Inhaltsverzeichnis
Was ist DMARC?
DMARC steht für Domain-based Message Authentication, Reporting, and Conformance und ist ein E-Mail-Authentifizierungsprotokoll, das die Sicherheit der E-Mail-Kommunikation erhöht, indem es E-Mail-Spoofing und Phishing-Angriffe verhindert. DMARC arbeitet mit zwei bestehenden E-Mail-Authentifizierungstechnologien zusammen: SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail).
Warum DMARC?
-
Authentifizierung: DMARC fügt eine zusätzliche Authentifizierungsebene hinzu, um zu überprüfen, ob der Absender einer E-Mail rechtmäßig ist.
-
Phishing-Schutz: Dieser schützt vor Phishing-Angriffen, indem er sicherstellt, dass E-Mails, die von einer Domain gesendet werden, autorisiert sind und nicht manipuliert wurden.
-
Markenschutz: DMARC trägt zum Schutz Ihrer Markenreputation bei, indem es die Wahrscheinlichkeit verringert, dass böswillige Akteure sich als Ihre Domain ausgeben.
- E-Mail-Sicherheitsinitiativen von Gmail und Yahoo für 2024: Im Rahmen ihres kontinuierlichen Engagements zur Stärkung von E-Mail-Postfächern haben sowohl Gmail als auch Yahoo die Einführung neuer Schutzstandards für Massen-E-Mail-Versender angekündigt. Einzelheiten zu diesem Thema finden Sie im folgenden Leitfaden.
DMARC-Tags
DMARC-Tags sind Schlüsselkomponenten innerhalb eines DMARC-Eintrages bzw. Datensatzes. Sie helfen bei der Definition der DMARC-Richtlinie für eine Domain und geben an, wie Empfänger mit E-Mails umgehen sollen, die angeblich von dieser Domain stammen. Hier sind einige wichtige DMARC-Tags:
DMARC-Richtlinien für nicht authentifizierte Nachrichten
Diese Richtlinien werden im "p"-Tag des DMARC-Eintrags festgelegt und definieren die Aktion, die ausgeführt werden soll, wenn die DMARC-Authentifizierung fehlschlägt. Wählen Sie die Richtlinie, die mit den Sicherheitsanforderungen und der Risikotoleranz Ihres Unternehmens übereinstimmt.
Wenn Sie von der Authentifizierung Ihres Datenverkehrs überzeugt sind, können Sie zu restriktiveren Optionen wie "p=quarantine" oder der strengsten Option "p=reject" übergehen. Seien Sie bitte vorsichtig mit der "p=reject"-Richtlinie, da sie den gesamten von Ihrer Domain ausgehenden Datenverkehr erheblich beeinträchtigen kann und nur dann eingestellt werden sollte, wenn Sie sich ihrer Angemessenheit absolut sicher sind.
DMARC-Ausrichtung und ihre entscheidende Rolle verstehen
DMARC arbeitet nach dem Prinzip des Abgleichs, d. h., die Gültigkeit einer Nachricht wird anhand der Übereinstimmung des "From:"-Headers mit der durch SPF oder DKIM angegebenen Absenderdomain bestimmt.
Obwohl SPF und DKIM bekannte Technologien sind, ist es wichtig zu erkennen, dass sie einzeln keinen direkten Einfluss auf die Absenderadresse ("Von"-Adresse) haben – den Teil, der für Benutzer in einer E-Mail sichtbar ist. Diese Lücke lässt Raum für Phishing, Spoofing und andere bösartige Aktivitäten DMARC ist ein wichtiges Kontrollinstrument, das diese Schwachstellen behebt und die E-Mail-Sicherheit erhöht.
Der Identifier-Abgleich ist das Kernstück von DMARC und verbindet die Authentifizierungsmechanismen von SPF und DKIM mit der im DMARC-Datensatz beschriebenen Durchsetzungspolitik. Die Ausrichtung bezieht sich insbesondere auf die Beziehung zwischen der Domain in der From-Header-Adresse und den Domains, die durch SPF- und DKIM-Authentifizierungsprüfungen überprüft wurden. Ein erfolgreicher Abgleich stellt sicher, dass diese Domains übereinstimmen, so dass die E-Mails DMARC passieren können. Umgekehrt führt eine falsche Domainzugehörigkeit zu einem DMARC-Fehler.
Lassen Sie uns die Ausrichtung anhand der folgenden Beispiele untersuchen:
Die korrekte Ausrichtung Ihrer E-Mails signalisiert der Außenwelt, dass ein bestimmter Anbieter (in diesem Fall Mailjet) oder Server ausdrücklich autorisiert ist, E-Mails im Namen Ihrer Organisation zu versenden. Durch den Abgleich wird sichergestellt, dass nur genehmigte E-Mails zugestellt werden, so dass Sie die Empfänger anweisen können, nicht genehmigte Nachrichten zu verwerfen. Ohne Abgleich entsteht Unsicherheit, wenn E-Mail-Empfänger versuchen, die Herkunft und Vertrauenswürdigkeit einer Nachricht zu überprüfen.
