In diesem Beitrag erklären wir Ihnen alles, was Sie wissen müssen, um DMARC zu nutzen, um Ihre E-Mail-Reputation zu schützen, und geben Ihnen Hinweise, wie Sie es für Ihre Domains einrichten können.
Business in a box.
Entdecken Sie unsere Lösungen.
Sprechen Sie mit unserem Vertriebsteam
Ein effektives Werkzeug zur Bekämpfung von Fraudulent Mail
Oft in einem Atemzug mit den E-Mail-Authentifizierungsprotokollen SPF und DKIM genannt, ist DMARC, oder Domain-based Message Authentication, Reporting, and Conformance, nicht selbst ein Authentifizierungsprotokoll. Stattdessen besteht der Zweck von DMARC darin, uns, den Domain-Eigentümern, zu ermöglichen, unseren E-Mail-Ruf zu schützen durch:
Bekanntgabe von E-Mail-Authentifizierungspraktiken,
Anforderungen zur Behandlung von E-Mails, die die Authentifizierungsprüfungen nicht bestehen, und
Ersuchen um Berichte über E-Mails, die vorgeben, von unserer Domain zu stammen.
DMARC kann ein effektives Werkzeug für uns sein, um im Kampf gegen betrügerische E-Mails, die unseren Domainnamen ins Visier nehmen (z.B. Phishing und Spoofing), zu nutzen und kann das Vertrauen unserer Empfänger in unsere E-Mails fördern. Dieses höhere Vertrauen sollte wiederum zu einer höheren Interaktion mit unseren E-Mails führen, und E-Mails, die geöffnet und angeklickt werden, treiben Verkäufe und einen höheren ROI für unsere E-Mail-Kampagnen.
Zusätzlich zum Schutz unserer Domain prognostizieren wir, dass die Implementierung von DMARC jetzt eine hervorragende Möglichkeit sein wird, unsere Domain "zukunftssicher" zu machen. Hier bei Bird glauben wir, dass es, da die Branche zu IPv6 übergeht, fast sicher ist, dass sie von einem IP-basierten Reputationsmodell zu einem domänenbasierten Reputationsmodell übergehen wird. Ein domänenbasiertes Reputationsmodell erfordert eine domänenbasierte Authentifizierung, und DMARC wird in Verbindung mit DKIM und SPF dazu beitragen, dass Domains ein domänenbasiertes Reputationsmodell lange vor seinem möglichen Bedarf etablieren können.
In diesem Beitrag werden wir Ihnen alles erklären, was Sie über die Nutzung von DMARC wissen müssen, um Ihren E-Mail-Ruf zu schützen, und Ihnen Hinweise geben, wie Sie es für Ihre Domains einrichten können.
Begriffe zum Kennenlernen
Wie DMARC funktioniert, um Ihre E-Mail-Reputation zu schützen
Wenn wir von einem Postfachanbieter oder einer anderen Domain sprechen, die „DMARC überprüft“, „DMARC validiert“ oder „DMARC-Richtlinie anwendet“, meinen wir, dass die Domain, die eine Nachricht empfängt, die folgenden Schritte durchführt:
Bestimmen Sie die RFC5322.From-Domain der Nachricht
Schlagen Sie die DMARC-Richtlinie dieser Domain im DNS nach
Führen Sie die DKIM-Signaturüberprüfung durch
Führen Sie die SPF-Validierung durch
Überprüfen Sie die Domain-Ausrichtung
Wenden Sie die DMARC-Richtlinie an
Damit eine Nachricht die DMARC-Validierung besteht, muss die Nachricht nur eine der beiden Authentifizierungs- und Ausrichtungsprüfungen bestehen. Eine Nachricht wird also die DMARC-Validierung bestehen, wenn eine der folgenden Bedingungen erfüllt ist:
Die Nachricht besteht die SPF-Überprüfungen und die RFC5322.From-Domain und die Return-Path-Domain sind ausgerichtet, oder
Die Nachricht besteht die DKIM-Validierung und die RFC5322.From-Domain und die DKIM d= Domain sind ausgerichtet, oder
Beide der oben genannten Bedingungen sind wahr
DMARC für Ihre Domain zum Laufen bringen
Nachdem wir die Mechanik von DMARC erklärt haben, sprechen wir darüber, wie wir DMARC für uns arbeiten lassen können. Dies umfasst die folgenden drei Schritte:
Vorbereitungen treffen, um DMARC-Berichte zu empfangen
Entscheiden, welche DMARC-Richtlinie für Ihre Domain verwendet werden soll
Veröffentlichen Ihres DMARC-Datensatzes
Wir werden jeden dieser Punkte im Detail unten abdecken, aber wir sagen Ihnen gleich, dass Schritt 1 oben etwa 95% Ihrer Vorbereitungszeit in Anspruch nehmen wird.
