Was ist ein DMARC-Datensatz und wie man ihn einrichten kann?
Was ist DMARC?
Domain-based Message Authentication, Reporting, and Conformance (DMARC) ist ein E-Mail-Validierungssystem, das Ihre Domain vor unbefugter Nutzung, wie z. B. E-Mail-Spoofing, schützen soll. DMARC soll den Inhabern von E-Mail-Domains die Möglichkeit geben, ihre Domain vor dem Missbrauch für Phishing, Spoofing und andere Cyberkriminalität zu schützen. Es baut auf zwei bestehenden Protokollen auf, SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail), um die Legitimität einer E-Mail zu verbessern und zu authentifizieren.
DMARC verstehen
DMARC verbessert den E-Mail-Authentifizierungsprozess, indem es die etablierten SPF– und DKIM-Protokolle nutzt. Der Authentifizierungsprozess ist eine Reihe von Prüfungen, die eine E-Mail durchläuft, um ihre Legitimität zu verifizieren, bevor sie den Posteingang des Empfängers erreicht. Dieser Prozess ist entscheidend für die Feststellung, ob eine E-Mail wirklich von dem Absender stammt, den sie vorgibt zu sein, oder ob es sich um eine potenzielle Bedrohung handelt.
SPF und DKIM spielen bei diesem Authentifizierungsprozess eine zentrale Rolle. Mit SPF können Domain-Besitzer festlegen, welche Mail-Server berechtigt sind, E-Mails im Namen ihrer Domain zu versenden. Wenn eine E-Mail empfangen wird, prüft der Server des Empfängers den SPF-Eintrag, um zu bestätigen, dass die E-Mail von einem der aufgeführten Server stammt. Dadurch wird verhindert, dass Spammer E-Mails mit einer gefälschten “Von”-Adresse versenden, die scheinbar von Ihrer Domain stammt.
DKIM fügt eine zusätzliche Sicherheitsebene hinzu, indem eine digitale Signatur an ausgehende E-Mails angehängt wird. Diese Signatur wird anhand eines öffentlichen kryptografischen Schlüssels überprüft, der in den DNS-Einträgen der Domain veröffentlicht ist. Das Vorhandensein einer gültigen DKIM-Signatur zeigt an, dass die E-Mail während der Übermittlung nicht verändert wurde, und stellt eine Art Integritätsprüfung zusätzlich zur SPF-Autorisierungsprüfung dar.
DMARC verbindet diese beiden Protokolle, indem es eine Richtlinie festlegt, die der Inhaber der Domain bei der Behandlung von E-Mails, die SPF– und DKIM-Prüfungen nicht bestehen, befolgen soll. Außerdem wird festgelegt, wie der Eigentümer der Domain über diese Fehler informiert werden möchte, damit er bei Bedarf Maßnahmen ergreifen kann. Die DMARC-Richtlinie wird über einen TXT-Eintrag im DNS der Domain übermittelt und vom Server des Empfängers nach der SPF– und DKIM-Prüfung überprüft.
Der E-Mail-Authentifizierungsprozess funktioniert folgendermaßen: Wenn eine E-Mail gesendet wird, fügt der sendende Server eine DKIM-Signatur hinzu und schickt die E-Mail auf den Weg. Der Server des Empfängers ruft den SPF-Eintrag ab, um die Autorisierung des sendenden Servers zu überprüfen, und prüft die DKIM-Signatur, um die Integrität der E-Mail sicherzustellen. Wenn beide Überprüfungen erfolgreich sind und mit der Domain übereinstimmen, die in der Kopfzeile “Von” der E-Mail angegeben ist, gilt die E-Mail als authentifiziert. Wenn eine der beiden Prüfungen fehlschlägt oder eine falsche Übereinstimmung vorliegt, bezieht sich der Server des Empfängers auf die DMARC-Richtlinie, um zu entscheiden, ob die E-Mail zugestellt, unter Quarantäne gestellt oder zurückgewiesen werden soll.
Durch die Festlegung einer DMARC-Richtlinie können Domain-Besitzer die empfangenden Server anweisen, nicht authentifizierte E-Mails unter Quarantäne zu stellen oder zurückzuweisen, wodurch die Wahrscheinlichkeit verringert wird, dass ihre Domain für E-Mail-basierte Bedrohungen genutzt wird. Darüber hinaus bietet der Berichtsaspekt von DMARC Einblicke in legitime und nicht autorisierte E-Mail-Aktivitäten und ermöglicht es Domain-Besitzern, ihre E-Mail-Sicherheitsmaßnahmen im Laufe der Zeit zu verfeinern.
Die Struktur eines DMARC-Datensatzes
Ein DMARC-Eintrag ist ein TXT-Eintrag in der DNS-Zone Ihrer Domain, der einer bestimmten Syntax folgt. Diese Syntax enthält mehrere Tags, die die DMARC-Richtlinie definieren und festlegen, wie sie durchgesetzt werden soll.
