Ein effektives Werkzeug zur Bekämpfung von betrügerischer Mail

DMARC, oder Domain-based Message Authentication, Reporting, and Conformance, wird oft in einem Atemzug mit den E-Mail-Authentifizierungsprotokollen SPF und DKIM erwähnt, ist jedoch an sich kein Authentifizierungsprotokoll. Vielmehr besteht der Zweck von DMARC darin, uns, den Domaininhabern, zu ermöglichen, unseren E-Mail-Ruf zu schützen, indem wir:

• E-Mail-Authentifizierungspraktiken ankündigen,

• eine Behandlung für Mails anfordern, die die Authentifizierungsprüfungen nicht bestehen, und

• Berichte über Mails anfordern, die vorgeben, von unserer Domain zu stammen.

DMARC kann ein effektives Werkzeug für uns sein, um im Kampf gegen betrügerische Mails, die auf unseren Domainnamen abzielen (z. B. Phishing und Spoofing), eingesetzt zu werden, und kann das Vertrauen unserer Empfänger in unsere Mails erhöhen. Dieses höhere Vertrauen sollte wiederum zu einer höheren Interaktion mit unseren Mails führen, wobei geöffnete Mails, die Klicks generieren, den Umsatz und eine höhere Rendite für unsere E-Mail-Kampagnen steigern.

Zusätzlich zum Schutz unserer Domain erwarten wir, dass die Implementierung von DMARC jetzt ein hervorragender Beitrag zur „Zukunftssicherung“ unserer Domain sein wird. Hier bei Bird glauben wir, dass die Branche, wenn sie zu IPv6 übergeht, fast sicher von einem IP-basierten Reputationsmodell zu einem Domain-basierten Reputationsmodell wechseln wird. Domain-basierte Reputation wird eine domain-basierte Authentifizierung erfordern, und DMARC, zusammen mit DKIM und SPF, wird Domains helfen, eine domain-basierte Reputation lange bevor sie unbedingt erforderlich sein könnte, aufzubauen.

In diesem Beitrag werden wir Ihnen alles erklären, was Sie wissen müssen, um DMARC zu nutzen, um Ihre E-Mail-Reputation zu schützen, und Ihnen Hinweise geben, wie Sie es für Ihre Domains einrichten können.

Wichtige Begriffe

Bevor wir damit beginnen, DMARC für Ihre Domain einzurichten, möchten wir sicherstellen, dass wir dieselbe Sprache sprechen. Lassen Sie uns einige Begriffe definieren, die wir im gesamten Dokument verwenden werden.

RFC5322.From-Domain

Die RFC5322.From-Domain ist der Domain-Teil der E-Mail-Adresse, der normalerweise von einem Empfänger unserer E-Mail gesehen wird, während sie gelesen wird. Im folgenden Beispiel ist die RFC5322.From-Domain „joesbaitshop.com“.

Von: Joe’s Bait and Tackle <sales@joesbaitshop.com>

DKIM d= Domain

DKIM ist ein Authentifizierungsprotokoll, das es einer Domain ermöglicht, die Verantwortung für eine Nachricht auf eine Weise zu übernehmen, die vom Empfänger der Nachricht validiert werden kann; dies geschieht durch die Verwendung von kryptografischen Signaturen, die in die Header der Nachricht eingefügt werden, während sie ihren Ursprungsort verlässt. Diese Signaturen sind praktisch Momentaufnahmen davon, wie die Nachricht zu diesem Zeitpunkt aussah, und der Empfänger kann diese Momentaufnahmen verwenden, um zu sehen, ob die Nachricht unverändert an ihrem Ziel ankam. Der Prozess der Erstellung und Einfügung dieser Momentaufnahmen wird als DKIM-Signierung bezeichnet, und die Domain, die die Verantwortung für die Nachricht durch deren Signatur übernimmt, fügt ihren Namen in das Header in einem Schlüssel-Wert-Tag als „d=signingDomain“ ein, weshalb es als DKIM d= Domain bezeichnet wird.

