Alle drei Begriffe stehen für Methoden um Spam-Emails einzudämmen.
SPF
Bei Sender Policy Framework trägt der Inhaber einer Domain im DNS ein, welche IP-Adressen (Mailserver/Webserver) E-Mails für diese Domain versenden dürfen.
Der Empfange Mailserver kann dann entscheiden ob er diese Angaben beachten möchte und nur Emails von berechtigten Servern annehmen möchte.
DKIM
Domain Keys Identified Mail ist eine Authentifizierungstechnik mit der ein Empfänger prüfen kann, ob eine E-Mail tatsächlich vom Eigentümer dieser Domain gesendet wurde.
Dies geschieht durch eine digitale Signatur die beim Versenden der Nachricht hinzugefügt wird.
Durch den öffentlichen Schlüssel der Signatur im DNS der Domain kann der Empfänger die Echtheit der Email prüfen.
DMARC
Domain-based Message Authentication, Reporting and Conformance basiert auf DKIM und SPF und funktioniert nur, wenn SPF oder DKIM definiert sind.
Mit einem DMARC DNS-Eintrag lassen sich zusätzliche Empfehlungen definieren, wie der Empfänger mit einer E-Mail umgehen soll die nicht den SPF- oder DKIM-Angaben entsprechen.
Zusätzlich können E-Mail-Adressen angegeben werden, an die Verstösse gemeldet werden können.
Alle Sender (Mail-, Webserver, Newsletter etc.) müssen dies unterstützten und Signaturen einfügen.
Empfehlung:
Wir empfehlen SPF in jedem Falle einzurichten.
Bei DKIM empfehlen wir für alle Server/Systeme zum Versandt die Benutzung eines Mailkontos auf unserem Mailserver und dort die Aktivierung von DKIM.
DMARC sollte eingerichtet werden wenn SPF oder DKIM laufen.
Testen Sie alles gut!
Beachten
Gmail kontrolliert aber 2023 eingehende Emails "neuer Sender" oder auch einfach vermehrt auf SPF/DKIM DNS-Einträge.
Existiert kein Eintrag erlaubt sich Gmail, entgegen den RFC, legitime Emails einfach abzulehnen.
Die angezeigte Fehlermeldung ist dabei mit "message text rejected by gmail" offensichtlich falsch.
Die Lösung ist das Erstellen von SPF/DKIM Einträgen.