E-Mail-Security auf DNS-Ebene

Um die Sicherheit von E-Mails zu gewährleisten, kommen verschiedene Authentifizierungsprotokolle zum Einsatz. Drei wesentliche Instrumente sind dabei:

  • SPF (Sender Policy Framework)
  • DKIM (DomainKeys Identified Mail)
  • DMARC (Domain-based Message Authentication, Reporting, and Conformance)

1. SPF

Ein SPF-Eintrag (Sender Policy Framework) ist ein DNS-Eintrag, der festlegt, welche E-Mail-Server berechtigt sind, E-Mails im Namen einer bestimmten Domain zu senden.

E-Mails, die von anderen Servern stammen, können dadurch leicht gefiltert und vom Empfänger als Spam eingestuft werden. Immer mehr Anbieter gehen mittlerweile einen Schritt weiter und Stufen generell Domains ohne SPF-Eintrag als Spam ein.


Für den Versand von E-Mails über die Domaintechnik E-Mail-Serve kann dieser Eintrag gesetzt werden:

Textformat: @ IN TXT "v=spf1 mx a include:spf.ledl.net ~all"

Die DNS-Zone finden Sie in Ihrer Domaintechnik Kundenzone unter "Leistungen" -> [Nameserver/Zone].


Subdomain: @

Typ: TXT

Text: v=spf1 mx a include:spf.ledl.net ~all

1.1 SPF-Eintrag für Versand über andere Anbieter

Senden Sie E-Mails auch über externe Server (zum Beispiel Newsletter-Versand, Rechnungsversand) müssen Sie den entsprechenden Anbieter für den SPF-Eintrag kontaktieren. Ein bestehender SPF-Eintrag muss danach erweitert werden, da nur ein SPF-Eintrag pro Domain konfiguriert werden darf.

Verwenden Sie zum Beipiel Microsoft und unsere E-Mail Server ist eine Erweiteurng des Eintrags wie folgt möglich:
v=spf1 include:spf.ledl.net include:spf.muster.at ~all

1.2 Wichtige Information für Reseller

Als Reseller werden E-Mails die durch unser System an Domaininhaber gesendet werden (z.B. Auth Code), unter Ihrer Kontaktadresse gesendet.

Das bedeutet, Sie müssen für Ihre Domain unseren SPF Eintrag hinzufügen, eine Erweiterung eines SPF Eintrages sieht zum Beispiel so aus:
v=spf1 include:spf.ledl.net include:spf.muster.at ~all

2. DKIM (DomainKeys Identified Mail)

DKIM ist bei uns standardmäßig über den E-Mail Server aktiv, eine eigene Konfiguration aller Domains ist dadurch nicht erforderlich.


DKIM ist ein Authentifizierungsmechanismus für E-Mails, der darauf abzielt, die Identität des Absenders zu überprüfen und sicherzustellen, dass die E-Mail während der Übertragung nicht manipuliert wurde.


Es wurde als Reaktion auf Phishing-Angriffe und E-Mail-Spoofing entwickelt, bei denen Angreifer versuchen, E-Mails zu senden, die vorgeben, von einer vertrauenswürdigen Quelle zu stammen.

Dabei wird im sogenannten E-Mail Header eine Signatur hinzugefügt, die der Empfänger über einen öffentlichen Schlüssel der im DNS hinterlegt ist prüfen kann.

Im DNS handelt es sich dabei ebenfalls um einen TXT-Eintrag, dieser ist wie folgt aufgebaut (Beispiel):

Subdomain: dkim._domainkey

Typ: TXT

Text: "v=DKIM1; k=rsa; p=#PUBLIC KEY#"

Der öffentliche Schlüssel (Public Key) und private Schlüssel (Private Key) müssen dabei immer vom zuständigen E-Mail Provider generiert werden.

3. DMARC

Bei DMARC handelt es sich im Gegensatz zu SPF und DKIM nicht um eine Methode zur Authentifizierung einer Nachricht, sondern gibt Anweisungen was mit Nachrichten passieren soll, wenn die Authentifizierung fehlschlägt.

Ein SPF und DKIM Eintrag der Domain sind voraussetzung für DMARC.

Auch bei DMARC handelt es sich um einen TXT-Eintrag

Subdomain: _dmarc

Typ: TXT

Text: "v=DMARC1; p=none; rua=mailto:postmaster@muster.at"

Mit der Anweisung"rua=" wie im Beispiel erhalten Sie an die angegebene Adresse tägliche Berichte welche Ihrer Nachrichten die Prüfungen bestanden oder nicht bestanden haben.