Return-Path-Domain

Die Return-Path-Domain, manchmal auch als RFC5321.From-Domain oder Mail From-Domain bezeichnet, ist die Domain, an die Rückläufer weitergeleitet werden; es ist auch die Domain, auf der SPF-Prüfungen während der E-Mail-Transaktion durchgeführt werden. Diese Domain wird normalerweise vom Empfänger nicht gesehen, es sei denn, der Empfänger ist geschickt genug, alle Header einer gegebenen Nachricht anzusehen.

Standardmäßig hat jede Mail, die über bird.com gesendet wird, birdmail.com als ihre Return-Path-Domain, wie im folgenden Beispiel:

Return-Path: <msprvs1=16880EmYZo7L3=bounces-2785@birdmail1.com>

Um jedoch DMARC für Ihre Domain funktionsfähig zu machen, möchten Sie von einer benutzerdefinierten Bounce-Domain profitieren, die im selben Domain endet wie Ihre Versanddomain, z. B. bounces.ihredomain.com, wenn Sie ihredomain.com als Ihre Versanddomain verwenden.

Organizational Domain

Der Begriff „Organizational Domain“ bezieht sich auf die Domain, die bei einem Registrar eingereicht wurde, um die Präsenz der Domain im Internet zu schaffen. Für Bird sind unsere organisatorischen Domains bird.com und birdmail.com.

Domain-Ausrichtung

Der letzte Begriff, den es bezüglich DMARC zu verstehen gilt, ist „Domain-Ausrichtung“, die in zwei Varianten vorkommt: „entspannt“ und „streng“.

Entspannte Domain-Ausrichtung

Jede zwei Domains haben eine entspannte Domain-Ausrichtung, wenn ihre Organizational Domains identisch sind. Zum Beispiel haben a.mail.bird.com und b.foo.bird.com eine entspannte Domain-Ausrichtung aufgrund ihrer gemeinsamen Organizational Domain, bird.com.

Strenge Domain-Ausrichtung

Zwei Domains haben eine strenge Domain-Ausrichtung, wenn und nur wenn sie identisch sind. So sind foo.bird.com und foo.bird.com in strenger Ausrichtung, da die beiden Domains identisch sind. Andererseits sind foo.bird.com und bar.foo.bird.com nur in entspannter Ausrichtung.

DMARC Domain-Ausrichtungsanforderungen

Um die DMARC-Validierungsprüfungen zu bestehen, erfordert DMARC, dass eine Domain-Ausrichtung wie folgt besteht:

• Für SPF müssen die RFC5322.From-Domain und die Return-Path-Domain in Ausrichtung sein

• Für DKIM müssen die RFC5322.From-Domain und die DKIM d= Domain in Ausrichtung sein

Die Ausrichtung kann entspannt oder streng sein, je nach der veröffentlichten Richtlinie der Versanddomain.

Wie DMARC funktioniert, um Ihre E-Mail-Reputation zu schützen

Wenn wir von einem Postfachanbieter oder einer anderen Domain sprechen, die „DMARC überprüft“, „DMARC validiert“ oder „DMARC-Richtlinie anwendet“, meinen wir damit, dass die Domain, die eine Nachricht empfängt, die folgenden Schritte ausführt:

1. Die RFC5322.From-Domain der Nachricht ermitteln

2. Die DMARC-Richtlinie dieser Domain im DNS nachschlagen

3. Die DKIM-Signaturvalidierung durchführen

4. Die SPF-Validierung durchführen

5. Die Domain-Ausrichtung überprüfen

6. Die DMARC-Richtlinie anwenden

• Die Nachricht besteht die SPF-Prüfungen und die RFC5322.From-Domain und die Return-Path-Domain sind in Ausrichtung, oder

• Die Nachricht besteht die DKIM-Validierung und die RFC5322.From-Domain und die DKIM d= Domain sind in Ausrichtung, oder

• Beide obigen Aussagen sind wahr

  
  

DMARC für Ihre Domain funktionsfähig machen

Jetzt, da wir die Mechanik von DMARC erklärt haben, lassen Sie uns darüber sprechen, wie man DMARC für uns funktionsfähig macht, was die folgenden drei Schritte beinhaltet:

1. Vorbereitungen treffen, um DMARC-Berichte zu erhalten

2. Entscheiden Sie, welche DMARC-Richtlinie Sie für Ihre Domain verwenden möchten

3. Veröffentlichen Sie Ihren DMARC-Eintrag

Wir werden jeden dieser Punkte im Folgenden ausführlich behandeln, aber wir sagen Ihnen direkt, dass Schritt 1 oben etwa 95 % Ihrer Vorbereitungszeit in Anspruch nehmen wird.

