maxcluster Empfehlung – Verwendung eines DMARC-Eintrags

Was ist DMARC und wie wird ein DMARC-Eintrag verwendet?

Was ist DMARC? 

DMARC (Domain-based Message Authentication, Reporting and Conformance) fungiert als Kontrollorgan für die Wirksamkeit von SPF (Sender Policy Framework) und DKIM (Domain Keys Identified Mail). Mit diesen beiden Methoden wird die Glaubwürdigkeit und Zuverlässigkeit von E-Mails überprüft.

Bei DMARC ist mithilfe von SPF und DKIM das Hauptziel, auf E-Mail-Spoofing zu reagieren – also es zu erkennen und zu verhindern – bevor es stattfindet. Damit soll es zur Eindämmung von Phishing, Spam und Spoofing führen. Der gesamte Schutzmechanismus von DMARC kann jedoch nur greifen, wenn der empfangende Mailserver ebenfalls DMARC einsetzt, die notwendigen Prüfungen durchführt und die DMARC-Berichte erstellt. Die bekanntesten Mail-Provider wie Google, Microsoft, web.de, GMX und Yahoo setzen DMARC ein, weswegen Sie regelmäßig Berichte von diesen Mailservern erhalten.

DMARC baut auf SPF und DKIM auf und kann folglich nur dann eingesetzt werden, wenn zuvor mindestens eine der beiden Methoden eingerichtet ist. Mithilfe von DMARC können Sie als Absender angeben, dass Ihre E-Mails mit SPF und/oder DKIM geschützt sind. Dabei können Sie mit einer DMARC-Richtlinie festlegen, wie der empfangende Mailserver mit Mails umgehen soll, die die SPF- und DKIM-Prüfungen nicht bestehen.

Zusätzlich führt DMARC einen „Domain-Abgleich“ durch. Hierbei wird abgeglichen, ob die Domain der E-Mail-Adresse in dem „FROM“-Header mit den Vorgaben der SPF-Verifizierung und der DKIM-Signatur übereinstimmt. Das passiert wie folgt:

  • DMARC und SPF: In Bezug auf SPF prüft DMARC, ob der From-Header der gesendeten E-Mail mit der im SPF-Record hinterlegten Domain übereinstimmt.
  • DMARC und DKIM: In Bezug auf DKIM prüft DMARC die Gültigkeit der kryptographischen Signatur. Das Verfahren gleicht die Domain mit der im From-Header angegebenen Absender-Domain ab.

Ist die Übereinstimmung vollständig, gilt die Prüfung als erfolgreich und die E-Mail wird an das Postfach des Empfängers zugestellt. Ebenso kann es auch zu einer teilweisen Übereinstimmung kommen, wenn beispielsweise SPF oder DKIM für eine Domain eingerichtet ist, die zu überprüfende Mail aber von einer Subdomain verschickt wurde. In diesem Fall können Sie festlegen, ob eine teilweise Übereinstimmung ausreicht oder abgelehnt werden soll. Ist der Domain-Abgleich nicht erfolgreich oder wird eine teilweise Übereinstimmung nicht akzeptiert, wird die E-Mail nach der vorgegebenen Richtlinie verarbeitet, als wäre die SPF- oder DKIM-Prüfung gescheitert.

In einer DMARC-Richtlinie wird festgelegt, wie der empfangende Mailserver die E-Mails von Ihrer Domain verarbeiten soll. Um sicherzustellen, dass alle berechtigten E-Mails korrekt versendet werden, kann die Richtlinie stufenweise strenger eingestellt werden. Ziel sollte sein, Ihre Domain mit der strengsten Richtlinie „reject” zu veröffentlichen, damit man keine betrügerischen E-Mails von Ihrer Domain senden kann.

Sie können zwischen den folgenden drei DMARC-Richtlinien wählen:

