Verschaffen Sie sich ein grundlegendes Verständnis darüber, was Domain-based Message Authentication Reporting & Conformance ist und wie es sich auf Ihre E-Mails auswirkt.
Mit Domain-based Message Authentication, Reporting and Conformance (DMARC) können Sie entscheiden, welche Nachrichten akzeptiert werden, und Sie können sehen, wer Ihre Domain benutzt.
Was ist DMARC?
DMARC steht für "Domain-based Message Authentication, Reporting, and Conformance" und ist ein E-Mail-Authentifizierungsprotokoll, das E-Mail-Domänen vor Spoofing, Phishing und anderen Arten von Missbrauch schützen soll. DMARC baut auf zwei bestehenden Protokollen auf, SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail), um die Identität des Absenders und die Integrität der Nachricht zu überprüfen. DMARC bietet den E-Mail-Empfängern auch die Möglichkeit, den Absendern den Status der empfangenen Nachrichten mitzuteilen, z. B. ob sie die Authentifizierungsprüfungen bestanden haben oder nicht, ob sie zurückgewiesen, in Quarantäne gestellt oder zugestellt wurden.
Wie funktioniert DMARC?
DMARC funktioniert, indem dem DNS (Domain Name System) der E-Mail-Domäne ein spezieller TXT-Eintrag hinzugefügt wird, welcher angibt, wie der Eigentümer der Domäne möchte, dass die Empfänger die Nachrichten, die angeblich von dieser Domäne stammen, behandeln. Der TXT-Eintrag enthält eine Reihe von Tags und Werten, die die DMARC-Richtlinie definieren, z. B. den Ausrichtungsmodus, den Prozentsatz der Nachrichten, auf die die Richtlinie angewendet werden soll, die Berichterstattungsoptionen und die gewünschten Aktionen für fehlgeschlagene Nachrichten. Wenn ein Empfänger eine E-Mail von einer Domäne erhält, die einen DMARC-Eintrag hat, prüft er zunächst, ob die Nachricht eine gültige SPF- und DKIM-Signatur hat, und vergleicht dann die in diesen Signaturen verwendeten Domänen mit der Domäne in der "From:"-Headerzeile der Nachricht. Wenn die Domänen übereinstimmen oder gemäß der DMARC-Richtlinie übereinstimmen, besteht die Nachricht die Authentifizierung. Ist dies nicht der Fall, schlägt die Authentifizierung fehl und der Empfänger führt die in der DMARC-Richtlinie festgelegte Aktion durch, z. B. Ablehnen, Quarantäne oder keine.
Warum ist DMARC wichtig?
DMARC ist wichtig, weil es Absendern und Empfängern von E-Mails hilft, die Sicherheit und Zuverlässigkeit der E-Mail-Kommunikation zu verbessern. Durch die Verwendung von DMARC können Absender ihre Domänen davor schützen, dass sie von böswilligen Akteuren zum Versenden von Spam-, Phishing- oder Malware-E-Mails missbraucht werden, die ihrem Ruf und ihren Empfängern schaden können. DMARC gibt den Absendern auch mehr Einblick und Kontrolle darüber, wie ihre Nachrichten von den Empfängern behandelt werden, und ermöglicht ihnen, Rückmeldungen und Berichte über den Zustellungs- und Authentifizierungsstatus ihrer Nachrichten zu erhalten. Die Empfänger wiederum können DMARC nutzen, um Nachrichten, die die Authentifizierungsprüfungen nicht bestehen, herauszufiltern oder zu kennzeichnen und so das Risiko zu verringern, dass ihre Benutzer betrügerischen oder schädlichen E-Mails ausgesetzt sind. DMARC hilft den Empfängern auch, den Nachrichten, die die Authentifizierung bestehen, zu vertrauen und sie ohne Verzögerung oder Änderung an die vorgesehenen Empfänger zuzustellen.
Welche Limitierungen hat DMARC?
DMARC ist keine perfekte Lösung für die E-Mail-Authentifizierung und -Sicherheit, und es gibt einige Einschränkungen, die berücksichtigt werden müssen. Einige dieser Einschränkungen sind:
- DMARC setzt voraus, dass sowohl der Absender als auch der Empfänger das Protokoll implementieren und unterstützen. Nicht alle E-Mail-Domänen oder -Anbieter nutzen DMARC. Andere haben möglicherweise unterschiedliche, inkompatible Richtlinien oder Konfigurationen.
- DMARC stützt sich auf SPF und DKIM, um den Absender und die Nachricht zu verifizieren. Aber beide Protokolle haben ihre eigenen Einschränkungen und Herausforderungen, wie z. B. IP-Adressen-Spoofing, Schlüsselverwaltung oder Weiterleitungsprobleme.
- DMARC verschlüsselt oder schützt nicht den Inhalt der Nachricht, sondern nur die Identität des Absenders und die Integrität der Nachricht. Daher verhindert DMARC nicht, dass die Nachricht während der Übertragung von Dritten abgefangen, gelesen oder verändert wird.
