Zustellrate vom Wix-Email-Marketing durch SPF-Einstellungen auf 100Prozent bei strato und gmx

Vogel fliegt Brief in Briefkasten

Wer kennt das nicht: Man steckt viel Zeit und Geld in schicke Marketing-Mails von wix & Co. doch die kommen garnicht an. Gerade gmx und freenet (ja die gibt es noch!) aber auch bei yahoo & strato ist die Zustellrate verbesserungswürdig wenn die DNS-Einstellungen nicht SPF-optimiert wurden. Bekommen wir die Zustellrate auf 100 Prozent?

Aber machen Strato & Co. hier wirklich etwas falsch? Nicht wirklich denn sie halten einfach existente Standards ein (auch wenn sie dabei gängige Praktiken ignorieren)

HOWTO für ungeduldige:

v=spf1 mx include:sendgrid.net ~all erlaubt neben dem von strato verwalteten MX-Eintrag auch sendgrid die Zustellung von Mails.

Setup des Kunden:

  • Domain und Email bei www.strato.de
  • Webseite www.angelika-lex.de auf wix
  • Eigene Cloud cloud.angelika-lex.de auf rootserver

DNS-Einstellungen

  • angelika-lex.de:
    • A von wix verwaltet
    • MX von Strato verwaltet
  • www.angelika-lex.de:
    • A von wix verwaltet
  • cloud.angelika-lex.de
    • A Rootserver

Auf Deutsch:

  • wix liefert die Webseite www.angelika-lex.de aus
  • strato darf Emails im Namen von angelika-lex.de ausliefern
  • Rootserver stellt die cloud des Verlags bereit.

Nichteinmal Testmails kommen mehr an

Obwohl die Test-Emails als Absender test.wixshoutout.com haben werden sie von strato abgewiesen. Hat das Problem vielleicht garnichts mit der DNS-Konfiguration von angelika-lex.de zu tun?
Zum Testzeitpunkt hatte wix noch keine eigenen SPF-Einträge und wurde von den Mailservern entsprechend abgestraft – ärgerlich für uns als Kunden.

Wix-Marketing Emails kommen nicht an

Zum eigentlichen Problem: Wix versieht Marketing-Mails mit Absenderadresse @angelika-lex.de
Genausogut könnte dort als Absender Bill.Gates@mirosoft.com stehen denn man kann dort praktisch alles eintragen. Es gibt also gute Gründe warum strato und Gmx die E-mails abweisen

Wo kommen die Mails wirklich her?

wix schickt Emails über Sendgrid, fügt aber als Absender eine andere Adresse ein
Als Absenderadresse ist angelika-lex.de angegeben, stammt aber von sendgrid

Die Mails kommen in letzter Instanz von o22.sg.wixshoutout.net, allerdings ist o22 hier sicherlich ein rotierender Server sodass man ihn nicht einfach als Postausgangsserver legitimieren kann.

Originär stammen die Mails also von einer Subdomain von sendgrid.net schauen wir uns einmal die SPF-Einträge von sendgrid an:

Sendgrid hat hier einige IP-Adressbereiche als zulässige Absender eingetragen. Diese müssen wir auch nicht alle kopieren sondern können mittels include via SPF darauf verweisen.

Eigenen SPF-Eintrag erstellen

Damit die SMPT-Server angelika-lex.de von zulässigen Absendern akzeptieren können wir diese bei Strato eintragen:

  • Bei www.Strato.de einloggen
  • Im entsprechenden Paket „Domains Verwalten“ auswählen
  • In der Domainliste rechts „Verwalten“ wählen
  • Runterscrollen zu „DNS-Einstellungen„, diesen ausklappen
  • bei „TXT Records inklusive SPF und DKIM Einstellungen“ auf „Verwalten“ gehen

Die Strato-internen SPF-Regeln müssen hier deaktiviert werden, wir werden dafür in unserer Regel den MX-Eintrag berücksichtigen:

Um nur Strato zu erlauben:

mx oder +mx ERLAUBT dass der Standard-Mailserver zugelassen wird
-all sagt dass NIEMAND SONST E-Mails ausliefern darf. Mit Vorsicht anzuwenden!

Bei dieser Regel v=spf1 mx -all würde NUR der unter MX eingetragene Mailserver zugelassen. KLEINSCHREIBUNG PFLICHT!
v=spf1 +mx -all Hätte den gleichen Effekt

Regel TESTWEISE für sendgrid erweitern:

v=spf1 mx include:sendgrid.net ~all auch hier: mx klein schreiben!

