Die domänenbasierte Nachrichtenauthentifizierung, -berichterstattung und -konformität, oder DMARC, ist ein technischer Standard, der hilft, E-Mail-Absender und -Empfänger vor Spam, Spoofing und Phishing zu schützen.
Domain-basierte Nachrichtenauthentifizierung, -berichterstattung und -konformität, oder DMARC, ist ein technischer Standard, der hilft, E-Mail-Absender und -Empfänger vor Spam, Spoofing und Phishing zu schützen. DMARC ermöglicht es einer Organisation, eine Richtlinie zu veröffentlichen, die ihre E-Mail-Authentifizierungs praktiken definiert und den empfangenden Mail-Servern Anweisungen gibt, wie diese durchzusetzen sind. In dieser Ausgabe von „DMARC erklärt“ erfahren Sie, was DMARC ist und wie es funktioniert.
Konkret stellt DMARC eine Methode für einen Domaininhaber bereit, um:
Seine E-Mail-Authentifizierungspraktiken zu veröffentlichen
Welche Maßnahmen bei E-Mails ergriffen werden sollten, die die Authentifizierungsprüfungen nicht bestehen
Die Berichterstattung über diese Maßnahmen zu ermöglichen, die bei E-Mails ergriffen werden, die vorgeben, von seiner Domain zu stammen
DMARC selbst ist kein E-Mail-Authentifizierungsprotokoll, sondern baut auf wichtigen Authentifizierungsstandards SPF und DKIM auf. Mit ihnen ergänzt es SMTP, das grundlegende Protokoll zum Versenden von E-Mails, da SMTP selbst keine Mechanismen zur Implementierung oder Definition von Richtlinien für die E-Mail-Authentifizierung enthält.
Wie funktioniert DMARC?
DMARC stützt sich auf die etablierten SPF- und DKIM-Standards zur E-Mail-Authentifizierung. Es nutzt auch das gut etablierte Domain Name System (DNS). Im Allgemeinen funktioniert der Prozess der DMARC-Validierung wie folgt:
Ein Domain-Administrator veröffentlicht die Richtlinie, die seine E-Mail-Authentifizierungspraktiken definiert und wie empfangende Mailserver mit E-Mails umgehen sollten, die gegen diese Richtlinie verstoßen. Diese DMARC-Richtlinie wird als Teil der Gesamt-DNS-Einträge der Domain aufgeführt.
Wenn ein eingehender Mailserver eine eingehende E-Mail erhält, verwendet er DNS, um die DMARC Richtlinie für die Domain nachzuschlagen, die im „From“- (RFC 5322) Header der Nachricht enthalten ist. Der eingehende Server prüft dann evaluierte die Nachricht auf drei Schlüsselfaktoren:
Gültig die DKIM-Signatur der Nachricht?
Kam die Nachricht von IP-Adressen, die durch die SPF-Einträge der sendenden Domain erlaubt sind?
Zeigen die Header in der Nachricht eine ordnungsgemäße „Domain-Ausrichtung“?
Mit diesen Informationen ist der Server bereit, die DMARC-Richtlinie der sendenden Domain anzuwenden um zu entscheiden, ob die E-Mail-Nachricht akzeptiert, abgelehnt oder anderweitig gekennzeichnet werden soll.
Nachdem die DMARC Richtlinie verwendet wurde, um die ordnungsgemäße Verfügung für die Nachricht zu bestimmen, wird der empfangende Mailserver das Ergebnis dem Eigentümer der sendenden Domain berichten.
Was ist ein DMARC-Eintrag?
Ein DMARC-Eintrag ist in der DNS-Datenbank einer Organisation enthalten. Ein DMARC-Eintrag ist eine speziell formatierte Version eines standardmäßigen DNS TXT-Eintrags mit einem bestimmten Namen, nämlich “_dmarc.meinedomain.com” (beachten Sie den führenden Unterstrich). Ein DMARC-Eintrag sieht ungefähr so aus: _dmarc.meinedomain.com. IN TXT “v=DMARC1\; p=none\; rua=mailto:dmarc-aggregate@meinedomain.com\; ruf=mailto:dmarc-afrf@meinedomain.com\; pct=100”
Wenn man von links nach rechts in einfachem Englisch liest, sagt dieser Eintrag:
v=DMARC1 gibt die DMARC-Version an
p=none gibt die bevorzugte Behandlung oder DMARC-Policy an
rua=mailto:dmarc-aggregate@meinedomain.com ist das Postfach, an das aggregierte Berichte gesendet werden sollen
ruf=mailto:dmarc-afrf@meinedomain.com ist das Postfach, an das forensische Berichte gesendet werden sollen
pct=100 gibt den Prozentsatz der E-Mails an, auf den der Domaininhaber seine Richtlinie anwenden möchte
Zusätzliche Konfigurationsoptionen stehen ebenfalls für einen Domaininhaber zur Verfügung, um sie in seinem DMARC-Richtlinieneintrag zu verwenden, aber das sind die Grundlagen.
