Frage zu SPF und Googlemail

[Hazling]

Hallo zusammen,

ich habe seit vielen Jahren eine Domain bei domainfactory (www.df.eu) registriert. Ich nutze sie nur um meine eigenen EMailadressen zu haben. Mir ist gestern zum ersten mal aufgefallen, dass ich wohl ein Problem damit habe, EMails an googlemail zu senden. Ich bekommen die folgende Fehlermeldung:



Wenn ich das richtig verstanden habe, war für meine Domain kein SPF Eintrag hinterlegt, was zur Ablehnung bei gmail geführt hat. Ich habe daraufhin folgenden Eintrag in meiner Domain hinzugefügt:



Ich habe ein Test bei mxtoolbox durchgeführt und es sieht eigentlich so aus, dass es geklappt haben sollte:



Leider bekomme ich weiterhin die Fehlermeldung wenn ich eine EMail versende. DKIM und DMARC wird wenn ich es richtig verstanden habe von df.eu nicht unterstützt, aber eigentlich sollte doch der SPF Eintrag reichen, oder?

Hat jemand evtl. einen Tipp was ich falsch gemacht habe oder ob noch etwas fehlt ? Bin in diesem ganzen Thema ein ziemlicher Anfänger und habe die Domain nur für die EMails erstellt und dann nie mehr angefasst.

Bin für hilfreiche Tipps dankbar,

Gruß Purplehaze

 

[n/a]

DKIM fehlt

Übersicht mit KI
SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail) sind zwei wichtige E-Mail-Authentifizierungsprotokolle, die zusammenarbeiten, um E-Mails sicherer zu machen und vor Spam und Phishing zu schützen. SPF prüft, ob die sendende IP-Adresse autorisiert ist, E-Mails für eine bestimmte Domain zu versenden, während DKIM eine digitale Signatur hinzufügt, um die Integrität und Authentizität der E-Mail zu überprüfen.
SPF (Sender Policy Framework):
SPF ist ein Protokoll, das die IP-Adresse des sendenden Servers mit einer Liste autorisierter Server in den DNS-Einträgen der sendenden Domain abgleicht.
Es verhindert, dass gefälschte E-Mail-Adressen verwendet werden, indem es sicherstellt, dass die E-Mail tatsächlich von einem Server stammt, der für den Versand von E-Mails für diese Domain autorisiert ist.
Ein SPF-Eintrag im DNS einer Domain enthält eine Liste von IP-Adressen oder Domänen, die E-Mails im Namen dieser Domain senden dürfen.
Wenn eine E-Mail empfangen wird, überprüft der empfangende Mailserver den SPF-Eintrag und vergleicht die IP-Adresse des sendenden Servers mit der Liste im SPF-Eintrag.
DKIM (DomainKeys Identified Mail):
DKIM verwendet eine digitale Signatur, um zu überprüfen, ob eine E-Mail während der Übertragung nicht verändert wurde und tatsächlich von der angegebenen Domain stammt.
Ein DKIM-Eintrag besteht aus einem öffentlichen Schlüssel (im DNS) und einem privaten Schlüssel, der vom sendenden Server verwendet wird.
Der sendende Server signiert die E-Mail mit dem privaten Schlüssel, und der empfangende Server kann mit dem öffentlichen Schlüssel im DNS-Eintrag die Signatur überprüfen.
Dies stellt sicher, dass die E-Mail nicht manipuliert wurde und der Absender tatsächlich die angegebene Domain verwendet.
Zusammenarbeit von SPF und DKIM:
SPF und DKIM arbeiten zusammen, um die Authentizität und Integrität von E-Mails zu gewährleisten.
SPF überprüft die IP-Adresse des sendenden Servers, während DKIM die digitale Signatur der E-Mail überprüft.
Gemeinsam tragen sie dazu bei, Spam und Phishing zu bekämpfen und die Zustellbarkeit von E-Mails zu verbessern.
Zusätzlich zu SPF und DKIM wird oft auch DMARC (Domain-based Message Authentication, Reporting & Conformance) verwendet, um Richtlinien für das Handling von E-Mails festzulegen, die SPF und DKIM nicht bestehen.

Würde vermuten, du brauchst beides

 

[Hazling]

Danke schonmal für die schnellen Antworten. Ich hab jetzt nochmal nachgeschaut und DKIM gibt es wohl in meinem MailPro Tarif doch (laut Perplexity). Allerdings muss ich da wohl selbst die Einstellungen im DNS vornehmen und ich habe keinen blassen Schimmer was das genau ist und wie das gehen soll. Kann mir jemand sagen wie ich hier am besten vorgehe?