- DMARC hindert den Absender nicht daran, eine andere Domäne zu verwenden als die, die er besitzt oder für die er die Erlaubnis hat, sie zu verwenden, solange er eine gültige SPF- und DKIM-Signatur für diese Domäne hat. DMARC hindert den Absender also nicht daran, eine legitime oder vertrauenswürdige Domäne zu verwenden, um bösartige oder betrügerische E-Mails zu versenden.
DMARC Syntax
Die DMARC-Syntax bezeichnet das Format und die Struktur des DMARC-Eintrags, der dem DNS der E-Mail-Domäne hinzugefügt wird. Der DMARC-Eintrag ist ein TXT-Eintrag, der mit dem Präfix „v=DMARC1;“ beginnt, gefolgt von einer Reihe von Tags und Werten, die durch Semikolons getrennt sind. Jedes Tag steht für einen anderen Aspekt der DMARC-Richtlinie, und jeder Wert definiert die Einstellung oder Option für dieses Tag. Die Reihenfolge der Tags spielt keine Rolle. In der folgenden Tabelle sind die wichtigsten Tags und Werte, die in einem DMARC-Eintrag verwendet werden können, mit ihren Bedeutungen und Beispielen zusammengefasst.
DMARC Syntax Beispiele
v=dmarc1 p=none sp=none rua=mailto:dmarc@domain.com pct=100
Klicken Sie hier für eine Übersicht über die Tags!
P= Tag
Bedeutung: Benötigt. Die Richtlinie für die Domain.
Wert:
- none: Keine Aktion, nur Überwachen und Melden.
- quarantine: E-Mail soll in den Spam-Ordner verschoben werden.
- reject: E-Mail soll abgelehnt und nicht zugestellt weden.
Example: p=quarantine
SP= Tag
Bedeutung: Optional. Die Richtlinie für die Subdomänen der Hauptdomäne. Wenn nicht spezifiziert, wird die Selbe Richtlinie der Hauptdomäne verwendet.
Wert:
- none: Keine Aktion, nur Überwachen und Melden.
- quarantine: E-Mail soll in den Spam-Ordner verschoben werden.
- reject: E-Mail soll abgelehnt und nicht zugestellt weden.
Beispiel: sp=quarantine
PCT= Tag
Bedeutung: Optional. Der Prozentsatz der E-Mails auf die, die Richtlinie angewandt wird. Wenn nicht spezifiziert, ist der Default-Wert 100%.
Wert:
- Eine Zahl zwischen 0 und 100.
Beispiel: pct=50
RUA= Tag
Bedeutung: Optional. Die E-Mail Adresse, zum Empfang der aggregierten Berichte. Mehrere Adressen können mit einem Komma getrennt werden.
Wert:
- Eine Liste von mailto: URLs.
Beispiel: rua=mailto:admin@example.com,mailto:dmarc@example.com
RUF= Tag
Meaning: Optional. Die E-Mail Adresse, zum Empfang der Fehlerberichte. Mehrere Adressen können mit einem Komma getrennt werden.
Wert:
- Eine Liste von mailto: URIs.
Beispiel: ruf=mailto:admin@example.com
ADKIM= Tag
Bedeutung: Optional. Der Ausrichtungsmodus für DKIM. Wenn nicht spezifiert wir der Default-Wert r (relaxed) gewählt.
Wert:
-
r: Relaxed. Die Domäne zählt als korrekt ausgerichtet, wenn die Hauptdomänen sich gleichen.
-
s: Strict. Die Domäne zählt als ausgerichtet, wenn die Domäne exakt zutrifft.
Beispiel: adkim=s
ASPF= Tag
Bedeutung: Optional. Der Ausrichtungsmodus für SPF. Wenn nicht spezifiziert wird der Default-Wert r (relaxed) gewählt.
Wert:
-
r: Relaxed. Die Domäne zählt als korrekt ausgerichtet, wenn die Hauptdomänen sich gleichen.
-
s: Strict. Die Domäne zählt als ausgerichtet, wenn die Domäne exakt zutrifft.
Beispiel: aspf=r
FO= Tag
Bedeutung: Optional. Die Bedingung für das Generieren von Berichten. Wenn nicht spezifiziert, wird der Default-Wert 0 (all) gewählt.
Value:
-
0: Generiert einen Bericht wenn alle Autentifizierungsmethoden fehlschlagen.
-
1: Generiert einen Bericht, wenn eine Autentifizierungsmethode fehschlägt.
- d: Generiert einen Bericht, wenn DKIM fehlschlägt.
- s: Generiert einen Bericht, wenn SPF fehlschlägt.
Example: fo=1
RF= Tag
Meaning: Optional. Das Format des Fehlerberichtes. Wenn nicht spezifiert, wird der Default-Wert afrf (Authentication Failure Reporting Format) verwendet.
