T-Online fordert Strict Alignment bei DKIM – das ist jetzt wichtig

Was sich verändert:

Wir starten mit einem konkreten Beispiel:

Bisher wurde es akzeptiert, wenn eine E-Mail mit der Domain foo.com verschickt wurde, die DKIM-Signatur aber von einer Subdomain wie news.foo.com kam. Diese Konfiguration wird Relaxed Alignment genannt. T-Online akzeptiert diese Konstellation ab sofort nicht mehr. Künftig müssen die Domain im From-Header und jene, mit der signiert wird, exakt übereinstimmen. Setups mit einem relaxed alignment werden mit der folgenden Bouncemeldung quittiert:

559 5.1.9 (DKIM reject DKIMr) Missing, invalid or non-matching DKIM signature (250)

Das heißt: Entweder die Mail wird mit foo.com verschickt und ebenfalls so signiert, oder sie wird verschickt mit news.foo.com und genau so signiert (news.foo.com). Nur so ist das Alignment strict.

T-Online ist damit der erste deutsche Mailbox-Provider, der diesen Schritt geht. Es ist jedoch nicht auszuschließen, dass andere Anbieter folgen werden. Mapp empfiehlt deshalb, den E-Mail-Versand grundsätzlich auf Strict Alignment umzustellen.

Wie sieht das Setup aus?

Viele Kunden richten ihre Versanddomain beim E-Mail-Service-Provider über eine Subdomain ein. Die DKIM-Signatur erfolgt dann ebenfalls über diese Subdomain. Auf der organisatorischen Domain – also der Hauptdomain wie foo.com – sind in der Regel keine weiteren Einstellungen notwendig.

Wenn ein Kunde aber im From-Header foo.com verwenden möchte, muss der E-Mail-Service-Provider in der Lage sein, auch mit dieser Domain zu signieren. Das bedeutet: Es braucht zusätzliche Einstellungen auf der Ebene der organisatorischen Domain. Nur so kann der prüfende Mailbox-Provider im DNS auch den passenden DKIM-Schlüssel finden.

Auswirkungen auf Reputation

Diese Anpassung kann weitreichende Folgen haben: Viele Mailbox-Provider bewerten E-Mails heute nicht mehr primär anhand der IP-Adresse. Vielmehr spielt die Versanddomain eine zentrale Rolle. Und hier wird in der Regel auf die Domain geschaut, mit der die DKIM-Signatur erfolgt ist, denn diese gilt als eindeutig verifizierbar.

Wenn wir also von der Subdomain auf die organisatorische Domain wechseln, wirkt sich das auch auf die Reputation aus. Newsletter und Office-Mails, die beide von der gleichen Domain versendet werden, teilen sich dann dieselbe Reputation. Das kann sinnvoll sein – oder auch nicht, je nach Anwendungsfall.

Ein E-Mail-Service-Provider, der bislang getrennte Reputationen für Subdomains gemessen hat, kann das künftig nicht mehr so einfach umsetzen. Auch die Anbindung an Tools wie die Gmail Postmaster Tools oder die Yahoo Feedback Loop muss dann über die Hauptdomain erfolgen.

Welche Herausforderungen können entstehen?

Welche Lösung empfehlen wir?

Das sauberste Setup sieht so aus: Dem E-Mail-Service-Provider wird eine eigene Subdomain zugeteilt, über welche auch verschickt wird. So bleibt alles sauber getrennt. Es herrscht Strict Alignment und alle technischen Anforderungen der Mailbox-Provider werden erfüllt.

Wer dennoch mit der organisatorischen Domain im “From” arbeiten möchte, kann das tun. Das Setup ist allerdings aufwendiger und muss mit Bedacht geplant werden. In manchen Fällen muss eine gemeinsame Reputation für alle E-Mails leben in Kauf genommen werden. Wird mehr als ein E-Mail-Service-Provider eingesetzt, raten wir als Experten von dieser Lösung ab.

Unterstützung durch MAPP

MAPP begleitet seine Kunden gerne aktiv bei diesem Thema. Wir prüfen bestehende Setups, klären über die neuen Anforderungen auf und geben konkrete Empfehlungen. Gemeinsam finden wir eine Lösung, die technisch einwandfrei ist und gleichzeitig alle Anforderungen erfüllt.

Unser Deliverability Services Team unterstützt dich gerne bei offenen Fragen und freut sich, von dir zu hören.