In letzter Zeit landen Emails im Spam-Ordner vieler Empfänger. Und dass, obwohl sie keinerlei Änderungen an ihren Email-Einstellungen oder Servern vorgenommen haben. Für viele ist dieses Problem ein Mysterium. Dieses Problem haben wir erforscht und wollen an dieser Stelle eine Erklärung und Lösung anbieten.
Zunächst möchte ich an dieser Stelle dieses Problem möglichst nachvollziehbar und frei von Fachbegriffen schildern.
Woher kommt dieses Problem auf einmal her?
Dieses Problem ist in der Tat erst vor kurzer Zeit entstanden. Es ist zurückzuführen auf die Veränderungen der Email-Technologien in den letzten Jahren — also ein relativ frisches Phänomen, wenn man heute in 2024 damit konfrontiert wird.
Die Ursache für diese technische Veränderung ist das Spam-Problem. Um das Spam-Problem in den Griff zu bekommen, haben sich in den letzten Jahren drei neue Email-Technologien entwickelt, und zwar:
- SPF
- DKIM
- DMARC
Für viele sind das drei völlig skurrile Abkürzungen, mit denen man erst mal nichts anzufangen weiß.
So fühlen sich auch viele professionelle Systemadministratoren und selbst Linux-Profis: Sie und viele andere haben ebenfalls noch nie etwas von SPF, DKIM und DMARC gehört. Das letztere klingt wie “deutsche Mark” — hat aber nichts damit zu tun.
Kein Wunder, denn die Technologien sind relativ neu.
DMARC wurde 2015 eingeführt SPF in 2014 und DKIM in 2011.
Und alle drei Technologien sind mittlerweile heute im Jahre 2024 Standard in fast allen Internet-Servern weltweit. Wer heute keine dieser Standards für seine Email konfiguriert hat, landet meistens im Spam-Order des Empfängers.
Was sind SPF, DKIM und DMARC?
Ohne, dass ich in eine tiefe technische Erklärung eingehe, hier eine relativ simplifizierte und einfache Erklärung, die für jedermann verständlich sein sollte:
Das heutige Email stammt aus dem Jahre 1982 und wurde damals als SMTP (Simple Mail Transfer Protocol) der Öffentlichkeit vorgestellt. Sie ist bis heute im Jahre 2024 noch fast unverändert das Standard-Email-Protokoll.
Sie bietet jedoch gleichzeitig eine Menge an Sicherheitsschwächen. Es ist ein Relikt aus Zeiten, wo das Thema “Spam” noch unbekannt war, und das Internet der breiten Öffentlichkeit nicht zur Verfügung stand.
Aufgrund dieser alten Technologie, kann heute im Grunde jeder technisch versierte eine Email so verfälschen, dass es aussieht, als wäre es von jeder beliebigen Email verschickt worden. Wer beispielsweise aus president@whitehouse.gov oder sprecher@bundestag.de eine Email verschicken möchte, kann dies ohne weiteres tun: Es genügt lediglich den sogenannten “Header” einer Email vor dem Abschicken zu verändern, indem man dort die Zeile “from:” verändert. Beispielsweise würde man einfach “from:fritz@test.de” auf “from:sprecher@bundestag.de” verändern, und schon würde die Email mit dem Absender sprecher@bundestag.de beim Empfänger ankommen.
Diese Schwäche machen sich täglich Betrüger zur nutze, um aus vertrauensvoll aussehenden Email-Adressen Spam zu verschicken. Wer hat nicht schon mal eine Email aus seiner Bank oder einem Bekannten erhalten, die gar nicht ursprünglich von dieser Quelle stammt?
Mit diesen neuen Technologien SPF, DKIM und DMARC wird nun erstmals eine Möglichkeit geschaffen zu überprüfen, ob der Sender auch tatsächlich der Sender ist.
SPF ist hierbei derweil die gängigste Methode und steht für Sender Policy Framework — also ein neuer Email-Standard, der den Absender einer Email sicherstellen soll.
Mittlerweile sind Email-Server soweit gegangen, dass sie alle Emails, die keine SPF-Konfiguration haben automatisch in den Spam-Folder schieben. Dazu gehören auch die größten Email-Server wie Google, Yahoo, Microsoft, aber auch unzählige weitere Server.
