Wer kennt das nicht: Man steckt viel Zeit und Geld in schicke Marketing-Mails von wix & Co. doch die kommen garnicht an. Gerade gmx und freenet (ja die gibt es noch!) aber auch bei yahoo & strato ist die Zustellrate verbesserungswürdig wenn die DNS-Einstellungen nicht SPF-optimiert wurden. Bekommen wir die Zustellrate auf 100 Prozent?
Aber machen Strato & Co. hier wirklich etwas falsch? Nicht wirklich denn sie halten einfach existente Standards ein (auch wenn sie dabei gängige Praktiken ignorieren)
HOWTO für ungeduldige:
v=spf1 mx include:sendgrid.net ~all
erlaubt neben dem von strato verwalteten MX-Eintrag auch sendgrid die Zustellung von Mails.
Setup des Kunden:
- Domain und Email bei www.strato.de
- Webseite www.angelika-lex.de auf wix
- Eigene Cloud cloud.angelika-lex.de auf rootserver
DNS-Einstellungen
- angelika-lex.de:
A
von wix verwaltetMX
von Strato verwaltet
- www.angelika-lex.de:
A
von wix verwaltet
- cloud.angelika-lex.de
A
Rootserver
Auf Deutsch:
- wix liefert die Webseite www.angelika-lex.de aus
- strato darf Emails im Namen von angelika-lex.de ausliefern
- Rootserver stellt die cloud des Verlags bereit.
Nichteinmal Testmails kommen mehr an
Obwohl die Test-Emails als Absender test.wixshoutout.com
haben werden sie von strato abgewiesen. Hat das Problem vielleicht garnichts mit der DNS-Konfiguration von angelika-lex.de zu tun?
Zum Testzeitpunkt hatte wix noch keine eigenen SPF-Einträge und wurde von den Mailservern entsprechend abgestraft – ärgerlich für uns als Kunden.
Wix-Marketing Emails kommen nicht an
Zum eigentlichen Problem: Wix versieht Marketing-Mails mit Absenderadresse @angelika-lex.de
Genausogut könnte dort als Absender Bill.Gates@mirosoft.com
stehen denn man kann dort praktisch alles eintragen. Es gibt also gute Gründe warum strato und Gmx die E-mails abweisen
Wo kommen die Mails wirklich her?
Die Mails kommen in letzter Instanz von o22.sg.wixshoutout.net
, allerdings ist o22
hier sicherlich ein rotierender Server sodass man ihn nicht einfach als Postausgangsserver legitimieren kann.
Originär stammen die Mails also von einer Subdomain von sendgrid.net schauen wir uns einmal die SPF-Einträge von sendgrid an:
Sendgrid hat hier einige IP-Adressbereiche als zulässige Absender eingetragen. Diese müssen wir auch nicht alle kopieren sondern können mittels include via SPF darauf verweisen.
Eigenen SPF-Eintrag erstellen
Damit die SMPT-Server angelika-lex.de von zulässigen Absendern akzeptieren können wir diese bei Strato eintragen:
- Bei www.Strato.de einloggen
- Im entsprechenden Paket „Domains Verwalten“ auswählen
- In der Domainliste rechts „Verwalten“ wählen
- Runterscrollen zu „DNS-Einstellungen„, diesen ausklappen
- bei „TXT Records inklusive SPF und DKIM Einstellungen“ auf „Verwalten“ gehen
Die Strato-internen SPF-Regeln müssen hier deaktiviert werden, wir werden dafür in unserer Regel den MX-Eintrag berücksichtigen:
Um nur Strato zu erlauben:
Bei dieser Regel v=spf1 mx -all
würde NUR der unter MX eingetragene Mailserver zugelassen. KLEINSCHREIBUNG PFLICHT!v=spf1 +mx -all
Hätte den gleichen Effekt
Regel TESTWEISE für sendgrid erweitern:
v=spf1 mx include:sendgrid.net ~all
auch hier: mx
klein schreiben!
