Im April hatten wir beim CSA-E-Mail-Summit die Gelegenheit, von Yahoo ein erstes Feedback zur Umsetzung der in 2023 gemeinsam mit Google angekündigten Absenderanforderungen zu erhalten. Seitdem haben sowohl Yahoo als auch Google weitere Einblicke gewährt und nochmals betont, wie wichtig diese Anforderungen sind, um Domains, Marken und letztendlich Abonnenten zu schützen.

Wichtigste Erkenntnis – Es geht voran

Obwohl bei der Implementierung Fortschritte erzielt wurden, besteht noch erheblicher Verbesserungsbedarf. Es scheint, dass viele Absender die Gründe hinter diesen Anforderungen noch nicht vollständig verstehen. Diese Maßnahmen dienen dem Schutz, nicht der Bestrafung. Eine ordnungsgemäße E-Mail-Authentifizierung mittels SPF, DKIM und DMARC ist essenziell für die Integrität von E-Mails und stellt sicher, dass Nachrichten von legitimen Quellen stammen. Postfachanbieter stellen immer den Schutz ihrer Nutzer in den Vordergrund, indem sie Nachrichten von legitimen Absendern zustellen und ein bestmöglich sicheres Postfach anbieten.

Das Verständnis der neuen Anforderungen vertiefen

Das Hauptziel der neuen E-Mail-Authentifizierungsanforderungen ist der Schutz von Absendern und Empfängern vor digitalen Bedrohungen und böswilligen Aktivitäten. Absender sollten sich mehr Gedanken über Domain-Hijacking und dessen Auswirkungen auf ihr Geschäft und den Vertrauensverlust ihrer Kunden machen als über das Filtern oder Zurückweisen von E-Mails. Ein Domain-Hijacking-Vorfall ist wesentlich schwieriger zu bewältigen und kann den Ruf eines Unternehmens langfristig schädigen, im Vergleich zu gefilterten E-Mails.

DMARC verstehen – Auswahl der richtigen Richtlinie

Es scheint auch Verwirrung bezüglich der verschiedenen verfügbaren Richtlinien und ihr Schutzniveau zu geben. Eine „p=none“-Richtlinie erfüllt lediglich die Mindestanforderungen und bietet nur sehr begrenzten Schutz. Diese Richtlinie ermöglicht nur die Überwachung des E-Mail-Verkehrs, ohne Anweisungen zum Umgang mit unbefugter Nutzung der Domain zu geben. Für einen effektiven Schutz müssen Absender mindestens eine „p=quarantine“- oder „p=reject“-Richtlinie implementieren, die klare Anweisungen („in den Spam-Ordner liefern“ oder „ablehnen“) enthalten und gezielte Maßnahmen der Postfachanbieter auslösen.

Herausforderung für kleinere Versender

Kleinere Unternehmen haben oft Schwierigkeiten bei der E-Mail-Authentifizierung aufgrund begrenzter Ressourcen und fehlender Fachkenntnisse. Jedoch fehlt oft auch allgemein die Aufklärung über die Bedeutung und Umsetzung von E-Mail-Authentifizierung, insbesondere DMARC, unabhängig von der Unternehmensgröße. Die Sicherung der Kommunikationskanäle und der Schutz der Domain- und Markenreputation sind entscheidend für effektives E-Mail-Marketing. E-Mail Service Provider (ESPs) sollten insbesondere kleinere Unternehmen aktiv dabei unterstützen, die neuen Anforderungen erfolgreich zu bewältigen.

Keine Ausrede für große Unternehmen – gemeinsames Handeln ist nötig

DMARC ist nicht neu. Größere Unternehmen sollten bereits mindestens eine „p=quarantine“ oder besser „p=reject“-Richtlinie nutzen. Das Risiko des Domain-Missbrauchs ist erheblich und kann gravierende Auswirkungen auf den Ruf des Absenders sowie die Sicherheit vieler Abonnenten haben. Yahoo und Google haben Systeme zur Erkennung und Eindämmung von Missbrauch entwickelt, aber auch Absender müssen proaktive Maßnahmen ergreifen und zur Sicherheit beitragen. Der Kampf gegen Domain-Missbrauch und den damit verbundenen Folgen erfordert eine gemeinsame Anstrengung aller Beteiligten und ist nicht nur Aufgabe der Postfachanbieter.

Microsoft jetzt auch dabei!

Microsoft hat kürzlich nun auch angekündigt, sich der Initiative von Yahoo und Google anzuschließen und damit die große Bedeutung dieser Anforderungen für die E-Mail-Industrie nochmals deutlich unterstrichen. Auch wenn genaue Details und ein Zeitplan noch fehlen, betont dieser Beitritt das gemeinsame Bewusstsein der Branche für die dringende Notwendigkeit verbesserter Schutzmaßnahmen. Es ist wahrscheinlich, dass sich in Zukunft weitere internationale Organisationen dieser Initiative anschließen werden.

Der Weg in die Zukunft – Das Risiko zurückzubleiben

Derzeit gewähren Postfachanbieter eine Art Schonfrist für DMARC mit der Anforderung von „nur“ einer „p=none“-Richtlinie und konzentrieren sich somit noch auf Aufklärung statt auf Durchsetzung. Striktere Anforderungen werden jedoch sehr wahrscheinlich folgen. Es ist keine Frage von „ob“, sondern von „wann“. Absender sollten bereits jetzt handeln und zur Richtlinie „p=quarantine“ oder „p=reject“ übergehen, um ihre Domains maximal gegen potenzielle Bedrohungen zu schützen. Domains mit nur einer „p=none“-Richtlinie sind viel anfälliger für Angriffe und könnten leicht zu bevorzugten Zielen von böswilligen Angriffen werden.

Fazit – Es ist Zeit zum Handeln!

Die Erkenntnisse von Yahoo, Google und Microsoft senden eine klare Botschaft: Die neuen Absenderanforderungen sollen den Schutz im gesamten Ökosystem verbessern, und strengere Anforderungen werden früher oder später nötig werden. Durch besseres Verständnis und korrekte Umsetzung von E-Mail-Authentifizierung können Absender eine solide Grundlage schaffen, um als legitimer Versender gesehen zu werden und damit Reputation und Zustellbarkeit zu optimieren. Es ist nie zu früh, einen Schritt weiterzugehen und Domains mit DMARC-Richtlinien wie „p=quarantine“ oder „p=reject“ zu schützen – zum Wohl aller Beteiligten.