NoSpamProxy ermöglicht die DKIM-Signatur automatisierter E-Mails – jetzt updaten!
DMARC-Reports sind ein zentrales Instrument, um zu prüfen, ob die SPF-, DKIM- und DMARC-Konfiguration einer Domäne wirksam greift und alle legitimen Absender korrekt authentifiziert werden. Abweichungen – insbesondere Inkonsistenzen oder fehlendes Alignment zwischen SPF und DKIM – deuten auf Probleme in der E-Mail-Infrastruktur hin. Ein Praxisfall zeigt, warum eine detaillierte DMARC-Analyse unverzichtbar ist, um solche Probleme aufzuspüren und nachhaltig zu beheben.
Die Ausgangslage
In einem Kundenprojekt fiel bei der Auswertung der DMARC-Reports ein ungewöhnliches Muster auf. Bei der Analyse mit Hilfe des DMARC Monitoring Tools 25Reports zeigte sich, dass ein großer Teil der ausgehenden E-Mails zwar die SPF-Prüfung bestand, jedoch an DKIM scheiterte.
Auf den ersten Blick wirkt dieses Ergebnis nicht zwingend kritisch – schließlich war SPF vorhanden. Trotzdem entspricht dieses Verhalten nicht dem, was man von einer sauber betriebenen E-Mail-Infrastruktur erwarten würde. In der Praxis bestehen E-Mails in der Regel sowohl SPF als auch DKIM. Abweichungen sind zwar möglich, aber in den meisten Fällen technisch erklärbar.
Ein Beispiel: Wird eine E-Mail weitergeleitet, ändert sich beim erneuten Versand häufig die IP-Adresse des sendenden Systems. Da SPF ausschließlich die Absender-IP gegen die im DNS hinterlegten SPF-Einträge prüft, schlägt die SPF-Prüfung in solchen Fällen oft fehl. Die DKIM-Signatur hingegen bleibt oftmals erhalten, da sie an den Inhalt der Nachricht und nicht an den Transportweg gebunden ist. Bei Weiterleitungen kann es allerdings sein, dass entweder die DKIM-Signatur entfernt wird oder bricht, weil der Inhalt der E-Mail verändert wird.
Der umgekehrte Fall – SPF ohne DKIM – ist hingegen unüblich und weist in vielen Fällen auf Probleme auf der Absenderseite hin. Genau dieses Muster dominierte in den vorliegenden Reports.
Erste Analyse: Überblick und Detailansicht
Auf dem Dashboard von 25Reports war erkennbar, dass ein auffällig hoher Anteil der E-Mails ausschließlich die SPF-Prüfung bestand. DKIM-Signaturen fehlten bei vielen Nachrichten vollständig. Die aggregierte Darstellung machte schnell deutlich, dass es sich nicht um vereinzelte Ausreißer handelte, sondern um ein strukturelles Problem.
Ein Blick in die Detailansicht der Reports brachte Klarheit: Betroffen waren on-premises betriebene NoSpamProxy-Instanzen. Im Fall des Kunden zeigte sich, dass lediglich rund 20 % der E-Mails korrekt mit DKIM signiert waren, während der Großteil ohne DKIM zugestellt wurde – obwohl alle Nachrichten aus derselben Umgebung stammten.
Kein Empfängerproblem
Um auszuschließen, dass es sich um eine Interpretation oder Einschränkung eines einzelnen Reporters handelte, wurden die Ergebnisse aus 25Reports über verschiedene empfangende Systeme hinweg betrachtet. Das Bild blieb konsistent: Unabhängig vom Zielsystem oder Provider zeigte sich dasselbe DKIM-Verhalten.
Damit war klar, dass die Ursache nicht auf der Empfängerseite lag, sondern eindeutig im sendenden System zu suchen war.
Die Ursache: Versionsbedingte DKIM-Einschränkungen in älteren Versionen von NoSpamProxy Server
Die eigentliche Ursache wurde schließlich bei der Analyse der eingesetzten Softwareversion sichtbar. Der Kunde nutzte NoSpamProxy Server Version 15.4. Diese und die vorangegangenen Versionen signieren DKIM ausschließlich für „normale“ E-Mails, also für Nachrichten, die aktiv von Benutzern oder Anwendungen versendet werden.
Automatisch generierte E-Mails wurden im vorliegenden Fall entsprechend nicht mit DKIM versehen. Dazu zählen sogenannte Delivery Status Notifications (DSN), also beispielsweise:
Da diese E-Mail-Typen in vielen Umgebungen einen relevanten Anteil des gesamten E-Mail-Volumens ausmachen, erklärte sich damit auch der hohe Anteil von E-Mails, die lediglich SPF bestanden. Das auffällige Authentifizierungsverhalten war somit keine Fehlkonfiguration, sondern eine versionsspezifische Funktionseinschränkung, die sich erst durch die detaillierte DMARC-Analyse mit 25Reports klar erkennen ließ.
Die Lösung: Update auf aktuelle Version
Mit NoSpamProxy Version 15.5 wurde dieses Verhalten korrigiert: Ab dieser Version werden auch DSNs zuverlässig mit DKIM signiert. Nach dem Update normalisierte sich das Bild in den DMARC-Reports, und die zuvor auffälligen SPF-only-Anteile verschwanden vollständig – was sich unmittelbar in den Auswertungen von 25Reports widerspiegelte.
NoSpamProxy Cloud Kunden nicht betroffen
Ein Vergleich mit der Cloud-Variante zeigt einen interessanten Unterschied: In NoSpamProxy Cloud tritt dieses Problem nicht auf, da Updates dort automatisch eingespielt werden. Alle Nachrichtentypen werden konsistent DKIM-signiert, ohne dass manuell eingegriffen werden muss.
Fazit
Dieser Fall zeigt, wie wichtig eine sorgfältige und kontextbezogene Analyse von DMARC-Reports ist. 25Reports liefert nicht nur Prozentwerte, sondern ermöglicht es, Muster zu erkennen und gezielt nach Ursachen zu suchen. Fehlende DKIM-Signaturen sind nicht zwangsläufig das Ergebnis einer Fehlkonfiguration, können aber sehr wohl auf versionsspezifische Einschränkungen oder unerwartetes Systemverhalten hinweisen.
25Reports bietet außerdem einen Alarm, der das beschriebene Szenario exakt abbildet: “Konforme E-Mails mit Problemen” informiert Nutzer über E-Mails, die entweder SPF oder DKIM nicht bestanden haben.
Gerade bei on-premises betriebenen Mail-Gateways lohnt es sich daher, regelmäßig zu prüfen, welche Nachrichtentypen tatsächlich DKIM-signiert werden und ob das Verhalten der eingesetzten Softwareversion den aktuellen Best Practices entspricht.
Denn aus Sicht der Empfänger – und letztlich der Zustellbarkeit – zählt nicht, ob DKIM irgendwo vorhanden ist, sondern ob alle relevanten E-Mails konsistent authentifiziert sind.
Sie haben 25Reports noch nicht im Einsatz?
Mit 25Reports wird DMARC endlich einfach. Die Lösung übernimmt das komplette DMARC Monitoring für Sie – automatisiert, grafisch aufbereitet und natürlich DSGVO-konform. Testen Sie 25Reports jetzt 30 Tage kostenfrei!
