Zum Hauptinhalt gehen
DE English Español Français Italiano Português

Googles Richtlinien für E-Mail-Absender

Hinweis

Für E-Mails, die von Duda gesendet werden, gelten bereits die Best Practices für die E-Mail-Authentifizierung. In den Schritten in diesem Artikel wird erläutert, wie Sie Best Practices für die E-Mail-Authentifizierung für Ihre privaten Gmail-Konten implementieren. Beachten Sie, dass Duda kein E-Mail-Hosting anbietet oder unterstützt.

Ab dem 1. Februar 2024 verlangt Google bestimmte E-Mail-Authentifizierungsstandards für das Senden von Nachrichten an private Gmail-Konten. Diese Standards sind unerlässlich, um zu vermeiden, dass E-Mails als Spam markiert oder blockiert werden.

  • Alle Absender: Implementieren Sie entweder SPF (Sender Policy Framework) oder DKIM (DomainKeys Identified Mail)

  • Massenabsender (alle E-Mail-Absender, die fast 5.000 oder mehr Nachrichten pro Tag senden): Implementierung von SPF, DKIM und DMARC (Domain-based Message Authentication, Reporting and Conformance)

Die Richtlinien gelten für alle E-Mail-Absender, unabhängig vom von Ihnen verwendeten E-Mail-Dienstanbieter, solange Sie E-Mails an private Gmail-Konten (Konten, die auf @gmail.com oder @googlemail.com enden) senden.

Hinweis

Wenn Sie Hilfe zu Ihren Domain-Anmeldeinformationen, Einstellungen oder TXT-Einträgen benötigen, wenden Sie sich an Ihren Domain-Anbieter.

Warum E-Mail-Authentifizierung wichtig ist

Die E-Mail-Authentifizierungsanforderungen von Google erhöhen die Sicherheit und verhindern böswillige Aktivitäten wie Spoofing und Phishing. Durch die Implementierung dieser Best Practices für die E-Mail-Authentifizierung verbessern Sie die Zustellbarkeit und Zuverlässigkeit Ihrer E-Mail-zu-Gmail-Konten und schützen gleichzeitig Ihre Organisation und die Empfänger vor Identitätswechsel und Spam-Markierung.

Für eine optimale Leistung bei der E-Mail-Zustellung:

  1. SPF einrichten: Stellen Sie die E-Mail-Zustellung sicher und verhindern Sie Spoofing, indem Sie autorisierte Server für Ihre Domain angeben.

  2. DKIM einrichten: Erhöhen Sie die Sicherheit für ausgehende E-Mails, indem Sie verschlüsselte digitale Signaturen hinzufügen.

  3. DMARC einrichten: Erhöhen Sie schließlich die Sicherheit vor gefälschtem Spam mit DMARC. DMARC teilt den empfangenden Servern mit, was mit E-Mails geschehen soll, bei denen SPF oder DKIM fehlschlagen, und stellt Berichte über die Authentifizierungsaktivität bereit.

Stellen Sie sicher, dass SPF, DKIM und DMARC für jede Ihrer sendenden Domains über Ihren Domain-Anbieter konfiguriert sind. Wenn Sie einen E-Mail-Dienstanbieter verwenden, überprüfen Sie, ob er die E-Mail Ihrer Domain mit SPF und DKIM authentifiziert, um Zustellungsprobleme zu vermeiden.

Standards für die E-Mail-Authentifizierung

Im Folgenden finden Sie die wichtigsten Authentifizierungsmethoden, die Sie einrichten müssen, um die Anforderungen von Google zu erfüllen und Ihre E-Mail-Sicherheit zu verbessern:

  • SPF (Sender Policy Framework): SPF verhindert E-Mail-Spoofing, indem es festlegt, welche Mailserver berechtigt sind, E-Mails im Namen Ihrer Domain zu senden. Es funktioniert durch die Veröffentlichung eines DNS-Eintrags, der diese autorisierten Server auflistet. Wenn eine E-Mail empfangen wird, überprüft der Mailserver des Empfängers den SPF-Eintrag, um den Absender zu bestätigen. Anweisungen zur Einrichtung finden Sie unter Einrichten von SPF-TXT-Einträgen für Ihre Domain.

  • DKIM (DomainKeys Identified Mail): DKIM stellt die Authentizität und Integrität von E-Mails sicher, indem es dem E-Mail-Header eine digitale Signatur hinzufügt. Dies wird mithilfe eines Paares kryptografischer Schlüssel erreicht – einem privaten und einem öffentlichen. Der private Schlüssel wird zum Signieren der E-Mail verwendet, und der öffentliche Schlüssel, der in den DNS-Einträgen Ihrer Domain veröffentlicht ist, wird vom empfangenden Server verwendet, um die Signatur zu überprüfen. Anweisungen zur Einrichtung finden Sie unter Einrichten von DKIM-TXT-Einträgen für Ihre Domain.

  • DMARC (Domain-based Message Authentication, Reporting, and Conformance): DMARC baut auf SPF und DKIM auf, indem es den empfangenden Servern Anweisungen zum Umgang mit E-Mails gibt, die diese Prüfungen nicht bestehen. Er veröffentlicht eine Richtlinie in DNS, die den empfangenden E-Mail-Servern mitteilt, was mit E-Mails zu tun ist, die die SPF- oder DKIM-Überprüfung nicht bestehen, z. B. das Ablehnen oder Quarantänen. DMARC bietet auch einen Mechanismus zum Empfangen von Berichten über E-Mail-Authentifizierungsaktivitäten, mit dem Sie E-Mails überwachen können, die von Ihrer Domain gesendet werden, und Absender identifizieren, die sich möglicherweise als Ihre Domain ausgeben. Anweisungen zur Einrichtung finden Sie unter Einrichten von DMARC-TXT-Einträgen für Ihre Domain.

Einrichten von SPF TXT-Einträgen für Ihre Domain

Sender Policy Framework (SPF) ist ein E-Mail-Authentifizierungsprotokoll, das entwickelt wurde, um E-Mail-Spoofing und Phishing-Angriffe zu verhindern, indem festgelegt wird, welche Mailserver berechtigt sind, E-Mails im Namen Ihrer Domain zu senden. Indem Sie einen SPF-Eintrag einrichten, helfen Sie Empfängerservern zu überprüfen, ob E-Mails, die angeblich von Ihrer Domain stammen, tatsächlich von autorisierten Servern gesendet werden. Wenn eine E-Mail von einem nicht autorisierten Server gesendet wird, kann sie als Spam markiert oder abgelehnt werden.

Hinweis

Wenn Sie Hilfe zu Ihren Domain-Anmeldeinformationen, Einstellungen oder TXT-Einträgen benötigen, wenden Sie sich an Ihren Domain-Anbieter.