Value:
- afrf oder iodef (Incident Object Description Exchange Format).
Example: rf=iodef
RI= Tag
Meaning: Optional. Definiert das Intervall (in Sekunden) in dem aggregierte oder Fehlerberichte gesendet werden. Wenn nicht spezifiziert wird der Default-Wert 86400 (24 Stunden) verwendet.
Value:
- Eine positive ganze Zahl.
Example: ri=43200
Was sind DMARC-Berichte?
DMARC-Berichte sind eine Funktion von DMARC, die es Domänenbesitzern ermöglicht, den E-Mail-Authentifizierungsstatus von Nachrichten, die von ihren Domänen gesendet werden, zu überwachen und zu analysieren. DMARC-Berichte bestehen aus zwei Arten von Berichten: Sammelberichte (aggregiert) und Fehlerberichte.
Sammelberichte (aggregiert)
Sammelberichte sind regelmäßige Zusammenfassungen der DMARC-Ergebnisse für alle Nachrichten, die von einer Domain empfangen werden, die angibt, DMARC zu implementieren. Sie enthalten Informationen wie die Anzahl und den Prozentsatz der Nachrichten, die die DMARC-Validierung bestanden oder nicht bestanden haben, den Ausrichtungsmodus und die Richtlinie der sendenden Domain, die Kennungen und IP-Adressen der Absender usw. Aggregierte Berichte sind für Domainbesitzer nützlich, um die Effektivität und den Abdeckungsgrad ihrer DMARC-Richtlinie zu bewerten und potenzielle Quellen von Spoofing oder falscher Ausrichtung zu identifizieren.
Forensische Berichte
Forensische Berichte werden durch einzelne Nachrichten ausgelöst, die die DMARC-Validierung nicht bestehen. Sie enthalten detailliertere Informationen über die Quelle und den Inhalt der Nachrichten, wie z. B. die Kopfzeilen, den Textkörper, Anhänge usw.
Diese Fehlerberichte sind für Domänenbesitzer nützlich, um bestimmte Vorfälle von DMARC-Fehlern zu untersuchen und Fehler zu beheben und gegebenenfalls Korrekturmaßnahmen zu ergreifen.
Aktivieren von DMARC-Berichten
Um das DMARC-Reporting zu aktivieren, müssen Domaininhaber einen oder mehrere E-Mail Adressen in ihren DMARC-Einträgen angeben und dabei die Tags "rua=" und "ruf=" verwenden. Das Tag "rua=" gibt an, wohin Sammelberichte gesendet werden sollen, und das Tag "ruf=" gibt an, wohin Fehlerberichte gesendet werden sollen. Es können mehrere Adressen angegeben werden, die durch Kommata getrennt sind. Der folgende DMARC-Eintrag weist beispielsweise die empfangende Domäne an, Sammelberichte an example@example.com und Fehlerberichte an example@example.com zu senden:
v=DMARC1; p=nonereject; rua=mailto:example@example.com; ruf=mailto:example@example.com;
Häufigkeit der DMARC-Berichte
Die Häufigkeit der DMARC-Berichte hängt von den Einstellungen der sendenden und der empfangenden Domäne ab. Die sendende Domäne kann das Intervall der aggregierten Berichte mithilfe des Tags "ri=" in ihrem DMARC-Eintrag festlegen. Der Standardwert ist 86400 Sekunden. (24 Stunden)
Die empfangende Domäne kann je nach ihren Ressourcen und Präferenzen entscheiden, wie oft sie Fehlerberichte sendet. Einige Domains senden Fehlerberichte sofort nach jeder Nachricht, die die DMARC-Validierung nicht bestanden hat, während andere sie in Stapeln oder in regelmäßigen Abständen senden.
Einschränkungen der DMARC-Berichterstattung
Die DMARC-Berichterstattung hat auch einige Einschränkungen, die Domänenbesitzer beachten sollten. Nicht alle Domänen, die Nachrichten von einer Domäne mit DMARC-Richtlinie erhalten, senden Berichte an den Domänenbesitzer zurück. Einige Domains unterstützen DMARC-Berichte möglicherweise überhaupt nicht oder haben technische Probleme oder Datenschutzbedenken, die sie daran hindern, Berichte zu senden.
Außerdem werden die Berichte nicht immer so häufig gesendet, wie der Domäneninhaber es gerne hätte, insbesondere bei Fehlermeldungen, die vom Ermessen der empfangenden Domäne abhängen. Daher sollten sich Domaininhaber nicht ausschließlich auf die DMARC-Berichterstattung verlassen, um den Status ihrer E-Mail-Authentifizierung zu überwachen, sondern auch andere Tools und Methoden einsetzen, um sie zu ergänzen.
Das DMARC-Reporting ist ein leistungsfähiges Instrument für Domaininhaber, um ihre E-Mail-Sicherheit und ihren Ruf zu verbessern und ihre Nutzer und Kunden vor Phishing- und Spoofing-Angriffen zu schützen.