In diesem Beitrag erklären wir Ihnen alles, was Sie wissen müssen, um DMARC zu nutzen, um Ihre E-Mail-Reputation zu schützen, und geben Ihnen Hinweise, wie Sie es für Ihre Domains einrichten können.
Ein effektives Werkzeug zur Bekämpfung von Fraudulent Mail
Oft in einem Atemzug mit den E-Mail-Authentifizierungsprotokollen SPF und DKIM erwähnt, ist DMARC, oder Domain-based Message Authentication, Reporting, and Conformance, kein Authentifizierungsprotokoll an sich. Stattdessen ist der Zweck von DMARC, uns, den Domaininhabern, zu ermöglichen, unseren E-Mail-Ruf zu schützen durch:
Bekanntgabe von E-Mail-Authentifizierungsverfahren,
Anforderung von Behandlung für E-Mails, die die Authentifizierungsprüfungen nicht bestehen, und
Einholung von Berichten über E-Mails, die vorgeben, von seiner Domain zu stammen.
DMARC kann ein effektives Werkzeug für uns sein, um im Kampf gegen betrügerische E-Mails, die auf unseren Domainnamen abzielen (z.B. Phishing und Spoofing), zu agieren und das Vertrauen unserer Empfänger in unsere E-Mails zu fördern. Für Organisationen, die eine End-zu-End-Verschlüsselung jenseits der Authentifizierung benötigen, bietet die Implementierung von S/MIME mit effizienten Methoden zur Sammlung öffentlicher Empfängerschlüssel zusätzliche Sicherheitsschichten. Dieses höhere Vertrauen sollte wiederum zu höherem Engagement mit unseren E-Mails führen, und E-Mails, die geöffnet und geklickt werden, treiben Verkäufe an und steigern den ROI für unsere E-Mail-Kampagnen.
Zusätzlich zum Schutz unserer Domain prognostizieren wir, dass die Implementierung von DMARC jetzt eine hervorragende Möglichkeit sein wird, unsere Domain „zukunftssicher“ zu machen. Hier bei Bird glauben wir, dass sich die Branche, da sie zu IPv6 übergeht, mit hoher Wahrscheinlichkeit von einem IP-basierten Reputationsmodell zu einem Domain-basierten Reputationsmodell bewegen wird. Ein Domain-basiertes Reputationsmodell wird eine Domain-basierte Authentifizierung benötigen, und DMARC, in Verbindung mit DKIM und SPF, wird Domains helfen, eine Domain-basierte Reputation aufzubauen, lange bevor diese absolut notwendig sein könnte.
In diesem Beitrag werden wir Ihnen alles erzählen, was Sie wissen müssen, um DMARC zu nutzen, um Ihre E-Mail-Reputation zu schützen, und Ihnen Tipps geben, wie Sie es für Ihre Domains einrichten können.
Begriffe zum Kennenlernen
Wie DMARC funktioniert, um Ihre E-Mail-Reputation zu schützen
Wenn wir von einem Mailbox-Anbieter oder einer anderen Domain sprechen, die "DMARC überprüft", "DMARC validiert" oder "DMARC-Richtlinie anwendet", meinen wir, dass die Domain, die eine Nachricht empfängt, die folgenden Schritte durchführt:
Ermitteln Sie die RFC5322.From-Domain der Nachricht
Schlagen Sie die DMARC-Richtlinie dieser Domain im DNS nach
Führen Sie die DKIM-Signaturvalidierung durch
Führen Sie die SPF-Validierung durch
Überprüfen Sie die Domain-Ausrichtung
Wenden Sie die DMARC-Richtlinie an
Damit eine Nachricht die DMARC-Validierung besteht, muss die Nachricht nur eine der beiden Authentifizierungs- und Ausrichtungsprüfungen bestehen. Eine Nachricht besteht die DMARC-Validierung, wenn eine der folgenden Bedingungen zutrifft:
Die Nachricht besteht die SPF-Prüfungen und die RFC5322.From-Domain und die Return-Path-Domain sind ausgerichtet, oder
Die Nachricht besteht die DKIM-Validierung und die RFC5322.From-Domain und die DKIM d= Domain sind ausgerichtet, oder
Beides trifft zu
DMARC für Ihre Domain zum Laufen bringen
Nachdem wir die Mechanik von DMARC erklärt haben, sprechen wir darüber, wie wir DMARC für uns arbeiten lassen können. Dies umfasst die folgenden drei Schritte:
Vorbereitungen treffen, um DMARC-Berichte zu empfangen
Entscheiden, welche DMARC-Richtlinie für Ihre Domain verwendet werden soll
Veröffentlichen Ihres DMARC-Datensatzes
Wir werden jeden dieser Punkte im Detail unten abdecken, aber wir sagen Ihnen gleich, dass Schritt 1 oben etwa 95% Ihrer Vorbereitungszeit in Anspruch nehmen wird.