include:sendgrid.net
hat den gleichen Effekt wieip4:167.89.0.0/17 ip4:208.117.48.0/20 ip4:50.31.32.0/19 ip4:198.37.144.0/20 ip4:198.21.0.0/21 ip4:192.254.112.0/20 ip4:168.245.0.0/17 ip4:149.72
denn genau das steht im SPF-Eintrag von sendgrid.net (siehe nslookup oben)
.0.0/16
man beachte dabei die Tilde beim ~all
Hiermit werden SMTP-Server wie Postfix und Spamfilter wie SpamAssasin angewiesen die Regeln zwar auszuwerten, Verstöße jedoch milde zu bewerten, also optimal um die neue Regel zu testen.
Erweiterung der Regel für cloud und MailJet:
Da für den Mailversand auch Mailjet verwendet werden soll und auch die Cloud die Nutzer über einen lokalen MTA/sendmail informiert sieht so die entgültige Konfiguration aus, welche es zu testen gilt:
v=spf1 a mx include:sendgrid.net include:cloud.angelika-lex.de include:spf.mailjet.com ~all
Was bedeuten die SPF-Einträge?
v=spf1
SPF-Version, standardmäßig 1a
(hier optional): auch wix wird autorisiertmx
der berliner Mailserver von Strato darf Mails schickeninclude:sendgrid.net
erlaube alles was sendgrid.net erlaubtip4:167.89.0.0/17 ip4:208.117.48.0/20 ip4:50.31.32.0/19 ip4:198.37.144.0/20 ip4:198.21.0.0/21 ip4:192.254.112.0/20 ip4:168.245.0.0/17 ip4:149.72.0.0/16
include:cloud.angelika-lex.de
erlaube alles was die Subdomaincloud
erlaubt (Server der Lebensbaum-Schule für Heilpraktiker)v=spf1 a mx -all
die cloud erlaubt dem webservera
sowie dem Eintragenen mailservermx
mails zu schicken
include:spf.mailjet.com
erlaube alles wasspf.mailjet.com
erlaubt:v=spf1 ip4:87.253.232.0/21 ip4:185.189.236.0/22 ip4:185.211.120.0/22 ip4:185.250.236.0/22 ip4:216.71.96.0/22 ~all
~all
Verstöße testweise tolerieren sodass ein Tippfehler den Mailverkehr nicht lahmlegt
Ordentlich testen – die Erste
Jetzt werden alle Einträge getestet: Ich sende also jeweils eine Email mit Absenderadresse @angelika-lex.de von den Anbietern
- Strato
- Wix Marketing
- TESTMAIL und auch eine richtige
- RUNDMAIL
- MailJet-Email
Benachrichtigung von Käufern der Homöopathie-Hörbücher - Der NextCloud des Verlag Angelika Lex
Hierzu benötige ich einen SMPT-Server bzw. Mailanbieter der SPF auch auswertet. Oben genannte wie Strato Gmx bieten sich an.
www.prosite.de wertet SPF offensichtlich nicht aus (sind jedoch im Ticketsystem sehr hilfsbereit wenn es mal Probleme gibt) und ich kenne auch gute Mailserver-Administratoren die SPF (noch) nicht auswerten.
Email-Header auswerten
Bei Thunderbird geht das nach Drücken der ALT-Taste im Menü
- Ansicht => Kopfzeilen => Alle
oder - Ansicht => Hachrichten-Quelltext (Strg-U)
Oder man lädt sich das Thunderbird-Addon ToggleHeaders von mattsch
Jetzt wirds ernst: –all
Wenn alle Einstellungen getestet wurden kann der SPF-Eintrag geändert werden auf v=spf1 a mx include:sendgrid.net include:cloud.angelika-lex.de include:spf.mailjet.com -all
Vor dem all steht jetzt ein Minus. Und somit sind theoretisch niemand anders mehr diese Absenderadresse verwenden.
