Die domänenbasierte Nachrichtenauthentifizierung, -berichterstattung und -konformität, oder DMARC, ist ein technischer Standard, der hilft, E-Mail-Absender und -Empfänger vor Spam, Spoofing und Phishing zu schützen.
Business in a box.
Entdecken Sie unsere Lösungen.
Sprechen Sie mit unserem Vertriebsteam
DMARC verstehen
Domain-based Message Authentication, Reporting, and Conformance, oder DMARC, ist ein technischer Standard, der hilft, E-Mail-Absender und -Empfänger vor Spam, Spoofing und Phishing zu schützen. DMARC ermöglicht es einer Organisation, eine Richtlinie zu veröffentlichen, die ihre E-Mail-Authentifizierungspraktiken definiert und Anweisungen an empfangende Mailserver bereitstellt, wie diese durchzusetzen sind. In dieser Ausgabe von „DMARC Explained“ lernen Sie, was DMARC ist und wie es funktioniert.
Speziell etabliert DMARC eine Methode für einen Domaininhaber, um:
Seine E-Mail-Authentifizierungspraktiken zu veröffentlichen
Festzulegen, welche Aktionen für Mails ergriffen werden sollen, die die Authentifizierungsprüfungen nicht bestehen
Die Berichterstattung über diese Aktionen zu ermöglichen, die bei Mails ergriffen werden, die vorgeben, von seiner Domain zu stammen
DMARC ist selbst kein E-Mail-Authentifizierungsprotokoll, aber es baut auf wichtigen Authentifizierungsstandards SPF und DKIM auf. Mit ihnen ergänzt es SMTP, das grundlegende Protokoll zum Versenden von E-Mails, da SMTP selbst keine Mechanismen zum Implementieren oder Definieren von Richtlinien für die E-Mail-Authentifizierung enthält.
Wie funktioniert DMARC?
DMARC relies on the established SPF and DKIM standards for email authentication. It also piggybacks on the well-established Domain Name System (DNS). In general terms, the process of DMARC validation works like this:
A domain administrator publishes the policy defining its email authentication practices and how receiving mail servers should handle mail that violates this policy. This DMARC policy is listed as part of the domain’s overall DNS records.
When an inbound mail server receives an incoming email, it uses DNS to look up the DMARC policy for the domain contained in the message’s “From” (RFC 5322) header. The inbound server then checks evaluates the message for three key factors:
Does the message’s DKIM signature validate?
Did the message come from IP addresses allowed by the sending domain’s SPF records?
Do the headers in the message show proper “domain alignment”?
With this information, the server is ready to apply the sending domain’s DMARC policy to decide whether to accept, reject, or otherwise flag the email message.
After using DMARC policy to determine the proper disposition for the message, the receiving mail server will report the outcome to the sending domain owner.
Was ist ein DMARC-Eintrag?
Ein DMARC-Eintrag ist in der DNS-Datenbank einer Organisation enthalten. Ein DMARC-Eintrag ist eine speziell formatierte Version eines Standard-DNS-TXT-Eintrags mit einem bestimmten Namen, nämlich „_dmarc.mydomain.com“ (beachten Sie den führenden Unterstrich). Ein DMARC-Eintrag sieht ungefähr so aus: _dmarc.mydomain.com. IN TXT “v=DMARC1\; p=none\; rua=mailto:dmarc-aggregate@mydomain.com\; ruf=mailto:dmarc-afrf@mydomain.com\; pct=100”
Von links nach rechts in einfachem Englisch gelesen, sagt dieser Eintrag:
v=DMARC1 gibt die DMARC-Version an
p=none gibt die bevorzugte Behandlung oder DMARC-Richtlinie an
rua=mailto:dmarc-aggregate@mydomain.com ist das Postfach, in das aggregierte Berichte gesendet werden sollen
ruf=mailto:dmarc-afrf@mydomain.com ist das Postfach, in das forensische Berichte gesendet werden sollen
pct=100 ist der Prozentsatz von E-Mails, auf den der Domaininhaber seine Richtlinie angewendet haben möchte
Zusätzliche Konfigurationsoptionen stehen dem Domaininhaber auch zur Verfügung, um sie in seinem DMARC-Richtlinieneintrag zu verwenden, aber dies sind die Grundlagen.
Was bedeutet DMARC-Domain-Ausrichtung?
