Wie richte ich DMARC ein?
Zurück zu dnsE-Mail wird von vielen Privatpersonen und/oder Unternehmen genutzt, aber leider auch oft von Hackern missbraucht.
Vielleicht haben Sie selbst schon erlebt, dass eine E-Mail-Adresse von Hackern missbraucht wurde oder Ihre
website hat viele Mails verschickt, weil die Website gehackt wurde.
Im Laufe der Zeit wurden verschiedene Sicherheitsvorkehrungen eingeführt, um Spammern entgegenzuwirken.
So gibt es bereits den SPF-Eintrag, mit dem überprüft wird, ob der Mailserver tatsächlich berechtigt ist, Mails zu versenden.
Außerdem gibt es DKIM, eine Art Signatur des Mailservers, die ebenfalls anhand des DNS prüft, ob er korrekt ist.
Aber leider sind SPF und DKIM immer noch korrekt, wenn Ihre Website oder Ihr E-Mail-Passwort gehackt und dann E-Mails verschickt werden.
Neben SPF und DKIM gibt es noch eine weitere Sicherheit, die mehr Einblick in den E-Mail-Verkehr gibt, nämlich DMARC.
Was ist und was bewirkt DMARC?Ein DMARC-Eintrag ermöglicht Ihnen einen besseren Einblick in die über den Mailserver gesendeten E-Mails.
Außerdem können Sie dem Empfänger mitteilen, was er mit der E-Mail tun soll.
Sie können den DMARC-Eintrag so einstellen, dass er SPF, DKIM oder beides prüft.
Im dmarc-Eintrag geben Sie unter anderem eine E-Mail-Adresse an, an die Berichte gesendet werden sollen.
Wann erhalte ich meinen DMARC-Bericht und wie oft?Nach 24 Stunden erhalten Sie oft Ihren ersten DMARC-Bericht.
Einen Tag später erhalten Sie einen weiteren Bericht.
Was enthält dieser Bericht?
Die E-Mail enthält einen XML-Anhang. Wenn Sie ihn lesen, erfahren Sie genau, wie viele E-Mails gesendet wurden und wie viele davon DKIM und SPF hatten.
Sie können auch eine Kopie des Inhalts erhalten, wenn eine der SPF/DKIM-Anforderungen nicht erfüllt ist.
So erhalten Sie einen guten Einblick, ob alle E-Mails korrekt versandt wurden.
Kann DMARC Probleme verursachen, wenn es falsch eingerichtet ist?Ja, das kann es. Wenn Sie z. B. SPF oder DKIM nicht richtig eingestellt haben und p=reject verwenden, wird die E-Mail oft bei anderen Parteien zurückgewiesen.
Wie sieht ein DMARC-Eintrag aus?Dmarc ist ein DNS-TXT-Eintrag und kann in Ihrer Systemsteuerung unter dns eingestellt werden.
Darüber hinaus kann DMARC auf verschiedene Arten eingestellt werden, je nachdem, wie Sie die E-Mail funktionieren soll.
Unten sehen Sie ein Beispiel für einen DMARC-Eintrag:
v=DMARC1; p=quarantine; rua=mailto:dmarcrapport@voorbeelddomein.nl;
V=DMARC1;Der Eintrag beginnt mit v=DMARC1;
Dies zeigt an, dass es sich um DMARC und nicht um SPF oder DKIM handelt.
P=quarantine;Weiter heißt es: p=quarantine;
Das P steht für Policy (was wir auch von SPF (Sender Policy Framework) kennen).
Für die Richtlinie gibt es 3 Optionen, und diese Optionen geben an, was die empfangende Partei zu tun hat, wenn DMARC nicht korrekt ist, nämlich
- keine (dies bedeutet, dass die empfangende Partei nichts unternimmt, aber Ihnen erlaubt, Berichte zu erhalten, was für die Forschung nützlich ist)
- quarantäne (dies bedeutet, dass die empfangende Partei die Mails in den Spam-Ordner verschieben muss)
- ablehnen (dies bedeutet, dass die empfangende Partei die E-Mail nicht annehmen sollte).
RUA (aggregierte DMARC-Berichte)Dies ist die E-Mail-Adresse, an die die Berichte gesendet werden.
Sie erhalten täglich eine XML-Datei mit einer Übersicht darüber, wie viele Mails versendet wurden und wie viele davon gültige SPF- und/oder DKIM-Daten hatten.
Standardmäßig erhalten Sie den Bericht einmal pro Tag; optional können Sie angeben, ob Sie ihn einmal pro Woche erhalten möchten.
Sie können dies tun, indem Sie ri=xxx Sekunden zum DMARC-Eintrag hinzufügen.
RUF (forensische DMARC-Fehlerberichte)Neben RUA gibt es auch eine RUF-Option, die den Inhalt der nicht DMARC-konformen Mails anzeigt, während RUA ihn globaler anzeigt.
Beim Einrichten des DMARC-Eintrags können Sie für RUF angeben, wann Sie einen RUF-Bericht erhalten möchten.
Dies kann zum Beispiel der Fall sein, wenn SPF fehlschlägt, wenn DKIM fehlschlägt oder wenn sowohl SPF als auch DKIM fehlschlagen.
Entspannt oder StrengSie können angeben, ob dmarc die Bedingungen für die E-Mails entspannt oder streng handhaben soll.
In dem Beispiel, das ich vorhin gegeben habe, sehen Sie nicht, dass relaxed oder strict eingestellt ist.
Das liegt daran, dass der Standardwert für DMARC entspannt ist.
Im strengen Modus von DKIM prüft DMARC, ob die DKIM genau übereinstimmt.
Bei der Einstellung relaxed prüft das DKIM nur, ob die E-Mail von der Root-Domäne signiert ist.
Quellen zufolge bietet die Verwendung des strengen Modus jedoch keine zusätzliche Sicherheit.
Aus diesem Grund ist es ratsam, den entspannten Modus zu verwenden, da der strenge Modus die Konfiguration erheblich erschwert.
Angenommen, Sie möchten dennoch eine strenge Prüfung von SPF und/oder DKIM durchführen, können Sie dies mit angeben:
adkim=s; aspf=s
Das adkim steht für DKIM, und das =s bedeutet, dass eine strenge Prüfung durchgeführt werden soll.
Das gleiche gilt für aspf.
pct=100Es ist auch möglich, einen Prozentsatz der gesendeten Mails zu prüfen.
Standardmäßig ist der Prozentsatz auf 100% eingestellt und muss nicht angegeben werden, wenn Sie die 100% beibehalten wollen. Wenn Sie jedoch einen niedrigeren Prozentsatz prüfen möchten, müssen Sie diesen in den DMARC-Eintrag aufnehmen.
Wie erhalte ich einen DMARC-Datensatz?Es ist verständlich, dass Sie einen DMARC-Datensatz nicht einfach so eintippen, daher finden Sie im Internet verschiedene Tools zur Erstellung eines DMARC-Datensatzes.
Ein Beispiel für einen DMARC-Generator ist dmarcian oder mxtoolbox
In Verbindung stehende Artikel
