Dieser Artikel richtet sich an IT-Administratoren und soll einen Überblick geben, um einen reibungslosen E-Mail-Empfang zu gewährleisten. Technische Details können hier nicht erklärt werden, da dies den Rahmen sprengen würde. Auch sind keine Erläuterungen zu Anbieter-spezifischem Umgang mit den technischen Details möglich, etwa bei Weiterleitungen.
In den allermeisten Fällen ist keinerlei manuelle Konfiguration notwendig, da die hier vorgestellten Technologien gängige Praxis sind und von E-Mail-Diensten automatisch gehandhabt werden. In Problemfällen kann der Artikel bei der Fehleranalyse helfen.
Allgemeines
E-Mails aus der Quiply App (aber nicht Marketing-E-Mails wie Newsletter) werden von AWS für die Domäne quiply.com versandt. Das heißt, als Absender ist eine E-Mail-Adresse der Domäne quiply.com angegeben, meist noreply@quiply.com. Die tatsächliche E-Mail-Übertragung übernimmt aber ein AWS-Server, der die Domäne amazonses.com führt. (Der Domänenname leitet sich vom Amazon Simple Email Service (SES) ab.)
E-Mail-Empfänger müssen dies anhand von SPF, DKIM und DMARC verstehen und verifizieren, so dass E-Mails nicht irrtümlich als Spam oder Bounce eingestuft werden. Während als Spam eingestufte E-Mails meist noch (in ein Spam-Postfach) zugestellt werden, wird bei Bounces der Empfang gänzlich verweigert und eine E-Mail-Zustellung ist nicht möglich.
Bounces
Bei Bounces unterscheidet man zwischen temporären und permanenten Bounces. Ein Beispiel für einen temporären Bounce ist eine Urlaubsabwesenheit. Eine unbekannte E-Mail-Adresse ist ein Beispiel für einen permanenten Bounce. Generell führen Bounces dazu, dass die nicht zustellbare E-Mail verworfen wird.
Bei temporären Bounces wird eine nicht zugestellte E-Mail verworfen, aber es wird versucht, weitere E-Mails normal zuzustellen. Es sind weitere temporäre Bounces möglich (etwa bis die Urlaubsabwesenheit beendet ist).
Bei permanenten Bounces werden diese sowohl in der Quiply App als auch bei AWS in einer Suppression-List notiert und es werden keine weiteren Zustellungsversuche an diese E-Mail-Adresse unternommen! Die Suppression-List funktioniert als eine Art Blacklist. An E-Mail-Adressen in dieser Liste werden erst gar keine Zustellungsversuche unternommen. In manchen Fällen können wir bei irrtümlichen Bounces den Eintrag in der Suppression-List entfernen, allerdings sind unsere Einflussmöglichkeiten auf AWS diesbezüglich begrenzt. Einträge können auch nach einiger Zeit wieder aus der Suppression-List verschwinden.
SPF
Mit SPF (Sender Policy Framework) kann ein Empfänger überprüfen, ob ein Server zur E-Mail-Übertragung (Mail-Transfer-Agent, MTA) autorisiert ist, für eine Domäne E-Mails zuzustellen. Konkret auf die Quiply App bezogen kann überprüft werden ob quiply.com den MTAs von AWS unter amazonses.com erlaubt, E-Mails zuzustellen.
Dazu gibt es einen (öffentlich einsehbaren) TXT-Domäneneintrag auf mailer.quiply.com (Subdomäne), der mit Tools wie dig oder nslookup abgefragt werden kann ($ steht hier als Prompt einer Bash-Shell):
$ dig mailer.quiply.com txt +noall +answer
; <<>> DiG 9.10.6 <<>> mailer.quiply.com txt +noall +answer
;; global options: +cmd
mailer.quiply.com. 6810 IN TXT "v=spf1 include:amazonses.com ~all"
DKIM
DKIM (DomainKeys Identified Mail) kann als strengere Ergänzung von SPF verstanden werden und erlaubt es anhand von digitalen Signaturen zu gewährleisten, dass übertragene E-Mails (oder bestimmte, wichtige Teile) nicht von Dritten verändert wurden.
