Übersicht über DMARC
DMARC (Domain-based Message Authentication, Reporting & Conformance) ist ein E-Mail-Authentifizierungsprotokoll. Es baut auf den weit verbreiteten Protokollen SPF und DKIM auf und fügt eine Berichtsfunktion hinzu, mit denen Absender und Empfänger den Schutz der Domäne vor betrügerischen E-Mails verbessern und überwachen können, wodurch eine sichere E-Mail-Kommunikation ermöglicht wird.
Spammer fälschen häufig die Absenderadressen ihrer E-Mails, um den Anschein zu erwecken, dass sie von Ihrer Domäne stammen. Um diese Art von Missbrauch Ihrer Domäne zu vermeiden und den anderen Empfängerdomänen Ihre Richtlinien für ausgehende Domänen mitzuteilen, können Sie einen DMARC-Eintrag veröffentlichen, mit dem E-Mail-Dienste, die die DMARC-Standards nutzen, nicht authentifizierte E-Mails verarbeiten können. Dies hilft auch bei der Überwachung von E-Mail Backscattering- und Phishing-Aktivitäten mit Ihrer Domäne und trägt dazu bei, den guten Ruf Ihrer Domäne zu schützen.
Vor der Veröffentlichung von DMARC
Mit einer DMARC-Richtlinie kann ein Absender angeben, dass seine E-Mails mit SPF und/oder DKIM geschützt sind, und Empfänger instruieren, was zu tun ist, wenn sowohl die SPF- als auch die DKIM-Prüfung fehlschlägt, z. B. Quarantäne oder Ablehnen der Nachricht. DMARC hilft dem Empfänger, nicht konforme Nachrichten besser zu handhaben, und limitiert oder beseitigt damit auf Seiten des Empfängers die Risiken von E-Mails, die unter Zuhilfenahme der Domäne gefälscht wurden. Mit DMARC können E-Mail-Empfänger außerdem dem Absender Berichte über E-Mails zukommen lassen, die die DMARC-Validierung bestehen bzw. nicht bestehen.
Die DMARC-Richtlinie gilt nur dann, wenn Sie alle E-Mails mit Ihren eigenen Domänen versenden. E-Mails, die über Drittanbieter mit Ihrer Domäne versendet werden, werden als nicht authentifiziert betrachtet und je nach von Ihnen veröffentlichter DMARC-Richtlinie abgelehnt. Um die E-Mails über Drittanbieter zu autorisieren, müssen Sie den in der Kopfzeile enthaltenen DKIM-Schlüssel freigeben. Andernfalls müssen Sie die E-Mails über den SMTP-Server senden, auf dem die autorisierten DKIM-Schlüssel und SPF-Einträge bereits veröffentlicht wurden.
Bevor Sie die DMARC-Richtlinie veröffentlichen, müssen Sie die SPF-Einträge und DKIM-Schlüssel für Ihre Domänen konfigurieren. Die DMARC-Richtlinie baut auf SPF- und DKIM-Schlüsseln auf, um die E-Mail-Authentizität zu gewährleisten. Wenn E-Mails mit E-Mail-Adressen Ihrer Domäne den SPF- und/oder DKIM-Test nicht bestehen, lösen sie die DMARC-Richtlinie aus.
Veröffentlichen der DMARC-Richtlinie
Um die DMARC-Richtlinie zu veröffentlichen, müssen Sie in Ihrem DNS einen TXT-Eintrag im folgenden Format erstellen.
Name des TXT-Eintrags:
_dmarc.yourdomain.com, wobei yourdomain.com durch Ihren Domänennamen zu ersetzen ist.
Wert des TXT-Eintrags:
"v=DMARC1; p=none; rua=mailto:admin@ihredomäne.com"
p=none ist die empfohlene Basisrichtlinie. Sie können sie später in p=quarantine und dann in p=reject ändern.