Und wer kein SPF auf seinem Email-Server konfiguriert hat, landet im Spam-Ordner des Empfängers.
Der erste Schritt besteht darin den Systemadministrator dazu zu bewegen einen korrekten SPF-Eintrag im Email-Server zu konfigurieren.
Das hier wird jeder Systemadministrator verstehen:
- Ein SPF-Eintrag (v=spf1 a) ist in den DNS-Records TXT ist zu hinterlegen.
Falls der Systemadministrator nicht weiß, was ein SPF-Eintrag ist, ist das sehr einfach mittlerweile im Internet nachzulesen.
Die anderen Sicherheitsmaßnahmen DKIM und DMARC lasse ich in dieser Erklärung aus. Sie werden derweil (Stand Dezember 2024) nur von sehr wenigen bis keinen der Email-Server als zwingende Sicherheitsmaßnahme erfordert. Erkannt werden allerdings von fast allen Servern, wenn sie eingesetzt werden. Ich empfehle zumindest DKIM einzusetzen.
Der oben genannte SPF-Eintrag ist relativ schnell eingerichtet. Und fast alle Webserver und Hosting-Provider haben mittlerweile eine Anleitung, wie ein SPF-Eintrag vorzunehmen ist.
Wunderbar! Problem gelöst? Leider nicht ganz.
Trotz SPF landen meine Emails im Spam
Der SPF- Eintrag ist erfolgreich erstellt und als Ergebnis landen viele der Emails nicht mehr im Spam-Ordner bei anderen. Gmail beispielsweise akzeptiert einen SPF-Eintrag. Yahoo dagegen meldet den Sender weiterhin als Spam (Stand Dezember 2024 — dies kann sich in Zukunft ändern).
Für viele Systemadministratoren ist das ein Grund für Frust und führt zu Fragezeichen. Die Grübelei, woran das liegen könnte führt Systemadministratoren dazu auch sich mit den beiden anderen relativ komplizierten Email-Sicherheitsprotokollen DKIM und DMARC lange auseinanderzusetzen — um am Ende dann wieder herauszufinden, dass auch das nicht geholfen hat.
Ich habe dieses komische SPF nun endlich konfiguriert, doch wieso landen Emails immer noch im Spam?
Der Grund liegt tatsächlich beim Server selbst! Wo immer die Emails gehostet werden, die IP des Email-Servers wird schlichtweg als Spam eingestuft. Das war früher nicht der Fall.
Hier ein Beispiel:
Bei HostEurope, GoDaddy, BlueHost, 1&1, Strato und vielen anderen hat man seine Domain und Email eingerichtet, und die Emails landen im Spam beim Empfänger. Und das trotz erfolgreich eingerichtetem SPF.
Das Problem ist, dass bei den gewöhnlichen Service-Paketen diese Emails nicht extra kosten, sondern im Paket enthalten sind. HostEurope bietet beispielsweise beim Buchen einer Domain beliebig viele Email-Adressen zu der Domain an. An sich ein faires Angebot. Allerdings handelt es sich hierbei um sogenannte “Shared Hosts”, d. h. alle diese Emails werden von gleichen oder ähnlichen Sender-Servern versandt.
Um also solch ein Massenangebot überhaupt zu solchen günstigen Tarifen anzubieten, sind diese Hoster dazu gezwungen alle Emails als “Shared Services” anzubieten. Das heißt, Emails werden über eine einzige — oder einige wenige — IPs versandt. Man teilt sich also die Daten und den Server mit Millionen anderer Kunden. Und genau hierin liegt der Grund dafür, dass diese Emails im Spam landen: Mittlerweile sind diese von der Masse genutzten IPs von zehntausenden anderen Nutzern so sehr missbraucht worden, so dass deren IP in der schwarzen Liste vieler anderer Server im Internet stehen.
Dabei reicht es auch nicht, die IPs einem Spam-Check zu unterziehen, wie beispielsweise durch den Service, der bei mxtoolbox.com/blacklists.aspx angeboten wird. Dort wird alles im grünen Bereich angezeigt — denn diese Spam-Listen finden bei den großen Servern wie Gmail und Yahoo kaum noch Beachtung.