Wichtige Parameter eines DMARC-Eintrags
Das “p“-Tag in einem DMARC-Datensatz gibt die Richtlinie an, die auf E-Mails angewendet werden soll, die DMARC-Prüfungen nicht bestehen. Die möglichen Werte für dieses Tag sind:
- none: Der Domain-Besitzer wünscht, dass keine spezifischen Maßnahmen für E-Mails ergriffen werden, die die DMARC-Prüfung nicht bestehen. Diese Einstellung wird normalerweise für die Überwachung und das Sammeln von Daten verwendet, ohne die E-Mail-Zustellung zu beeinträchtigen.
- quarantine: E-Mails, die die DMARC-Prüfung nicht bestehen, werden als verdächtig behandelt. Je nach E-Mail-Server des Empfängers können diese Nachrichten im SPAM-Ordner landen.
- reject: Diese Richtlinie weist den empfangenden E-Mail-Server an, E-Mails, die die DMARC-Prüfung nicht bestehen, vollständig abzulehnen, so dass sie nicht in den Posteingang des Empfängers gelangen können.
Das “sp“-Tag gibt die Richtlinie für Subdomains an und kann die gleichen Werte wie das “p“-Tag annehmen. Wenn das “sp“-Tag nicht angegeben wird, gilt die im “p“-Tag angegebene Richtlinie auch für Subdomains.
Das “rua“-Tag wird verwendet, um eine E-Mail-Adresse anzugeben, an die zusammengefasste Berichte über DMARC-Fehler gesendet werden, während das “ruf“-Tag für forensische Berichte verwendet wird, die detailliertere Informationen über einzelne Fehler enthalten. Diese Berichte sind entscheidend für das Verständnis und die Verbesserung Ihrer E-Mail-Authentifizierungseinrichtung.
Das Tag “pct” definiert den Prozentsatz der Nachrichten, die der DMARC-Richtlinie unterliegen, was für die schrittweise Umsetzung von Richtlinienänderungen nützlich ist. Zum Beispiel bedeutet “pct=20“, dass nur 20 % der fehlgeschlagenen E-Mails gemäß der angegebenen DMARC-Richtlinie behandelt werden.
Die Tags “adkim” und “aspf” definieren den Ausrichtungsmodus für DKIM bzw. SPF. Die möglichen Werte sind “r” für relaxed und “s” für strict. Die entspannte Ausrichtung erlaubt partielle Übereinstimmungen (z. B. Subdomains), während die strikte Ausrichtung eine exakte Übereinstimmung zwischen der Domain im Header und der Domain in den SPF/DKIM-Einträgen erfordert.
Ein DMARC-Datensatz könnte zum Beispiel so aussehen:
v=DMARC1; p=quarantine; sp=none;
rua=mailto:dmarc-reports@example.com;
ruf=mailto:dmarc-failures@example.com; pct=100; adkim=r; aspf=r;
Dieser Datensatz fordert, dass E-Mails, die DMARC-Prüfungen nicht bestehen, unter Quarantäne gestellt werden, ohne spezifische Richtlinien für Subdomains, weist an, aggregierte Berichte an dmarc-reports@example.com zu senden, Fehlerberichte an dmarc-failures@example.com zu senden, wendet die Richtlinie auf 100 % der fehlgeschlagenen Nachrichten an und verwendet eine entspannte Ausrichtung sowohl für DKIM als auch SPF.
Einrichten und Implementieren eines DMARC-Eintrags im DNS
Um einen DMARC-Eintrag einzurichten, müssen Sie einen TXT-DNS-Eintrag in der DNS-Zone Ihrer Domain erstellen. Die meisten Hosting-Provider bieten eine DNS-Zonen-Editor-Funktion an, mit der Sie die DNS-Einträge für Ihre Domain kontrollieren können. Es ist wichtig, daran zu denken, dass DNS-Änderungen von dem Konto aus vorgenommen werden müssen, das die autoritative DNS-Zone für Ihre Domain besitzt. Unabhängig davon, welchen Hosting-Service Sie nutzen, muss Ihre Domain von den Nameservern auf diesen Ort verwiesen werden. Nur so haben die Änderungen an der DNS-Zone tatsächlich eine Wirkung.
Wenn das DNS Ihrer Domain von SiteGround verwaltet wird, wurde bei der Erstellung Ihrer Website automatisch ein einfacher DMARC-Eintrag für Ihre Domain in der DNS-Zone der Domain erstellt. Um ihn zu ändern, folgen Sie diesen Schritten:
- Melden Sie sich in Ihrem SiteGround-Kundenbereich an und gehen Sie zu den Site Tools für die Website, die Sie verwalten möchten.
- Navigieren Sie zu Domain > DNS-Zone-Editor.
- Wählen Sie Ihren Domain-Namen aus der Dropdown-Liste.
- Suchen Sie im Abschnitt DNS-Einträge verwalten den vorhandenen DMARC-Eintrag. Es sollte ein Eintrag vom Typ TXT sein, der mit “v=DMARC1” beginnt.
