DMARC - was ist das?
Domain-based Message Authentication, Reporting and Conformance.
Es handelt sich um eine Methode zur Überprüfung von E-Mails und vor allem zur Überwachung eines möglichen Missbrauches der eigenen Absenderdomain.
Wozu wird DMARC eingesetzt?
DMARC wird eingesetzt, um die eigene Domain vor Missbrauch zu schützen und die Zustellquote beim E-Mail-Versand zu erhöhen.
Für eine Domain wird dabei im DNS eine DMARC-Richtlinie hinterlegt – in dieser definiert der Domain-Besitzer, wie der Empfänger von E-Mails mit dieser Absenderdaomin mit E-Mails verfahren soll, die Fehler in den SPF-Records oder beim DKIM-Schlüssel aufweisen. E-Mails mit solchen Sicherheitsmängeln können wahlweise abgewiesen werden oder als Spam aussortiert werden – oder aber ganz normal weiter bearbeitet werden.
Zudem kann festgelegt werden, ob der Absender eine Rückmeldung dazu erhalten soll. Wie der Empfänger DMARC wirklich auswertet und ob er die dort hinterlegten Informationen auch im Sinne der Absender-Domain auswertet, ist letztendlich ihm überlassen.
Wie setzt man DMARC um?
Der DMARC-Eintrag wird im DNS der Domain gesetzt, die als Absenderdomain für den Versand genutzt wird. Es handelt sich dabei um einen Text-Eintrag. Der so aussieht:
Hostname: _dmarc.<Domainname>
v=DMARC1; p=none
(bei falschen Einstellungen bei SPF-Records oder DKIM-Schlüsseln erfolgt keine weitere Aktion – die Mail soll vom Empfänger entgegengenommen werden.
Zusätzlich gibt es diese strengeren Einstellungen
- v=DMARC1; p=quarantine
Mail mit fehlerhaften Sicherheitseinstellungen sollen wie Spam behandelt werden - v=DMARC1; p=reject
Mails mit fehlerhaften Sicherheitseinstellungen sollen abgelehnt werden.
Zusätzlich ist es möglich, weitere Einstellungen vorzunehmen, die angeben, ob die Prüfung von SPF-Records oder DKIM besonders streng erfolgen soll (s) oder eher weniger streng („relaxed“ = r):
- adkim=s
- aspf=s;
Um einen Bericht zu erhalten über Mails, die mit fehlerhaften Einstellungen empfangen wurden, ist es möglich, eine Mail-Adresse zu definieren, unter der man darüber informiert wird:
- rua=mailto:beispiel@mailadresse.de
Der einfachste DMARC-Eintrag könnte somit lauten:
V=DMARC1; p=none
(Fehlerhafte Einstellungen bei SPF und DKIM ignorieren)
Ein umfangreicherer DMARC-Eintrag könnte lauten:
V=DMARC1; p=reject; adkim=s; aspf=s;rua=mailto:beispiel@mailadresse.de
(E-Mails mit fehlerhaften Einstellungen sollen abgelehnt werden, DKIM und SPF-Records sollen streng beaachtet werden, eine Rückmeldung bei Fehlern soll erfolgen an die Mail-Adressen beispiel@mailadresse.de)
Lust mehr mehr?
In unserem Video erklären wir Ihnen anschaulich, was ein DMARC-Eintrag ist und wie man ihn setzt.
DMARC - Fazit
Ein DMARC-Eintrag dient der Kontrolle über die Sicherheit Ihrer Domain. Hiermit kann man nicht nur definieren, wie der Empfänger mit E-Mails Ihres Absenders umgehen soll, die nicht korrekt sind. Sie können hier hinterlegen, dass Sie über solche E-Mails informiert werden möchten. Somit können Sie den Überblick darüber behalten, was in Ihrem Namen (unerlaubter Weise) versandt wird.
Zudem setzen einige Provider DMARC-Einträge voraus, um E-Mails entgegenzunehmen. Daher hilft auch der einfachste DMARC-Eintrag, die Zustellquote Ihrer E-Mails zu erhöhen.