In diesem Beitrag erklären wir Ihnen alles, was Sie wissen müssen, um DMARC zu nutzen, um Ihre E-Mail-Reputation zu schützen, und geben Ihnen Hinweise, wie Sie es für Ihre Domains einrichten können.
Ein effektives Werkzeug zur Bekämpfung von Fraudulent Mail
Oft zusammen mit den E-Mail-Authentifizierungsprotokollen SPF und DKIM erwähnt, ist DMARC, oder Domain-based Message Authentication, Reporting, and Conformance, kein Authentifizierungsprotokoll an sich. Stattdessen besteht der Zweck von DMARC darin, uns, den Domaininhabern, zu ermöglichen, unseren E-Mail-Ruf zu schützen, indem wir:
E-Mail-Authentifizierungspraktiken ankündigen,
Behandlung für E-Mails anfordern, die bei Authentifizierungsprüfungen scheitern, und
Berichte über Mails einholen, die behaupten, von unserer Domain zu stammen.
DMARC kann ein effektives Werkzeug für uns sein, um im Kampf gegen betrügerische Mails vorzugehen, die auf unseren Domainnamen abzielen (z. B. Phishing und Spoofing), und das Vertrauen unserer Empfänger in unsere Mails fördern. Für Organisationen, die eine Ende-zu-Ende-Verschlüsselung über die Authentifizierung hinaus benötigen, bietet die Implementierung von S/MIME mit effizienten Methoden zur Sammlung öffentlicher Empfängerschlüssel zusätzliche Sicherheitsschichten. Dieses höhere Vertrauen sollte wiederum zu einer höheren Interaktion mit unseren Mails führen, und Mails, die geöffnet werden und Klicks generieren, steigern Verkäufe und den ROI für unsere E-Mail-Kampagnen.
Zusätzlich zum Schutz unserer Domain prognostizieren wir, dass die Implementierung von DMARC jetzt eine hervorragende Möglichkeit sein wird, unsere Domain „zukunftssicher“ zu machen. Hier bei Bird sind wir der Meinung, dass die Branche mit dem Wechsel zu IPv6 fast sicher von einem auf IP-basierenden Rufmodell zu einem auf Domain-basierenden Rufmodell übergehen wird. Ein Domain-basierter Ruf erfordert eine Domain-basierte Authentifizierung, und DMARC, zusammen mit DKIM und SPF, wird Domains helfen, einen Domain-basierten Ruf zu etablieren, lange bevor dieser unbedingt notwendig ist.
In diesem Beitrag werden wir Ihnen alles sagen, was Sie über die Nutzung von DMARC wissen müssen, um Ihren E-Mail-Ruf zu schützen, und Ihnen Tipps geben, wie Sie es für Ihre Domains einrichten können.
Begriffe zum Kennenlernen
Wie DMARC funktioniert, um Ihre E-Mail-Reputation zu schützen
Wenn wir von einem Mailbox-Anbieter oder einer anderen Domain sprechen, die "DMARC überprüft", "DMARC validiert" oder "DMARC-Richtlinie anwendet", meinen wir, dass die Domain, die eine Nachricht empfängt, die folgenden Schritte durchführt:
Ermitteln Sie die RFC5322.From-Domain der Nachricht
Schlagen Sie die DMARC-Richtlinie dieser Domain im DNS nach
Führen Sie die DKIM-Signaturvalidierung durch
Führen Sie die SPF-Validierung durch
Überprüfen Sie die Domain-Ausrichtung
Wenden Sie die DMARC-Richtlinie an
Damit eine Nachricht die DMARC-Validierung besteht, muss die Nachricht nur eine der beiden Authentifizierungs- und Ausrichtungsprüfungen bestehen. Eine Nachricht besteht die DMARC-Validierung, wenn eine der folgenden Bedingungen zutrifft:
Die Nachricht besteht die SPF-Prüfungen und die RFC5322.From-Domain und die Return-Path-Domain sind ausgerichtet, oder
Die Nachricht besteht die DKIM-Validierung und die RFC5322.From-Domain und die DKIM d= Domain sind ausgerichtet, oder
Beides trifft zu
DMARC für Ihre Domain zum Laufen bringen
Nachdem wir die Mechanik von DMARC erklärt haben, sprechen wir darüber, wie wir DMARC für uns arbeiten lassen können. Dies umfasst die folgenden drei Schritte:
Vorbereitungen treffen, um DMARC-Berichte zu empfangen
Entscheiden, welche DMARC-Richtlinie für Ihre Domain verwendet werden soll
Veröffentlichen Ihres DMARC-Datensatzes
Wir werden jeden dieser Punkte im Detail unten abdecken, aber wir sagen Ihnen gleich, dass Schritt 1 oben etwa 95% Ihrer Vorbereitungszeit in Anspruch nehmen wird.
