren sind die Authentifizierungsverfahren DKIM und SPF. Klingt nach komplizierter Fachsprache? Muss nicht sein! Wir erklären Ihnen die Funktionsweise von DKIM-Keys und SPF-Records anhand von einfachen Beispielen und zeigen Ihnen, wie Sie sie einsetzen können, um Ihre Newsletter-Zustellbarkeit zu maximieren.



1. Was sind DKIM-Keys und SPF-Records?

Die Validierungsmethoden DKIM und SPF werden weltweit eingesetzt, um eine maximale Sicherheit in der E-Mail-Kommunikation zu gewährleisten. Einerseits schützen sie Ihre Newsletter-Kontakte vor betrügerischen E-Mails, die z. B. unter einem falschen Absendernamen versendet werden. Andererseits schützen die Methoden auch Sie und Ihren Ruf als Newsletter-Versender:in. Die beiden Verfahren stärken nämlich Ihre Versandreputation als seriöse:r Absender:in – und das wirkt sich positiv auf Ihre E-Mail-Zustellbarkeit aus.

Wir können also direkt festhalten: Wir raten allen Newsletter-Versenderinnen und -Versendern zum Einrichten eines DKIM-Keys und SPF-Records!

🧐 Gut zu wissen:

Lassen Sie sich nicht verwirren: DKIM-Key und DKIM-Schlüssel sind zwei unterschiedliche Bezeichnungen für die gleiche Sache und entsprechen einander. Das Gleiche gilt für den SPF-Record bzw. SPF-Eintrag.

DKIM (DomainKeys Identified Mail)

Ganz einfach gesagt sorgt DKIM dafür, E-Mail-Absender zu identifizieren und ihre „Echtheit” zu überprüfen. So wird es Betrüger:innen erschwert, unter einem falschen Absendernamen unerwünschte E-Mails zu versenden.

Es handelt sich um ein Identifikationsprotokoll, bei dem zwei zusammengehörende digitale Schlüssel (Domain Keys) erstellt werden. Einer der Schlüssel wird bei Ihrem Webhoster hinterlegt und veröffentlicht. Das ist der Public Key. Der zweite Schlüssel ist nur dem Versender bzw. der Versenderin bekannt. Das ist der Private Key. Die beiden Keys sorgen dafür, dass Ihre E-Mails durch den Absenderserver verschlüsselt werden und anschließend durch den Empfängerserver entschlüsselt werden können. 

🧐 Was ist ein Webhoster?

Wenn Sie eine eigene Website haben, haben Sie sich sicherlich früher oder später mit einem Webhoster auseinandersetzen müssen. Dort ist nämlich u. a. die Domain Ihrer Website gespeichert. Sollten Sie eine Agentur mit der Erstellung Ihrer Website beauftragt haben, können Sie dort in Erfahrung bringen, bei welchem Anbieter Ihre Domain gehostet wird.

Stellen wir uns das einmal in Form von einer realen Konversation zwischen dem Absenderserver und dem Empfängerserver vor: Der Absenderserver versucht, eine E-Mail der Firma X über den Empfängerserver an den Empfänger Y zu bringen.

Vereinfachte Darstellung vom Ablauf des DKIM-Verfahren

In diesem Szenario (das natürlich stark vereinfacht ist) geht alles gut: In der versendeten E-Mail ist die digitale Signatur enthalten, die durch den privaten DKIM-Key generiert wurde. Deswegen gleicht der  Empfängerserver zuerst ab, ob der öffentliche DKIM-Key dazu passt und die Signatur entschlüsseln kann, bevor er die Nachricht in das Postfach des Empfängers bzw. der Empfängerin durchlässt.

🧐 Bisher problemlos ohne DKIM-Key versendet?