- Klicken Sie auf das Bleistiftsymbol daneben, um es zu bearbeiten.
- Geben Sie in das Feld Wert Ihren DMARC-Datensatz ein, z. B. “v=DMARC1; p=none; rua=mailto:your-email@example.com;” und ersetzen Sie your-email@example.com durch die E-Mail-Adresse, an die Sie die Berichte senden möchten.
- Klicken Sie auf die Schaltfläche Erstellen, um den Datensatz hinzuzufügen..
Nach dem Hinzufügen des DMARC-Datensatzes kann es einige Zeit dauern, bis sich die Änderungen im Internet verbreiten und wirksam werden.
Bewährte Praktiken für DMARC-Datensätze
Bei der Implementierung von DMARC-Datensätzen ist es wichtig, mit einer Richtlinie “none” zu beginnen, um zu überwachen, wie Ihre E-Mails behandelt werden, ohne deren Zustellung zu beeinträchtigen. In dieser ersten Überwachungsphase können Sie Daten über Ihre E-Mail-Ströme sammeln und sicherstellen, dass legitime E-Mails korrekt authentifiziert werden. Nach und nach können Sie zu restriktiveren Richtlinien wie “quarantine” oder “reject” übergehen, wenn Sie mehr Vertrauen in Ihre E-Mail-Authentifizierungsprozesse gewonnen haben.
Überprüfen Sie regelmäßig Ihre DMARC-Berichte, um Konfigurationsprobleme oder die unbefugte Nutzung Ihrer Domain zu erkennen. Halten Sie Ihre “rua“- und “ruf“-Tags auf dem neuesten Stand, um sicherzustellen, dass Sie diese wertvollen Berichte erhalten. Informieren Sie Ihr Team über die Bedeutung von DMARC und stellen Sie sicher, dass alle E-Mail-Versender in Ihrem Unternehmen die SPF– und DKIM-Standards einhalten.
Schlussfolgerung
Die Implementierung eines DMARC-Datensatzes ist ein wichtiger Schritt zur Sicherung Ihrer E-Mail-Kommunikation und zum Schutz Ihrer Domain vor Missbrauch. Durch die Einrichtung einer DMARC-Richtlinie können Sie festlegen, wie E-Mail-Empfänger E-Mails behandeln sollen, die die Authentifizierungsprüfung nicht bestehen, und so Phishing-Angriffe und Domain-Spoofing verhindern. Angesichts der zunehmenden E-Mail-Bedrohungen ist die Einführung von DMARC nicht nur empfehlenswert, sondern für eine verantwortungsvolle Domain-Verwaltung unabdingbar.
DMARC FAQs
- Was passiert, wenn ich keinen DMARC-Eintrag für meine Domain einrichte? Ohne einen DMARC-Eintrag haben Sie keine Kontrolle darüber, wie empfangende E-Mail-Server E-Mails behandeln, die von Ihrer Domain zu stammen scheinen, aber SPF– oder DKIM-Prüfungen nicht bestehen. Dies könnte dazu führen, dass Ihre Domain ohne Ihr Wissen für Phishing-Angriffe verwendet wird.
- Wie oft sollte ich meine DMARC-Berichte überprüfen? Es empfiehlt sich, Ihre DMARC-Berichte regelmäßig zu überprüfen, mindestens einmal pro Woche, wenn Sie DMARC zum ersten Mal implementieren. Wenn Sie mit den Mustern in Ihrem E-Mail-Verkehr besser vertraut sind, können Sie die Häufigkeit anpassen.
- Kann DMARC alle Arten von E-Mail-Spoofing verhindern? DMARC verringert zwar das Risiko des direkten Domain-Spoofing erheblich, verhindert aber nicht alle Arten von E-Mail-Spoofing, wie z. B. Angriffe auf die “Cousin”-Domain oder die Täuschung über den Anzeigenamen. DMARC sollte als Teil einer umfassenden E-Mail-Sicherheitsstrategie eingesetzt werden, nicht als alleinige Verteidigungsmethode.
- Besteht die Gefahr, dass legitime E-Mails mit einer DMARC-Abweisungsrichtlinie zurückgewiesen werden? Ja, wenn legitime E-Mails die SPF– oder DKIM-Prüfungen nicht bestehen, können sie zurückgewiesen werden. Deshalb ist es wichtig, mit einer “none“-Richtlinie zu beginnen und sicherzustellen, dass Ihre legitimen E-Mail-Ströme ordnungsgemäß authentifiziert werden, bevor Sie zu einer “reject“-Richtlinie übergehen.
- Unterstützen alle E-Mail-Diensteanbieter DMARC? Die meisten großen E-Mail-Diensteanbieter unterstützen DMARC, aber es gibt einige, die das Protokoll nicht vollständig implementieren. Daher befolgen möglicherweise nicht alle Server, die die E-Mails für die Empfänger Ihrer Nachrichten bearbeiten, die Anweisungen, die Sie im DMARC-Eintrag konfiguriert haben.