Damit eure E-Mails aus Ostendis zuverlässig bei Bewerberinnen und Bewerbern ankommen, sind die drei Verfahren SPF, DKIM und DMARC wichtig. Sie helfen gleichzeitig dabei, eure Domäne vor Missbrauch zu schützen.
Zu Beginn erklären wir die Zusammenhänge möglichst verständlich und schaffen ein Grundverständnis für das Thema. Der anschliessende technische Teil richtet sich an eure IT-Verantwortlichen oder euren IT-Dienstleister und zeigt, welche Einstellungen für den Versand von E-Mails aus Ostendis vorgenommen werden müssen.
Ausgangslage
Die Ostendis E-Recruiting-Lösung ermöglicht euch, Bewerberinnen und Bewerbern Antworten per E-Mail zukommen zu lassen.
Technisch werden diese Nachrichten über die Mail-Infrastruktur von Ostendis versendet, erscheinen für die Empfängerinnen und Empfänger jedoch mit eurer eigenen Absenderadresse. Dadurch ist sichergestellt, dass Antworten von Bewerberinnen und Bewerbern direkt wieder bei euch eintreffen.
Damit grosse E-Mail-Anbieter wie Microsoft, Google oder Apple diese E-Mails als vertrauenswürdig einstufen, ist eine technische Authentifizierung eurer Domäne heute praktisch unverzichtbar.
Genau dafür gibt es die drei Mechanismen SPF, DKIM und DMARC.
Wichtig: Damit der Mail-Versand aus Ostendis zuverlässig funktioniert, muss der SPF-Eintrag eurer Domäne korrekt eingerichtet sein.
Zusätzlich empfehlen wir die Einrichtung von DKIM und DMARC. Diese Verfahren verbessern die Zustellbarkeit eurer E-Mails und helfen dabei, eure Domäne besser vor Missbrauch zu schützen.
Wie arbeiten SPF, DKIM und DMARC zusammen?
Die drei Verfahren ergänzen sich gegenseitig. Jedes deckt einen eigenen Teil der E-Mail-Authentifizierung ab.
SPF
Zwingend erforderlich
Legt fest, welche Mailserver E-Mails im Namen eurer Domäne versenden dürfen.
Kurz: Wer darf senden?
DKIM
Dringend empfohlen
Signiert E-Mails digital und bestätigt, dass sie vom berechtigten Absender stammen und während der Übertragung nicht verändert wurden.
Kurz: Ist die Nachricht echt?
DMARC
Empfohlen
Definiert, was mit E-Mails geschehen soll, wenn SPF und/oder DKIM nicht erfolgreich geprüft werden können.
Kurz: Verhalten bei Fehlern?
Erst alle drei Mechanismen zusammen ergeben eine moderne und bestmöglich abgesicherte E-Mail-Authentifizierung.
Wer richtet das ein?
Für alle drei Mechanismen gilt dasselbe: Die Einrichtung erfolgt durch eure IT-Abteilung oder euren IT-Dienstleister und setzt Zugriff auf die DNS-Verwaltung eurer Domäne voraus.
SPF · DKIM · DMARC
Hier erklären wir euch die drei DNS-Einträge, die für einen sicheren und zuverlässigen E-Mailversand aus Ostendis sorgen.
SPF
Warum ist SPF wichtig?
Ein SPF-Eintrag (Sender Policy Framework) ermöglicht es, nicht nur dem eigenen Mailserver, sondern auch anderen Mailservern die Berechtigung zu erteilen, E-Mails im Namen eurer Domäne zu versenden.
Der Mailserver von Ostendis versendet E-Mails in eurem Namen. Viele empfangende Mailserver prüfen deshalb, ob unser Mailserver dazu berechtigt ist, E-Mails mit eurer Domäne als Absender zu versenden.
Ohne diese Berechtigung werden E-Mails häufig als verdächtig eingestuft oder direkt abgewiesen.
Die Folge davon: Bewerberinnen und Bewerber erhalten möglicherweise wichtige Nachrichten aus dem Ostendis-System nicht.
Deshalb ist SPF für den Versand über Ostendis zwingend erforderlich.