Vorbereitung zum Empfang von DMARC Reports
Jede Domain, die eine DMARC-Richtlinie veröffentlicht, sollte sich zunächst darauf vorbereiten, Berichte über ihre Domain zu empfangen. Diese Berichte werden von jeder Domain generiert, die DMARC-Validierungen durchführt und E-Mails sieht, die behaupten, von unserer Domain zu stammen, und werden uns mindestens täglich zugesandt. Die Berichte werden in zwei Formaten vorliegen:
Aggregierte Berichte, das sind XML-Dokumente, die statistische Daten darüber zeigen, wie viel E-Mail von jeder Quelle vom Berichterstatter gesehen wurde, welche Authentifizierungsergebnisse vorlagen und wie die Nachrichten vom Berichterstatter behandelt wurden. Aggregierte Berichte sind dafür gedacht, maschinell geparst zu werden, wobei ihre Daten irgendwo gespeichert werden, um eine Gesamtverkehrsanalyse, Prüfung der Nachrichtenströme unserer Domain und möglicherweise die Identifizierung von Trends bei Quellen nicht authentifizierter, potenziell betrügerischer E-Mails zu ermöglichen.
Forensische Berichte, das sind einzelne Kopien von Nachrichten, die die Authentifizierung nicht bestanden haben, jede eingeschlossen in einer vollständigen E-Mail-Nachricht im AFRF-Format. Die Forensischen Berichte sollen vollständige Header und Nachrichtentexte enthalten, aber viele Berichterstatter streifen oder schwärzen einige Informationen aufgrund von Datenschutzbedenken. Dennoch können die forensischen Berichte sowohl bei der Fehlersuche bei den Authentifizierungsproblemen unserer Domain als auch bei der Identifizierung von bösartigen Domains und Websites aus URIs in den Nachrichtentexten nützlich sein, die zum Betrug an Kunden des Domaininhabers verwendet werden.
Die Vorbereitung auf den Empfang dieser Berichte umfasst zunächst die Erstellung von zwei Postfächern in unserer Domain, um diese Berichte zu verarbeiten, wie z.B. agg_reports@ourdomain.com und afrf_reports@ourdomain.com. Beachten Sie, dass diese Postfachnamen völlig willkürlich sind und es keine Anforderungen für die Benennung des lokalen Teils des Postfachs gibt. Wir sind frei, beliebige Namen zu wählen, sollten die beiden jedoch getrennt halten, um die Verarbeitung zu erleichtern.
Sobald die Postfachnamen ausgewählt und in unserer Domain erstellt wurden, besteht der nächste Schritt darin, Tools zu implementieren, um diese Postfächer zu lesen und die Daten zu nutzen, insbesondere die aggregierten Datenberichte, die wiederum für maschinelles Parsing und nicht für das menschliche Lesen konzipiert sind. Die Forensischen Berichte hingegen könnten einfach zu verwalten sein, indem wir sie selbst lesen. Unsere Fähigkeit dazu hängt jedoch sowohl von der Fähigkeit unseres E-Mail-Clients ab, Nachrichten im AFRF-Format anzuzeigen, als auch von der Menge der empfangenen Berichte.
Obwohl es uns möglich ist, unsere eigenen Tools zur Verarbeitung von DMARC-Berichten zu schreiben, bis zu dem Zeitpunkt, an dem Bird solche Dienste für bird.com-Kunden bereitstellt (etwas, das wir in Betracht ziehen, aber noch nicht versprechen), empfehlen wir, dass wir Tools verwenden, die bereits für diese Aufgabe verfügbar sind.