Was bedeutet DMARC-Domain-Ausrichtung?
„Domänenanpassung“ ist ein Konzept in DMARC, das die domänenbezogene Validierung, die für SPF und DKIM intrinsisch ist, erweitert. DMARC-Domänenanpassung verbindet die „Von“-Domäne einer Nachricht mit Informationen, die für diese anderen Standards relevant sind:
Für SPF müssen die Von-Domäne der Nachricht und die Return-Path-Domäne übereinstimmen
Für DKIM müssen die Von-Domäne der Nachricht und die DKIM d= Domäne übereinstimmen
Die Anpassung kann gelockert (Übereinstimmung der Basisdomänen, aber unterschiedliche Subdomänen zulassen) oder streng (genaue Übereinstimmung der gesamten Domäne) sein. Diese Wahl wird in der veröffentlichten DMARC-Richtlinie der sendenden Domäne festgelegt.
Was sind DMARC p= Richtlinien?
Die DMARC-Spezifikation bietet drei Möglichkeiten für Domaininhaber, um ihre bevorzugte Behandlung von E-Mails anzugeben, die die DMARC-Validierungsprüfungen nicht bestehen. Diese „p= Richtlinien“ sind:
none: behandle die E-Mail so, wie sie ohne jegliche DMARC-Validierung behandelt werden würde
quarantine: akzeptiere die E-Mail, aber platziere sie an einem anderen Ort als dem Posteingang des Empfängers (typischerweise im Spam-Ordner)
reject: weise die Nachricht direkt zurück
Denke daran, dass der Domaininhaber nur eine Anfrage stellen kann, nicht jedoch die Durchsetzung seines DMARC-Datensatzes erzwingen kann; es liegt am eingehenden Mailserver zu entscheiden, ob er die angeforderte Richtlinie einhält oder nicht.
Was ist ein DMARC-Bericht?
DMARC-Berichte werden von eingehenden Mail-Servern als Teil des DMARC-Validierungsprozesses erstellt. Es gibt zwei Formate von DMARC Berichten:
Aggregierte Berichte, die XML-Dokumente sind, die statistische Daten über die empfangenen Nachrichten zeigen, die vorgeben, von einer bestimmten Domain zu stammen. Der gemeldete Zeitpunkt umfasst die Authentifizierungsergebnisse und die Nachrichtendisposition. Aggregierte Berichte sind so gestaltet, dass sie maschinenlesbar sind.
Forensische Berichte, die einzelne Kopien von Nachrichten sind, die die Authentifizierung nicht bestanden haben, jede in einer vollständigen E-Mail-Nachricht im speziellen Format AFRF eingeschlossen. Forensische Berichte können sowohl beim Troubleshooting von Authentifizierungsproblemen einer Domain als auch bei der Identifizierung von bösartigen Domains und Websites nützlich sein.
Wie steht DMARC im Zusammenhang mit SPF, DKIM oder anderen Standards?
DKIM, SPF und DMARC sind alle Standards, die verschiedene Aspekte der E-Mail-Authentifizierung ermöglichen. Sie adressieren komplementäre Probleme.
SPF ermöglicht es Absendern, festzulegen, welche IP-Adressen berechtigt sind, E-Mails für eine bestimmte Domain zu senden.
DKIM stellt einen Verschlüsselungsschlüssel und eine digitale Signatur bereit, die verifiziert, dass eine E-Mail-Nachricht nicht gefälscht oder verändert wurde.
DMARC vereint die SPF- und DKIM-Authentifizierungsmechanismen in einem gemeinsamen Rahmen und ermöglicht Domaininhabern zu erklären, wie sie möchten, dass E-Mail von dieser Domain behandelt wird, wenn sie einen Autorisierungstest nicht besteht.
Brauche ich DMARC?
Wenn Sie ein Unternehmen sind, das kommerzielle oder transaktionale E-Mails sendet, müssen Sie auf jeden Fall eine oder mehrere Formen der E-Mail-Authentifizierung implementieren, um zu überprüfen, dass eine E-Mail tatsächlich von Ihnen oder Ihrem Unternehmen stammt. Eine ordnungsgemäße Konfiguration von DMARC hilft den empfangenden Mailservern zu bestimmen, wie sie Nachrichten bewerten sollen, die vorgeben, von Ihrer Domain zu stammen, und es ist einer der wichtigsten Schritte, die Sie unternehmen können, um Ihre Zustellbarkeit zu verbessern.
Standards wie DMARC gehen jedoch nur so weit; MessageBird und andere E-Mail-Experten empfehlen, eine DMARC-E-Mail-Authentifizierungsrichtlinie im Kontext einer vollständigen Messaging-Strategie zu implementieren.