Hinterlegen Sie trotzdem einen DKIM-Key in Ihrem DNS. Tatsächlich kommt es bei der Zustellung Ihres Newsletters darauf an, welche E-Mail-Provider Ihre Empfänger:innen nutzen. Für eine ganze Zeit lang haben viele Provider nicht geprüft, ob ein DKIM-Eintrag für Ihre sichtbare Absenderdomain (z. B.@meinefirma.de) existiert. Stattdessen hat es ausgereicht, dass wir als Newsletter-Software das DKIM-Verfahren angewendet haben, um eine maximale Zustellbarkeit Ihrer Mailings zu gewährleisten. Mittlerweile gibt es aber auch E-Mail-Provider wie Microsoft 365, die nur noch die sichtbare (also Ihre) Absenderdomain (z. B. @meinefirma.de) auf einen DKIM-Eintrag prüfen. Da es für Sie als Absender aber nicht offensichtlich ist, ob und welche Adressen aus Ihrer Empfängerliste Microsoft 365-Adressen sind, sollten Sie – und alle anderen Newsletter-Versender – sicherheitshalber einen DKIM-Key hinterlegen. Es hat nur Vorteile und kann Ihnen nicht schaden. Außerdem ist es durchaus denkbar, dass weitere E-Mail-Anbieter nachziehen und auch bald einen DKIM-Eintrag für die sichtbare Absenderdomain erwarten.

Klingt einleuchtend? Super! Dann schauen wir uns im nächsten Schritt an, was es mit dem SPF-Verfahren auf sich hat.

SPF-Record (Sender Policy Framework)

Neben der DKIM-Validierung ist die SPF-Authentifizierung eine weitere Methode, um eine sichere E-Mail-Kommunikation zu gewährleisten. Bei SPFs handelt es sich um bestimmte Sicherheitsmechanismen, die z. B. vor Betrugsfällen schützen, die Ihrem Ruf als Versender:in schaden.

Mit SPF-Records geben Sie als Versender:in bestimmte IP-Adressen für den E-Mail-Versand frei. Sie entscheiden selbst, welche IP-Adressen verwendet werden dürfen, um darüber E-Mails in Ihrem Namen zu versenden. So gehen Sie auf Nummer sicher und bieten Spam-Versender:innen die Stirn.

Bevor die E-Mail dann zugestellt wird, überprüft der Empfängerserver zuerst, ob die IP-Adresse, von der die E-Mail versendet wird, im SPF-Record gelistet ist. Nur dann wird die E-Mail tatsächlich an den Empfänger zugestellt, da Sie als Versender:in gewissermaßen Ihre Authentizität bestätigen.

Der Vollständigkeit halber schauen wir uns auch das Szenario mal in einer fiktiven Konversation zwischen dem Absenderserver und dem Empfängerserver an. 👀

Vereinfachte Darstellung vom Ablauf der SPF-Record-Abfrage

Auch hier ist die Darstellung natürlich stark vereinfacht – aber Sie bekommen einen erste Idee vom Ablauf!

🧐 Schon gewusst?

Beim SPF-Verfahren wird nur die im E-Mail-Header versteckte Absenderdomain anhand des SPF-Records validiert (wenn Sie rapidmail als Newsletter-Software verwenden also die Absenderdomain von rapidmail). Ihre eigene Absenderdomain, die sichtbar ist (z. B. @meinefirma.de) wird nicht überprüft.

Wenn Sie rapidmail als Newsletter-Software nutzen, können Sie den SPF-Record als eine offizielle und öffentliche Genehmigung betrachten, die erlaubt, dass Nachrichten von Ihrer Absenderdomain über die IP-Adressen von rapidmail versendet werden dürfen.

Als nächstes kommen wir zu den Vorteilen von DKIM und SPF und tauchen ein wenig mehr in die Tiefen ein.