Große Provider wie Google und auch Bing und Yahoo sind längst dazu übergegangen ihre eigenen Spam-Listen zu pflegen. Wenn man also nicht auf einer Spam-Liste steht, bedeutet das nicht, dass man nicht doch auf einer Spam-Liste ist: sie ist nur nicht öffentlich.
Und so kommt es, wie es kommt: Wer eine Email von z. B. HostEurope an eine Yahoo-Email oder andere verschickt, kann dann automatisch im Spam-Folder des Empfängers landen.
Im Falle von HostEurope beispielsweise zeigt Yahoo folgendes im Header der Email von HostEurope:
X-YahooFilteredBulk: 80.237.132.61
Die Nummer 80.237.132.61 ist die IP-Adresse von HostEurope. Und “X-YahooFilteredBulk” steht für den internen Spam-Filter von Yahoo, der diese IP als Spam eingestuft hat. Übersetzt heißt das, dass Yahoo jegliche Emails, die von HostEurope kommen als Spam einstuft. Ob mit oder ohne SPF.
Man kann im Übrigen auch nicht zu Yahoo gehen und versuchen, die IP 80.237.132.61 von HostEurope auf die White List setzen zu lassen. Da es sich beispielsweise bei HostEurope um einen Giganten handelt, der Millionen von Kunden und Domains hosted, sind weder Yahoo noch andere Server bereit ihre Toren für Emails aus diesen Servern zu öffnen.
Kurzum: Die Zeit der Nutzung von Shared Email gemeinsam mit Domain-Hosting sind seit ca. 2017 im Grunde vorbei.
Lösung — was kann man tun?
Die Lösung besteht darin seine Emails nicht mehr bei den jeweiligen Servern zu hosten. Als professionelles Unternehmen kommt man heute nicht mehr drumherum auch für Email einen dedizierten Anbieter zu wählen.
Wer es vielleicht schon festgestellt hat: Mittlerweile ist es Gang und Gäbe auch für Domains einen externen Anbieter auszuwählen, als der Host, bei dem die Domain liegt. Genau so ist es auch für Emails mittlerweile empfehlenswert.
Kurzum: Ein externer Email-Server ist notwendig.
Die bekanntesten Email Server sind beispielsweise Zoho, G Suite und Microsoft. Hier zahlt man je nach Service pro Email. Bei Microsoft beispielsweise zahlt man pro Email um die $15, bei G Suite nur $4. Zoho ist der günstigste mit nur $1 pro Email und ist mindestens genauso fortgeschritten wie die beiden Wettbewerber Google und Microsoft.
Die Konfiguration hierbei ist einfach.
Im Falle eines anderen dedizierten Email-Servers sind lediglich die MXP-Einträge des neugewählten Email-Servers beim Host zu hinterlegen. Innerhalb wenigen Stunden schaltet der Email-Service dann auf den neuen Email-Server um.
Das Spam-Problem ist in den meisten Fällen dann gelöst. Somit werden von diesem Server eine dedizierte und einmalige IP vergeben, die von keinem anderen Server als Spam gekennzeichnet ist. Weiterhin erlaubt Zoho SPF und DKIM-Einträge vorzunehmen. Wer ganz sicher gehen möchte, kann also alle diese Standards nun zusätzlich einschalten.
Eine weitere Lösung liegt darin, selbst einen Server zu hosten wie zum Beispiel über Amazon Web Services (AWS), um dann dort einen Email-Dienst komplett selbst unter einer eigenen dedizierten IP zu konfigurieren. Das ist jedoch eine relativ mühsame und aufwändige Konfiguration. Daher sind in jedem Fall Email-Server von Zoho, G Suite und Microsoft empfehlenswert.
Quellen:
- DomainKeys Identified Mail (DKIM) Signatures | tools.ietf.org/html/rfc6376
- Domain-based Message Authentication, Reporting, and Conformance (DMARC) | tools.ietf.org/html/rfc7489
- Simple Mail Transfer Protocol | tools.ietf.org/html/rfc918
Tell us more about your business and we’ll tell you how we can help!