Vorbereitung zum Empfang von DMARC Reports
Jede Domain, die eine DMARC-Richtlinie veröffentlicht, sollte sich zunächst darauf vorbereiten, Berichte über ihre Domain zu erhalten. Diese Berichte werden von jeder Domain erstellt, die eine DMARC-Validierung durchführt und sieht, dass E-Mails angeblich von unserer Domain stammen, und werden uns mindestens täglich zugesandt. Die Berichte werden in zwei Formaten vorliegen:
Aggregierte Berichte, die XML-Dokumente sind und statistische Daten darüber zeigen, wie viele E-Mails von der Berichterstattungsquelle gesehen wurden, welche Authentifizierungsergebnisse vorlagen und wie die Nachrichten von der Berichterstattungsquelle behandelt wurden. Aggregierte Berichte sind darauf ausgelegt, maschinenlesbar zu sein und ihre Daten irgendwo zu speichern, um eine allgemeine Verkehrsanalyse, eine Überprüfung der Nachrichtenströme unserer Domain und möglicherweise die Identifizierung von Trends bei Quellen nicht authentifizierter, potenziell betrügerischer E-Mails zu ermöglichen.
Forensische Berichte, die einzelne Kopien von Nachrichten sind, die die Authentifizierung nicht bestanden haben, in jede eine vollständige E-Mail-Nachricht im sogenannten AFRF-Format eingeschlossen. Die forensischen Berichte sollen vollständige Header und Nachrichtenkörper enthalten, aber viele Berichterstatter entfernen oder schwärzen einige Informationen aus Datenschutzgründen. Dennoch kann der forensische Bericht sowohl zur Fehlersuche bei Authentifizierungsproblemen unserer Domain nützlich sein als auch zur Identifizierung von bösartigen Domains und Websites, die über URIs in den Nachrichtenkörpern genutzt werden, um Kunden des Domaininhabers zu betrügen.
Die Vorbereitung zum Empfang dieser Berichte beinhaltet zuerst die Erstellung von zwei Postfächern in unserer Domain zur Bearbeitung dieser Berichte, wie zum Beispiel agg_reports@ourdomain.com und afrf_reports@ourdomain.com. Beachten Sie, dass diese Postfachnamen völlig willkürlich sind und es keine Anforderungen an die Benennung des lokalen Teils des Postfachs gibt; wir können frei wählen, welche Namen wir wünschen, sollten aber die beiden getrennt halten, um die Verarbeitung zu erleichtern.
Sobald die Postfachnamen ausgewählt und in unserer Domain erstellt sind, ist der nächste Schritt, Werkzeuge zu installieren, um diese Postfächer zu lesen und die Daten zu nutzen, insbesondere die aggregierten Datenberichte, die darauf ausgelegt sind, maschinenlesbar zu sein, anstatt von einem Menschen gelesen zu werden. Die forensischen Berichte hingegen könnten einfach durch eigenes Lesen verwaltet werden, unsere Fähigkeit dazu hängt jedoch sowohl von der Möglichkeit unseres Mail-Clients ab, Nachrichten im AFRF-Format anzuzeigen, als auch vom Volumen der Berichte, die wir erhalten.
Obwohl es uns möglich ist, unsere eigenen Werkzeuge zur Verarbeitung von DMARC-Berichten zu entwickeln, empfehlen wir, bis Bird solche Dienste für Bird.com-Kunden anbietet (etwas, das wir in Betracht ziehen, aber noch nicht versprochen haben), die Nutzung bereits verfügbarer Werkzeuge für diese Aufgabe.
