Breadcrumbs

DKIM und DMARC

Damit die Umgebung des Kunden E-Mails mit der Absenderadresse des Kunden versenden kann, muss der Kunde (zumindest) SPF-Einträge einrichten. Dies erfolgt durch den Scheer IMC-Projektleiter direkt zu Beginn des Implementierungsprojekts im Rahmen des Enhanced Technical Setups.

Weitere Informationen zu SPF-Einträgen finden Sie unter SPF-Eintrag.

Zusätzlich zu den standardmäßigen SPF-Einträgen schützen viele Unternehmen ihre E-Mail-Domains mit moderne Sicherheitsstandards wie zum Beispiel DKIM und DMARC.

Diese Standards helfen dabei:

  • Spoofing zu verhindern (d. h. dass jemand vorgibt, von Ihrer Domain aus zu senden)

  • Spam und Phishing zu reduzieren

  • die Zustellbarkeit legitimer E-Mails zu verbessern

DKIM (DomainKeys Identified Mail)

Zusätzlich zum SPF-Eintrag kann das LMS ausgehende E-Mails mit einer kryptografischen Signatur für die (Sub-)Domain des Kunden signieren.
Empfangs-Mailserver können dann überprüfen, ob:

  • die E-Mail tatsächlich von einem für diese Domain autorisierten Server stammt

  • der Inhalt nicht geändert wurde

DMARC (Domain-based Message Authentication, Reporting & Conformance)

DMARC ist eine DNS-Richtlinie, die Kunden für ihre Domain festlegen können.

Sie teilt den Empfangs-Servern mit:

  • wie streng SPF/DKIM durchgesetzt werden sollen und wie mit E-Mails verfahren werden soll, die die Überprüfung nicht bestanden haben (Quarantäne, Spam, Ablehnung)

  • wohin Sie Reports über den Missbrauch Ihrer Domain senden können (Überwachung)

Typische DMARC-Richtlinien sind:

  • p=none – nur zur Überwachung, keine Durchsetzung

  • p=quarantine – Fehler als verdächtig einstufen (Spam / Junk)

  • p=reject – Fehler sofort ablehnen

In der Praxis:

  • Scheer IMC stellt sicher, dass E-Mails aus dem LMS die SPF- und DKIM-Prüfung für die Domain des Kunden bestehen.

  • Die DMARC-Richtlinie des Kunden entscheidet dann, ob diese E-Mails angenommen, unter Quarantäne gestellt oder abgelehnt werden.

Normalerweise werden alle drei zusammen verwendet:

  1. SPF – legt fest, welche Server E-Mails für Ihre Domain versenden dürfen

  2. DKIM – fügt eine Signatur zu Ihren E-Mails hinzu

  3. DMARC – legt Richtlinien fest und Reporting

DKIM-Einrichtung

Die DKIM-Signatur wird von Scheer IMC unterstützt, wenn ein dedizierter oder gemeinsam genutzter Mailserver von Scheer IMC verwendet wird, und kann im Rahmen eines Zusatzauftrags implementiert werden (hierbei können zusätzliche Kosten anfallen).

Wenn Kunden den Scheer IMC Mailserver nutzen und zusätzlich zu SPF auch DKIM-Support beauftragen:

Scheer IMC:

  • erstellt das entsprechende DKIM-Schlüsselpaare (privater und öffentlicher Schlüssel) und

  • stellt sie der IT-Abteilung des Kunden zur Speicherung im DNS-Eintrag von customer.com (TXT-Eintrag oder CNAME) zur Verfügung.

IT des Kunden:

  • wird diesen DKIM-Eintrag in der DNS-Zone der Domain veröffentlichen, die in den Absenderadressen des LMS verwendet wird, z. B. lms01._domainkey.learning.customer.com

  • stellt sicher, dass der Eintrag erhalten bleibt und bei DNS-Bereinigungen oder Migrationen nicht entfernt wird

Der Scheer IMC Mailserver signiert alle ausgehenden E-Mails für diese Domain mit dem konfigurierten DKIM-Schlüssel.

