Business in a box.
Entdecken Sie unsere Lösungen.
Sprechen Sie mit unserem Vertriebsteam
Domain-basierte Nachrichtenautorisierung, Berichterstattung und Konformität, oder DMARC, ist ein technischer Standard, der hilft, E-Mail-Absender und -Empfänger vor Spam, Spoofing und Phishing zu schützen.
DMARC verstehen
Domänenbasierte Nachrichtenauthentifizierung, Berichterstattung und Übereinstimmung, oder DMARC, ist ein technischer Standard, der hilft, E-Mail-Absender und -Empfänger vor Spam, Spoofing und Phishing zu schützen. DMARC ermöglicht es einer Organisation, eine Richtlinie zu veröffentlichen, die ihre E-Mail-Authentifizierung praktiken definiert und Anweisungen an empfangende Mail-Server gibt, wie diese durchzusetzen sind. In dieser Ausgabe von „DMARC erklärt“ erfahren Sie, was DMARC ist und wie es funktioniert.
Speziell legt DMARC eine Methode für einen Domaininhaber fest, um:
seine E-Mail-Authentifizierungspraktiken zu veröffentlichen
anzugeben, welche Aktionen zu ergreifen sind bei E-Mails, die die Authentifizierungsprüfungen nicht bestehen
die Berichterstattung über diese Maßnahmen zu ermöglichen, die bei E-Mails ergriffen werden, die vorgeben, von seiner Domain zu stammen
DMARC selbst ist kein E-Mail-Authentifizierungsprotokoll, sondern baut auf wichtigen Authentifizierungsstandards SPF und DKIM auf. Mit diesen ergänzt es SMTP, das grundlegende Protokoll zum Versenden von E-Mails, da SMTP selbst keine Mechanismen zur Implementierung oder Definition von Richtlinien für die E-Mail-Authentifizierung enthält.
Wie funktioniert DMARC?
DMARC stützt sich auf die etablierten SPF- und DKIM-Standards zur E-Mail-Authentifizierung. Es nutzt auch das gut etablierte Domain Name System (DNS). Allgemein gesagt funktioniert der Prozess der DMARC-Validierung wie folgt:
Ein Domain-Administrator veröffentlicht die Richtlinie, die seine E-Mail-Authentifizierungspraktiken definiert und wie empfangende Mailserver mit E-Mails umgehen sollen, die diese Richtlinie verletzen. Diese DMARC-Richtlinie wird als Teil der DNS-Einträge der Domain aufgeführt.
Wenn ein eingehender Mailserver eine eingehende E-Mail erhält, benutzt er DNS, um die DMARC-Richtlinie für die Domain im „From“ (RFC 5322) Header der Nachricht nachzuschlagen. Der eingehende Server überprüft dann die Nachricht auf drei Schlüsselfaktoren:
Validiert die DKIM-Signatur der Nachricht?
Kam die Nachricht von IP-Adressen, die durch die SPF-Einträge der sendenden Domain erlaubt sind?
Zeigen die Header in der Nachricht eine richtige „Domain-Ausrichtung“?
Mit dieser Information ist der Server bereit, die DMARC-Richtlinie der sendenden Domain anzuwenden, um zu entscheiden, ob die E-Mail-Nachricht akzeptiert, abgelehnt oder auf andere Weise markiert werden soll.
Nachdem die DMARC-Richtlinie verwendet wurde, um die richtige Vorgehensweise für die Nachricht zu bestimmen, wird der empfangende Mailserver das Ergebnis an den Eigentümer der sendenden Domain melden.
Was ist ein DMARC-Eintrag?
Ein DMARC-Eintrag ist in der DNS-Datenbank einer Organisation enthalten. Ein DMARC Eintrag ist eine speziell formatierte Version eines standardmäßigen DNS TXT-Eintrags mit einem bestimmten Namen, nämlich “_dmarc.meinedomain.com” (beachten Sie den führenden Unterstrich). Ein DMARC Eintrag sieht etwa so aus: _dmarc.meinedomain.com. IN TXT “v=DMARC1\; p=none\; rua=mailto:dmarc-aggregate@meinedomain.com\; ruf=mailto:dmarc-afrf@meinedomain.com\; pct=100”
Wenn man von links nach rechts in einfachem Englisch liest, sagt dieser Eintrag:
v=DMARC1 gibt die DMARC-Version an
p=none gibt die bevorzugte Behandlung oder DMARC-Richtlinie an
rua=mailto:dmarc-aggregate@meinedomain.com ist das Postfach, an das aggregierte Berichte gesendet werden sollen
ruf=mailto:dmarc-afrf@meinedomain.com ist das Postfach, an das forensische Berichte gesendet werden sollen
pct=100 ist der Prozentsatz an E-Mails, auf den der Domaininhaber seine Richtlinie anwenden möchte
Zusätzliche Konfigurationsoptionen stehen einem Domaininhaber ebenfalls zur Verfügung, um sie in seinem DMARC-Richtliniensatz zu verwenden, aber das sind die Grundlagen.