Da DMARC auf Domainbasis arbeitet, ist die Konfiguration Ihres E-Mail-Versands in Ihrem Namen von entscheidender Bedeutung. Greifen Sie auf das DNS Ihres Unternehmens zu und stimmen Sie sich mit Mailjet ab, um Ihre E-Mail-Versandkonfigurationen anzugleichen. In Anbetracht der unterschiedlichen Konfigurationsmethoden ist es von entscheidender Bedeutung, dass Sie wissen, wie Sie diese Quellen innerhalb Ihres E-Mail-Ökosystems identifizieren, organisieren und verwalten können.
Ihr ultimatives Ziel ist es, eine nahezu 100%ige Ausrichtung zu erreichen. Führen Sie anschließend eine zunehmend restriktive DMARC-Richtlinie ein, die von p=none über p=quarantine bis zu p=reject reicht.
DMARC-Ausrichtungsoptionen
Abgleichmodus
Sie haben die Flexibilität, zwischen zwei Ausrichtungsmodi zu wählen: "strict" (streng) und "relaxed" (entspannt). Der Ausrichtungsmodus wird im DMARC-Datensatz mithilfe der Tags "aspf" und "adkim" für SPF bzw. DKIM angegeben.
Diese Wahl soll Flexibilität bieten und gängigen Szenarien für den E-Mail-Versand gerecht werden. Eine "stenge" Ausrichtung kann zwar einen besseren Schutz gegen bestimmte Spoofing-Szenarien bieten, kann aber auch dazu führen, dass Nachrichten von zugehörigen Subdomains zurückgewiesen oder als Spam gekennzeichnet werden.
Strikte Ausrichtung:
- SPF (Sender Policy Framework): Erfordert eine genaue Übereinstimmung zwischen der "Header from"-Domain und der "Return Path"-Domain.
- DKIM (DomainKeys Identified Mail): Erfordert eine genaue Übereinstimmung zwischen der „Header from“-Domain und der DKIM-Signaturdomain.
Entspannte Ausrichtung:
-
SPF (Sender Policy Framework): Erfordert eine exakte ODER teilweise Übereinstimmung zwischen der "Header from"-Domain und der "Return Path"-Domain.
Bei der SPF-Ausrichtung kommt es zu einer teilweisen Übereinstimmung, wenn die "Header From"-Domain mit der "Return Path"-Domain übereinstimmt, wenn die übergeordneten/Stammdomains übereinstimmen.
Beispiel:
- "Header-From"-Domain = ihredomain.com
- "Return-Path"-Domain = bnc3.ihredomain.com
Es handelt sich zwar nicht um eine exakte Übereinstimmung, aber um eine Teilübereinstimmung, da "ihredomain.com“ sowohl in der "Header-From"- als auch in der "Return-Path"-Domain die übergeordnete/Stammdomäne ist. In diesem Szenario wird die SPF-Ausrichtung im entspannten Modus freigegeben.
-
SPF (Sender Policy Framework): Erfordert eine exakte ODER teilweise Übereinstimmung zwischen der "Header-From"-Domain und der "Return-Path"-Domain.
Bei der SPF-Ausrichtung kommt es zu einer teilweisen Übereinstimmung, wenn die "Header-From"-Domain mit der "Return-Path"-Domain übereinstimmt, wenn die übergeordneten/Stammdomains übereinstimmen.
Beispiel:
- "Header-From"-Domain = ihredomain.com
- DKIM-Signaturdomain = test.ihredomain.com
Es handelt sich zwar nicht um eine exakte Übereinstimmung, aber um eine Teilübereinstimmung, da "ihrerdomain.com" sowohl in der DKIM-Signaturdomain als auch in der "Header-From"-Domain die übergeordnete bzw. Stammdomain ist. In diesem Szenario wird die DKIM-Ausrichtung im entspannten Modus freigegeben.
Zum Beispiel "„bnc3.ihredomain.com" unterscheidet sich von Ihrem From-Header, der normalerweise "ihredomain.com" lautet. Dieser ausgewogene Ansatz optimiert die E-Mail-Authentifizierung und berücksichtigt gleichzeitig die spezifischen Domainunterschiede.
Die entspannte Ausrichtung bietet ausreichenden Schutz vor Spoofing und wird häufig verwendet, um unnötige Ablehnungen oder Spam-Klassifizierung zu verhindern.
Andererseits ist es mit DKIM möglich, eine "strict" (strenge) Ausrichtungsübereinstimmung zu erreichen, wenn es mit Mailjet richtig konfiguriert ist.
Um weitere Einblicke in die korrekte Konfiguration Ihres SPF und DKIM mit Mailjet zu erhalten, um eine optimale Ausrichtung der DMARC-Prüfung zu erreichen, lesen Sie unseren Leitfaden.
DMARC-Prüfungen
Damit eine Nachricht DMARC besteht, muss sie mindestens eine der folgenden Prüfungen erfolgreich bestehen:
- SPF-Authentifizierung und SPF-Ausrichtung.
- DKIM-Authentifizierung und DKIM-Ausrichtung.
