Zum Hauptinhalt springen

DMARC

DMARC (Domain-based Message Authentication, Reporting and Conformance) hat das Ziel, die E-Mail-Sicherheit zu verbessern. DMARC selbst bietet keinen Schutzmechanismus, sondern die Möglichkeit eine Richtlinie festzulegen, die definiert, was mit einer E-Mail passieren soll, welche die SPF- und/oder DKIM-Prüfung nicht besteht.

Es ist als DNS-Eintrag vom Typ TXT definiert. Der Eintrag muss zwingend den Wert "_dmarc" erhalten. Um den Eintrag der Domain google.com abzufragen, kann man also den folgenden dig-Befehl verwenden:

dig txt _dmarc.gmail.com

DMARC Policies

Eine DMARC-Policy wird in einem DNS-Eintrag definiert und kann Aktionen wie Überwachung, Quarantäne oder Zurückweisung von E-Mails, die die Authentifizierungsprüfung nicht bestehen, festlegen.

Hier sind drei gängige DMARC-Richtlinien:

Nur Monitoring (p=none)

Diese Policy ist nützlich, um Daten zur E-Mail-Authentifizierung zu sammeln, ohne die E-Mail-Zustellung zu beeinträchtigen. Sie lässt alle E-Mails passieren und liefert gleichzeitig Berichte über die Einhaltung von SPF und DKIM. Ein aggregierter Bericht wird an die angegebene E-Mail-Adresse gesendet.

v=DMARC1; p=none; rua=mailto:report@yourdomain.com

Als Spam markieren (p=quarantine)

Mit dieser Policy werden E-Mails, die SPF- oder DKIM-Prüfungen nicht bestehen, in den Spam- oder Junk-Ordner des Empfängers verschoben.

v=DMARC1; p=quarantine; pct=100;

Restricting Totally (p=reject)

Diese strengste Policy lehnt E-Mails ab, die die Authentifizierungsprüfung nicht bestehen, und verhindert, dass sie den Empfänger erreichen. Der Bericht wird an die angegebenen E-Mail-Adressen gesendet.

v=DMARC1; p=reject; pct=100; rua=mailto:report@yourdomain.com; ruf=mailto:forensic@yourdomain.com

Weitere Details zu DMARC-Richtlinien und -Konfiguration finden Sie unter DMARC.org.

Aggregierte Berichte

Aggregierte Berichte bieten detaillierte Einblicke in die Ergebnisse der SPF- und DKIM-Prüfungen für E-Mails, die von Ihrer Domain aus gesendet werden. Diese Berichte werden von empfangenden E-Mail-Servern, die DMARC-Prüfungen durchführen, erstellt und an die in Ihrem DMARC-Eintrag angegebenen Adressen gesendet. Die Berichte werden im XML-Format erstellt und bieten die Möglichkeit, den E-Mail-Authentifizierungsstatus Ihrer Domäne zu überwachen. Allerdings versenden nur relativ wenige grosse E-Mail-Anbieter solche Berichte.

Einen umfassenden Leitfaden zum Verständnis und zur Analyse von DMARC-Berichten finden Sie unter The Difference in DMARC Reports: RUA and RUF.

Tools zum Einrichten und Testen von DMARC

Es stehen mehrere Tools zur Verfügung, die Sie bei der Konfiguration und beim Testen Ihrer DMARC-Einträge unterstützen:

  • LearnDMARC.com: Bietet eine benutzerfreundliche Schnittstelle zum Testen Ihrer DMARC-Datensätze.
  • MXToolbox DMARC Lookup: Ein weiteres Tool zur Überprüfung Ihrer DMARC-Einrichtung.

Bitte beachten Sie, dass wir nicht mit den Anbietern dieser Tools in Verbindung stehen.