Vorbereitung zum Empfang von DMARC Reports
Jede Domain, die eine DMARC-Richtlinie veröffentlicht, sollte zunächst darauf vorbereitet sein, Berichte über ihre Domain zu erhalten. Diese Berichte werden von jeder Domain erstellt, die DMARC-Validierung durchführt und sieht, dass E-Mail von unserer Domain stammt, und werden uns mindestens täglich zugesendet. Die Berichte werden in zwei Formaten vorliegen:
Aggregierte Berichte, bei denen es sich um XML-Dokumente handelt, die statistische Daten darüber zeigen, wie viele E-Mails der Berichterstatter von jeder Quelle gesehen hat, was die Authentifizierungsergebnisse waren und wie die Nachrichten vom Berichterstatter behandelt wurden. Aggregierte Berichte sind so konzipiert, dass sie maschinenlesbar sind, wobei ihre Daten irgendwo gespeichert werden, um eine Gesamtverkehrsanalyse, eine Überprüfung der Nachrichtenströme unserer Domain und möglicherweise die Identifizierung von Trends bei Quellen nicht authentifizierter, potenziell betrügerischer E-Mails zu ermöglichen.
Forensische Berichte, die einzelne Kopien von Nachrichten enthalten, die die Authentifizierung nicht bestanden haben, und jede in einer vollständigen E-Mail-Nachricht im AFRF-Format eingeschlossen ist. Die forensischen Berichte sollen vollständige Kopfzeilen und Nachrichtentexte enthalten, jedoch entfernen viele Berichterstatter aufgrund von Datenschutzbedenken einige Informationen oder schwärzen sie. Trotzdem können die forensischen Berichte sowohl zur Fehlersuche bei Authentifizierungsproblemen unserer Domain als auch zur Identifizierung von bösartigen Domains und Websites, die verwendet werden, um Kunden unseres Domain-Inhabers zu betrügen, nützlich sein.
Die Vorbereitung zum Empfang dieser Berichte besteht zunächst darin, zwei Postfächer in unserer Domain zu erstellen, um diese Berichte zu bearbeiten, wie z.B. agg_reports@ourdomain.com und afrf_reports@ourdomain.com. Beachten Sie, dass diese Postfachnamen völlig willkürlich sind und es keine Anforderungen für die Benennung des lokalen Teils des Postfachs gibt; wir können frei entscheiden, welche Namen wir wählen, sollten aber die beiden für eine einfachere Verarbeitung getrennt halten.
Sobald die Postfachnamen ausgewählt und in unserer Domain erstellt sind, besteht der nächste Schritt darin, Werkzeuge bereitzustellen, um diese Postfächer zu lesen und die Daten zu nutzen, insbesondere die aggregierten Datenberichte, die wiederum so konzipiert sind, dass sie von Maschinen und nicht von Menschen gelesen werden. Die forensischen Berichte hingegen können möglicherweise einfach durch eigenes Lesen verwaltet werden, aber unsere Fähigkeit, dies zu tun, hängt sowohl vom Verständnis unseres E-Mail-Clients dafür ab, wie Nachrichten im AFRF-Format angezeigt werden, als auch von der Anzahl der Berichte, die wir erhalten.
Obwohl es uns möglich ist, unsere eigenen Werkzeuge zur Verarbeitung von DMARC-Berichten zu entwickeln, empfehlen wir, dass wir bis zu dem Zeitpunkt, an dem Bird solche Dienste für bird.com-Kunden bereitstellt (etwas, das wir in Betracht ziehen, aber noch nicht versprechen), Werkzeuge nutzen, die bereits für diese Aufgabe verfügbar sind.