Mit include kann man SPF-Regeln seines MailServiceProviders in die eigenen integrieren.

include:sendgrid.net hat den gleichen Effekt wie
ip4:167.89.0.0/17 ip4:208.117.48.0/20 ip4:50.31.32.0/19 ip4:198.37.144.0/20 ip4:198.21.0.0/21 ip4:192.254.112.0/20 ip4:168.245.0.0/17 ip4:149.72
.0.0/16
denn genau das steht im SPF-Eintrag von sendgrid.net (siehe nslookup oben)

man beachte dabei die Tilde beim ~all
Hiermit werden SMTP-Server wie Postfix und Spamfilter wie SpamAssasin angewiesen die Regeln zwar auszuwerten, Verstöße jedoch milde zu bewerten, also optimal um die neue Regel zu testen.

Erweiterung der Regel für cloud und MailJet:

Da für den Mailversand auch Mailjet verwendet werden soll und auch die Cloud die Nutzer über einen lokalen MTA/sendmail informiert sieht so die entgültige Konfiguration aus, welche es zu testen gilt:

Wenn include verwendet wird müssen die jeweiligen DNS-Einträge über eine eigene gültige SPF-Konfiguration verfügen!

v=spf1 a mx include:sendgrid.net include:cloud.angelika-lex.de include:spf.mailjet.com ~all

Was bedeuten die SPF-Einträge?

  • v=spf1 SPF-Version, standardmäßig 1
  • a (hier optional): auch wix wird autorisiert
  • mx der berliner Mailserver von Strato darf Mails schicken
  • include:sendgrid.net erlaube alles was sendgrid.net erlaubt
    • ip4:167.89.0.0/17 ip4:208.117.48.0/20 ip4:50.31.32.0/19 ip4:198.37.144.0/20 ip4:198.21.0.0/21 ip4:192.254.112.0/20 ip4:168.245.0.0/17 ip4:149.72.0.0/16
  • include:cloud.angelika-lex.de erlaube alles was die Subdomain cloud erlaubt (Server der Lebensbaum-Schule für Heilpraktiker)
    • v=spf1 a mx -all die cloud erlaubt dem webserver a sowie dem Eintragenen mailserver mx mails zu schicken
  • include:spf.mailjet.com erlaube alles was spf.mailjet.com erlaubt:
    • v=spf1 ip4:87.253.232.0/21 ip4:185.189.236.0/22 ip4:185.211.120.0/22 ip4:185.250.236.0/22 ip4:216.71.96.0/22 ~all
  • ~all Verstöße testweise tolerieren sodass ein Tippfehler den Mailverkehr nicht lahmlegt

Ordentlich testen – die Erste

Jetzt werden alle Einträge getestet: Ich sende also jeweils eine Email mit Absenderadresse @angelika-lex.de von den Anbietern

  • Strato
  • Wix Marketing
    • TESTMAIL und auch eine richtige
    • RUNDMAIL
  • MailJet-Email
    Benachrichtigung von Käufern der Homöopathie-Hörbücher
  • Der NextCloud des Verlag Angelika Lex

Hierzu benötige ich einen SMPT-Server bzw. Mailanbieter der SPF auch auswertet. Oben genannte wie Strato Gmx bieten sich an.
www.prosite.de wertet SPF offensichtlich nicht aus (sind jedoch im Ticketsystem sehr hilfsbereit wenn es mal Probleme gibt) und ich kenne auch gute Mailserver-Administratoren die SPF (noch) nicht auswerten.

Email-Header auswerten

Bei Thunderbird geht das nach Drücken der ALT-Taste im Menü

  • Ansicht => Kopfzeilen => Alle
    oder
  • Ansicht => Hachrichten-Quelltext (Strg-U)

Oder man lädt sich das Thunderbird-Addon ToggleHeaders von mattsch

WennRecieved-SPF mit pass beginnt war der empfangende Mailserver zufrieden.
Auch MailJet darf senden
Auch die Cloud der Lebensbaum-Schule kann ihren Homöopathie-Unterricht verschicken

Jetzt wirds ernst: all

Wenn alle Einstellungen getestet wurden kann der SPF-Eintrag geändert werden auf v=spf1 a mx include:sendgrid.net include:cloud.angelika-lex.de include:spf.mailjet.com -all
Vor dem all steht jetzt ein Minus. Und somit sind theoretisch niemand anders mehr diese Absenderadresse verwenden.