Welche DMARC-Policy zu verwenden
Die DMARC-Spezifikation bietet Domaininhabern drei Möglichkeiten, ihre bevorzugte Behandlung von E-Mails festzulegen, die die DMARC-Validierungsprüfungen nicht bestehen. Diese sind:
none, was bedeutet, die E-Mail genauso zu behandeln, als wäre sie unabhängig von den DMARC-Validierungsprüfungen behandelt.
quarantine, was bedeutet, die E-Mail anzunehmen, sie aber an einem anderen Ort als im Posteingang des Empfängers abzulegen (typischerweise im Spam-Ordner).
reject, was bedeutet, die Nachricht direkt abzulehnen.
Es ist wichtig zu beachten, dass der Domaininhaber eine solche Behandlung in seinem DMARC-Datensatz nur anfordern kann; es liegt beim Empfänger der Nachricht zu entscheiden, ob er die angeforderte Richtlinie einhalten möchte oder nicht. Einige werden dies tun, während andere möglicherweise etwas nachsichtiger bei der Anwendung der Richtlinie sind, wie z.B. nur E-Mails in den Spam-Ordner zu verschieben, wenn die Richtlinie der Domain "reject" ist.
Wir empfehlen all unseren Kunden, mit einer Richtlinie von none zu beginnen, um auf Nummer sicher zu gehen. Während wir von unserer Fähigkeit überzeugt sind, Ihre E-Mail durch DKIM-Signierung ordnungsgemäß zu authentifizieren, ist es dennoch am besten, sich etwas Zeit zu nehmen, um Berichte über Ihre Domain zu prüfen, bevor Sie Ihre DMARC-Richtlinie aggressiver gestalten.
Veröffentlichung Ihrer DMARC-Policy
Die DMARC-Richtlinie einer Domain wird durch die Veröffentlichung eines DNS-TXT-Eintrags an einem bestimmten Ort im DNS-Namespace bekanntgegeben, nämlich „_dmarc.domainname.tld“ (achten Sie auf den führenden Unterstrich). Ein einfacher DMARC-Richtlinieneintrag für unsere zuvor genannte Beispiel-Domain, joesbaitshop.com, könnte folgendermaßen aussehen:
Die Aufschlüsselung dieses Eintrags ergibt:
v=DMARC1 gibt die DMARC-Version an (1 ist derzeit die einzige Wahl)
p=none gibt die bevorzugte Behandlung oder die DMARC-Richtlinie an
rua=mailto:agg_reports@joesbait.com ist das Postfach, an das aggregierte Berichte gesendet werden sollen
ruf=mailto:afrf_reports@joesbait.com ist das Postfach, an das Forensik-Berichte gesendet werden sollen
pct=100 ist der Prozentsatz der E-Mails, auf die der Domaininhaber seine Richtlinie anwenden möchte. Domains, die gerade erst mit DMARC beginnen und die wahrscheinlich ein großes Volumen an Berichten generieren werden, sollten hier möglicherweise mit einer viel niedrigeren Zahl beginnen, um zu sehen, wie ihre Prozesse zur Berichtsverarbeitung mit der Belastung umgehen.
Es gibt auch andere Konfigurationsoptionen, die ein Domaininhaber in seinem DMARC-Richtlinieneintrag verwenden kann, aber die Tipps, die wir gegeben haben, sollten ein guter Anfang sein.
Zusammenfassung
Es gibt viel in den obigen Informationen zu entpacken! Wir hoffen, dass Sie die Anleitung zur Erstellung eines DMARC-Policy-Datensatzes als hilfreich empfinden. Wir hoffen auch, dass unsere Erklärung, warum DMARC wichtig ist, dazu beiträgt, deutlich zu machen, warum Sie dieses wichtige Werkzeug zum Schutz Ihres E-Mail-Rufes verwenden sollten.
Natürlich ist dies kein vollständiges oder autoritatives Dokument zu diesem Thema. Wenn Sie tiefer eintauchen möchten oder mehr Hilfe benötigen, ist ein großartiger Ausgangspunkt das offizielle DMARC-FAQ. Und es versteht sich von selbst, dass das Bird support team bereit ist, Ihnen bei der Konfiguration Ihres Bird-Kontos für DMARC zu helfen.
Danke fürs Lesen – und beginnen Sie noch heute, Ihre Domains mit DMARC zu schützen!