So wird der SPF-Eintrag eingerichtet
1. Bestehenden SPF‑Eintrag prüfen
Überprüft zuerst, ob für eure Domäne bereits ein SPF-Eintrag im DNS existiert.
In den meisten Fällen ist bereits ein SPF-Eintrag vorhanden, da viele Unternehmen Microsoft 365, Google Workspace, Newsletter-Systeme oder andere Cloud-Dienste nutzen.
Wichtig: Ein bestehender SPF-Eintrag darf nicht ersetzt oder gelöscht werden. Er muss lediglich um den Ostendis-Mailserver ergänzt werden.
2. Ostendis als Versandquelle hinzufügen
Damit E-Mails aus Ostendis korrekt versendet werden können, muss Ostendis im bestehenden SPF-Eintrag eurer Domäne als berechtigte Versandquelle ergänzt werden.
SPF-Eintrag zum kopieren
Beispiel
Wichtig
- Bestehende Einträge beibehalten
- Ostendis zusätzlich hinzufügen
- Es darf nur einen SPF-Eintrag pro Domäne geben
- Bestehenden SPF-Eintrag nicht löschen
- Bestehenden SPF-Eintrag nicht durch einen neuen ersetzen
Ist der Eintrag ein Risiko?
Die Berechtigung unseres Mailservers, E-Mails in eurem Namen zu versenden, stellt theoretisch ein Risiko dar, praktisch ist dieses jedoch sehr gering.
Zudem liegt es in unserem eigenen Interesse, dass ausschliesslich berechtigte E-Mails über unsere Systeme versendet werden. Deshalb schützen wir unsere Mail-Infrastruktur mit entsprechenden Sicherheitsmassnahmen.
DKIM
Was ist DKIM?
DKIM (DomainKeys Identified Mail) ist ein Verfahren zur Authentifizierung von E-Mails.
Jede versendete E-Mail erhält eine digitale Signatur. Der empfangende Mailserver kann dadurch prüfen, ob die Nachricht tatsächlich von eurer Domäne stammt und während der Übertragung nicht verändert wurde.
Das erhöht die Vertrauenswürdigkeit eurer E-Mails und verbessert deren Zustellbarkeit.
Warum ist DKIM wichtig?
Viele grosse E-Mail-Anbieter verlangen heute eine technische Authentifizierung von E-Mails. Fehlt diese, kann es passieren, dass Nachrichten:
- Im Spam-Ordner landen
- Verzögert zugestellt werden
- Vollständig abgewiesen werden
DKIM ist für den Versand über Ostendis zwar nicht zwingend erforderlich, wird von uns jedoch ausdrücklich empfohlen.
In der Praxis hat sich DKIM heute bei den meisten Unternehmen als Standard etabliert und leistet einen wichtigen Beitrag für eine zuverlässige Zustellung von E-Mails.
So richtest du DKIM ein
1. Ostendis kontaktieren
Für die Einrichtung von DKIM benötigen wir eine kurze Nachricht an [email protected].
Anschliessend erstellen wir die DKIM-Schlüssel für eure Domäne und bereiten alle benötigten DNS-Informationen vor.
2. DKIM-Informationen erhalten
Nach der Erstellung der Schlüssel senden wir euch alle erforderlichen Angaben.
Dazu gehören in der Regel:
- DKIM-Selector
- DNS-Hostname
- Öffentlicher Schlüssel
3. DNS-Eintrag veröffentlichen
Die IT-Abteilung oder euer IT-Dienstleister erstellt den von Ostendis bereitgestellten DKIM-TXT-Eintrag in der DNS-Zone eurer Domäne.
4. Aktivierung und Test
Nach Veröffentlichung des DNS-Eintrags prüfen wir die Konfiguration und aktivieren die DKIM-Signierung für eure Domäne.
Häufige Probleme
Falls die Einrichtung nicht sofort funktioniert, liegt dies häufig an einem der folgenden Punkte:
- Öffentlicher Schlüssel nicht vollständig übernommen
- Falscher Hostname verwendet
- DNS-Änderung noch nicht weltweit übernommen
- Bestehender DKIM-Eintrag kollidiert mit dem neuen Eintrag
DMARC
Was ist DMARC?
