Was ist DMARC und wie nutze ich es?
DMARC (Domain-based Message Authentication, Reporting & Conformance)
DMARC ist ein Mail-Validierungsprotokoll, das auf den Technologien SPF und DKIM aufbaut und dazu dient, den Missbrauch von Domains in der Mail-Kommunikation zu verhindern. Durch DMARC kann der Besitzer einer Domain bestimmen, wie der Empfänger-Server mit Mails umgehen soll, die die SPF- und DKIM-Checks nicht bestehen. Dabei kann entschieden werden, ob die fraglichen Mails abgewiesen, in den Spam-Ordner verschoben oder normal zugestellt werden sollen. Zusätzlich ermöglicht DMARC den Austausch von Berichten zwischen dem sendenden und dem empfangenden Server, um das Verständnis möglicher Sicherheitsprobleme zu verbessern. Kurz gesagt: Es ist ein hilfreiches Werkzeug zur Verbesserung der Mail-Sicherheit und zur Erhöhung der Zustellbarkeit legitimer Mails.
Hinweis!
Dieser Artikel bezieht auf Domains, die nicht über uns registriert sind. Bei uns registrierte Domains erhalten automatisch den DMARC-Eintrag.
Für DMARC-Einstellungen ist neben einem DKIM-Eintrag im DNS auch ein existierender SPF-Eintrag eine Voraussetzung.
Schritt-für-Schritt-Anleitung
Lege im DNS einen (weiteren) TXT-Eintrag an.
Fügen unter Host, Name oder Hostname den Parameter _dmarc. gefolgt von Ihrer Domain ein, also beispielsweise:
_dmarc.example.com
Beachte dabei die unterschiedlichen Schreibweisen der Provider.
Füge unter Wert, Ziel oder Destination diesen Parameter ein:
v=DMARC1;p=none;rua=mailto:postmaster@example.com
Die E-Mail-Adresse, die Du hier spezifizierst, erhält ab sofort die Fehlermeldungen der DMARC-Prüfungen – Du solltest also eine eigene Adresse spezifizieren.
Vollständig:
_dmarc.example.com TXT v=DMARC1;p=none;rua=mailto:postmaster@example.com
DMARC – Optionen und Parameter
Hinweis!
Bitte beachte, dass Sie die Einstellungen beim p-Parameter zu Beginn nicht auf die restriktiven Werte quarantine oder reject setzen sollten.
Wir empfehlen zunächst die Option p=none zu verwenden, die Lage zu beobachten, die Reports auszuwerten und als Anhaltspunkte für benötigte Einstellungen zu nutzen.
v=DMARC1 DMARC in Protokollversion 1 wird verwendet.
ruf=mailto:E-Mail-Adresse Der Inhaber der genannten E-Mail-Adresse erhält Fehlerberichte (forensischer Report). In Deutschland ist die Nutzung dieser Option nicht zulässig, da Sie Mails erhalten könnten, die nicht für Sie bestimmt waren. Wir raten von der Nutzung dieses Parameters ab.
rua=mailto:E-Mail-Adresse Der Inhaber der genannten E-Mail-Adresse (diese Mail-Adresse muss zur Domain gehören, über die der Versand läuft) erhält die bisweilen umfangreichen Detailberichte über alle DMARC-Aktivitäten. Da dies zu einer großen Menge an eingehenden Berichten führen kann, sollten Sie hierfür eine separate E-Mail-Adresse verwenden. Die Berichte enthalten Datum, Uhrzeit, Empfänger- und Absenderdomain, IP-Adressen, SPF- und DKIM-Informationen, die angewendete DKIM-Policy sowie die mit SPF und DKIM verknüpfte Domain.
p= Dieser Parameter ist immer erforderlich. Hier legen Sie fest, wie der empfangende Server verfahren soll, wenn Mails nicht korrekt authentifiziert werden konnten.
Gültige Optionen sind:
p=none: Es wird nichts unternommen und die Nachricht wird dem Zielpostfach zugestellt, so wie es vom Absender vorgesehen wurde. Die Mails werden im täglichen Bericht geloggt, der an die im rua-Parameter hinterlegte E-Mail-Adresse geschickt wird.
p=quarantine: Eingehende Nachrichten ohne korrekte Authentifizierung werden als Spam markiert und in den Spamordner des Empfängers gelegt.
p=reject: Nicht korrekt authentifizierte Mails werden abgelehnt. Der empfangende Server schickt eine Unzustellbarkeitsnachricht (Bounce) an den Absender.
DMARC – Beobachten, auswerten & anpassen
Typische Probleme, die aus zu restriktiven Einstellungen resultieren, sind beispielsweise vom Empfangsserver abgelehnte Mails (Bounces) oder nicht mehr validierbare elektronische Signaturen bei Mail-Weiterleitungen. Gelegentlich nutzen andere Abteilungen Ihrer Firma den Mailserver für Anwendungen, von denen der Mail-Admin nichts weiß, die aber gleichzeitig für die Firma von hoher Bedeutung sein könnten (z. B. Monitoring, Marketing-Newsletter, etc.).
Aus den Reports können Sie nützliche Informationen gewinnen und entsprechende Maßnahmen ergreifen. Ist alles geklärt, sollten Sie hier eine strengere Regel eintragen.
Achten Sie bei der Auswertung der DMARC-Reports auf folgende Faktoren:
Welche Server oder externen Anbieter versenden Mails im Namen Ihrer Domain?
Welcher Anteil der Mails aus Ihrer Domain erfüllt die DMARC-Anforderungen?
Welche Server oder Services versenden Mails, die nicht den DMARC-Richtlinien entsprechen?
DMARC-Berichte auswerten & verstehen
DMARC-Aggregatberichte - geben Einblick in die DMARC-Aktivitäten einer bestimmten Domain über einen festgelegten Zeitraum. Diese zusammengefassten Berichte liefern Informationen wie die Anzahl der Nachrichten, die die DMARC-Authentifizierung erfolgreich oder nicht erfolgreich durchlaufen haben, die IP-Adressen der sendenden Server und die angewendeten Authentifizierungsverfahren.
DMARC-Forensikberichte - bieten tiefe Einblicke in spezifische Mail-Nachrichten, die die DMARC-Prüfung nicht bestanden haben. Diese forensischen Auswertungen beinhalten sowohl die komplette Mail-Nachricht als auch Daten zum Authentifizierungsstatus und den Ursachen des Fehlschlags. Mithilfe dieser Berichte lassen sich bestimmte Fälle von Mail-Täuschung oder Missbrauch nachvollziehen.
Es gibt unterschiedliche Formate, in denen DMARC-Berichte erstellt werden können, darunter XML, CSV und JSON. Das gewählte Format hängt von den Vorlieben des Domain-Inhabers oder seines DMARC-Serviceanbieters ab. Manche Mail-Empfänger bieten dem Domain-Inhaber zudem DMARC-Fehlerberichte an, die Informationen über Nachrichten bereitstellen, die an der DMARC-Prüfung gescheitert und daher abgelehnt oder in Quarantäne versetzt wurden.