Rollout der DMARC-Richtlinie in mehreren Phasen
Wir empfehlen dringend ein Rollout der DMARC-Richtlinie in mehreren Phasen. Beim einem mehrphasigen Rollout ändern Sie den Parameter p von "none" in "quarantine" und schließlich in "reject". Auf ähnliche Weise können Sie in der 2. Phase oder (quarantine-Phase) und 3. Phase (reject-Phase) über den optionalen Parameter pct den prozentualen Anteil der E-Mails steuern, die unter Quarantäne gestellt oder abgelehnt werden.
Phase 1: Berichte und Datenverkehr überwachen
"v=DMARC1; p=none; rua=mailto:admin@ihredomäne.com"
In dieser Phase können Sie die Richtlinie auf p=none setzen. Dadurch erhalten Sie Berichte über Verstöße im Zusammenhang mit der in der Richtlinie angegebenen E-Mail-Adresse. Die Berichte enthalten Informationen über Anomalien in E-Mails, über die Quelle von nicht signierten E-Mails oder von E-Mails, die gefälscht zu sein scheinen. Sie können die Quellen anzeigen und gegebenenfalls die gültigen IP-Adressen in Ihren SPF-Eintrag aufnehmen oder die Quelle, sofern sie legitim ist, mit DKIM konfigurieren. Sobald die Berichte nur noch tatsächlich gefälschte E-Mails enthalten, können Sie die Richtlinie auf "quarantine" setzen.
Phase 2: E-Mails unter Quarantäne setzen und analysieren
"v=DMARC1; p=quarantine; rua=mailto:admin@ihredomäne.com"
In dieser Phase können Sie die Richtlinie auf p=quarantine setzen. Dadurch erhalten Sie Berichte über Verstöße im Zusammenhang mit der in der Richtlinie angegebenen E-Mail-Adresse, und die entsprechenden E-Mails werden unter Quarantäne gestellt. Sie können die unter Quarantäne gestellten E-Mails überwachen und sie entweder genehmigen oder aus der Quarantäne zurückweisen. Sie können Ihre Berichte noch einmal anschauen und zudem die Quarantäne-E-Mails überwachen.
Außerdem können Sie mit dem Parameter pct in der Vorlage des DMARC TXT-Eintrags den Prozentanteil der E-Mails angeben, die in Phase 2 von der Richtlinie betroffen sein soll, und den Anteil langsam auf 100 % erhöhen, um die Bereitstellung abzuschließen. Wichtig ist dabei vor allem, dass Sie die E-Mail-Berichte regelmäßig überwachen, um sicherzustellen, dass keine gültigen E-Mails abgelehnt werden oder betroffen sind.
"v=DMARC1; p=quarantine; pct=20; rua=mailto:admin@ihredomäne.com"
Im obigen Beispiel werden nur 20 % der gefälscht erscheinenden E-Mails unter Quarantäne gestellt. Die übrigen E-Mail-Details werden lediglich in die Berichte aufgenommen.
Sobald Sie den TXT-Eintrag auf das obige Beispiel setzen und den Parameter pct entfernen, werden alle E-Mails abgelehnt, die nicht mit der DMARC-Richtlinie konform sind.
Wenn Sie überzeugt sind, dass nur gefälschte E-Mails abgelehnt werden und alle gültigen E-Mails signiert sind, können Sie die Richtlinie auf "reject" setzen, um das DMARC-Rollout abzuschließen.
Phase 3: Gefälschte E-Mails ablehnen
"v=DMARC1; p=reject; rua=mailto:admin@ihredomäne.com"
In dieser Phase können Sie die Richtlinie auf p=reject setzen. Nach dieser Änderung werden E-Mails abgelehnt, die unter Zuhilfenahme Ihres Domänennamens gefälscht sind. Über die Berichte, die per E-Mail an die E-Mail-Adresse gesendet werden, die Sie im TXT-Eintrag angegeben haben, können Sie die abgelehnten E-Mails überwachen.