  • None (Überwachungs-Richtlinie)
    Ist „none” eingestellt, werden E-Mails auch bei Nichtbestehen von dem  empfangenden Mailserver angenommen. Hierbei werden also keine weiteren Maßnahmen ergriffen und unqualifizierte E-Mails werden trotzdem in das Postfach des Empfängers zugestellt. Als Domain-Inhaber erhalten Sie in Ihrem DMARC-Bericht Informationen über den Versand der E-Mail. Sie können durch eine Analyse der DMARC-Berichte feststellen, wer E-Mails in Ihrem Namen versendet und ob dafür Berechtigungen bestehen. Dies ist besonders geeignet, um initial zu überprüfen, ob alle legitim verschickten Mails korrekt authentifiziert werden.
  • Quarantine
    E-Mails, die die Authentifizierung nicht bestehen, werden mit der Einstellung „quarantine” üblicherweise in den Spamordner des Empfängers verschoben. Als Domain-Inhaber erhalten Sie dazu weiterhin Informationen in den Berichten und können diese damit analysieren.
  • Reject
    Alle nicht mit DMARC authentifizierten E-Mails werden üblicherweise abgewiesen. Sie landen somit nicht in dem Postfach des Empfängers. In den meisten Fällen erhalten Sie als Absender eine Unzustellbarkeitsnachricht des Empfängers.
    Bevor Sie die DMARC-Richtlinie „reject“ einrichten, sollten Sie sicherstellen, dass alle Dritten, die in Ihrem Namen E-Mails senden dürfen, ebenfalls ordnungsgemäß authentifiziert sind. Ist dies nicht der Fall, werden auch deren E-Mails abgelehnt. Hierbei sollten Sie insbesondere auch auf CRM-Systeme und Newsletter-Dienste achten. Nach der Veröffentlichung der Richtlinie „reject“ sollte niemand mehr eine betrügerische E-Mail von Ihrer Domain senden können.

Hinweis: Die genaue Entscheidung, was bei „quarantine” oder „reject“ passiert, liegt beim empfangenden Mailserver. So können die Mails je nach lokaler Policy strenger (Ablehnung bei „quarantine”) oder lockerer (nur Spam-Folder bei „reject“) behandelt werden. Das liegt im Ermessen des Mailserver-Admins.


Mithilfe des DMARC-Verfahrens können zusätzlich Berichte von Mailservern, die E-Mails von Ihrer Domain erhalten, angefordert werden. DMARC-Berichte enthalten Informationen zu den durchgeführten SPF- und DKIM-Prüfungen sowie das Ergebnis des Domain-Abgleichs. So können Sie überprüfen, ob es beim Versand Ihrer E-Mails Probleme bei der Authentifizierung gab und es lassen sich gegebenenfalls Rückschlüsse auf Missbrauch ziehen. Sie erhalten damit einen Einblick und die Kontrolle über E-Mails, die im Namen Ihrer Domain versendet wurden.

Wie nutze ich DMARC?

Um DMARC für Ihre Domain zu aktivieren, müssen Sie einen DMARC-Eintrag anlegen. Dies ist ein DNS-Eintrag vom Typ TXT, in dem die anzuwendende DMARC-Richtlinie definiert wird. Zusätzlich können Sie hier auch eintragen, ob alle oder nur ein Prozentsatz der E-Mails verarbeitet werden und an welche E-Mail-Adressen die Berichte geschickt werden sollen.

Der DMARC-Eintrag wird für Ihre Domain innerhalb der DNS-Verwaltung als TXT-Record (Punkt 1) für den Subdomain-Namen _dmarc angelegt (Punkt 2).
Beispiel:  _dmarc.beispiel.de

Für den Inhalt (Punkt 3) des DMARC-Eintrags werden Tags benutzt, die mit Semikolons getrennt werden.
Beispiel: v=DMARC1; p=quarantine; pct=5; rua=mailto:beispiel@beispiel.de



Nachdem Sie den DMARC-Eintrag erstellt haben, wird Ihnen dieser innerhalb der DNS-Verwaltung angezeigt (Punkt 1). Hier gibt es jetzt auch die Möglichkeit, den Eintrag zu bearbeiten, wenn die Richtlinie angepasst werden soll (Punkt 2).




Folgende Tags werden am häufigsten für einen DMARC-Eintrag verwendet:

Erforderlich:

Tag

Zweck

Beispiel

v

Mit diesem Wert wird die verwendete Version des DMARC-Protokolls angegeben. Da bisher nur eine Version existiert, muss hier DMARC1 eingetragen werden.

v=DMARC1

p

Hiermit wird die DMARC-Richtlinie für die Domain festgelegt und somit die Anweisung, was mit verdächtigen E-Mails passieren soll. Diese Werte stehen zur Verfügung:

  • none: E-Mails werden auch bei Nichtbestehen an den empfangenden Mailserver durchgestellt. Es werden keine Maßnahmen ergriffen. Gleichzeitig erlaubt es aber, Berichte zu den Mails zu erhalten.
  • quarantine: E-Mails, die die Authentifizierung nicht bestehen, werden mit der Einstellung quarantine üblicherweise in den Spamordner des Empfängers verschoben.
  • reject: Alle nicht mit DMARC authentifizierten E-Mails werden  üblicherweise abgewiesen. Meistens erhält der Absender einen Unzustellbarkeitsnachricht des Empfängers.

p=reject

 

Optional: 

Tag

Zweck

Beispiel

pct

Informiert einen empfangenden Server darüber, auf welchen Prozentsatz von E-Mails die DMARC-Richtlinie angewendet werden soll. Die restlichen E-Mails werden nach der nächstniedrigeren Richtlinie bearbeitet. Der Wert des pct-Tag muss zwischen 1 und 100 liegen. Am besten fangen Sie hier klein an, z. B. mit 5 % und erhöhen den Wert langsam. Der Standardwert ist 100 – wenn der pct-Tag nicht angegeben wird, werden daher alle E-Mails gefiltert.