2. Welche Vorteile haben DKIM-Keys und SPF-Records für den Newsletter-Versand?

VorteilDKIM-KeySPF-Record
Authentizität Ihrer E-MailDer Empfängerserver weiß, dass es sich um das unverfälschte Original handelt, wenn der öffentliche und der private Key zueinander passen. Ihre E-Mail wurde nicht von Dritten manipuliert – „Happy End” für alle! Der Empfängerserver erkennt anhand der im SPF-Record hinterlegten IP-Adressen, ob die für den Versand verwendete IP-Adresse von Ihnen autorisiert wurde. Wenn das der Fall ist, geht alles glatt und es heißt Ende gut, alles gut!
Spamfilter adieu!Indem Sie einen DKIM-Key hinterlegen, vermindern Sie das Risiko, von den Spamfiltern der E-Mail-Provider abgefangen zu werden.Weil sichergestellt werden kann, dass die IP-Adressen autorisiert sind, vermindert sich das Risiko, dass Ihre E-Mail von Spamfiltern abgefangen wird.
Gute VersandreputationIhr guter Ruf als seriöse:r Versender:in wird langfristig gestärkt und etabliert.Ihr guter Ruf als seriöse:r Versender:in wird langfristig gestärkt und etabliert.
Optimale ZustellbarkeitIndem Sie einen DKIM-Key hinterlegen, optimieren Sie die Zustellbarkeitsrate Ihrer Newsletter und sorgen dafür, dass Ihre E-Mails ankommen.Das Hinterlegen eines SPF-Records ist eine sehr wertvolle Maßnahme, um die Zustellbarkeit Ihrer Newsletter zu maximieren.

Mit beiden Authentifizierungsverfahren schützen Sie sich vor Betrüger:innen und sorgen dafür, dass Ihre E-Mails sicher und ohne das manipulative Eingreifen von Dritten am Ziel ankommen: bei Ihren Newsletter-Kontakten. Scheitert es an der Authentifizierung (sowohl des DKIM-Keys als auch des SPF-Eintrags), wird Ihr Mailing als risikoreich eingestuft – und das wollen Sie sicherlich vermeiden.

Das Gute ist: Für Sie bedeutet das Einrichten der beiden Verfahren nur einen minimalen zeitlichen und administrativen Aufwand. Deshalb raten wir allen Newsletter-Versender:innen dringend dazu, sowohl die DKIM- als auch die SPF-Validierung anzuwenden. Für das Ergebnis lohnt es sich – versprochen!

🧐 Gut zu wissen:

Behalten Sie dennoch im Hinterkopf, dass beide Authentifizierungsmethoden keine 100-prozentige Sicherheit bieten können, dass Ihre Newsletter immer erfolgreich bei allen Ihrer Kontakten ankommen. Die Zustellbarkeit Ihrer Mailings ist nämlich leider nicht nur von hinterlegten DKIM-Keys und SPF-Records abhängig. Zwar sind beide Verfahren starke Argumente FÜR eine Zustellung Ihrer Mailings, aber auch die Größe Ihrer E-Mail, die Formulierung der Betreffzeile, die Interaktion Ihrer Kontakte und vieles mehr beeinflussen die Entscheidung der Spam-Filter, ob Ihre E-Mail „durchgelassen” wird oder nicht.


3. Wann sollte ich DKIM-Keys und SPF-Records hinterlegen?

Generell raten wir allen Newsletter-Versender:innen dazu, DKIM-Keys und SPF-Records für die jeweiligen Absenderdomains im DNS zu speichern.

🧐 Gut zu wissen:

Ein DKIM-Key ist individuell und gilt für eine einzige Absenderdomain (z. B. @meinefirma.de). Das heißt, wenn Sie Newsletter über mehr als eine Absenderdomain (z. B. @meinefirma.de und @marketing-meinefirma.de) versenden, benötigen Sie die entsprechende Anzahl an öffentlichen DKIM-Keys, die Sie im DNS der jeweiligen Domain versenden.

Wann werden die Authentifizierungsverfahren besonders wichtig für Sie?