Vorbereitung zum Empfangen von DMARC-Berichten

Jede Domain, die eine DMARC-Richtlinie veröffentlicht, sollte zunächst die Vorbereitungen treffen, um Berichte über ihre Domain zu erhalten. Diese Berichte werden von jeder Domain generiert, die DMARC-Überprüfungen durchführt und Mails sieht, die vorgeben, von unserer Domain zu stammen, und an uns täglich gesendet werden. Die Berichte kommen in zwei Formaten:

• Aggregierte Berichte, das sind XML-Dokumente, die statistische Daten darüber zeigen, wie viele Mails von der Quelle gesehen wurden, was die Authentifizierungsergebnisse waren und wie die Nachrichten vom Reporter behandelt wurden. Aggregierte Berichte sind maschinenlesbar konzipiert, wobei ihre Daten irgendwo gespeichert werden sollen, um eine allgemeine Verkehrsanalysen, die Prüfung der Nachrichtenströme unserer Domain und vielleicht die Identifizierung von Trends in Quellen von nicht authentifizierten, potenziell betrügerischen E-Mails zu ermöglichen.

• Forensische Berichte, das sind individuelle Kopien von Nachrichten, die die Authentifizierung nicht bestanden haben, jede umschlossen in einer vollständigen E-Mail-Nachricht in einem Format namens AFRF. Die forensischen Berichte sollen vollständige Header und Nachrichtenkörper enthalten, aber viele Reporter kürzen oder schwärzen einige Informationen aus Datenschutzgründen. Dennoch können die forensischen Berichte sowohl nützlich sein, um Probleme mit der Authentifizierung unserer Domain zu beheben, als auch um bösartige Domains und Websites zu identifizieren, die verwendet werden, um die Kunden des Domaininhabers zu betrügen, von URIs in den Nachrichtenkörpern.

Die Vorbereitung zum Erhalt dieser Berichte beinhaltet zunächst die Erstellung von zwei Postfächern in unserer Domain zur Bearbeitung dieser Berichte, wie agg_reports@unsereDomain.com und afrf_reports@unsereDomain.com. Beachten Sie, dass diese Postfachnamen völlig willkürlich sind und keine Anforderungen an die Benennung des lokalen Teils des Postfachs bestehen; wir können beliebige Namen wählen, die wir möchten, aber halten Sie die beiden getrennt für eine einfachere Verarbeitung.

Sobald die Postfachnamen ausgewählt und in unserer Domain erstellt wurden, besteht der nächste Schritt darin, Tools zu implementieren, um diese Postfächer zu lesen und die Daten zu nutzen, insbesondere die aggregierten Datenberichte, die wiederum darauf ausgelegt sind, maschinenlesbar zu sein, anstatt von einem Menschen gelesen zu werden. Die forensischen Berichte hingegen können möglicherweise einfach durch Eigenlesung behandelt werden, aber unsere Fähigkeit, dies zu tun, hängt sowohl vom Verständnis unseres E-Mail-Clients für die Anzeige von Nachrichten im AFRF-Format als auch von der Menge der Berichte ab, die wir erhalten.

Es ist zwar möglich, dass wir unsere eigenen Tools zur Verarbeitung von DMARC-Berichten schreiben, bis Bird solche Dienste für die Kunden von bird.com bereitstellt (etwas, das wir in Betracht ziehen, aber noch nicht versprechen), empfehlen wir, bereits verfügbare Tools für diese Aufgabe zu verwenden.

Welche DMARC-Richtlinie verwenden?