Was bedeutet DMARC-Domain-Ausrichtung?
„Domain Alignment“ ist ein Konzept in DMARC, das die Domainvalidierung, die für SPF und DKIM intrinsisch ist, erweitert. Die DMARC-Domainausrichtung stimmt die „Von“-Domain einer Nachricht mit Informationen ab, die für diese anderen Standards relevant sind:
Für SPF müssen die From-Domain der Nachricht und die Return-Path-Domain übereinstimmen
Für DKIM müssen die From-Domain der Nachricht und die DKIM d=-Domain übereinstimmen
Die Ausrichtung kann gelockert werden (Basisdomänen abgleichen, aber unterschiedliche Subdomains zulassen) oder streng sein (die gesamte Domain genau abgleichen). Diese Wahl wird in der veröffentlichten DMARC-Politik der sendenden Domain festgelegt.
Was sind DMARC p= Richtlinien?
Die DMARC-Spezifikation bietet drei Optionen für Domaininhaber, um die von ihnen bevorzugte Behandlung von E-Mails anzugeben, die DMARC-Validierungsprüfungen nicht bestehen. Diese „p= Richtlinien“ lautern:
none: behandle die E-Mail genauso, wie sie ohne DMARC-Validierung behandelt werden würde.
quarantine: akzeptiere die E-Mail, aber platziere sie an einem anderen Ort als im Posteingang des Empfängers (typischerweise im Spam-Ordner).
reject: lehne die Nachricht direkt ab.
Denke daran, dass der Domaininhaber nur anfordern, nicht erzwingen, kann, dass sein DMARC-Eintrag durchgesetzt wird; es liegt am eingehenden Mailserver zu entscheiden, ob die angeforderte Richtlinie berücksichtigt wird oder nicht.
Was ist ein DMARC-Bericht?
DMARC-Berichte werden von eingehenden Mail-Servern als Teil des DMARC-Validierungsprozesses erstellt. Es gibt zwei Formate von DMARC Berichten:
Aggregierte Berichte, die XML-Dokumente sind, die statistische Daten über die Nachrichten zeigen, die angeblich von einer bestimmten Domain stammen. Das berichtete Datum umfasst die Authentifizierungsergebnisse und die Nachrichtenverwertung. Aggregierte Berichte sind so gestaltet, dass sie maschinenlesbar sind.
Forensische Berichte, die individuelle Kopien von Nachrichten sind, die die Authentifizierung nicht bestanden haben, jede in einer vollständigen E-Mail-Nachricht mit einem speziellen Format namens AFRF eingeschlossen. Forensische Berichte können sowohl zur Fehlersuche bei den Authentifizierungsproblemen einer Domain als auch zur Identifizierung bösartiger Domains und Websites nützlich sein.
Wie steht DMARC im Zusammenhang mit SPF, DKIM oder anderen Standards?
DKIM, SPF und DMARC sind alle Standards, die verschiedene Aspekte der E-Mail-Authentifizierung ermöglichen. Sie behandeln komplementäre Probleme.
SPF ermöglicht es Absendern, die IP-Adressen zu definieren, die berechtigt sind, E-Mails für eine bestimmte Domain zu senden.
DKIM stellt einen Verschlüsselungsschlüssel und eine digitale Signatur bereit, die verifiziert, dass eine E-Mail-Nachricht nicht gefälscht oder verändert wurde.
DMARC vereint die Authentifizierungsmechanismen von SPF und DKIM in einem gemeinsamen Rahmen und ermöglicht es Domaininhabern, zu erklären, wie sie möchten, dass E-Mails von dieser Domain behandelt werden, wenn sie einen Autorisierungstest nicht bestehen.
Brauche ich DMARC?
Wenn Sie ein Unternehmen sind, das kommerzielle oder transaktionale E-Mails sendet, müssen Sie auf jeden Fall eine oder mehrere Formen der E-Mail-Authentifizierung implementieren, um zu überprüfen, dass eine E-Mail tatsächlich von Ihnen oder Ihrem Unternehmen stammt. Eine ordnungsgemäße Konfiguration von DMARC hilft den empfangenden Mailservern zu bestimmen, wie sie Nachrichten bewerten sollen, die vorgeben, von Ihrer Domain zu stammen, und es ist einer der wichtigsten Schritte, die Sie unternehmen können, um Ihre Zustellbarkeit zu verbessern.
Standards wie DMARC gehen jedoch nur so weit; MessageBird und andere E-Mail-Experten empfehlen, eine DMARC-E-Mail-Authentifizierungsrichtlinie im Kontext einer vollständigen Messaging-Strategie zu implementieren.