Welche DMARC-Policy zu verwenden
Die DMARC-Spezifikation bietet drei Möglichkeiten für Domainbesitzer, die bevorzugte Behandlung von E-Mails anzugeben, die die DMARC-Validierungsprüfungen nicht bestehen. Diese sind:
none, was bedeutet, dass die E-Mail genauso behandelt wird wie unabhängig von DMARC-Validierungsprüfungen
quarantine, was bedeutet, dass die E-Mail angenommen, aber an einem anderen Ort als dem Posteingang des Empfängers abgelegt wird (typischerweise im Spam-Ordner)
reject, was bedeutet, die Nachricht vollständig abzulehnen
Es ist wichtig zu beachten, dass der Domainbesitzer eine solche Behandlung nur in seinem DMARC-Datensatz anfordern kann; es liegt am Empfänger der Nachricht zu entscheiden, ob er die angeforderte Richtlinie einhalten möchte oder nicht. Einige werden dies tun, während andere möglicherweise etwas nachsichtiger bei der Umsetzung der Richtlinie sind, wie nur das Verzeichnis der E-Mails in den Spam-Ordner, wenn die Richtlinie der Domain ablehnen ist.
Wir empfehlen allen unseren Kunden, mit einer Richtlinie von none zu beginnen, um auf der sicheren Seite zu sein. Auch wenn wir von unserer Fähigkeit überzeugt sind, Ihre E-Mails durch DKIM-Signatur ordnungsgemäß zu authentifizieren, ist es dennoch am besten, sich etwas Zeit zu nehmen, um Berichte über Ihre Domain zu prüfen, bevor Sie Ihre DMARC-Richtlinie aggressiver gestalten.
Veröffentlichung Ihrer DMARC-Policy
Die DMARC-Richtlinie einer Domain wird durch die Veröffentlichung eines DNS-TXT-Records an einem bestimmten Ort im DNS-Namespace bekanntgegeben, nämlich „_dmarc.domainname.tld“ (beachten Sie den führenden Unterstrich). Ein grundlegender DMARC-Policy-Record für unsere Beispiel-Domain von früher, joesbaitshop.com, könnte folgendermaßen aussehen:
_dmarc.joesbaitship.com. IN TXT "v=DMARC1\; p=none\; rua=mailto:agg_reports@joesbait.com\; ruf=mailto:afrf_reports@joesbait.com\; pct=100"
Beim Aufschlüsseln dieses Records haben wir:
v=DMARC1 spezifiziert die DMARC-Version (1 ist die einzige Wahl im Moment)
p=none spezifiziert die bevorzugte Behandlung oder DMARC-Richtlinie
rua=mailto:agg_reports@joesbait.com ist das Postfach, an das aggregierte Berichte gesendet werden sollen
ruf=mailto:afrf_reports@joesbait.com ist das Postfach, an das forensische Berichte gesendet werden sollen
pct=100 ist der Prozentsatz der E-Mails, auf die der Domain-Inhaber seine Richtlinie angewendet haben möchte. Domains, die gerade erst mit DMARC beginnen, insbesondere solche, die voraussichtlich ein hohes Volumen an Berichten erzeugen, sollten hier vielleicht mit einer viel niedrigeren Zahl beginnen, um zu sehen, wie ihre Berichtsbearbeitungsprozesse den Anforderungen standhalten.
Es gibt auch andere Konfigurationsoptionen, die ein Domain-Inhaber in seinem DMARC-Policy-Record verwenden kann, aber die von uns bereitgestellten Tipps sollten ein guter Anfang sein.
Zusammenfassung
Es gibt viel zu entpacken in den obigen Informationen! Wir hoffen, dass Sie die Anleitung zum Erstellen eines DMARC-Policydatensatzes hilfreich finden. Wir hoffen auch, dass unsere Erklärung, warum DMARC wichtig ist, klar macht, warum Sie dieses wichtige Tool zum Schutz Ihres E-Mail-Rufs verwenden sollten.
Natürlich ist dies kein vollständiges oder autoritatives Dokument zu diesem Thema. Wenn Sie tiefer eintauchen oder mehr Hilfe benötigen, ist ein großartiger Ausgangspunkt die offizielle DMARC-FAQ. Und es versteht sich von selbst, dass das Bird Support-Team bereit ist, Ihnen bei der Konfiguration Ihres Bird Kontos für DMARC zu helfen.
Vielen Dank fürs Lesen – und beginnen Sie noch heute, Ihre Domains mit DMARC zu schützen!