Stellen Sie vor Einstellungen up SPF sicher, dass Sie über Folgendes verfügen:

  • Domain-Provider-Zugriff: Anmeldeinformationen für die Anmeldung bei der Verwaltungskonsole Ihres Domain-Anbieters. Der SPF wird bei Ihrem Domainhostanbieter und nicht in der Google Admin-Konsole eingerichtet.

  • (Optional) Vorhandener SPF-Eintrag: Überprüfen Sie, ob bereits ein SPF-Eintrag eingerichtet ist.

  • Mailserver-Informationen: Eine Liste von IP-Adressen oder Domains für alle Mailserver, die E-Mails im Namen Ihrer Domain senden.

So richten Sie SPF ein:

  1. Melden Sie sich bei der Verwaltungskonsole Ihres Domain-Anbieters an: Melden Sie sich bei der Verwaltungskonsole an, die von Ihrem Domain-Anbieter bereitgestellt wird (z. GoDaddy). Suchen Sie die Seite oder das Dashboard, auf der Sie die DNS-TXT-Einträge für Ihre Domain aktualisieren können.

  2. Vorhandenen SPF-Eintrag prüfen: Möglicherweise haben Sie bei Ihrem Domain-Anbieter bereits einen TXT-Eintrag für SPF eingerichtet. Prüfen Sie mit der Google Admin Toolbox, ob bereits ein SPF-Eintrag vorhanden ist:

    • Geben Sie Ihren Domainnamen ein und klicken Sie auf Run Checks!.

    • Klicken Sie nach dem Test auf Effektive SPF-Adressbereiche.

    • Überprüfen Sie die Ergebnisse für vorhandene SPF-Einträge, z. B.:

      • _spf.google.com

      • _netblocks.google.com gefolgt von mehreren IP-Adressen

      • _netblocks2.google.com gefolgt von mehreren IP-Adressen

      • _netblocks3.google.com gefolgt von mehreren IP-Adressen

        Hinweis

        Die Ergebnisse enthalten eine Zusammenfassung mit Flagge, die angibt, ob der Nachrichtenfluss wie folgt lautet:

        • reibungslos funktioniert und keine Maßnahmen erforderlich sind,

        • funktionieren, aber auf Probleme hinweisen, die behoben werden müssen, oder

        • muss eingerichtet werden.

  3. Definieren Sie Ihren SPF-Eintrag: Um Ihren SPF-Eintrag zu definieren, müssen Sie einen TXT-Eintrag erstellen. Nachdem Sie sich bei der Verwaltungskonsole Ihrer Domain angemeldet haben, suchen Sie die Seite, auf der Sie TXT-Einträge für Ihre Domain aktualisieren können. Beachten Sie, dass eine einzelne Domain nur einen TXT-Eintrag für SPF haben kann.

    • SPF-Eintrag: Wenn Sie nur Google Workspace verwenden. Wenn alle E-Mails aus Ihrer Organisation nur über Google Workspace gesendet werden, kopieren Sie diese Textzeile für Ihren SPF-Eintrag:

      v=spf1 include:_spf.google.com ~alle

    • SPF-Eintrag: Wenn Sie Google Workspace und andere Absender verwenden. Wenn Sie E-Mails nicht nur in Google Workspace, sondern auch auf andere Weise versenden, müssen Sie einen benutzerdefinierten TXT-Eintrag für SPF erstellen, um diese Absender zu autorisieren. Ihr SPF-Eintrag sollte einen Verweis auf Google Workspace und alle Server enthalten, die E-Mails für Ihre Organisation oder Domain senden. Dazu können Dienste gehören, die automatische E-Mails versenden, z. B. Kontaktformulare, sowie Drittanbieter oder Dienste, die E-Mails für Ihre Domain senden.

      So erstellen Sie einen benutzerdefinierten TXT-Eintrag für Ihren SPF-Eintrag, einschließlich eines Verweises auf Google Workspace und andere Absender, die Sie verwenden:

      (Beachten Sie, dass die in den folgenden Schritten verwendeten IP-Adressen und Domainnamen Beispiele sind. Ersetzen Sie diese durch IP-Adressen und Domains für Ihre Absender. Ein normaler Datensatz besteht aus einer Mischung von Elementen.)

      1. Beginnen Sie mit dem SPF-Eintrag für Google Workplace:

        v=spf1 include:_spf.google.com ~alle

      2. Autorisierte IP-Adresse hinzufügen: Listet die einzelnen IP-Adressen (z. B. 198.51.100.1 und 2001:db8:1:1:1:1:1:1) oder IP-Subnetze (z. B. 198.51.100.0/24 und 2001:db8:1:::/64) auf, die zum Senden von E-Mails berechtigt sind. Verwenden Sie die ip4: tag für IPv4-Adressen und die ip6: tag für IPv6-Adressen. Zum Beispiel:

        v=SPF1 ip4:198.51.100.0/24 ip6:2001:db8:1:1:1:1:1:1 include:_spf.google.com ~alle

      3. Dienste von Drittanbietern einbeziehen: Wenn andere Dienste in Ihrem Namen E-Mails senden, verwenden Sie die include: tag , um eine andere Domain oder Subdomain einzuschließen. Zum Beispiel:

        v=SPF1 ip4:198.51.100.0/24 IP6:2001:DB8:1:1:1:1:1:1:1 include:thirdpartydomain.com include:_spf.google.com ~alle

      4. Mailserver angeben: Wenn andere Mailserver E-Mails in Ihrem Namen senden, verwenden Sie die a: tag. Zum Beispiel:

        v=SPF1 a:mail.exampledomain.com IP4:198.51.100.0/24 IP6:2001:DB8:1:1:1:1:1:1:1 include:thirdpartydomain.com include:_spf.google.com ~alle

      5. Geben Sie die Richtlinie für nicht autorisierte Server an: Beenden mit ~all , um festzulegen, wie E-Mails von nicht autorisierten Servern behandelt werden sollen. Beispiel: Wie bereits durch den SPF-Eintrag angegeben, der für Google Workspace verwendet wird:

        v=SPF1 a:mail.exampledomain.com IP4:198.51.100.0/24 IP6:2001:DB8:1:1:1:1:1:1:1 include:thirdpartydomain.com include:_spf.google.com ~alle

      Beginnend mit einem Soft Fail (~all) wird empfohlen, um Ihren SPF-Eintrag zu überwachen und anzupassen, ohne die E-Mail-Zustellung zu unterbrechen, und sicherzustellen, dass alle legitimen E-Mail-Quellen korrekt autorisiert sind, bevor Sie einen strikten Hard Fail (-all) erzwingen. Die Verwendung ~all ist in der Regel effektiv, da sie nicht übereinstimmende Nachrichten als Spam markiert.

      • ~all (soft fail): E-Mails von nicht gelisteten Servern werden akzeptiert, aber als verdächtig markiert.

      • -all (hard fail): E-Mails von nicht gelisteten Servern werden direkt abgelehnt.