Mit dieser Konfiguration können empfangende Mailserver die DKIM-Signatur überprüfen. In den E-Mail-Headern finden Sie in der Regel Folgendes:

  • eine DKIM-Signature: Vom sendenden System hinzugefügter Header

  • Authentication-Results: Zeile auf der Empfängerseite mit dem Eintrag dkim=pass

:info:

DKIM-Einrichtung – Wenn Kunden E-Mails über ihren Mailserver versenden möchten

Wenn Kunden sich dafür entscheiden, E-Mails über ihren eigenen SMTP-Server zu versenden, wird DKIM vollständig auf ihrer E-Mail-Infrastruktur konfiguriert:

  • Das LMS signiert E-Mails nicht selbst, sondern nutzt für DKIM den Mailserver des Kunden.

  • Die gesamte Schlüsselverwaltung und alle DNS-Einträge für DKIM liegen in der Verantwortung des Kunden.

DMARC-Einrichtung

DMARC ist keine Funktion des LMS selbst, sondern hängt von den DNS- und E-Mail-Domänenrichtlinien des Kunden ab.

Scheer IMC:

  • stellt sicher, dass E-Mails die SPF-Prüfung bestehen (SPF-Einbindung / Absender-IPs).

  • bietet eine DKIM-Signierung an (auf zusätzliche Bestellung, siehe oben).

IT des Kunden:
definiert und pflegt den DMARC-Richtlinien-Eintrag im DNS für die Domain in der Absenderadresse.

DMARC wird insofern effektiv „unterstützt“, als dass E-Mails von LMS vollständig DMARC-konform gestaltet werden können (SPF+DKIM-Abgleich).

Sobald DNS und DKIM korrekt konfiguriert sind, können Kunden selbst strenge DMARC-Richtlinien (p=reject) sicher anwenden.

:info:

DMARC-Einrichtung – Wenn Kunden E-Mails über ihren Mailserver (SMTP) versenden möchten

  • Die DMARC-Verarbeitung erfolgt vollständig auf Kundenseite (SPF-, DKIM- und DMARC-Konfiguration auf dessen E-Mail-Gateway + DNS).

  • Das LMS leitet Nachrichten lediglich weiter; im LMS selbst ist keine DMARC-Logik implementiert.

Wann sollten Sie sich an den Scheer IMC-Support wenden?

Das Technical Setup wird in der Regel während der Projektphase vereinbart.

Bitte wenden Sie sich an den Scheer IMC-Support, indem Sie ein Service-Desk-Ticket vom Typ Request erstellen, wenn:

  • Sie planen, DMARC einzuführen oder zu verschärfen (z. B. durch die Umstellung auf p=reject, die höchste Schutzstufe), und sicherstellen möchten, dass LMS-E-Mails weiterhin zugestellt werden können

  • Sie SPF, DKIM oder DMARC geändert haben und feststellen, dass LMS-E-Mails abgelehnt oder als Spam eingestuft werden

  • Sie zwischen dem Versand über Scheer IMC und dem Versand über Ihren eigenen Mailserver wechseln möchten

  • Sie den aktuellen SPF-Eintrag, den DKIM-Selektor oder die Absender-IPs für Ihre LMS-Instanz benötigen

  • Sie planen, die Absenderdomain zu ändern (für die neue Domain ist eine DKIM-Einrichtung erforderlich)

Gerne übernehmen wir die Koordination zwischen unserem technischen Team und Ihrem IT-Team, um sicherzustellen, dass Ihre LMS-Benachrichtigungs-E-Mails weiterhin zuverlässig und unter Einhaltung der Sicherheitsrichtlinien Ihres Unternehmens alle vorgesehenen Empfänger erreichen.

Dem Kunden können Einrichtungskosten in Rechnung gestellt werden; es fällt keine monatliche Gebühr an.

Das Scheer IMC-Consulting wird dies koordinieren und die notwendigen Teams über das Desk-Ticket vom Typ Consulting Request einbeziehen (Kommunikation mit dem Kunden, Test-E-Mail zur Überprüfung der Funktionsfähigkeit, Beantwortung von Kundenfragen).