Menü Schließen

Was ist DMARC?

MARC verstehen

Domain-based Message Authentication, Reporting, and Conformance, kurz DMARC, ist ein technischer Standard, der E-Mail-Absender und -Empfänger vor Spam, Spoofing und Phishing schützt. DMARC ermöglicht es einer Organisation, eine Richtlinie zu veröffentlichen, die ihre E-Mail-Authentifizierungspraktiken definiert und Anweisungen für die empfangenden Mailserver enthält, wie diese durchgesetzt werden können. In dieser Ausgabe von „DMARC Explained“ erfahren Sie, was DMARC ist und wie es funktioniert.

Der DMARC stellt eine Methode dar, mit der ein Domänenbesitzer:

  • ihre E-Mail-Authentifizierungspraktiken veröffentlichen kann
  • festlegen kann, welche Maßnahmen bei E-Mails ergriffen werden sollen, die die Authentifizierungsprüfungen nicht bestehen
  • Die Meldung dieser Maßnahmen, die bei E-Mails ergriffen werden, die behaupten, von seiner Domäne zu stammen, aktivieren kann

DMARC selbst ist kein E-Mail-Authentifizierungsprotokoll, sondern baut auf den wichtigen Authentifizierungsstandards SPF und DKIM auf. Damit ergänzt es SMTP, das Basisprotokoll für den E-Mail-Versand, da SMTP selbst keine Mechanismen zur Implementierung oder Definition von Richtlinien für die E-Mail-Authentifizierung enthält.

Wie funktioniert DMARC?

DMARC stützt sich auf die etablierten Standards SPF und DKIM für die E-Mail-Authentifizierung. Außerdem stützt es sich auf das gut etablierte Domain Name System (DNS). Im Allgemeinen funktioniert der Prozess der DMARC-Validierung wie folgt:

  1. Ein Domänenadministrator veröffentlicht die Richtlinie, die seine E-Mail-Authentifizierungspraktiken festlegt und wie empfangende Mailserver E-Mails behandeln sollen, die gegen diese Richtlinie verstoßen. Diese DMARC-Richtlinie wird als Teil der gesamten DNS-Einträge der Domäne aufgeführt.
  2. Wenn ein Posteingangsserver eine eingehende E-Mail empfängt, verwendet er DNS, um die DMARC-Richtlinie für die Domäne nachzuschlagen, die im „From“-Header (RFC 5322) der Nachricht enthalten ist. Der Posteingangsserver prüft dann die Nachricht auf drei Schlüsselfaktoren:
    • Ist die DKIM-Signatur der Nachricht gültig?
    • Stammt die Nachricht von IP-Adressen, die durch die SPF-Einträge der sendenden Domäne zugelassen sind?
    • Erweisen sich die Kopfzeilen der Nachricht als ordnungsgemäß „domain alignment“?
  3. Mit diesen Informationen ist der Server bereit, die DMARC-Richtlinie der sendenden Domäne anzuwenden, um zu entscheiden, ob die E-Mail-Nachricht akzeptiert, zurückgewiesen oder anderweitig gekennzeichnet werden soll.
  4. Nachdem der empfangende Mailserver die DMARC-Richtlinie angewendet hat, um die richtige Behandlung der Nachricht zu bestimmen, meldet er das Ergebnis an den Eigentümer der sendenden Domäne.

Was ist ein DMARC-Eintrag?

Ein DMARC-Eintrag ist in der DNS-Datenbank einer Organisation enthalten. Ein DMARC-Eintrag ist eine speziell formatierte Version eines standardmäßigen DNS-TXT-Eintrags mit einem bestimmten Namen, nämlich „_dmarc.mydomain.com“ (beachten Sie den führenden Unterstrich). Ein DMARC-Eintrag sieht etwa so aus:

_dmarc.mydomain.com. IN TXT „v=DMARC1\; p=none\; rua=mailto:[email protected]\; ruf=mailto:[email protected]\; pct=100“

Reading left-to-right in plain English, this record says:

  • v=DMARC1 specifies the DMARC version
  • p=none specifies the preferred treatment, or DMARC policy
  • pct=100 is the percentage of mail to which the domain owner would like to have its policy applied

Additional configuration options are available for a domain owner to use in its DMARC policy record as well, but these are the basics.