    Beispiel für einen SPF-Eintrag

    Beschreibung

    v=SPF1 ip4:198.51.100.0/24 include:_spf.google.com ~alle

    Autorisiert E-Mails von:

    • Server mit IP-Adressen zwischen 198.51.100.0 und 198.51.100.255

    • Google Arbeitsbereich

    Dieser Eintrag lässt E-Mails aus einem bestimmten IPv4-Adressbereich und Google Workspace zu und markiert nicht aufgeführte Quellen als verdächtig.

    v=SPF1 ip4:198.51.100.0/24 include:_spf.google.com include:thirdpartydomain.com ~alle

    Autorisiert E-Mails von:

    • Server mit IP-Adressen zwischen 198.51.100.0 und 198.51.100.255

    • Google Arbeitsbereich

    • E-Mail-Dienst eines Drittanbieters Thirdpartydomain

    Dieser Eintrag ermöglicht E-Mails von einem bestimmten IPv4-Adressbereich, Google Workspace und einem zusätzlichen Drittanbieterdienst, wobei nicht aufgeführte Dienste als verdächtig gekennzeichnet werden.

    v=spf1 ip6:2001:db8::/32 include:_spf.google.com ~alle

    Autorisiert E-Mails von:

    • Server mit IP-Adressen zwischen 2001:db8:0000:0000:0000:0000:0000:0000:0000 und 2001:db8:ffff:ffff:ffff:ffff:ffff:ffff:ffff

    • Google Arbeitsbereich

    Dieser Eintrag ermöglicht E-Mails aus einem weiten IPv6-Adressbereich und Google Workspace, wodurch nicht aufgeführte Quellen als verdächtig markiert werden.

    v=SPF1 a:mail.exampledomain.com IP4:198.51.100.0/24 ip6:2001:db8::/32 include:_spf.google.com ~alle

    Autorisiert E-Mails von:

    • Mailserver mail.exampledomain.com

    • Server mit IP-Adressen zwischen 198.51.100.0 und 198.51.100.255

    • Server mit IP-Adressen zwischen 2001:db8:0000:0000:0000:0000:0000:0000:0000 und 2001:db8:ffff:ffff:ffff:ffff:ffff:ffff:ffff

    • Google Arbeitsbereich

    Dieser Datensatz deckt sowohl IPv4- als auch IPv6-Bereiche, Google Workspace und einen bestimmten E-Mail-Server ab und markiert andere als verdächtig.

  4. SPF-Eintrag hinzufügen: Um SPF für Ihre Domain zu aktivieren, fügen Sie Ihren SPF-Eintrag in der Verwaltungskonsole Ihres Domain-Anbieters hinzu:

    1. Melden Sie sich bei der Verwaltungskonsole Ihres Domänenanbieters an: Melden Sie sich bei der Verwaltungskonsole an, die von Ihrem Domänenanbieter bereitgestellt wird. Suchen Sie die Seite oder das Dashboard, auf der Sie die DNS-TXT-Einträge für Ihre Domain aktualisieren können.

    2. Geben Sie die folgenden Werte ein:

      Feldname

      Einzugebender Wert

      Typ

      Text

      Host

      • Für die Root-Domain: @

      • Wenn Sie einen SPF-Eintrag konfigurieren, verwenden Sie im Feld Host für Ihre Root-Domain und @ konsolidieren Sie alle Elemente (z. B. include:, ip4:, ip6:, a:) in einem einzigen TXT-Eintrag, da eine Domain nur einen SPF-TXT-Eintrag haben kann.

      Wert

      • Wenn Sie nur Google Workspace verwenden, geben Sie Folgendes ein: v=spf1 include:_spf.google.com ~all

      • • Wenn Sie zusätzliche E-Mail-Absender verwenden, geben Sie den SPF-Eintrag ein, den Sie erstellt haben.

      Lebenszeit (TTL)

      1 Stunde oder 3600 Sekunden

Fehlerbehebung bei SPF-Problemen

Hinweis

Wenn Sie Hilfe zu Ihren Domain-Anmeldeinformationen, Einstellungen oder TXT-Einträgen benötigen, wenden Sie sich an Ihren Domain-Anbieter.

Wenn Sie SPF (Sender Policy Framework) konfiguriert haben, aber Probleme wie eine fehlgeschlagene SPF-Authentifizierung, das Ablehnen von E-Mails oder Nachrichten, die in Spam-Ordnern landen, auftreten, führen Sie die folgenden Schritte zur Fehlerbehebung aus:

  1. Überprüfen der Einrichtung des SPF-Eintrags

    • Vorhandenen SPF-Eintrag überprüfen: Verwenden Sie eine tool wie MXToolbox oder die DNS-Verwaltungsschnittstelle Ihrer Domain, um zu bestätigen, dass ein SPF-Eintrag für Ihre Domain vorhanden ist.

    • SPF-Eintrag definieren und hinzufügen: Stellen Sie sicher, dass Ihr SPF-Eintrag korrekt formatiert ist und alle relevanten Mailserver enthält. Ein SPF-Eintrag könnte z. B. wie folgt aussehen: v=spf1 ip4:192.168.0.1 include:_spf.example.com -all.

  2. Überprüfen der Ergebnisse der SPF-Authentifizierung

    • E-Mail-Header: Öffnen Sie in Google Mail eine E-Mail, klicken Sie auf die drei Punkte in der oberen rechten Ecke und wählen Sie "Original anzeigen", um die SPF-Ergebnisse im Abschnitt "Authentifizierungsergebnisse" anzuzeigen.

    • Google Admin Toolbox: Kopieren Sie die E-Mail-Header und verwenden Sie die tool Messageheader der Google Admin Toolbox, um die SPF-Ergebnisse zu analysieren.

  3. Stellen Sie sicher, dass alle Absender im SPF-Eintrag enthalten sind.

    • SPF-Einträge überprüfen: Stellen Sie sicher, dass alle Mailserver und Dienste, die E-Mails für Ihre Domain senden, enthalten sind. Dazu gehören E-Mail-Anbieter und Website-Formulare von Drittanbietern.

    • SPF-Eintrag aktualisieren: Fügen Sie alle fehlenden IP-Adressen oder Domains zu Ihrem SPF-Eintrag hinzu. Wenn Sie beispielsweise einen E-Mail-Marketing-Dienst verwenden, stellen Sie sicher, dass dessen Sende-IPs oder Include-Mechanismen zu Ihrem Datensatz hinzugefügt werden.

  4. Probleme bei der E-Mail-Weiterleitung beheben

    • Überprüfen Sie die Weiterleitungsdetails: Verwenden Sie die E-Mail-Protokollsuche, um zu überprüfen, ob bei weitergeleiteten E-Mails SPF fehlschlägt. Suchen Sie nach der Adresse des ursprünglichen Empfängers, um zu bestätigen, ob es sich um eine Weiterleitung handelt.

    • Kontaktweiterleitungsdienst: Wenden Sie sich an den Weiterleitungsdienst des Drittanbieters, um zu prüfen, ob er seine Weiterleitungsmethode anpassen oder Einblicke in SPF-Probleme geben kann.