Viele Grüße,
Purplehaze

EDIT: In den Nameserver Einstellungen habe ich folgende Einstellungsmöglichkeiten:

 

[n/a]

Wenn du im Pro-Tarif bist, dann kannst du dir einen eigenen Record generieren https://easydmarc.com/tools/dkim-record-generator und diesen eintragen. Der Mailserver von df eu schnappt den sich dann und signiert die E-Mails

 

[XRJPK]

Hi Hazling,

bist du dir mit dem SPF Record sicher? Im SPF Eintrag muss der absendende Server stehen, entweder als Hostname (DNS) oder als IP, du hast den SPF Eintrag von Domain Factory eingetragen. Bist du dir sicher, dass deine IP in deren Eintrag steht? Für gewöhnlich schreiben Hosting Anbieter die an Kunden vergebenen IPs nicht in ihre SPF Records

 

[n/a]

EDIT: In den Nameserver Einstellungen habe ich folgende Einstellungsmöglichkeiten:

Nö, der Record-Type ist jeweils Text... Allerdings hast du wahrscheinlich schon SPF falsch eingetragen

 

[Hazling]

Hallöle,

danke wiedermal für die Anregungen. Es scheint jetzt zu funktionieren. Ich habe folgendes gemacht:

• SPF Eintrag habe ich so wie oben von mir beschrieben gelassen (Ensign: Scheinte doch gepasst zu haben, ich habe als Ausgangsserver ja sslout.df.eu angegeben.)
• DKIM habe ich mir bei https://easydmarc.com/tools/dkim-record-generator generiert und dann als TXT in den DNS bei df.eu eingefügt: "v=DKIM1;t=s;p=ganzlangerkey"

Warum das jetzt genau funktioniert und wie das Zusammenspiel von diesem DKIM Generator ist habe ich nullstens verstanden, aber hauptsache es geht

Falls es mir jemand erklären mag: Ich habe auf der Seite ja nur meine Domäne eingeben müssen und einen "Selektor":

• Was genau ist denn der Selektor ? So eine Art Baseline auf dessen Basis der Key generiert wird?
• Wie kann denn eine externe Seite einfach so einen Key erstellen, der für meine Domäne gültig ist und dann von Gmail akzeptiert wird ? Wie genau spielt das denn zusammen, da könnte doch einfach "irgendwas" generiert worden sein.

Viele Grüße,

Purplehaze

 

[n/a]

Was genau ist denn der Selektor ? So eine Art Baseline auf dessen Basis der Key generiert wird?

Der Selektor ist einfach ein Name. Falls du mehrere Mailserver betreibst, kannst du die Einträge so unterscheiden. Mit der Schlüssel-Entropie hat das nix zu tun

Wie kann denn eine externe Seite einfach so einen Key erstellen, der für meine Domäne gültig ist und dann von Gmail akzeptiert wird ? Wie genau spielt das denn zusammen, da könnte doch einfach "irgendwas" generiert worden sein.

Eigentlich wird ein öffentlicher und privater Schlüssel erstellt. Der öffentliche kommt in den Record und den privaten müsste dein Ausgangsmailserver kennen ... Der Ausgangsmailserver signiert dann alle ausgehenden Mails mithilfe des privaten Schlüsselteils. Der Empfänger ruft den öffentlichen Schlüssel ab und kann so feststellen, ob die empfangene Mail auch genau von deinem Ausgangsmailserver versendet wurde

 

[Masamune2]

DKIM brauchst du nicht, Google will aber seit neustem einen DMARC Eintrag haben. Leg den einfach mit den minimal nötigen Parametern an und dann passt es.

v=DMARC1; p=reject

 

[n/a]

Wenn alles geklappt hat, sollte der Report so aussehen

Ergänzung (19. Juni 2025)

DKIM brauchst du nicht

jetzt hat ers schon, und schaden kanns nicht

 

[Masamune2]

Nein schaden tut es natürlich nicht, außer vielleicht seinem Konto wenn df dafür extra Geld haben will.
Nötig ist es allerdings nicht. SPF und DMARC setzen und die Mails werden angenommen.

bist du dir mit dem SPF Record sicher?

Ja ist korrekt. Wenn du Mails über einen Dienstleister versendest bindest du in der Regel dessen SPF Eintrag über "include:" ein. Hier dann include:ispgateway.de oder spf.df.eu bei Microsoft z.B. include:spf.protection.outlook.com

 

[Hazling]

Hallöle,

So, ich habe jetzt: DKIM erstmal wieder rausgeschmissen weil ich glaube das war irgendwie falsch, dafür den DMARC Minimaleintrag gemacht. daraufhin habe ich den MX Lookup, DMARC Lookup und SPF Lookup --> Laut der Screenshts sieht das jetzt alles gut aus, oder ?



ABER: Ich habe immernoch folgendes Problem:
- Ich habe 2 verschiedene EMailadressen definiert.
--> Sende ich von EMail Adresse 1 aus, kommen die EMails korrekt bei GMail an, keine Fehler mehr. Dafür kommen die EMails von dieser Adresse schon seit einigen Tagen nicht mehr bei meiner Frau an
--> Sende ich von EMail Adresse 2 aus, kommen bei GMail KEINE Mails an (Aber auch keine Fehlermeldung bzgl. SPF etc. mehr), dafür kommen diese MANCHMAL korrekt bei GMX bei meiner Frau an.
--> Ich versende über Outlook und die Einstellungen sind komplett identisch. Schreibe ich EMails an mich selbst kommen sie korrekt bei mir an, von beiden Adressen aus. Ich dreh bald durch...

Hat jemand eine Idee was da los ist ? Ich hatte Jahrelang keine Probleme und habe nichts an irgendwelchen Einstellungen geändert.

Grüße
Purplehaze

EDIT: ich werd gleich irre.... jetzt kommen bei meiner GMail Adresse wieder keine Mails von meiner domain an (auch von der o.g. ersten EMail Adresse), obwohl ich nichts geändert habe.
Generell wird mir noch folgendes angezeigt:

 

[Masamune2]

Ne stimmt immer noch nicht, in deinem SPF Eintrag fehlt immer noch das Include:ispgateway.de
Und wenn alles mal stimmt solltest du ein -all ans Ende setzen, dann stimmts mit der DMARC reject Policy überein.
Wenn deine Webseite selbst auch Mails versendet muss auch noch ein "a" mit rein, dann darf auch der Server der im A Record steht senden.

 

[Hazling]

Müsste das dann so aussehen:
SPF Eintrag:
include:ispgateway.de v=spf1 mx ~all

DMARC (Als TXT)
v=DMARC1; p=reject -all

Wäre das so richtig ?

 

[Masamune2]

Nein
SPF:

 v=spf1 a mx include:ispgateway.de -all

DMRAC:

v=DMARC1; p=reject

 

[Hazling]

Okay, sorry wenn ich es nicht immer gleich peile

Habe die Einträge jetzt so gemacht wie du es beschrieben hast.

in den oberen beiden Einträgen ist einmail für domäne.de und *.domäne.de der SPF Eintrag drin
in den unteren beiden Einträge ist einmail für domäne.de und *.domäne.de der DMARC Eintrag drin

MXtoolBox zeigt weiterhin alles OK an für DMARC, SPF und den MX check



Leider bekomme ich trotzdem diesen Fehler wieder:



Ich glaub ich gebs bald auf

 

[Masamune2]

DNS braucht manchmal etwas bis es repliziert ist und dann nochmal bis die andere Seite die Werte neu abfragt, je nach der TTL die du (oder Domain Factory) eingestellt hast.
Gib dem ganzen mal eine Stunde Zeit und teste dann nochmal. Es hilft übrigens bei der Fehleranalyse gar nicht wenn du in den Fehlermeldungen die entscheidenden Infos schwärzt.

 

[n/a]

Die Prio der MX-Einträge würde ich auf 10 setzen

und die TTL auf 300 (das sind 5 Minuten)

anschließend einfach mal etwas warten und den Test / die Fehleranalyse noch einmal ausführen

 

[Avenger84]

Kennst du schon dmarctester.com ?

 

[n/a]

@Avenger84 So sieht es bei mir aus

DMARC Results

--- Connection parameters ---
Source IP address: 0.0.0.0
Hostname: example1.com
Sender: user@example2.com

--- SPF ---
Domain: example2.com
Identity: RFC5321.MailFrom
Auth Result: PASS
DMARC Alignment: PASS

--- DKIM ---
Domain: example2.com
Selector: mail
Algorithm: rsa-sha256 (2048-bit)
Auth Result: PASS
DMARC Alignment: PASS

--- DMARC ---
RFC5322.From domain: example2.com
Policy (p=): reject
SPF: PASS
DKIM: PASS
DMARC Result: PASS

--- Final verdict ---
DMARC does not take any specific action regarding message delivery. Generally, this means that the message will be successfully delivered. However, it's important to note that other factors like spam filters can still reject or quarantine a message.

---------------------
Thanks for using dmarctester.com
This free service is brought to you by URIports.com - DMARC Monitoring Reinvented.