Die DMARC-Spezifikation bietet Domaininhabern drei Optionen an, um ihre bevorzugte Behandlung von Mails anzugeben, die die DMARC-Validierungsprüfungen nicht bestehen. Sie sind:

• none, was bedeutet, dass die Mail so behandelt wird, wie sie unabhängig von den DMARC-Validierungsprüfungen behandelt worden wäre

• quarantine, was bedeutet, dass die Mail akzeptiert, aber an einem anderen Ort als im Posteingang des Empfängers (typischerweise im Spam-Ordner) abgelegt wird

• reject, was bedeutet, dass die Nachricht rundweg abgelehnt wird

Es ist wichtig zu beachten, dass der Domaininhaber nur eine solche Behandlung in seinem DMARC-Eintrag anfordern kann; es liegt am Empfänger der Nachricht, zu entscheiden, ob er die angeforderte Richtlinie einhält oder nicht. Einige werden dies tun, während andere möglicherweise etwas nachsichtiger bei der Anwendung der Richtlinien sind, indem sie beispielsweise nur Mails in den Spam-Ordner verschieben, wenn die Richtlinie der Domain Ablehnung ist.

Wir empfehlen all unseren Kunden, mit einer Richtlinie von „none“ zu starten, nur um auf der sicheren Seite zu sein. Obwohl wir zuversichtlich sind, dass wir Ihre Mails durch DKIM-Signierung ordnungsgemäß authentifizieren können, ist es dennoch am besten, etwas Zeit zu investieren, um die Berichte über Ihre Domain zu überprüfen, bevor Sie mit Ihrer DMARC-Richtlinie aggressiver werden.

Veröffentlichen Ihrer DMARC-Richtlinie

Die DMARC-Richtlinie einer Domain wird bekannt gegeben, indem ein DNS TXT-Eintrag an einem bestimmten Ort im DNS-Namensraum veröffentlicht wird, nämlich „_dmarc.domainname.tld“ (beachten Sie das führende Unterstrich). Ein grundlegender DMARC-Richtlinieneintrag für unsere Beispiel-Domain von früher, joesbaitshop.com, könnte so aussehen:

_dmarc.joesbaitshop.com. IN TXT "v=DMARC1\; p=none\; rua=mailto:agg_reports@joesbait.com\; ruf=mailto:afrf_reports@joesbait.com\; pct=100"

Dieser Eintrag weißt Folgendes auf:

• v=DMARC1 gibt die DMARC-Version an (1 ist die einzige Wahl derzeit)

• p=none gibt die bevorzugte Behandlung oder DMARC-Richtlinie an

• rua=mailto:agg_reports@joesbait.com ist das Postfach, an das aggregierte Berichte gesendet werden sollen

• ruf=mailto:afrf_reports@joesbait.com ist das Postfach, an das forensische Berichte gesendet werden sollen

• pct=100 ist der Prozentsatz der Mail, auf die der Domaininhaber möchte, dass seine Richtlinie angewendet wird. Domains, die gerade mit DMARC beginnen, insbesondere diejenigen, die wahrscheinlich ein hohes Volumen an Berichten generieren, möchten möglicherweise mit einer viel niedrigeren Zahl beginnen, um zu sehen, wie gut ihre Berichtserstellungsprozesse gegen die Belastung gewappnet sind.

  
  

Es gibt auch andere Konfigurationsoptionen, die einem Domaininhaber zur Verfügung stehen, um in seinem DMARC-Richtlinieneintrag zu verwenden, aber die Tipps, die wir gegeben haben, sollten einen guten Start bieten.

Zusammenfassung

Es gibt viel zu beachten in den oben genannten Informationen! Wir hoffen, dass Sie die Anleitung zum Erstellen eines DMARC-Richtlinieneintrags hilfreich finden. Wir hoffen auch, dass unsere Erklärung, warum DMARC wichtig ist, deutlich macht, warum Sie dieses wichtige Werkzeug zum Schutz Ihrer E-Mail-Reputation zu nutzen beginnen sollten.

Natürlich ist dies kein vollständiges oder autoritatives Dokument zu diesem Thema. Wenn Sie tiefer ins Thema einsteigen oder mehr Hilfe wünschen, ist ein großartiger Ausgangspunkt die offizielle DMARC-FAQ. Und es versteht sich von selbst, dass das Support-Team von Bird bereit ist, Ihnen bei der Konfiguration Ihres Bird-Kontos für DMARC zu helfen.

Vielen Dank fürs Lesen - und beginnen Sie noch heute, Ihre Domains mit DMARC zu schützen!