Hinweis: Das pct-Tag funktioniert nicht mit p=none

pct=100

rua

Tragen Sie hier die E-Mail-Adresse ein, an die die zusammengeführten Statusberichte gesendet werden sollen.

Hinweis: Sie sollten den optionalen rua-Tag eintragen, damit Sie täglich DMARC-Statusberichte erhalten. Tragen Sie zusätzlich einen ruf-Tag ein, um Fehlerberichte zu erhalten.

rua=mailto:beispiel@

beispieldomain.de

ruf

Tragen Sie hier die E-Mail-Adresse ein, an die die Fehlerberichte gesendet werden sollen.

Hinweis: Sie sollten den optionalen ruf-Tag eintragen, damit Sie täglich DMARC-Fehlerberichte erhalten. Tragen Sie zusätzlich einen rua-Tag ein, um Statusberichte zu erhalten.

ruf=mailto:beispiel@

beispieldomain.de

sp

Hiermit wird die DMARC-Richtlinie für die Subdomains festgelegt und somit die Anweisung, was mit verdächtigen E-Mails für Subdomains passieren soll. Hier wird – genau wie für die Domain – aus none, quarantine oder reject gewählt.

sp=reject

aspf

Bezeichnet den Abgleichmodus für SPF. Hiermit wird bestimmt, wie genau E-Mails mit den Vorgaben für die SPF-Verifizierung übereinstimmen müssen.
Mögliche Einstellung:  

  • r (relaxed): Erlaubt Teil-Übereinstimmungen, z. B. bei Subdomains. Dies ist der Standardwert, der verwendet wird, wenn der Tag nicht gesetzt ist.
  • s (strict): Hierbei muss es eine exakte Übereinstimmung geben, zwischen dem Header der E-Mails und der Domain in dem Feld „SMTP Mail FROM“.

aspf=r

adkim

Bezeichnet den Abgleichmodus für DKIM. Hiermit wird bestimmt, wie genau E-Mails mit der DKIM-Signatur übereinstimmen müssen.
Mögliche Einstellung:  

  • r (relaxed): Erlaubt Teil-Übereinstimmungen in den DKIM-E-Mail-Headern, z. B. bei Subdomains. Dies ist der Standardwert, der verwendet wird, wenn der Tag nicht gesetzt ist.
  • s (strict): Hierbei muss es eine exakte Übereinstimmung geben zwischen dem Header der E-Mail und dem Wert d=name in den DKIM-E-Mail-Headern.

adkim=s

Die maxcluster-Empfehlung

Unsere Empfehlung ist es, DMARC zusammen mit SPF und DKIM einzusetzen. Sie sollten hierbei bereits SPF und DKIM eingerichtet haben. Authentifizierungsverfahren wie SPF, DKIM und DMARC erhöhen zusammen die Sicherheit und das Vertrauen in den Absender geschäftskritischer E-Mails. 

Hinweis: Wir empfehlen sowohl SPF als auch DKIM für alle legitimen E-Mails einzusetzen. Diese beiden Methoden helfen dabei, dass auch bei weitergeleiteten E-Mails korrekt gehandelt wird. Wird eine legitime E-Mail z. B. weitergeleitet (im Mailserver, nicht im Mail-Client), passt die SPF-Prüfung an dieser Stelle zwar nicht mehr, besteht aber mit gültigem DKIM dennoch den DMARC-Test. Ohne DKIM würden diese legitimen Mails alle durch den DMARC-Test fallen und bei p=reject in den meisten Fällen abgelehnt werden.


Wir empfehlen, die Nutzung schrittweise anzupassen:

  1. Im ersten Schritt werden nur Berichte und der Datenverkehr überwacht. Um sich der individuellen und optimalen Konfiguration zu nähern und den aktuellen IST-Zustand zu ermitteln, müssen Sie die DMARC-Richtlinie zuerst auf p=none einstellen. Mit dieser Einstellung erhalten Sie Berichte über die durchgeführten DMARC-Prüfungen  an die in der Richtlinie angegebene E-Mail-Adresse.