  • Große Empfängerliste: Sie versenden Ihre Newsletter an eine hohe Anzahl an Empfänger:innen. Wenn Sie mehrere tausend Empfänger:innen gleichzeitig anschreiben, erfolgt die Spam-Prüfung nochmal einen Ticken genauer, da die hohe Empfängeranzahl ein Indiz für eine unerwünschte Spam-Mail sein könnte. Durch die DKIM- und SPF-Verifizierung wirken Sie der Spam-Einstufung hier entgegen.
  • Bestimmte E-Mail-Adressen Ihrer Kontakte: Immer mehr Provider achten verstärkt auf sog. „Domain Alignment”. Vor allem die Provider Microsoft 365 und t-online prüfen E-Mails bereits dahingehend. Sichern Sie sich deswegen ab, um Ihre E-Mails sicher ins Ziel zu bringen.

🧐 Was hat es mit Domain Alignment auf sich?

Um ein vollständiges Domain Alignment zu erreichen, benötigen Sie als E-Mail-Versender:in sowohl ein DKIM-Alignment als auch ein SPF-Alignment für die Domains im E-Mail-Header.

Sie haben es wahrscheinlich schon selbst gemerkt: Wir plädieren ganz eindeutig für das Hinterlegen eines SPF-Records und eines DKIM-Keys! Am sinnvollsten ist es, sich nicht für eines der beiden Authentifizierungsverfahren zu entscheiden, sondern gleich beide einzurichten – so erreichen Sie nämlich automatisch auch Domain Alignment, auf das ja immer mehr Wert gelegt wird.

Nun kommen wir aber endlich zur Frage nach dem „Wie”!


4. DKIM und SPF mit rapidmail: So läuft es ab

DKIM-Verfahren

Um das DKIM-Verfahren anzuwenden, erstellen Sie als Versender:in in Ihrem rapidmail-Konto einen öffentlichen DKIM-Key für Ihre Absenderdomain. Diesen hinterlegen Sie dann im DNS bei Ihrem Webhoster (z. B. united domains, strato, one.com oder 1&1). Beim Empfang der E-Mail kann der Empfängerserver diesen öffentlichen DKIM-Key aus Ihrem DNS abrufen. Ihm liegt somit der Schlüssel vor, der benötigt wird, um die von Ihnen verfasste Nachricht zu entschlüsseln.

Graphischer Ablauf der DKIM-Authentifizierung
So läuft die DKIM-Validierung ab, wenn Sie einen Newsletter versenden.

In dem Moment, in dem Sie in Ihrem rapidmail-Konto den öffentlichen DKIM-Key für Ihr DNS generieren, wird gleichzeitig ein zweiter, privater DKIM-Key für Ihre Absenderdomain erzeugt. Dieser ist weder für Sie, noch für den Empfängerserver sichtbar: Er ist ausschließlich dem rapidmail-Server bekannt.

Mithilfe des privaten DKIM-Keys erzeugt rapidmail dann eine individuelle DKIM-Signatur. Diese wird automatische in die Kopfzeile aller Ihrer E-Mail-Newsletter (den E-Mail-Header) eingebaut – vorausgesetzt, Sie verschicken den Newsletter mit einer Absenderadresse der entsprechenden Domain, für die Sie den DKIM-Key erstellt haben.

Mithilfe der DKIM-Signatur, die in der Kopfzeile gespeichert wird, verleiht rapidmail Ihren E-Mails einen individuellen Fingerabdruck. Sozusagen ein ganz bestimmtes Schloss, in das nur der dazugehörige, öffentliche DKIM-Schlüssel passt. 