  5. Erweiterte SPF-Fehlerbehebung

    • Analysieren von Nachrichtenkopfzeilen: Im Abschnitt "Authentifizierungsergebnisse" finden Sie SPF-Ergebnisse wie "Softfail", "Fail" oder "Neutral" und die Adresse basierend auf dem Ergebnis. Zum Beispiel:

      • Kein SPF-Eintrag: Stellen Sie sicher, dass Ihr SPF-Eintrag korrekt eingerichtet ist.

      • Softfail oder Fail: Stellen Sie sicher, dass alle legitimen Sende-IPs in Ihrem SPF-Eintrag enthalten sind.

      • TempError oder PermError: Überprüfen Sie, ob DNS-Probleme vorliegen oder der Grenzwert von 10 Suchvorgängen überschritten wird.

  6. Überprüfen von DNS-Lookups

    • Anzahl der Monitor-Lookups: SPF-Einträge sind auf 10 DNS-Lookups beschränkt. Ihr SPF-TXT-Eintrag darf also nicht mehr als 10 Verweise auf andere Domains enthalten. Jeder dieser Mechanismen, einschließlich verschachtelter Nachschlagevorgänge, in Ihrem SPF-Eintrag führt zu einer Suche: a, mx, include, ptr. Verwenden Sie tool wie Check MX der Google Admin Toolbox, um die Anzahl der Nachschlagevorgänge zu überwachen und Ihren SPF-Eintrag anzupassen, um dieses Limit nicht zu überschreiten.

DKIM-TXT-Einträge für Ihre Domain einrichten

DKIM (DomainKeys Identified Mail) ist eine unverzichtbare E-Mail-Authentifizierungsmethode, die Ihre Domain vor Spoofing schützt und verhindert, dass ausgehende Nachrichten als Spam markiert werden. Spoofing ist eine irreführende E-Mail-Praxis, bei der die Adresse des Absenders gefälscht wird, um den Anschein zu erwecken, dass sie von einer legitimen Organisation oder Domain stammt. DKIM spielt eine entscheidende Rolle, indem es nicht autorisierte Änderungen am Nachrichteninhalt erkennt, einschließlich Änderungen an der Absenderadresse. Ohne DKIM ist es wahrscheinlicher, dass E-Mails, die von Ihrer Domain gesendet werden, von empfangenden Mailservern als Spam gekennzeichnet werden. Um sicherzustellen, dass Ihre Nachrichten zuverlässig zugestellt werden, insbesondere an Gmail-Nutzer, empfiehlt es sich, DKIM zusammen mit der SPF-Authentifizierung (Sender Policy Framework) für Ihre Domain einzurichten. Dies trägt dazu bei, die Google-Richtlinien für E-Mail-Absender zu erfüllen und die Authentifizierung der E-Mails Ihrer Organisation zu verbessern.

Hinweis

Wenn Sie Hilfe zu Ihren Domain-Anmeldeinformationen, Einstellungen oder TXT-Einträgen benötigen, wenden Sie sich an Ihren Domain-Anbieter.

Stellen Sie vor Einstellungen up DKIM sicher, dass Sie über Folgendes verfügen:

  • Google Admin-Zugriff: Anmeldedaten für die Anmeldung in der Google Admin-Konsole. Sie erhalten Ihren DKIM-Schlüssel über die Google Admin-Konsole.

  • Domain-Provider-Zugriff: Anmeldeinformationen für die Anmeldung bei der Verwaltungskonsole Ihres Domain-Anbieters. Sie fügen die DKIM-Schlüsselinformationen aus der Google Admin-Konsole zu den Einstellungen Ihres Domainanbieters hinzu.

  • Einstellungen für ausgehende Gateways, die so konfiguriert sind, dass E-Mails nach dem Senden nicht geändert werden: Überprüfen Sie Ihre ausgehenden E-Mail-Gateways Die Einstellungen beeinträchtigen nicht das ordnungsgemäße Funktionieren der DKIM-Authentifizierung für ausgehende Nachrichten, da Änderungen wie das Hinzufügen von Fußzeilen oder das Umschreiben von Inhalten nach dem Senden der Nachricht dazu führen können, dass die DKIM-Überprüfung der E-Mail fehlschlägt.

    • Richten Sie das Gateway entweder so ein, dass ausgehende Nachrichten nicht geändert werden, oder richten Sie das Gateway so ein, dass zuerst der Nachrichteninhalt geändert wird, und fügen Sie dann die DKIM-Signatur hinzu.

  • (Optional) Vorhandener DKIM-Schlüssel: Prüfen Sie, ob ein DKIM-Schlüssel für Ihre Domain vorhanden ist.

So richten Sie DKIM ein:

  1. In der Google Admin-Konsole anmelden: Rufen Sie die Google Admin-Konsole auf. Sie müssen als Super Administrator angemeldet sein, um Ihren DKIM-Schlüssel zu erhalten.

  2. Vorhandenen DKIM-Schlüssel prüfen: Wenn Sie bereits einen DKIM-Schlüssel für Ihre Domain verwenden, kann dies über Google Workspace oder ein anderes E-Mail-System erfolgen.

    1. Gehen Sie in der Google Admin-Konsole zu Menü , wählen Sie Apps aus, wählen Sie Google Workspace aus und klicken Sie auf Gmail.

    2. Klicken Sie auf E-Mail authentifizieren und wählen Sie im Menü Ausgewählte Domäne die Domäne aus, die Sie überprüfen möchten.

    3. Suchen Sie den Abschnitt DNS-Hostname (Name des TXT-Eintrags):

      • Wenn Sie DKIM noch nie in Google Workspace eingerichtet haben, ist dieses Feld leer.

      • Wenn dieses Feld einen Wert hat, beachten Sie den Text vor ._domainkey. Das ist Ihr Selektor Präfix.

    4. Navigieren Sie zur Google Admin Toolbox und geben Sie Ihren Domainnamen in das Feld Domainname ein.

    5. Klicken Sie auf die Schaltfläche Überprüfungen ausführen und warten Sie, bis der Test abgeschlossen ist.

    6. Überprüfen Sie nach Abschluss des Tests, welche der folgenden Meldungen angezeigt wird:

      • DKIM-Authentifizierung DNS-Setup: Für die Domain und den Selektor wird ein DKIM-Schlüssel eingerichtet.

      • DKIM ist nicht eingerichtet: Für Ihre Domain mit dem eingegebenen Präfix-Selektor existiert kein DKIM-Schlüssel. Um dieses Problem zu beheben, richten Sie einen neuen Schlüssel mit dem bereitgestellten Selektor ein (der Standardselektor ist google).

  3. DKIM-Schlüssel generieren:

    1. Gehen Sie in der Google Admin-Konsole zu Menü , wählen Sie Apps aus, wählen Sie Google Workspace aus und klicken Sie auf Gmail.