    Beispiel DMARC-Eintrag:
    v=DMARC1; p=none; rua=mailto:beispiel@beispiel.de



    Nachdem diese Einstellung vorgenommen wurde, überwachen Sie Ihren Datenverkehr und überprüfen, ob Unregelmäßigkeiten in den Berichten auffallen. Achten Sie hierbei auf E-Mails, die noch nicht signiert sind, oder bei denen eine Fälschung bzw. Missbrauch vorliegen könnte.

  2. Wenn nichts Auffälliges mehr in den Berichten zu sehen ist und Sie mit den Ergebnissen zufrieden sind, dann kann die Richtlinie von none auf quarantine geändert werden. Mit dieser Einstellung erhalten Sie Berichte über Verstöße im Zusammenhang mit der in der Richtlinie angegebenen E-Mail-Adresse und die entsprechenden E-Mails werden unter Quarantäne gestellt.

    Beispiel DMARC-Eintrag:
    v=DMARC1; p=quarantine; rua=mailto:beispiel@beispiel.de



    Zusätzlich zu dem erforderlichen p-Tag kann der optionale pct-Tag verwendet werden. Hiermit können Sie Ihre DMARC-Bereitstellung ausrichten und testen.
    Der Standardwert ist pct=100, womit 100 % der E-Mails gefiltert werden. Dieser wird angewendet, wenn Sie keinen pct-Tag setzen.

    Fangen Sie zuerst mit einem niedrigeren Prozentsatz, zum Beispiel 5 %, an und erhöhen Sie diesen jeweils um 5 %-Schritte. Stellen Sie pct=5 ein, gilt die Richtlinie quarantine für 5 % der E-Mails. Wenn diese E-Mails die DMARC-Authentifizierung nicht bestehen, werden sie an den Spamordner der Empfänger gesendet. In Ihrem DMARC-Bericht erhalten Sie Informationen dazu, die Sie anschließend auswerten können. Auf die restlichen 95 % der E-Mails wird die nächstniedrigere Richtlinie angewendet, in diesem Fall none.

    Beispiel DMARC-Eintrag:
    v=DMARC1; p=quarantine; pct=5; rua=mailto:beispiel@beispiel.de



    Nachdem Sie die Änderung vorgenommen haben, sollten Sie weiterhin die Ergebnisse überprüfen. Hierfür können Sie den täglichen DMARC-Bericht benutzen.
    Als Ziel sollte pct=100 eingestellt werden. Hiermit werden alle, nicht mit DMARC authentifizierten E-Mails, zu 100 % an den Spamordner der Empfänger gesendet. Sind Sie mit der Richtlinie quarantine bei pct=100 angekommen und sind mit den Ergebnissen zufrieden, dann machen Sie weiter mit Schritt drei.

  3. Wenn Sie sicher sind, dass nur gefälschte E-Mails abgelehnt werden und alle legitimen, in Ihrem Namen gesendeten E-Mails signiert sind, ändern Sie die Richtlinie von quarantine auf reject. Hierbei ist das Ziel, dass DMARC voll ausgenutzt wird und niemand mehr eine betrügerische E-Mail von Ihrer Domain senden kann.

    Auch hier kann zu dem erforderlichen p-Tag der optionale pct-Tag verwendet werden (siehe Schritt 2). Somit können Sie Ihre DMARC-Bereitstellung weiterhin ausrichten und testen. Auch jetzt sollte mit einem niedrigeren Prozentsatz angefangen und dieser schrittweise erhöht werden, bis das Ziel von 100 % erreicht ist.

    Beispiel DMARC-Eintrag:
    v=DMARC1; p=reject; pct=30; rua=mailto:beispiel@beispiel.de



    Weiterhin sollten Sie nun Ihre DMARC-Berichte überprüfen, damit Sie sicherstellen, dass die Ergebnisse für Sie zufriedenstellend sind. Ihre eigenen E-Mails sollten die Prüfung bestehen und zugestellt werden, während betrügerische Mails korrekt abgewiesen werden.


    Das Ziel, das mit der DMARC-Richtlinie angestrebt wird, ist, eine p=reject Richtlinie bei 100 % zu erreichen. Hiermit werden alle nicht mit DMARC authentifizierten E-Mails automatisch zu 100 % abgewiesen.
    Ist dieser Punkt erreicht, kann der pct-Tag vollständig herausgenommen werden, weil pct=100 die Standardeinstellung ist, wenn im DMARC-Eintrag kein pct-Tag vorhanden ist.

    Beispiel DMARC-Eintrag:
    v=DMARC1; p=reject; rua=mailto:beispiel@beispiel.de

 

Bei Fragen steht Ihnen unser Support telefonisch unter 05251/414130 oder per E-Mail an support@maxcluster.de zur Verfügung.

Veröffentlicht am 06.03.2024