„Domain-Ausrichtung“ ist ein Konzept in DMARC, das die domäneninterne Validierung von SPF und DKIM erweitert. Die DMARC-Domain-Ausrichtung stimmt die „from“-Domain einer Nachricht mit relevanten Informationen dieser anderen Standards überein:
Für SPF müssen die From-Domain der Nachricht und die Return-Path-Domain übereinstimmen
Für DKIM müssen die From-Domain der Nachricht und ihre DKIM d= Domain übereinstimmen
Die Ausrichtung kann entspannt sein (Übereinstimmung von Basisdomains, aber unterschiedliche Subdomains zulassend) oder streng (exaktes Übereinstimmen der gesamten Domain). Diese Wahl wird in der veröffentlichten DMARC-Richtlinie der sendenden Domain festgelegt.
Was sind DMARC p= Richtlinien?
Die DMARC-Spezifikation bietet Domainbesitzern drei Möglichkeiten, um die bevorzugte Behandlung von E-Mails festzulegen, die die DMARC-Validierungsprüfungen nicht bestehen. Diese „p= Richtlinien“ sind:
none: behandeln Sie die E-Mail genauso, wie sie es ohne DMARC-Validierung tun würden
quarantine: akzeptieren Sie die E-Mail, platzieren Sie sie jedoch an einem anderen Ort als dem Posteingang des Empfängers (typischerweise im Spam-Ordner)
reject: weisen Sie die Nachricht vollständig zurück
Denken Sie daran, dass der Domaininhaber nur die Durchsetzung seines DMARC-Eintrags anfordern, jedoch nicht erzwingen kann; es liegt am eingehenden Mailserver zu entscheiden, ob die angeforderte Richtlinie befolgt wird oder nicht.
Was ist ein DMARC-Bericht?
DMARC-Berichte werden von eingehenden Mailservern als Teil des DMARC-Validierungsprozesses erstellt. Es gibt zwei Formate von DMARC-Berichten:
Aggregate reports, bei denen es sich um XML-Dokumente handelt, die statistische Daten über die empfangenen Nachrichten anzeigen, die behaupten, von einer bestimmten Domain zu stammen. Die gemeldeten Daten umfassen Authentifizierungsergebnisse und Nachrichten-Dispositionsdaten. Aggregate reports sind so gestaltet, dass sie maschinenlesbar sind.
Forensic reports, bei denen es sich um einzelne Kopien von Nachrichten handelt, die die Authentifizierung nicht bestanden haben und die jeweils in einer vollständigen E-Mail-Nachricht im speziellen AFRF-Format eingeschlossen sind. Forensic report kann sowohl nützlich sein, um die Authentifizierungsprobleme der eigenen Domain zu beheben, als auch um bösartige Domains und Websites zu identifizieren.
Wie steht DMARC im Zusammenhang mit SPF, DKIM oder anderen Standards?
DKIM, SPF und DMARC sind alles Standards, die verschiedene Aspekte der E-Mail-Authentifizierung ermöglichen. Sie adressieren ergänzende Probleme.
SPF ermöglicht es Absendern, festzulegen, welche IP-Adressen berechtigt sind, E-Mails für eine bestimmte Domain zu senden.
DKIM bietet einen Verschlüsselungsschlüssel und eine digitale Signatur, die verifiziert, dass eine E-Mail-Nachricht nicht gefälscht oder verändert wurde.
DMARC vereint die Authentifizierungsmechanismen SPF und DKIM in einem gemeinsamen Rahmen und ermöglicht es Domaininhabern zu erklären, wie sie möchten, dass E-Mails von dieser Domain gehandhabt werden, wenn sie einen Autorisierungstest nicht bestehen.
Brauche ich DMARC?
Wenn Sie ein Unternehmen sind, das kommerzielle oder transaktionale E-Mails sendet, müssen Sie auf jeden Fall eine oder mehrere Formen der E-Mail-Authentifizierung implementieren, um zu überprüfen, dass eine E-Mail tatsächlich von Ihnen oder Ihrem Unternehmen stammt. Eine ordnungsgemäße Konfiguration von DMARC hilft den empfangenden Mailservern zu bestimmen, wie sie Nachrichten bewerten sollen, die vorgeben, von Ihrer Domain zu stammen, und es ist einer der wichtigsten Schritte, die Sie unternehmen können, um Ihre Zustellbarkeit zu verbessern.
Standards wie DMARC gehen jedoch nur so weit; MessageBird und andere E-Mail-Experten empfehlen, eine DMARC-E-Mail-Authentifizierungsrichtlinie im Kontext einer vollständigen Messaging-Strategie zu implementieren.