DMARC steht für Domain-based Message Authentication, Reporting and Conformance.
Das Verfahren baut auf SPF und DKIM auf und legt fest, wie empfangende Mailserver mit E-Mails umgehen sollen, die sich nicht erfolgreich authentifizieren lassen.
Zusätzlich können Berichte erstellt werden. Diese zeigen, welche Systeme im Namen eurer Domäne E-Mails versenden und ob diese die Sicherheitsprüfungen erfolgreich bestehen.
Warum ist DMARC wichtig?
DMARC hilft dabei:
- Phishing-Versuche zu reduzieren
- Den Missbrauch der eigenen Domäne zu erschweren
- Die Zustellbarkeit legitimer E-Mails zu verbessern
- mehr Kontrolle über den E-Mail-Verkehr der eigenen Domäne zu erhalten
DMARC wird von uns empfohlen, ist für den Versand aus Ostendis jedoch nicht zwingend erforderlich.
So richtest du DMARC ein
DMARC wird als TXT-Eintrag veröffentlicht. Der Eintrag befindet sich immer unter: _dmarc.euredomain.ch
Empfohlener Einstieg
Mit dieser Einstellung werden noch keine E-Mails blockiert. Die Richtlinie dient ausschliesslich der Überwachung und Analyse.
Spätere Ausbaustufen
Quarantäne
Ablehnung
Diese Richtlinien sollten erst eingesetzt werden, wenn SPF und DKIM zuverlässig funktionieren.
Beispiel eines DMARC-Eintrags
Ein typischer Einstieg sieht wie folgt aus:
Host
_dmarc
Typ
TXT
Wert
v=DMARC1; p=none
Empfehlung von Ostendis
Für eine möglichst zuverlässige und sichere Zustellung eurer Bewerberkommunikation empfehlen wir:
- SPF korrekt konfigurieren (zwingend erforderlich)
- DKIM für eure Domäne aktivieren (dringend empfohlen)
- DMARC mit einer Überwachungsrichtlinie (p=none) einrichten (empfohlen)
Damit entsprechen eure E-Mails den heute üblichen Sicherheitsstandards grosser E-Mail-Anbieter und erreichen Bewerberinnen und Bewerber möglichst zuverlässig.
Häufige Fragen
Sind DKIM und DMARC für Ostendis zwingend erforderlich?
Nein. Für den Versand aus Ostendis ist SPF zwingend erforderlich.
DKIM und DMARC sind für den Versand nicht technisch notwendig, werden von uns jedoch ausdrücklich empfohlen, da sie die Zustellbarkeit verbessern und die Sicherheit eurer Domäne erhöhen.
Was passiert, wenn wir nur SPF einrichten?
Der Versand aus Ostendis funktioniert grundsätzlich.
Ohne DKIM und DMARC kann es jedoch häufiger vorkommen, dass E-Mails als weniger vertrauenswürdig eingestuft werden oder im Spam-Ordner landen.
Warum funktioniert DKIM nach der Einrichtung manchmal nicht sofort?
Die häufigsten Ursachen sind:
- DNS-Änderungen wurden noch nicht weltweit übernommen
- Öffentlicher Schlüssel wurde unvollständig übernommen
- Falscher Hostname wurde verwendet
- Bestehende DKIM-Konfiguration verursacht Konflikte
Wer in unserem Unternehmen muss die Einrichtung vornehmen?
Die zuständige IT-Abteilung oder euer IT-Dienstleister mit Zugriff auf die DNS-Verwaltung eurer Domäne.
Was passiert, wenn wir gar nichts einrichten?
Ohne SPF ist der zuverlässige Versand von E-Mails aus Ostendis nicht gewährleistet. Viele empfangende Mailserver werden die Nachrichten ablehnen oder als verdächtig einstufen.
Diese Anforderung ist heute ein allgemeiner Standard im E-Mail-Verkehr und betrifft nicht nur Ostendis. Auch andere E-Recruiting-, Newsletter- oder CRM-Systeme benötigen entsprechende SPF-, DKIM- und DMARC-Einstellungen, wenn sie E-Mails im Namen eurer Domäne versenden.
Wie hilfreich war dieser Beitrag?