Blog
Die technische Prüfung für die CSA-Zertifizierung
Dieser Artikel soll Einblicke in die einzelnen Schritte der technischen Prüfung geben. Diese folgt einem immer gleichen, festen Ablauf entsprechend der CSA-Kriterien 2.8 bis 2.21. und stellt sicher, dass jeder Bewerber entsprechend der Standards fair und gleich analysiert wird.
Grundlage für jede technische Prüfung zur Zertifizierung sind 3 Beispiel-E-Mails von Kunden/Marken, welche die Versandplattform des Versenders nutzen, sowie die vollständige List von IP-Adressen und Hostnamen der Server, welche für den Versand der E-Mails verwendet werden.
IPs und E-Mail-Hosts
Die bereitgestellten IPs und Hostnames des Versenders bilden die Grundlage des ersten Schrittes der technischen Prüfung. Dieser Schritt überprüft, ob die verwendeten IPs und Hostnamen den erforderlichen Kriterien entsprechen und bilden den Ausgangspunkt für die Folgeprüfungen der E-Mail-Beispiele und das Monitoring für die Reputationsprüfung.
Die IPs und Hostnames bilden ebenso den Kern für die certified IP List, welche die CSA den Mailbox Providern und anderen Partnern zum täglichen Abruf bereitstellt. Die Prüfung und Analyse erfolgt automatisiert und wird durch das CSA-Tech-Team ausgelöst.
- Als Erstes werden die IPs und Hosts auf Duplikate überprüft. Dies ist wichtig, um sicherzustellen, dass keine doppelten Einträge vorliegen, die zu Verwirrung oder Fehlern im späteren Verlauf führen könnten. Eine IP und der dazugehörige Host sind in Kombination eindeutig und einmal im System zugelassen.
- Im zweiten Schritt werden die Fully Qualified Domain Names (FQDN) auf verdächtige Syntax von Dial-up Netzwerken überprüft. Hierbei wird überprüft, ob die vorgegebenen FQDNs generischen Vorgehensweise in der Namensgebung von Dial-up Netzwerken folgen. Siehe auch Kriterium 2.11 der CSA-Kriterien.
- Nun wird die DNS und Reverse DNS-Prüfung, um sicherzustellen, dass die versendenden E-Mail-Server eindeutig zu identifizieren sind.
Sollten diese ersten Prüfungen erfolgreich verlaufen sein, werden die IPs und Hosts für das Monitoring in den Certification Monitor hochgeladen. Nach 7 Tagen des ersten Monitorings, steht dem Versender dann ein Testzugang zur Verfügung, um die eigene Reputation verfolgen zu können.
E-Mail-Konformität
Nun folgt die Prüfung der drei E-Mail-Beispiele auf ihre Konformität zu den CSA-Kriterien. Diese Prüfung ist automatisiert und wird ebenfalls vom CSA-Tech-Team ausgelöst.
- Die E-Mail-Beispiele müssen von bekannten IPs aus der breitgestellten IP-Liste versendet worden sein. Dazu werden die Received-Zeilen im E-Mail-Header analysiert und mit der IP-List abgeglichen.
- Darauffolgend werden die geforderten Authentifizierungsmethoden geprüft – SPF, DKIM und DKIM Alignment sind hierzu zwingend notwendig.
- Anschließend erfolgt die Prüfung der erweiterten technischen Anforderungen, wie List-Unsubscribe und Vollständigkeit der DKIM-Signatur.
Die Resultate der automatischen Tests werden dokumentiert und zusätzlich vom CSA-Tech-Team gesichtet und auf Plausibilität geprüft. Sollte es zu fragwürdigen Testergebnissen kommen, erfolgt eine manuelle Sichtung und Kontrolle zur Bestätigung oder Berichtigung.
Documentation of the test results
Eventuelle Abweichungen von den CSA-Kriterien und alle weiteren Ergebnisse der Prüfung werden in einem internen Prüfungsprotokoll dokumentiert. Hierbei werden sowohl die Prüfpunkte, als auch die aufgetretenen Fehler festgehalten, um eine lückenlose Aufzeichnung des Prozesses zu gewährleisten.
Nach einer Zeitspanne von mindestens 7 Tagen nach der technischen Prüfung werden ebenso die ersten Ergebnisse der Reputationsprüfung erfasst.
Die technischen Ergebnisse und die Werte der ersten Reputationsprüfung werden dann im Prüfungsprotokoll festgehalten und werden dann vom Client Success Management zusammen mit den Ergebnissen der rechtlichen Teilprüfung an den Bewerber übermittelt.