AWS als der E-Mail-Versender erstellt mit einem Private-Key eine digitale Signatur und fügt diese als E-Mail-Header der E-Mail hinzu. Hier ein Beispiel dieses E-Mail-Headers aus unserer Entwicklungsumgebung:
Dkim-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/simple; s=qftdzk2dqsatjnlrq4r5brjbihpfcrsh; d=amazonses.com; t=1724770726
Ähnlich wie bei SPF gibt es TXT-Domäneneinträge unter *._domainkey.quiply.com, die in diesem Fall den Public-Key zum Überprüfen der digitalen Signaturen führen:
$ dig vpsady45cmirxi4tx7s5igawusn3kheg._domainkey.quiply.com txt +noall +answer
; <<>> DiG 9.10.6 <<>> vpsady45cmirxi4tx7s5igawusn3kheg._domainkey.quiply.com txt +noall +answer
;; global options: +cmd
vpsady45cmirxi4tx7s5igawusn3kheg._domainkey.quiply.com. 7200 IN CNAME vpsady45cmirxi4tx7s5igawusn3kheg.dkim.amazonses.com.
vpsady45cmirxi4tx7s5igawusn3kheg.dkim.amazonses.com. 3600 IN TXT "p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAnqFZatWo8GaemtOdzQ0srWn4D4hQgH4QFc7lNqraFEHb+lz27u0qwowoKe6UIG6/0iQXvRTILscD7h1r3oPwfYdho3Jne+p908bTLoTLqz+3oVTKOTll8TtWLqIy/A46DVfYiL0t5tu+mm9jI8N/4PVFexqG0Tk6aqHrSY1h5sX8Jl+eB8Hyb8S5y91C9UUc6RZWF29YvkGZVml5k" "V2Jh4iYO6D9ZiGpYi0vD7H29MqX+vsCBzheqQLdS+uWhcsGRa4ISPYrRgVDw0u1/Iu7zX29gkZjS/Tj+cEN00EuNJnKpAc0qcrDACiPOncJzEmnuyPr5TU9eYJFyV01m63D0wIDAQAB"
DMARC
Ergänzt werden SPF und DKIM durch DMARC (Domain-based Message Authentication, Reporting and Conformance). Auch hier gibt es einen TXT-Domäneneintrag:
$ dig _dmarc.quiply.com txt +noall +answer
; <<>> DiG 9.10.6 <<>> _dmarc.quiply.com txt +noall +answer
;; global options: +cmd
_dmarc.quiply.com. 7200 IN TXT "v=DMARC1; p=quarantine; pct=100; rua=mailto:pkgrsu9b@ag.eu.dmarcadvisor.com; ruf=mailto:pkgrsu9b@fr.eu.dmarcadvisor.com; sp=quarantine; adkim=r; aspf=r"
Der DMARC-Domäneneintrag gibt an, wie mit E-Mails umgegangen werden soll, die angeben von der Domäne quiply.com zu kommen. Dabei können diese E-Mails tatsächlich (im Auftrag) von quiply.com versendet worden sein oder es handelt sich um Fälschungen oder möglicherweise um Weiterleitungen. Die Überprüfung diesbezüglich findet mittels SPF und DKIM statt. Ein Empfänger erstellt Reports über korrekt und nicht korrekt empfangene E-Mails und sendet diese an uns. Dadurch erhalten wir bei Quiply einen Überblick, ob jemand böswillig (oder fälschlicherweise) quiply.com als Absender-Adresse verwendet.
Weiterleitungen
E-Mail-Weiterleitungen, egal ob dies ein IT-Dienstleister oder eine Person tut, verhindern die Überprüfung mit SPF und DKIM, da nun nicht mehr die autorisierte Domäne amazonses.com als (letzter) Zusteller eingetragen ist, sondern die weiterleitende Instanz. Die Endempfänger können nun also ohne Weiteres nicht mehr überprüfen, ob eine E-Mail echt ist. Das hat zur Folge, dass E-Mails abgelehnt werden (Bounce) und/oder DMARC-Reports erstellt werden, die Quiply davor warnen, dass unsere Absender-Adresse missbraucht wird.
Damit solche Weiterleitungen funktionieren, müssen Endempfänger also entweder der weiterleitenden Instanz vollständig vertrauen, was einige Risiken birgt, oder die weiterleitende Instanz muss weitere Technologien wie ARC (Authenticated Received Chain) einsetzen, um einen sicheren Empfang zu gewährleisten.
Kommentare
0 Kommentare
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.