Was ist das Problem?

In letzter Zeit fallen mir verstärkt E-Mails von Geschäftspartnern auf, die mir in G Suite (Googles kommerzieller E-Mail Dienst) als auch in Microsoft Outlook mit einem roten Fragezeichen angezeigt werden. Google kennzeichnet damit E-Mails, deren wirkliche Herkunft schwer überprüfbar ist.

„FIRMA-Mail konnte nicht überprüfen, ob diese Nachricht tatsächlich von XYZ.TLD gesendet wurde und nicht von einem Spammer stammt.“

Google Warnmeldung bei Mails mit unklarer Herkunft.

Auch Microsoft findet solche E-Mails verdächtig – dazu dieser Artikel.

Das sieht natürlich nicht nur unschön aus – sondern hinterlässt auch einen etwas unprofessionellen Eindruck: „Stammt die Mail wirklich von meinem Rechtsanwalt, oder will mir jemand etwas vormachen?“

Falls das auf Ihre Mails zutrifft, sollten Sie dringend etwas unternehmen. Ihre echten Mails sollten nicht mit roten Fragezeichen versehen werden, sondern die gefälschten. Besser noch, diese kommen gar nicht erst beim Empfänger an.

Woher weiß Microsoft / Google, ob Mails vom wirklichen Absender stammen?

Es gibt eine Vielzahl an Techniken um E-Mails sicherer zu machen. Das E-Mail Protokoll ist eines der ältesten technischen Spezifikationen im Internet. Zum Zeitpunkt der Erfindung waren die Themen SPAM und Phising noch nicht absehbar. Mittlerweile wurde nachgerüstet, aber offensichtlich sind selbst einfache Methoden zur Absicherung noch kein Standard.

Beispiel: Unsere Mails von twentyzen.com

Wir versenden unsere Firmen Mails über die Domain twentyzen.com. Empfängt Google Mails mit unserem Absender, erkundigt sich der Dienst bei unserem DNS Server, von welchen Servern aus überhaupt Mails für twentyzen.com versendet werden dürfen.

Diese Information wird in einem standardisierten Format bereitgestellt – mit einem sogenannten „SPF Text Eintrag“. SPF steht für „Sender Policy Framework„. In unserem SPF Eintrag legen wir öffentlich fest, nach welchen Regeln Mails im Namen von twentyzen.com versendet werden dürfen:

SPF Record von twentyzen.com (über mxtoolbox.com)

v=spf1 include:amazonses.com include:spf.emailsignatures365.com include:spf.mailjet.com include:spf.protection.outlook.com ~all

Was genau bedeutet das?

1. spf1 – die Version des SPF Standards, also spf1
2. include:amazonses.com – die beim Mailservice Amazon SES hinterlegten Server dürfen senden (verwenden wir für Newsletter und in der Entwicklung)
3. include:spf.emailsignatures365.com – dieser Dienst fügt unseren Mails die Signaturen hinzu
4. include:spf.mailjet.com – diesen Dienst verwenden wir für weitere Tests mit Marketing Newslettern
5. include:spf.protection.outlook.com – darüber versenden wir unsere geschäftlichen Mails
6. ~all – wenn der Absender aus keinem der genannten Dienste stammt, gibt es einen „soft fail“, soll also mit Vorsicht genutzt werden…

So lösen Sie das Thema.

1. Prüfen Sie, ob ein SPF Record zu Ihrer Domain eingerichtet wurde. Wahrscheinlich nicht, sonst würde das rote Fragezeichen nicht bei den Empfängern erscheinen. Nutzen Sie dazu die MXToolbox oder den SPF Record Generator.
2. Überlegen Sie, welche Systeme offiziell E-Mails mit einem Absender von Ihrer Domain versenden dürfen und erstellen Sie eine Liste. Im einfachsten Fall ist das Ihr Mailserver. Eventuell versenden Sie auch E-Mails als Newsletter?
3. Erstellen Sie einen gültigen SPF Record, z.B. mit Hilfe des SPF Generators. Die richtigen SPF Records finden Sie meistens in der Dokumentation Ihres Hosting Anbieters.
4. Suchen Sie die DNS Einstellungen zu Ihrer Domain und legen Sie einen neuen TXT Record mit dem generierten Wert an.
5. Warten Sie nach dem Update eine Weile und prüfen dann erneut, ob Ihnen nun der SPF Record zu Ihrer Domain angezeigt wird.

Glückwunsch!

Sie haben nun Ihre E-Mails etwas besser gegen Fälschungen gesichert. Empfänger können mit Hilfe des SPF Records nun überprüfen, ob der Server des Absenders berechtigt ist, Mails für Ihre Domain zu versenden. Aber sprechen Sie mit Ihrem Mail Hoster zusätzlich noch zu den Themen DKIM / DMARC.

Viel Erfolg!