Testen die Zweite

Durch das Minus vor dem all werden alle anderen Mailserver ausgeschlossen. Daher sollte man alle berechtigten Mailprovider nocheinmal testen!

Zustellrate auf 100% gesteigert

Bei Wix und MailJet kann man die Zustellrate jeder Email-Kampagne anzeigen lassen.

Perfekte Sicherheit?

Man sollte sich auch bewusst sein dass diese Konfiguration nicht 100% vor gefälschten Emails schützt:

  • nicht alle SMTP-Server werten SPF aus (es gibt aber fast immer Pluspunkte bei der Einstufung)
  • die von uns autorisierten SPF-Einträge von MailJet und Sendgrid enden mit dem fehlertoleranten ~all sodass unser -all damit ausgehebelt wird.
  • DNS-Abfragen könnten durch Man-In-The-Middle-Attacken verändert werden, zugegeben ein sehr abstraktes Szenario.

Weitere Fallstricke bei wix & Maildesign

Marketing-Mails können leicht negativ-Punkte bei der Spam-Bewertung kassieren:

  • Wenn Links auf fremde Seiten verweisen
    Bei wix z.B. verweisen die Newsletter-Abbestellen-Links auf wix. Eigentlich sollten sie mit der Kundendomain verknüpft sein.
  • Schlagwörter wie DOWNLOAD oder viele Bilder (Bilder können nicht auf Spam geprüft werden)
  • Wenn mehrere Empfänger die Mail als Spam markieren
    Abhilfe: Senden Sie nur E-Mails an Kunden die diese auch wünschen
  • Neben der Zustellrate gibt es auch rechtliche Anforderungen an den Newsletter, die Datenschutzerklärung und ggf. AV-Vertrag die es zu beachten gilt.

Der nächste Schritt: DKIM

SPF erweitert nur die ohnehin bestehende Prüfung ob ein MTA wie sendmail berechtigt ist Email für einen Empfänger auszuliefern.
Das kann durch eine komplexe Infrastruktur oder z.B. Outsourcing der Mailzustellung erforderlich sein.

Wer signaturgestützten Emailversand ohne Verschlüsselung wie PGP/GPG, S/MIME oder DE-Mail möchte, sollte für die betreffenden Anbieter DomainKey-Einträge im DNS anlegen.

Vorzeige-Anbieter MailJet

Wer bei Mailjet eine Domain hinzufügt wird direkt mit SPF und DKIM konfrontiert:
Eine Hilfeseite informiert über die nötigen Einstellungen und Ampel-Farben zeigen den aktuellen Status an.
Sehr hilfreich!

Fazit: Hilfsbereitschaft von wix und strato

Vorab hatte ich sowohl wix als auch strato angeschrieben. Beide Anbieter haben zeitnah und hilfsbereit geantwortet, jedoch wurde das Thema SPF nicht als Lösungsvorschlag angeboten.

Wix hat eine Menge Kunden mit optisch beeindruckenden Webseiten, Stichproben ergaben leider dass keine der wix-Domains SPF-Einträge haben.
Und das obwohl – anders als in unserem Fall – normalerweise wix selbst die DNS-Einstellungen verwaltet.

Im Wix Hilfecenter findet man nur Einträge für die Integration von google mail – es wäre schön wenn hier zukünftig eingehender auf SPF eingegangen wird und externe Anleitungen wie diese damit obsulet würden 🙂

3 thoughts on “Zustellrate vom Wix-Email-Marketing durch SPF-Einstellungen auf 100Prozent bei strato und gmx

  1. Vielen dank für den interessanten Artikel.
    bin totaler Anfänger und habe für die Kleien Firma von meiner Frau eine Webseite mit Hilfe von wie erstellt. Bei Google Workspace dann di Emailadresse eingerichtet. Dabei kam irgendwo ein Hinweis auf SPF -das mich völlig überfordert. Das ist leider nicht sehr Nutzerfreundlich.

    1. Aktuell betreue ich die Key-Kunden einer Hannoveraner IT-Security Firma.
      Das Thema SPF ist auch bei großen Firmen oft ein blinder Fleck, hier man sich abheben wenn man sich mit dem Thema etwas beschäftigt 🙂

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert