Email Test: Authentifizierung beim Empfang
Mein Emailtest ist vermutlich einigen bekannt. Vielleicht ist einigen auch aufgefallen, dass SMTP-DANE und MTA-STS in beiden Richtungen getestet wird, SPF, DKIM und DMARC aber nur sendeseitig. Ich versuche gerade, auch die Empfangsseite zu testen, nur stellt sich das als weniger trivial heraus. Ein wirklich gut konfigurierter empfangender Emailserver verwendet SPF, DKIM, und DMARC. Bei DMARC kann man den Policy-Anteil vom Reporting-Anteil unterscheiden. Der Reporting-Anteil hilft dem Sender mitzubekommen, woher seine Mails beim Empfänger kommen und ob sie korrekt authentifiziert sind. Für die Ablehnung direkt beim Empfangen ist der Policy-Anteil relevant. Beim Empfang würde ein Server DKIM und SPF des Senders prüfen, und wenn die DMARC-Policy des Senders reject ist, eine Mail sofort ablehnen, die weder über DKIM noch SPF authentifizierbar ist. Darüberhinaus fordert DMARC auch noch, dass bei SPF das From in der Mail zum From im Envelope passt ("SPF aligned") und bei DKIM dass das From in der Mail zur Domäne des Selektors passt (DKIM aligned
). Wobei passend unterschiedlich scharf gewählt werden kann, strict
fordert dass die Domänen (nicht die Mailbox) identisch ist, "relaxed" dass sie die Domänen hinreichend ähnlich sind. Das ist anschaulich aber englisch beschrieben z.B.: in https://dmarcian.com/alignment/.
Schon meine ersten Versuche deuten aber leider darauf hin, dass lange nicht alle Emailanbieter DMARC empfangsseitig auswerten, und auch bei DKIM und SPF gravierende Unterschiede bestehen. Ich habe daher erstmal versucht die Kombinatorik zu erfassen:
- Für DKIM gibt es insgesamt vier Möglichkeiten des Senders: DKIM richtig, kein DKIM, falsche Signatur (z.B. Bodyhash), oder unbekannter DKIM Selektor. Ein unbekannter DKIM Selektor ist nach Spezifikation so zu behandeln, als ob DKIM nicht verwendet wurde. Also bleiben hier drei von vier.
- Für SPF gibt es nur passt oder auch nicht. Das erreiche ich indem die Domäne ut.lindenberg.one einen SPF-Eintrag hat, der niemandem Senden erlaubt.
- Und für DMARC kommen dann noch die beiden "aligned" oben hinzu. Die machen allerdings nur wirklich Sinn, wenn DKIM oder SPF sonst korrekt verwendet werden.
Macht dann insgesamt 4 (DKIM OK, kein DKIM, DKIM falsch, DKIM nicht aligned) * 3 (SPF OK, SPF falsch, SPF aligned) = 12 Kombinationen. Von diesen Kombinationen sollten eigentlich 4 DKIM egal aber SPF richtig + 2 DKIM richtig und SPF falsch akzeptiert werden. Tatsächlich akzeptiert mein eigener Mailcow davon aber nur 4, vielleicht weil er den SPF-Fehler höher bewertet als die korrekte DKIM-Signatur, vielleicht auch ein Denkfehler bei mir. Die anderen akzeptierten und abgelehnten sauber begründet und entsprechen meiner Erwartung.
Der rspamd in Mailcow implementiert aber auch DMARC, SPF und DKIM, und er wertet das reject in der DMARC policy auch aus und lehnt Mails ab. Das ist leider alles nicht selbstverständlich. Bei web.de und gmx.net wurden alle 12 Mails akzeptiert, die die abgelehnt werden sollten landeten immerhin im Spamordner. Outlook.de lehnt die erwarteten 6 Mails mit dem Hinweis auf die DMARC-Policy richtig ab, schickt die beiden mit DKIM:OK und SPF-Problemen aber in den Spamordner.
Mit anderen Worten: schon diese wenigen Versuche deuten darauf hin, dass jeder Anbieter auf etwas anderes Wert legt. Auch der eigentlich dafür gedachte Header "Authentication-Results" enthält bei jedem andere Informationen, sogar web.de und gmx.net unterscheiden sich dort. Dass das von einem Automaten ausgewertet werden kann, glaube ich aktuell nicht. Und außerdem kann ich zwar die Testmails automatisch verschicken, aber die zugestellten muss der Empfänger trotzdem manuell zurückschicken, damit ich daraus Informationen gewinnen kann.
Jetzt suche ich freiwillige, die Ihre Domäne bzw. Ihren Anbieter gerne testen wollen. Dazu bitte eine Email an en@it.lindenberg.one. Der Automat schickt die 12 Testmails los und danach eine Aufforderung diese zurückzuschicken und eine Liste, welche abgelehnt wurden. Als Teilnehmer dann bitte darauf antworten, alle zugestellten Emails als Anlage der Mail hinzufügen, sowie bitte dazuschreiben welche davon im Spam-Ordner gefunden wurden. Die Info zum Spam-Ordner kann auch im Header zu finden sein, aber auch hier macht jeder Anbieter möglicherweise etwas anderes. Aktuell ist alles englisch, deutsche Übersetzung folgt.
Die Ergebnisse werde ich dann hier aufbereitet veröffentlichen.
| Domäne | SPF | DKIM | DMARC Policy | DMARC Reporting | Authentication-Results enthält | Kommentar |
|---|---|---|---|---|---|---|
| gmail.com | ✓ | ✓ | ✓ | ✓ | spf,dkim,dmarc | SPF, DKIM und DMARC wird richtig ausgewertet. |
| gmx.net | ✓ | ✓ | ✗ | ✗ | dkim | Die nach DMARC abzuweisenden Mails landen im Spam-Ordner. |
| lindenberg.one | ✓ | ✓ | ✓ | ✗ | spf,dkim,dmarc | DKIM richtig mit falschem SPF führt zur Abweisung. |
| mail.de | ✗ | ✗ | ✗ | ✗ | dkim | SPF und DMARC werden nicht ausgewertet. Alle Emails landen in der Inbox, keine wird abgewiesen, keine im Spam-Ordner. |
| mailbox.org | ✗ | ✗ | ✗ | ✗ | dkim | Der Authentication-Results-Header fehlt wenn kein DKIM verwendet wurde. Alle Emails landen in der Inbox, keine wird abgewiesen, keine im Spam-Ordner. |
| outlook.de | ✓ | ✓ | ✓ | ✓ | spf,dkim,dmarc | SPF, DKIM und DMARC wird richtig ausgewertet. |
| posteo.de | ✗ | ✗ | ✗ | ✗ | spf,dkim,dmarc | Alle Emails landen in der Inbox, keine wird abgewiesen, keine im Spam-Ordner. Es erscheinen drei getrennte "Authentication-Results"-Header. Es wird behauptet, der Testserver verwende kein DMARC, da wird wohl sp=reject nicht ausgewertet. |
| t-online.de | ✗ | ✗ | ✗ | ✗ | dkim | Senden von Ionos wird wegen keiner/schlechter Reputation abgelehnt, Senden von Netcup klappt. Keine Mail wird abgewiesen. Ein klares Muster was zu Spam führt ist nicht erkennbar. |
| tuta.io | ✓ | ✓ | ✗ | ✗ | dkim,dmarc | Mails die nach DMARC abzuweisen wären landen im Spam-Ordner. Der "Authentication-Results"-Header zeigt SPF nie, DKIM nur wenn DKIM verwendet wurde, DMARC immer als "fail". Es wird behauptet, der Testserver verwende DMARC p=quarantine, da wird vermutlich sp=reject nicht ausgewertet. |
| vivaldi.net | ✓ | ✗ | ✗ | ✗ | spf,dkim,dmarc | Abweisen auf Basis von SPF, DKIM und DMARC sind nicht relevant. DKIM fehlt in "Authentication-Results" wenn DKIM nicht verwendet wurde. |
| vodafonemail.de | ✗ | ✗ | ✗ | ✗ | dkim | Alle Emails landen in der Inbox, keine wird abgewiesen, keine im Spam-Ordner. |
| web.de | ✓ | ✓ | ✗ | ✗ | spf,dkim | Die nach DMARC abzuweisenden Mails landen im Spam-Ordner. |
Zuletzt geändert am 25.06.2024.
© 2025 Joachim Lindenberg. Diese Seite spiegelt meine persönliche Meinung wieder. Sie stellt keine Rechtsberatung dar. Fragen Sie doch einen Anwalt der sich damit auskennt.