    2. Klicken Sie auf E-Mail authentifizieren und wählen Sie im Menü Ausgewählte Domäne die Domain aus, in der Sie DKIM einrichten möchten.

    3. Klicken Sie auf die Schaltfläche Neuen Datensatz generieren.

    4. Wählen Sie Ihren DKIM-Schlüssel Einstellungen:

      Einstellungen

      Optionen

      Länge des DKIM-Schlüsselbits

      2048. Wenn Ihr Domain-Provider 2048-Bit-Schlüssel unterstützt, wählen Sie diese Option aus. Längere Schlüssel sind sicherer als kürzere Schlüssel. 1024. Wenn Ihr Domainhost keine 2048-Bit-Schlüssel unterstützt, wählen Sie diese Option aus.

      1024. Wenn Ihr Domainhost keine 2048-Bit-Schlüssel unterstützt, wählen Sie diese Option aus.

      Präfix-Selektor

      Der Standard-Selektor Präfix ist google. Es wird empfohlen, die Standardeinstellung zu verwenden. Wenn Ihre Domain jedoch bereits einen DKIM-Schlüssel mit dem Präfix google verwendet, geben Sie ein anderes Präfix ein.

    5. Klicken Sie auf Generieren und kopieren Sie die DKIM-Werte, die im Fenster E-Mail authentifizieren angezeigt werden:

      • DNS-Hostname (Name des TXT-Eintrags): Dieser Text ist der Name für den DKIM-TXT-Eintrag, den Sie den DNS-Einträgen Ihres Domain-Anbieters hinzufügen.

      • Wert des TXT-Eintrags: Dieser Text ist der DKIM-Schlüssel, den Sie Ihrem DKIM-TXT-Eintrag hinzufügen.

  4. DKIM-Schlüssel hinzufügen: Beachten Sie, dass es nach dem Hinzufügen eines DKIM-Schlüssels bis zu 48 Stunden dauern kann, bis die DKIM-Authentifizierung funktioniert.

    1. Melden Sie sich bei der Verwaltungskonsole Ihres Domänenanbieters an: Melden Sie sich bei der Verwaltungskonsole an, die von Ihrem Domänenanbieter bereitgestellt wird. Suchen Sie die Seite oder das Dashboard, auf der Sie die DNS-TXT-Einträge für Ihre Domain aktualisieren können.

    2. Neuen TXT-Eintrag für DKIM hinzufügen: Geben Sie die folgenden Werte ein und speichern Sie die Änderungen.

      Feldname

      Einzugebender Wert

      Name des TXT-Eintrags (im ersten Feld unter dem DNS-Hostnamen)

      Geben Sie den DNS-Hostnamen (Name des TXT-Eintrags) ein, der in der Google Admin-Konsole angezeigt wird.

      Wert des TXT-Eintrags (im zweiten Feld)

      Geben Sie den Wert des TXT-Eintrags (DKIM-Schlüssel) ein, der in der Google Admin-Konsole angezeigt wird.

  5. DKIM-Signatur aktivieren: Beachten Sie, dass auf der Seite "E-Mail authentifizieren" in der Google Admin-Konsole möglicherweise bis zu 48 Stunden lang die folgende Meldung angezeigt wird: "Sie müssen die DNS-Einträge für diese Domain aktualisieren. Wenn Sie Ihren DKIM-Schlüssel bei Ihrem Domain-Anbieter korrekt hinzugefügt haben, können Sie die Meldung ignorieren."

    1. Gehen Sie in der Google Admin-Konsole zu Menü , wählen Sie Apps aus, wählen Sie Google Workspace aus und klicken Sie auf Gmail.

    2. Klicken Sie auf E-Mail authentifizieren und wählen Sie im Menü Ausgewählte Domäne die Domain aus, in der Sie DKIM einrichten möchten.

    3. Klicken Sie auf die Schaltfläche Authentifizierung starten .

  6. Überprüfen Sie die DKIM-Authentifizierung:

    1. Senden Sie eine E-Mail-Nachricht an jemanden, der Gmail oder Google Workspace verwendet. (Sie können nicht überprüfen, ob DKIM aktiviert ist, indem Sie sich selbst eine Testnachricht senden.)

    2. Öffnen Sie die Nachricht im Posteingang des Empfängers und suchen Sie den gesamten Nachrichtenkopf. (Die Schritte zum Anzeigen des Nachrichtenkopfs sind für verschiedene E-Mail-Anwendungen unterschiedlich. Wenn Sie Nachrichtenkopfzeilen in Gmail anzeigen möchten, klicken Sie neben Antworten auf das Dreipunkt-Menü Original anzeigen.)

    3. Suchen Sie in der Kopfzeile der Nachricht nach Authentication-Results. Empfangende Dienste verwenden unterschiedliche Formate für eingehende Nachrichtenheader, die DKIM-Ergebnisse sollten jedoch etwa DKIM=pass oder DKIM=OK enthalten. Wenn der Nachrichtenheader keine Zeile über DKIM enthält, werden Nachrichten, die von Ihrer Domain gesendet werden, nicht mit DKIM signiert.

Fehlerbehebung bei DKIM-Problemen

Hinweis

Wenn Sie Hilfe zu Ihren Domain-Anmeldeinformationen, Einstellungen oder TXT-Einträgen benötigen, wenden Sie sich an Ihren Domain-Anbieter.

Wenn E-Mails von Ihrer Domain die DKIM-Authentifizierung nicht bestehen oder abgelehnt oder als Spam markiert werden, gehen Sie folgendermaßen vor, um DKIM-Probleme zu beheben:

  1. Überprüfen der DKIM-Einrichtung

    1. DKIM-Schlüssel abrufen: Rufen Sie in der Admin-Konsole den DKIM-Schlüssel ab, der für Ihre Domain erforderlich ist.

    2. DKIM-Schlüssel hinzufügen: Fügen Sie den DKIM-Schlüssel als TXT-Eintrag in den DNS-Einstellungen Ihres Domain-Anbieters hinzu. Stellen Sie sicher, dass der Schlüssel korrekt eingegeben und vollständig ist.

    3. DKIM aktivieren: Aktivieren Sie in der Admin-Konsole die DKIM-Signierung für Ihre Domain.

  2. Überprüfen der Ergebnisse der DKIM-Authentifizierung

    1. Nachrichten bestätigen: Senden Sie eine Test-E-Mail an ein privates E-Mail-Konto (z. B. Gmail), um Probleme mit bestimmten Empfangsservern auszuschließen.

    2. E-Mail-Kopfzeilen überprüfen: Klicken Sie in Gmail auf "Original anzeigen", um den DKIM-Status unter der Überschrift "Authentifizierungsergebnisse" anzuzeigen.

    3. Verwenden Sie die Google Admin Toolbox: Analysieren Sie Nachrichtenkopfzeilen mit dem toolMessageheader der Google Admin Toolbox, um DKIM-Ergebnisse zu überprüfen.