Welche DMARC-Policy zu verwenden
Die DMARC-Spezifikation bietet Domaininhabern drei Möglichkeiten, ihre bevorzugte Behandlung von E-Mails festzulegen, die die DMARC-Validierungsprüfungen nicht bestehen. Diese sind:
none, was bedeutet, die E-Mail genauso zu behandeln, als wäre sie unabhängig von den DMARC-Validierungsprüfungen behandelt.
quarantine, was bedeutet, die E-Mail anzunehmen, sie aber an einem anderen Ort als im Posteingang des Empfängers abzulegen (typischerweise im Spam-Ordner).
reject, was bedeutet, die Nachricht direkt abzulehnen.
Es ist wichtig zu beachten, dass der Domaininhaber eine solche Behandlung in seinem DMARC-Datensatz nur anfordern kann; es liegt beim Empfänger der Nachricht zu entscheiden, ob er die angeforderte Richtlinie einhalten möchte oder nicht. Einige werden dies tun, während andere möglicherweise etwas nachsichtiger bei der Anwendung der Richtlinie sind, wie z.B. nur E-Mails in den Spam-Ordner zu verschieben, wenn die Richtlinie der Domain "reject" ist.
Wir empfehlen all unseren Kunden, mit einer Richtlinie von none zu beginnen, um auf Nummer sicher zu gehen. Während wir von unserer Fähigkeit überzeugt sind, Ihre E-Mail durch DKIM-Signierung ordnungsgemäß zu authentifizieren, ist es dennoch am besten, sich etwas Zeit zu nehmen, um Berichte über Ihre Domain zu prüfen, bevor Sie Ihre DMARC-Richtlinie aggressiver gestalten.
Veröffentlichung Ihrer DMARC-Policy
Eine DMARC-Richtlinie eines Domainnamens wird durch Veröffentlichen eines DNS TXT-Eintrags an einem bestimmten Ort im DNS-Namensraum bekanntgegeben, nämlich „_dmarc.domainname.tld“ (beachten Sie den führenden Unterstrich). Ein grundlegender DMARC-Richtlinieneintrag für unsere zuvor erwähnte Beispiel-Domain, joesbaitshop.com, könnte etwa so aussehen:
_dmarc.joesbaitship.com. IN TXT "v=DMARC1\; p=none\; rua=mailto:agg_reports@joesbait.com\; ruf=mailto:afrf_reports@joesbait.com\; pct=100"
Bei der Aufschlüsselung dieses Eintrags haben wir:
v=DMARC1 gibt die DMARC-Version an (1 ist die einzige Wahl im Moment)
p=none gibt die bevorzugte Behandlung oder DMARC-Richtlinie an
rua=mailto:agg_reports@joesbait.com ist das Postfach, an das aggregierte Berichte gesendet werden sollen
ruf=mailto:afrf_reports@joesbait.com ist das Postfach, an das forensische Berichte gesendet werden sollen
pct=100 ist der Prozentsatz der E-Mails, auf den der Domaininhaber seine Richtlinie angewendet haben möchte. Domains, die gerade erst mit DMARC beginnen, insbesondere solche, die wahrscheinlich ein hohes Berichtsaufkommen erzeugen, sollten hier zunächst mit einem viel niedrigeren Wert beginnen, um zu sehen, wie ihre Prozess zur Berichtsverarbeitung mit der Belastung zurechtkommen.
Es stehen weitere Konfigurationsoptionen für Domaininhaber in ihrem DMARC-Richtlinieneintrag zur Verfügung, aber die von uns bereitgestellten Tipps sollten ein guter Anfang sein.
Zusammenfassung
Es gibt viel zu entpacken in den obigen Informationen! Wir hoffen, dass Sie die Anleitung zur Erstellung eines DMARC-Policy-Datensatzes hilfreich finden. Wir hoffen auch, dass unsere Erklärung, warum DMARC wichtig ist, klar macht, warum Sie dieses wichtige Werkzeug zum Schutz Ihrer E-Mail-Reputation verwenden sollten.
Natürlich ist dies kein vollständiges oder autoritatives Dokument zu diesem Thema. Wenn Sie tiefer einsteigen oder mehr Hilfe benötigen, ist ein guter Ausgangspunkt die offizielle DMARC-FAQ. Und es versteht sich von selbst, dass das Bird Support-Team bereit ist, Ihnen bei der Konfiguration Ihres Bird-Kontos für DMARC zu helfen.
Danke fürs Lesen – und beginnen Sie noch heute damit, Ihre Domains mit DMARC zu schützen!
