Was ist das Problem?

In letzter Zeit fallen mir verstärkt E-Mails von Geschäftspartnern auf, die mir in G Suite (Googles kommerzieller E-Mail Dienst) mit einem roten Fragezeichen angezeigt werden. Google kennzeichnet damit E-Mails, deren wirkliche Herkunft schwer überprüfbar ist.

Das rote Fragezeichen in Gmail.


„FIRMA-Mail konnte nicht überprüfen, ob diese Nachricht tatsächlich von XYZ.TLD gesendet wurde und nicht von einem Spammer stammt.“

Google Warnmeldung bei Mails mit unklarer Herkunft.

Das sieht natürlich nicht nur unschön aus – sondern hinterlässt auch einen etwas unprofessionellen Eindruck: „Stammt die Mail wirklich von meinem Rechtsanwalt, oder will mir jemand etwas vormachen?“

Falls das auf Ihre Mails zutrifft, sollten Sie dringend etwas unternehmen. Ihre echten Mails sollten nicht mit roten Fragezeichen versehen werden, sondern die gefälschten. Besser noch, diese kommen gar nicht erst beim Empfänger an.

Woher weiß Google, ob Mails vom wirklichen Absender stammen?

Es gibt eine Vielzahl an Techniken um E-Mails sicherer zu machen. Das E-Mail Protokoll ist eines der ältesten technischen Spezifikationen im Internet. Zum Zeitpunkt der Erfindung waren die Themen SPAM und Phising noch nicht absehbar. Mittlerweile wurde nachgerüstet, aber offensichtlich sind selbst einfache Methoden zur Absicherung noch kein Standard.

Beispiel: Unsere Mails von twentyzen.com

Wir versenden unsere Firmen Mails über die Domain twentyzen.com. Empfängt Google Mails mit unserem Absender, erkundigt sich der Dienst bei unserem DNS Server, von welchen Servern aus überhaupt Mails für twentyzen.com versendet werden dürfen.

Diese Information wird in einem standardisierten Format bereitgestellt – mit einem sogenannten „SPF Text Eintrag“. SPF steht für „Sender Policy Framework„. In unserem SPF Eintrag legen wir öffentlich fest, nach welchen Regeln Mails im Namen von twentyzen.com versendet werden dürfen:

SPF Record von twentyzen.com (über mxtoolbox.com)

v=spf1 +a +mx include:amazonses.com include:_spf.google.com include:_spf.eu.sparkpostmail.com include:sendgrid.net ?all

Was genau bedeutet das?

  1. spf1 – die Version des SPF Standards, also spf1
  2. +a – der Server mit der zur Domain gehörenden IPv4 Adresse, darf senden
  3. +mx – unsere separat aufgeführten Mailserver dürfen senden
  4. include:amazonses.com – die beim Mailservice Amazon SES hinterlegten Server dürfen senden (verwenden wir in der Entwicklung)
  5. include:_spf.google.com – die bei Google hinterlegten Server dürfen senden (wir verwenden G Suite von Google)
  6. include:_spf.eu.sparkpostmail.com – die bei Sparkpost EU hinterlegten Server dürfen senden (verwenden wir in der Marketing Automatisierung)
  7. include:sendgrid.net – die bei Sendgrid hinterlegten Server dürfen senden (verwenden wir für den Versand unserer elektronischen Angebote)
  8. ?all – alle anderen Absender sollen neutral behandelt werden (das ist noch etwas inkonsequent, da werden wir in Zukunft strenger sein)

So lösen Sie das Thema.

  1. Prüfen Sie, ob ein SPF Record zu Ihrer Domain eingerichtet wurde. Wahrscheinlich nicht, sonst würde das rote Fragezeichen nicht bei den Empfängern erscheinen. Nutzen Sie dazu die MXToolbox oder den SPF Record Generator.
  2. Überlegen Sie, welche Systeme offiziell E-Mails mit einem Absender von Ihrer Domain versenden dürfen und erstellen Sie eine Liste. Im einfachsten Fall ist das Ihr Mailserver. Eventuell versenden Sie auch E-Mails als Newsletter?
  3. Erstellen Sie einen gültigen SPF Record, z.B. mit Hilfe des SPF Generators. Die richtigen SPF Records finden Sie meistens in der Dokumentation Ihres Hosting Anbieters.
  4. Suchen Sie die DNS Einstellungen zu Ihrer Domain und legen Sie einen neuen TXT Record mit dem generierten Wert an.
  5. Warten Sie nach dem Update eine Weile und prüfen dann erneut, ob Ihnen nun der SPF Record zu Ihrer Domain angezeigt wird.

Glückwunsch!

Sie haben nun Ihre E-Mails besser gegen Fälschungen gesichert. Empfänger können mit Hilfe des SPF Records nun überprüfen, ob der Server des Absenders berechtigt ist, Mails für Ihre Domain zu versenden.