Beim Empfang Ihres Newsletters ruft der Empfängerserver dann den öffentlichen DKIM-Key aus Ihrem DNS ab und versucht, damit die DKIM-Signatur aus dem E-Mail-Header zu validieren. Wenn er es schafft, dann weiß der Empfängerserver, dass die Nachricht tatsächlich genau in dieser Form und mit genau diesem Inhalt von Ihnen als Absender:in versendet wurde. Mithilfe des DKIM-Verfahrens kann der Empfängerserver also sicherstellen, dass die Nachricht auf dem Weg vom Absender zum Empfänger von keinen „fremden” Servern manipuliert wurde. Die Chancen auf eine erfolgreiche Zustellung steigen erheblich.

Mit nur wenigen Klicks können Sie für alle Ihre Absenderdomains selbst DKIM-Keys generieren. Hier finden Sie nochmal eine detaillierte Schritt-für-Schritt-Anleitung, die sie durch das Prozedere führt.

SPF-Verfahren

Wenn Sie rapidmail als Newsletter-Software nutzen, werden Ihre Newsletter über die IP-Adressen von rapidmail versendet. Indem Sie in Ihrem rapidmail-Account unseren SPF-Record kopieren und diesen bei Ihrem Webhoster im DNS hinterlegen, geben Sie sozusagen grünes Licht für den Versand Ihrer E-Mails über die IP-Adressen von rapidmail.

Graphischer Ablauf der SPF-Authentifizierung
So läuft die SPF-Authentifizierung ab, wenn Sie einen Newsletter versenden.

Der Empfängerserver prüft dann beim Eingang der E-Mail, ob die IP-Adresse, über die Ihr Newsletter versendet wurde, im SPF-Record unserer Absenderdomain bzw. Ihrer Absenderdomain gelistet und damit zum Versand berechtigt ist. Ist das der Fall, verbessern sich Ihre Chancen, dass der Server Ihre E-Mail zu Ihrem Kontakt durchlässt. Ist das nicht der Fall, besteht die Gefahr, dass Ihr Newsletter vom Empfängerserver wie Spam behandelt und nicht an den Kontakt zugestellt wird. 

Das SPF-Verfahren stellt also eine weitere Möglichkeit dar, das Risiko einer Spam-Einstufung Ihrer Newsletter zu senken und die Zustellbarkeit Ihrer Mailings zu verbessern. 

Kopieren Sie mit nur wenigen Handgriffen den SPF-Record für Ihre Absenderdomain und sichern Sie sich eine maximale Zustellungsrate für Ihre E-Mails. Unsere Anleitung leitet Sie Schritt für Schritt durch den Prozess.

Screenshot des Spam-Tests von rapidmail, der automatisch vor dem Versand durchgeführt wird

Vor jedem Newsletterversand prüft unser Spam-Test für Ihre ausgewählte Absenderdomain, ob eine E-Mail-Authentifizierung durch DKIM und SPF vorliegt. Wenn nicht, erhalten Sie den Hinweis, dass Sie diese für eine optimale Zustellung noch aktivieren sollten.


Ende gut, alles gut!

Für eine maximale Zustellbarkeit Ihrer Newsletter zu sorgen, hat für uns oberste Priorität. Allen voran für unseren Zustellbarkeits-Experten Matthias, der sich täglich darum kümmert, dass Ihre Mailings sicher im Postfach Ihrer Empfänger:innen landen.

Der Aufwand, um bei rapidmail einen DKIM-Key und einen SPF-Record zu hinterlegen, hat sich deutlich verringert: Früher mussten Sie für jede neue Absenderdomain eine Anfrage an unser Support-Team stellen und darauf warten, dass unser IT-Team die Keys generiert und an Sie weiterleitet. Mittlerweile liegt es in Ihrer Hand: Sie können eigenständig DKIM-Keys und SPF-Records erzeugen und hinterlegen und sind auf niemanden sonst angewiesen.

Selbstverständlich steht Ihnen unser sympathisches Support-Team trotzdem zur Verfügung, sollten Sie Schwierigkeiten oder Fragen bei der Einrichtung haben.


Definitiv auch Ihre Aufmerksamkeit wert