Testen die Zweite
Durch das Minus vor dem all werden alle anderen Mailserver ausgeschlossen. Daher sollte man alle berechtigten Mailprovider nocheinmal testen!
Zustellrate auf 100% gesteigert
Bei Wix und MailJet kann man die Zustellrate jeder Email-Kampagne anzeigen lassen.
Perfekte Sicherheit?
Man sollte sich auch bewusst sein dass diese Konfiguration nicht 100% vor gefälschten Emails schützt:
- nicht alle SMTP-Server werten SPF aus (es gibt aber fast immer Pluspunkte bei der Einstufung)
- die von uns autorisierten SPF-Einträge von MailJet und Sendgrid enden mit dem fehlertoleranten
~all
sodass unser-all
damit ausgehebelt wird. - DNS-Abfragen könnten durch Man-In-The-Middle-Attacken verändert werden, zugegeben ein sehr abstraktes Szenario.
Weitere Fallstricke bei wix & Maildesign
Marketing-Mails können leicht negativ-Punkte bei der Spam-Bewertung kassieren:
- Wenn Links auf fremde Seiten verweisen
Bei wix z.B. verweisen die Newsletter-Abbestellen-Links auf wix. Eigentlich sollten sie mit der Kundendomain verknüpft sein. - Schlagwörter wie DOWNLOAD oder viele Bilder (Bilder können nicht auf Spam geprüft werden)
- Wenn mehrere Empfänger die Mail als Spam markieren
Abhilfe: Senden Sie nur E-Mails an Kunden die diese auch wünschen - Neben der Zustellrate gibt es auch rechtliche Anforderungen an den Newsletter, die Datenschutzerklärung und ggf. AV-Vertrag die es zu beachten gilt.
Der nächste Schritt: DKIM
SPF erweitert nur die ohnehin bestehende Prüfung ob ein MTA wie sendmail berechtigt ist Email für einen Empfänger auszuliefern.
Das kann durch eine komplexe Infrastruktur oder z.B. Outsourcing der Mailzustellung erforderlich sein.
Wer signaturgestützten Emailversand ohne Verschlüsselung wie PGP/GPG, S/MIME oder DE-Mail möchte, sollte für die betreffenden Anbieter DomainKey-Einträge im DNS anlegen.
Vorzeige-Anbieter MailJet
Wer bei Mailjet eine Domain hinzufügt wird direkt mit SPF und DKIM konfrontiert:
Eine Hilfeseite informiert über die nötigen Einstellungen und Ampel-Farben zeigen den aktuellen Status an.
Sehr hilfreich!
Fazit: Hilfsbereitschaft von wix und strato
Vorab hatte ich sowohl wix als auch strato angeschrieben. Beide Anbieter haben zeitnah und hilfsbereit geantwortet, jedoch wurde das Thema SPF nicht als Lösungsvorschlag angeboten.
Wix hat eine Menge Kunden mit optisch beeindruckenden Webseiten, Stichproben ergaben leider dass keine der wix-Domains SPF-Einträge haben.
Und das obwohl – anders als in unserem Fall – normalerweise wix selbst die DNS-Einstellungen verwaltet.
Im Wix Hilfecenter findet man nur Einträge für die Integration von google mail – es wäre schön wenn hier zukünftig eingehender auf SPF eingegangen wird und externe Anleitungen wie diese damit obsulet würden 🙂
Vielen dank für den interessanten Artikel.
bin totaler Anfänger und habe für die Kleien Firma von meiner Frau eine Webseite mit Hilfe von wie erstellt. Bei Google Workspace dann di Emailadresse eingerichtet. Dabei kam irgendwo ein Hinweis auf SPF -das mich völlig überfordert. Das ist leider nicht sehr Nutzerfreundlich.
Aktuell betreue ich die Key-Kunden einer Hannoveraner IT-Security Firma.
Das Thema SPF ist auch bei großen Firmen oft ein blinder Fleck, hier man sich abheben wenn man sich mit dem Thema etwas beschäftigt 🙂
不知道说啥,开心快乐每一天吧!