  3. Bestätigen Sie die Integrität des DKIM-Schlüssels.

    1. DKIM-TXT-Eintrag prüfen: Stellen Sie sicher, dass Ihr DKIM-TXT-Eintrag nicht abgeschnitten und korrekt formatiert ist. DKIM-Schlüssel, die länger als 255 Zeichen sind, können in mehrere TXT-Einträge aufgeteilt werden.

    2. Datensätze vergleichen: Überprüfen Sie im Dig- tool der Google Admin Toolbox, ob der Wert des TXT-Eintrags mit dem Schlüssel in der Admin-Konsole übereinstimmt. Geben Sie Ihren DKIM-Eintrag ein (z. B. google._domainkey) gefolgt von Ihrer Domain, um die Ergebnisse zu vergleichen.

  4. Beheben von Problemen bei der Nachrichtenweiterleitung

    1. Auf Änderungen prüfen: Überprüfen Sie den Header "Authentication-Results" auf "Body Hash did not verify"-Nachrichten, die darauf hinweisen, dass die E-Mail während der Weiterleitung geändert wurde.

    2. Ausgehende Gateways: Stellen Sie sicher, dass ausgehende Gateways den Inhalt ausgehender Nachrichten nicht ändern, da dies zu DKIM-Fehlern führen kann.

    3. Weiterleitung überprüfen: Verwenden Sie die E-Mail-Protokollsuche, um zu überprüfen, ob weitergeleitete Nachrichten die Ursache für DKIM-Probleme sind. Wenden Sie sich bei Bedarf an den Speditionsdienst.

  5. Wenden Sie sich an Administratoren für abgelehnte DKIM-signierte Nachrichten

    1. Kontaktaufnahme: Wenn DKIM korrekt eingerichtet ist, Nachrichten aber immer noch abgelehnt oder an Spam gesendet werden, wenden Sie sich an den Administrator des ablehnenden E-Mail-Servers, um weitere Unterstützung zu erhalten.

  6. Überprüfen Sie die Zeichenbeschränkungen für TXT-Einträge

    • Limits überprüfen: Stellen Sie sicher, dass Ihre DKIM-TXT-Einträge den Zeichenbeschränkungen Ihres Domain-Anbieters entsprechen. Die meisten TXT-Einträge können bis zu 255 Zeichen lang sein. Bei TXT-Einträgen, die mehr als 255 Zeichen enthalten, fügt DNS mehrere Zeichenfolgen in einem einzigen Eintrag hinzu.

      Wenn Sie einen 2048-Bit-DKIM-Schlüssel verwenden, können Sie ihn nicht als einzelne Textzeichenfolge in einen DNS-Eintrag mit einem Limit von 255 Zeichen eingeben. Führen Sie stattdessen die folgenden Schritte aus:

      1. Teilen Sie die Schlüsselzeichen in mehrere Textzeichenfolgen auf.

      2. Setzen Sie jede Zeichenkette in Anführungszeichen.

      3. Geben Sie die Zeichenfolgen nacheinander in das Feld TXT-Eintragswert bei Ihrem Domain-Provider ein.

Einrichten von DMARC-TXT-Einträgen für Ihre Domain

Domain-based Message Authentication, Reporting, and Conformance (DMARC) ist ein E-Mail-Authentifizierungsprotokoll, das auf SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail) aufbaut, um E-Mail-Spoofing und Phishing-Angriffe zu verhindern. Mit DMARC können Domaininhaber empfangende Mailserver anweisen, wie sie mit E-Mails umgehen sollen, die die SPF- und DKIM-Prüfungen nicht bestehen.

Die Schlüsselkomponenten von DMARC sind:

  • Politik (p): Gibt die Aktion an, die ausgeführt werden soll, wenn eine E-Mail die Authentifizierungsprüfung nicht besteht. Die Richtlinienoptionen sind none (nur überwachen), quarantine (als Spam markieren) oder reject (nicht zustellen).

  • Reporting (rua=mailto:): Gibt an, wohin DMARC-Berichte gesendet werden sollen. Diese Berichte enthalten detaillierte Informationen zu E-Mails, die die Authentifizierungsprüfungen bestehen und nicht bestehen.

Bevor Sie DMARC einrichten, stellen Sie sicher, dass Sie über Folgendes verfügen:

  • Zugang zum Domain-Provider: Anmeldeinformationen für die Anmeldung bei der Verwaltungskonsole Ihres Domain-Anbieters. DMARC ist bei Ihrem Domain-Hostanbieter und nicht in der Google Admin-Konsole aktiviert.

  • SPF und DKIM bereits eingerichtet: Stellen Sie vor der Implementierung von DMARC sicher, dass Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM) für Ihre Domain aktiviert sind. Diese Authentifizierung ist für die DMARC-Funktionalität unerlässlich, da DMARC den empfangenden Mailservern mitteilt, was zu tun ist, wenn sie eine Nachricht erhalten, die scheinbar von Ihrem Unternehmen stammt, die Nachricht jedoch die SPF- und/oder DKIM-E-Mail-Authentifizierungsprüfungen nicht besteht.

    Warnung

    • Wenn Sie SPF und DKIM nicht einrichten, bevor Sie DMARC aktivieren, treten bei Nachrichten, die von Ihrer Domain gesendet werden, wahrscheinlich Zustellungsprobleme auf.

    • Warten Sie 48 Stunden nach Einstellungen up SPF und DKIM, bevor Einstellungen up DMARC.

  • (Optional) Vorhandener DMARC-Eintrag: Prüfen Sie, ob für Ihre Domain ein DMARC-Eintrag vorhanden ist.

  • E-Mail-Authentifizierung von Drittanbietern: Stellen Sie sicher, dass Nachrichten, die von Drittanbietern gesendet werden, authentifiziert werden, um den DMARC-Richtlinien zu entsprechen. So verbessern Sie die Authentifizierung für Nachrichten, die von Drittanbietern gesendet werden:

    • Vergewissern Sie sich bei Ihrem Drittanbieter, dass DKIM korrekt konfiguriert ist.

    • Stellen Sie sicher, dass die vom Anbieter verwendete Umschlagabsenderdomäne mit Ihrer Domäne übereinstimmt.

    • Fügen Sie die IP-Adresse der sendenden Mailserver des Anbieters zum SPF-Eintrag für Ihre Domain hinzu.

Einrichten von DMARC

So richten Sie DMARC ein:

  1. Melden Sie sich bei der Verwaltungskonsole Ihres Domain-Anbieters an: Greifen Sie auf die Plattform Ihres Domain-Anbieters zu und navigieren Sie zum Abschnitt DNS-TXT-Eintragsverwaltung.

  2. Vorhandenen DMARC-Eintrag prüfen: Überprüfen Sie vor der DMARC-Einrichtung, ob Ihre Domain bereits über einen DMARC DNS TXT-Eintrag verfügt. Falls vorhanden, überprüfen Sie die DMARC-Berichte, um die erfolgreiche Authentifizierung und Zustellung von Nachrichten zu bestätigen. So suchen Sie bei Ihrem Domain-Anbieter nach einem TXT-Eintrag für DMARC:

    1. Melden Sie sich bei der Verwaltungskonsole an, die von Ihrem Domain-Anbieter bereitgestellt wird.

    2. Suchen Sie die Seite oder das Dashboard, auf der Sie die DNS-TXT-Einträge für Ihre Domain aktualisieren können.

    3. Überprüfen Sie die DNS-TXT-Einträge, die Ihrer Domain zugeordnet sind. Wenn ein DMARC-Eintrag vorhanden ist, beginnt er in der Regel mit v=DMARC.

  3. Definieren Sie Ihren DMARC-Eintrag: Um Ihren DMARC-Eintrag zu definieren, müssen Sie einen TXT-Eintrag erstellen, der definiert, wie streng DMARC Nachrichten prüfen soll und welche Maßnahmen für den Empfang von Servern empfohlen werden.

    Wenn Sie mit der Implementierung von DMARC beginnen, empfehlen wir, mit einer gelockerten Durchsetzungsrichtlinie zu beginnen, die auf "keine" festgelegt ist. Wenn Sie Einblicke in die Authentifizierung von Nachrichten aus Ihrer Domäne durch empfangende Server erhalten, passen Sie Ihre Richtlinie schrittweise von "keine" auf "Quarantäne" und schließlich auf "Ablehnen" an.

    Der DMARC-Eintrag hat die Form einer Klartextzeile, die aus einer Liste von DMARC- tag -Werten besteht, die durch Semikolons getrennt sind. Einige tag sind erforderlich, andere sind optional. Beispiel: v=DMARC1; p=ablehnen; rua=mailto:mailbox@example.com, mailto:dmarc@example.com; pct=10; adkim=r; aspf=r

    tag ein

    Erforderlich?

    Beschreibung

    Werte

    v

    Bedarf

    Gibt die DMARC-Version an.

    Muss DMARC1 sein.

    p

    Erforderlich

    Weist den empfangenden E-Mail-Server an, welche Aktionen für Nachrichten ausgeführt werden, bei denen die Authentifizierung fehlschlägt.

    none – Führen Sie keine Maßnahmen aus, übermitteln Sie die Nachricht und protokollieren Sie sie. Die Berichte werden an die im rua- tagangegebene E-Mail-Adresse gesendet.

    quarantine — Markieren Sie die Nachricht als Spam und senden Sie sie an den Spam-Ordner. Die Empfänger können sie auf ihre Legitimität überprüfen.

    reject – Die Nachricht wird abgelehnt und in der Regel eine Unzustellbarkeitsnachricht an den Absender gesendet.

    pct

    Erforderlich

    Definiert den Prozentsatz der Nachrichten, die der DMARC-Richtlinie unterliegen.

    Muss eine ganze Zahl zwischen 1 und 100 sein. Wenn nicht angegeben, gilt die Richtlinie für 100 % der Nachrichten.

    Rua

    Optional

    Lassen Sie sich DMARC-Berichte an eine E-Mail-Adresse senden. Die E-Mail-Adresse muss mailto: enthalten.

    Um DMARC-Berichte an mehrere E-Mails zu senden, trennen Sie jede E-Mail-Adresse durch ein Komma und fügen Sie vor jeder Adresse das Präfix mailto: hinzu.

    Beispiel: mailto:dmarc-reports@example.com, mailto:dmarc-admin@example.com (ersetzen Sie example.com durch Ihre Domain).

    sp

    Optional

    Legt die Richtlinie für Subdomains Ihrer primären Domain fest.

    none – Führen Sie keine Maßnahmen aus, übermitteln Sie die Nachricht und protokollieren Sie sie. Die Berichte werden an die im rua- tagangegebene E-Mail-Adresse gesendet.

    quarantine — Markieren Sie die Nachricht als Spam und senden Sie sie an den Spam-Ordner. Die Empfänger können sie auf ihre Legitimität überprüfen.

    reject – Die Nachricht wird abgelehnt und in der Regel eine Unzustellbarkeitsnachricht an den Absender gesendet.

    Wenn nicht angegeben, erben Unterdomänen die Richtlinie der übergeordneten Domäne.

    Adkim

    Optional

    Gibt die Ausrichtungsrichtlinie für DKIM an und gibt an, wie streng die Absenderdomäne mit den d=domainname DKIM-Signaturen übereinstimmen muss.

    s – Strikte Ausrichtung. Der Domainname des Absenders muss genau mit dem entsprechenden d=domainname in den DKIM-Mailheadern übereinstimmen.

    r – Entspannte Ausrichtung (Standard). Ermöglicht partielle Übereinstimmungen. Jede gültige Subdomain von d=domain in den DKIM-Mail-Headern wird akzeptiert

    ADSPF

    Optional

    Gibt die Ausrichtungsrichtlinie für SPF an, die angibt, wie streng die Absenderdomäne mit der Domäne im Befehl SMTP MAIL FROM übereinstimmen muss.

    s – Strikte Ausrichtung. Die Absenderdomäne muss genau mit der Domäne im Befehl SMTP MAIL FROM übereinstimmen.

    r – Entspannte Ausrichtung (Standard). Ermöglicht partielle Übereinstimmungen. Jede gültige Subdomain des Domainnamens wird akzeptiert.

  4. DMARC-Eintrag hinzufügen: Beachten Sie, dass DKIM und SPF Nachrichten mindestens 48 Stunden lang authentifizieren sollten, bevor DMARC aktiviert wird.

    1. Melden Sie sich bei der Verwaltungskonsole Ihres Domänenanbieters an: Melden Sie sich bei der Verwaltungskonsole an, die von Ihrem Domänenanbieter bereitgestellt wird. Suchen Sie die Seite oder das Dashboard, auf der Sie die DNS-TXT-Einträge für Ihre Domain aktualisieren können.

    2. Fügen Sie einen neuen TXT-Eintrag für DMARC hinzu. Geben Sie die folgenden Werte ein, und speichern Sie die Änderungen.

      Feldname

      Einzugebender Wert

      Name des TXT-Eintrags (im ersten Feld unter dem DNS-Hostnamen)

      Geben Sie ein _dmarc.exampledomain.com (durch Ihre Domain ersetzen exampledomain.com )

      Wert des TXT-Eintrags (im zweiten Feld)

      Geben Sie den Text Ihrer DMARC-Richtlinie ein.

      Geben Sie z. B. (durch Ihre Domain ersetzen exampledomain.com )ein v=DMARC1; p=none; rua=mailto:dmarc-reports@exampledomain.com .

  5. Erweitern Sie auf Subdomains und zusätzliche Domains (falls zutreffend). Wenn Sie über mehrere Domänen oder Unterdomänen verfügen, kann jede Domäne eine andere Richtlinie und unterschiedliche Berichtsoptionen (im Datensatz definiert) haben. Um eine DMARC-Richtlinie für Subdomains zu definieren, verwenden Sie die sp-Richtlinie, die im DMARC-Eintrag für die übergeordnete Domain tag ist. Wenn Sie keine DMARC-Richtlinien für Subdomains erstellen, erben diese die DMARC-Richtlinie der übergeordneten Domain.

Überwachen von DMARC-Berichten

Überwachen Sie regelmäßig Berichte über DMARC-Aktivitäten für Ihre Domain. Diese Berichte, die an die in der DMARC-Richtlinie (rua tagangegebene E-Mail-Adresse gesendet werden, bieten Einblicke in die Aktivität des E-Mail-Servers. Passen Sie Ihre DMARC-Richtlinie auf der Grundlage dieser Berichte nach Bedarf an.

Überprüfen Sie die Berichte, um Folgendes herauszufinden:

  • Welche Server oder Absender von Drittanbietern senden E-Mails für Ihre Domain?

  • Wie viel Prozent der Nachrichten aus Ihrer Domain DMARC bestehen

Achten Sie auf Problemtrends, wie z. B.:

  • Gültige Nachrichten, die als Spam markiert werden

  • Unzustellbarkeits- oder Fehlermeldungen von Empfängern

Quarantäne eines kleinen Prozentsatzes der Nachrichten

Beginnen Sie zunächst mit einer gelockerten DMARC-Richtlinie, bei der die Durchsetzung auf none festgelegt ist. Auf diese Weise können Sie mit dem Abrufen von Berichten beginnen, ohne zu riskieren, dass Nachrichten von Ihrer Domain abgelehnt oder von den empfangenden Servern als Spam markiert werden. Nachdem Sie die DMARC-Berichte mindestens eine Woche lang beobachtet haben, passen Sie Ihre Richtlinie auf "Quarantäne" an und fügen Sie die pct- tag hinzu, um die Richtlinie auf einen kleinen Prozentsatz Ihrer E-Mails anzuwenden.

So stellen Sie einen kleinen Prozentsatz der Nachrichten unter Quarantäne:

  1. Melden Sie sich bei der Verwaltungskonsole an, die von Ihrem Domain-Hosting-Anbieter bereitgestellt wird, um den DMARC-DNS-TXT-Eintrag zu aktualisieren.

  2. Fügen Sie eine Richtlinie hinzu, die sich auf einen kleinen Prozentsatz der Nachrichten auswirkt und die Quarantäne erzwingt. Beispiel: Eine Richtlinie, die nur für 5 % der eingehenden E-Mails gilt und Nachrichten, die die DMARC-Prüfungen nicht bestehen, an die Spam-Ordner der Empfänger weiterleitet:

    v=DMARC1; p=Quarantäne; pct=5; rua=mailto:dmarc-reports@exampledomain.com

Tipp

Große Organisationen sollten den Prozentsatz der betroffenen Nachrichten schrittweise erhöhen, um das Risiko von Ablehnungen oder Spam-Markierungen zu minimieren. Eine kleine Organisation kann z. B. mit einer Quarantäne von 10 % beginnen, während ein größeres Unternehmen mit 1 % beginnt.

Fehlerbehebung bei DMARC-Problemen

Wenn E-Mails von Ihrer Domain die DMARC-Authentifizierung nicht bestehen, von empfangenden Servern abgelehnt werden oder in den Spam-Ordnern der Empfänger landen, führen Sie die folgenden Schritte aus, um DMARC-Probleme zu beheben und zu beheben:

  1. Überprüfen Sie den DMARC-Eintrag

    • Konfiguration prüfen: Stellen Sie sicher, dass Ihr DMARC-Eintrag ordnungsgemäß konfiguriert ist. Stellen Sie sicher, dass der DMARC-Eintrag bei Ihrem Domain-Anbieter korrekt eingerichtet ist und in Ihren DNS-Einstellungen vorhanden ist.

  2. Stellen Sie sicher, dass SPF und DKIM aktiviert sind

    • SPF und DKIM aktivieren: Vergewissern Sie sich, dass SPF und DKIM für Ihre Domain aktiviert und korrekt konfiguriert sind. Beide sollten mindestens 48 Stunden lang aktiv sein, bevor DMARC aktiviert wird.

    • Detaillierte Einrichtung: Befolgen Sie die Einrichtungsanweisungen für SPF und DKIM, um sicherzustellen, dass sie korrekt implementiert sind.

  3. Überprüfen der Authentifizierungsergebnisse

    • Header überprüfen: Überprüfen Sie die E-Mail-Header, um SPF-, DKIM- und DMARC-Ergebnisse zu überprüfen. Klicken Sie in Gmail auf "Original anzeigen", um diese Ergebnisse anzuzeigen.

    • Diagnose- toolverwenden: Geben Sie Nachrichtenkopfzeilen in das Messageheader- toolder Google Admin Toolbox ein, um den Authentifizierungsstatus zu überprüfen.

  4. Überprüfen Sie DMARC-Berichte

    • Berichte prüfen: Überprüfen Sie Ihre DMARC-Berichte, um sicherzustellen, dass Nachrichten SPF-, DKIM- und DMARC-Prüfungen bestehen. Sie können eine tool oder einen DMARC-Berichtsanalysedienst verwenden, um umfassende Einblicke zu erhalten.

  5. Beheben von DMARC-Fehlern

    • Fehler beheben: Wenn ausgehende Nachrichten DMARC nicht bestehen, überprüfen Sie Ihre SPF- und DKIM-Einstellungen. Stellen Sie sicher, dass Nachrichten mindestens eine dieser Prüfungen bestehen, um den DMARC-Richtlinien zu entsprechen.

    • Überprüfen Sie die DMARC-Richtlinie: Überprüfen Sie Ihre DMARC-Richtlinie und die Ausrichtungseinstellungen. Eine strenge Richtlinie kann zu erhöhten Ablehnungsraten oder Spam-Platzierung führen.

    • Tägliche Berichte überprüfen: Untersuchen Sie die täglichen DMARC-Berichte, um festzustellen, welche ausgehenden Nachrichten SPF, DKIM oder DMARC nicht bestehen.

  6. Evaluierung von E-Mail-Versandpraktiken

    • Befolgen Sie Best Practices: Stellen Sie sicher, dass die Best Practices für das Senden von E-Mails eingehalten werden, insbesondere wenn Sie große Mengen senden. Weitere Informationen finden Sie in den Richtlinien für das Senden von E-Mails an Gmail-Nutzer.

  7. Verwenden Sie die E-Mail-Protokollsuche, um Einblicke zu erhalten

    • Detailsuche: Verwenden Sie die E-Mail-Protokollsuche, um detaillierte Informationen zu bestimmten Nachrichten zu erhalten, die über Google Workspace gesendet werden. Suchen Sie nach der IP-Adresse des Absenders, und überprüfen Sie die Nachrichtendetails, um Probleme zu diagnostizieren.

Was this article helpful?

Zurück an den Anfang