Beim Versand von E-Mails im Namen eurer eigenen Domain ist es wichtig, Authentifizierungsmechanismen zu nutzen, um Missbrauch zu verhindern und die Zustellbarkeit zu verbessern.
Wie du eine eigene Domain einrichtest, erfährst du hier: Benutzerdefinierter E-Mail-Absender
In diesem Artikel erklären wir die wichtigsten Schutzmaßnahmen: SPF, DKIM und DMARC – und warum ein SPF-Eintrag alleine nicht bedeutet, dass jeder beliebige Absender über AWS E-Mails versenden kann.
Was ist SPF?
SPF (Sender Policy Framework) ist ein Mechanismus, der festlegt, welche Mailserver berechtigt sind, E-Mails im Namen eurer Domain zu versenden.
Wie funktioniert SPF?
- Der SPF-Eintrag wird als TXT-Record in den DNS-Einstellungen eurer Domain hinterlegt.
- Beim Empfang einer E-Mail überprüft der Mailserver des Empfängers, ob der absendende Server in diesem SPF-Record aufgeführt ist.
- Falls der Server nicht autorisiert ist, kann die E-Mail als Spam markiert oder abgelehnt werden.
Wichtige Klarstellung:
Ein SPF-Eintrag für AWS SES bedeutet nicht, dass alle AWS-Server E-Mails in eurem Namen versenden dürfen. Vielmehr wird nur unser explizit autorisierter AWS-Account zur Nutzung freigegeben. SPF allein reicht jedoch nicht aus, um eine E-Mail als echt zu verifizieren.
Was ist DKIM?
DKIM (DomainKeys Identified Mail) ist eine Methode zur digitalen Signatur von E-Mails. Diese Signatur wird mit einem privaten Schlüssel erzeugt und kann nur von Servern hinzugefügt werden, die diesen Schlüssel besitzen – in unserem Fall unser AWS-Account.
Wie schützt DKIM eure Domain?
- Der öffentliche Schlüssel wird als DNS-Eintrag hinterlegt.
- Der empfangende Mailserver überprüft, ob die Signatur mit dem öffentlichen Schlüssel übereinstimmt.
- Nur korrekt signierte E-Mails gelten als authentisch.
- Falls ein Dritter versuchen sollte, ohne DKIM-Signatur E-Mails zu versenden, können diese als gefälscht erkannt werden.
Was ist DMARC?
DMARC (Domain-based Message Authentication, Reporting, and Conformance) baut auf SPF und DKIM auf. Es gibt Mailservern eine Anweisung, wie sie mit E-Mails umgehen sollen, die eine dieser Prüfungen nicht bestehen.
Vorteile von DMARC:
- Ihr könnt festlegen, ob nicht authentifizierte E-Mails abgelehnt oder in Quarantäne verschoben werden.
- DMARC ermöglicht es, Berichte über unautorisierte Versandversuche zu erhalten.
- Dadurch wird es Angreifern erheblich erschwert, gefälschte E-Mails im Namen eurer Domain zu versenden.
Sicherheitsmaßnahmen von AirLST & AWS
Neben den allgemeinen Schutzmechanismen bietet AirLST zusätzliche Maßnahmen zur Verhinderung von Missbrauch und zur Sicherstellung der Authentizität der Absenderadressen:
- Opt-In Bestätigung für Absenderadressen:
- Bevor eine E-Mail-Adresse als Absender genutzt werden kann, muss der Besitzer der Adresse dies explizit bestätigen.
- Die Adresse erhält eine E-Mail mit einem Bestätigungslink, der innerhalb von 24 Stunden angeklickt werden muss.
- Erst nach erfolgreicher Bestätigung kann die E-Mail-Adresse als Absender für den spezifischen AirLST-Account verwendet werden.
- Das Nutzungsrecht der bestätigten Adresse bleibt exklusiv dem AirLST-Account vorbehalten, der die Freigabe beantragt hat.
- Domain-Verifizierung:
- Bevor AWS SES für eine Domain genutzt werden kann, muss die Domain vom Besitzer verifiziert werden. Die Nutzung ist dann exklusiv unserem AirLST AWS Account vorbehalten und kann nicht von einem anderen AWS Kunden verwendet werden.
- Rate-Limiting & Monitoring:
- AWS überwacht den Versand und verhindert verdächtige Aktivitäten.
- Bounce- & Complaint-Handling:
- AirLST trackt fehlerhafte oder abgelehnte E-Mails und reduziert Spam-Risiken.
Fazit: Maximale Sicherheit durch Kombination der Methoden
SPF allein ist kein ausreichender Schutz, um den Missbrauch einer Domain zu verhindern. Erst durch die Kombination von SPF, DKIM, DMARC und den zusätzlichen AirLST-Sicherheitsmaßnahmen wird sichergestellt, dass nur autorisierte Systeme und Absender E-Mails im Namen eurer Domain versenden können. Falls ihr Fragen zur Implementierung habt oder weitere Informationen benötigt, kontaktiert unser Support-Team.