Wichtiger Hinweis
Während eine entspannte Ausrichtung in der Regel einen ausreichenden Schutz vor Spoofing bietet, kann die Einführung einer strengen Ausrichtung dazu führen, dass Nachrichten von zugehörigen Subdomains abgelehnt oder als Spam eingestuft werden.
DMARC einrichten
Schritt 1: Einrichtung des DNS-Eintrags
-
Greifen Sie auf Ihre DNS-Einstellungen zu:
- Melden Sie sich bei Ihrem Domain-Registrar oder DNS-Hosting-Anbieter an.
- Melden Sie sich bei Ihrem Domain-Registrar oder DNS-Hosting-Anbieter an.
-
Erstellen Sie einen DMARC-TXT-Eintrag:
- Fügen Sie einen TXT-Eintrag in den DNS-Einstellungen Ihrer Domain hinzu. Der Datensatz sollte die Richtlinie für den Umgang mit E-Mails angeben, die die DMARC-Authentifizierung nicht bestehen.
- Der Host-/Name des TXT-Eintrags sollte "_dmarc.ihredomain.com" lauten, wobei "ihredomain.com" durch Ihren tatsächlichen Domainnamen oder Subdomain ersetzt wird.
- Stellen Sie sicher, dass der Eintragstyp auf 'TXT' festgelegt ist, der Host/Name als '_dmarc' konfiguriert ist und der TXT-Wert dem unten angegebenen Eintrag entspricht.
- Wichtig: Einige Domain-Hosts fügen automatisch den Domainnamen nach _dmarc hinzu. Nachdem Sie den TXT-Eintrag hinzugefügt haben, überprüfen Sie den Namen des DMARC-TXT-Eintrags, um sicherzustellen, dass er korrekt formatiert ist.
- Wir empfehlen, die Standard-TTL zu verwenden.
Beispiel eines DMARC-TXT-Datensatzes:
v=DMARC1; p=none; rua=mailto:ihre@email.com; ruf=mailto:ihre@email.com
-
v=DMARC1
: Zeigt die Verwendung von DMARC Version 1 an. -
p=none
: Gibt die Richtlinie an, wenn eine E-Mail DMARC nicht besteht. Zu den Optionen gehören "none" (keine), "quarantine" (Quarantäne) und "reject" (ablehnen).
-
Geben Sie aggregierte und Fehlerberichtsadressen an:
-
rua=mailto:ihre@email.com
: An diese E-Mail-Adresse werden aggregierte Berichte gesendet. -
ruf=mailto:ihre@email.com
: Diese E-Mail-Adresse erhält die Fehlerberichte.
-
Schritt 2: Schrittweise Umsetzung
Nach der ersten Implementierung besteht der entscheidende Schritt darin, die Authentifizierung Ihres Datenverkehrs zu überwachen (p=none). Überprüfen Sie täglich die aggregierten und/oder forensischen DMARC-Berichte. Wenn Sie genügend Daten sammeln, die eine erfolgreiche Authentifizierung legitimer E-Mails belegen, können Sie getrost mit der schrittweisen Implementierung einer strengeren DMARC-Richtlinie ("p=quarantine" oder "p=reject") fortfahren. Dieser schrittweise Ansatz verbessert Ihre E-Mail-Sicherheit im Laufe der Zeit.
Schritt 3: Richtlinien anpassen
-
Übergang zur Quarantäne oder Ablehnung:
- Sobald Sie von den Ergebnissen überzeugt sind, passen Sie die DMARC-Richtlinie auf "quarantine" oder "reject" an, um vor unbefugten E-Mails zu schützen.
Beispiel eines DMARC-TXT-Datensatzes für die Ablehnung:
v=DMARC1; p=reject; rua=mailto:ihre@email.com; ruf=mailto:ihre@email.com
Best Practices
-
SPF- und DKIM-Authentifizierung implementieren
- Stellen Sie sicher, dass Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM) korrekt konfiguriert sind.
-
Schrittweise Richtlinien implementieren:
- Beginnen Sie mit einer "none"-Richtlinie, analysieren Sie Berichte und gehen Sie schrittweise zu "quarantine" oder "reject" über.
-
Überwachen Sie Berichte regelmäßig:
- Bleiben Sie durch DMARC-Berichte über die Ergebnisse der E-Mail-Authentifizierung informiert.
-
SPF- und DKIM-Datensätze aktualisieren:
- Aktualisieren Sie regelmäßig SPF- und DKIM-Einträge, um alle rechtmäßigen E-Mail-Quellen einzubeziehen.
Fazit
Die Implementierung von DMARC ist ein entscheidender Schritt, um Ihre E-Mail-Kommunikation zu sichern, Phishing-Angriffe zu verhindern und den Ruf Ihrer Marke zu schützen. Überwachen Sie regelmäßig Berichte, passen Sie Richtlinien bei Bedarf an und bleiben Sie proaktiv bei der Aufrechterhaltung einer sicheren E-Mail-Umgebung.
Denken Sie daran, dass der Erfolg der DMARC-Implementierung in der kontinuierlichen Überwachung, Analyse und Anpassung an sich entwickelnde E-Mail-Bedrohungen liegt.