What does DMARC domain alignment mean?

„Domain alignment“ is a concept in DMARC that expands the domain validation intrinsic to SPF and DKIM. DMARC Domain Alignment gleicht die „From“-Domain einer Nachricht mit Informationen ab, die für diese anderen Standards relevant sind:

  • Für SPF müssen die From-Domain der Nachricht und die Return-Path-Domain übereinstimmen
  • Für DKIM müssen die From-Domain der Nachricht und die DKIM d=-Domain übereinstimmen

Das Alignment kann entspannt (Übereinstimmung mit Basisdomains, aber Zulassen verschiedener Subdomains) oder strikt (genaue Übereinstimmung mit der gesamten Domain) sein. Diese Wahl wird in der veröffentlichten DMARC-Richtlinie der sendenden Domain angegeben.

Was sind DMARC p= Policies?

Die DMARC-Spezifikation bietet drei Wahlmöglichkeiten für Domainbesitzer, um ihre bevorzugte Behandlung von E-Mails anzugeben, die DMARC-Validierungsprüfungen nicht bestehen. Diese „p= Policies“ sind:

  • none: Die Mail wird so behandelt, wie sie ohne DMARC-Validierung behandelt werden würde
  • quarantine: Die Mail wird akzeptiert, aber an einem anderen Ort als dem Posteingang des Empfängers abgelegt (normalerweise im Spam-Ordner)
  • reject: die Nachricht komplett ablehnen

Denken Sie daran, dass der Domänenbesitzer die Durchsetzung seines DMARC-Eintrags nur anfordern, nicht aber erzwingen kann. Es ist Sache des Posteingangsservers zu entscheiden, ob er die angeforderte Richtlinie beachtet oder nicht.

Was ist ein DMARC-Bericht?

DMARC-Berichte werden von Posteingangsservern als Teil des DMARC-Validierungsprozesses erstellt. Es gibt zwei Formate von DMARC-Berichten:

  • Aggregatberichte sind XML-Dokumente, die statistische Daten über die empfangenen Nachrichten enthalten, die angeblich von einer bestimmten Domain stammen. Zu den gemeldeten Daten gehören die Authentifizierungsergebnisse und die Anordnung der Nachrichten. Aggregierte Berichte sind maschinenlesbar.
  • Forensische Berichte sind einzelne Kopien von Nachrichten, deren Authentifizierung fehlgeschlagen ist, die jeweils in einer vollständigen E-Mail-Nachricht in einem speziellen Format namens AFRF enthalten sind. Forensische Berichte können sowohl für die Fehlersuche bei Authentifizierungsproblemen einer Domäne als auch für die Identifizierung bösartiger Domänen und Websites nützlich sein.

Wie hängt DMARC mit SPF, DKIM oder anderen Standards zusammen?

DKIM, SPF und DMARC sind alles Standards, die verschiedene Aspekte der E-Mail-Authentifizierung ermöglichen.

  • SPF ermöglicht es Absendern, festzulegen, welche IP-Adressen E-Mails für eine bestimmte Domäne senden dürfen.
  • DKIM stellt einen Verschlüsselungsschlüssel und eine digitale Signatur bereit, mit denen überprüft wird, dass eine E-Mail-Nachricht nicht gefälscht oder verändert wurde.
  • DMARC vereinheitlicht die SPF- und DKIM-Authentifizierungsmechanismen in einem gemeinsamen Rahmen und ermöglicht es Domänenbesitzern zu erklären, wie E-Mails von dieser Domäne behandelt werden sollen, wenn sie einen Autorisierungstest nicht bestehen.

Brauche ich DMARC?

Wenn Sie ein Unternehmen sind, das kommerzielle oder Transaktions-E-Mails versendet, müssen Sie definitiv eine oder mehrere Formen der E-Mail-Authentifizierung implementieren, um zu überprüfen, ob eine E-Mail tatsächlich von Ihnen oder Ihrem Unternehmen stammt. Die ordnungsgemäße Konfiguration von DMARC hilft den empfangenden E-Mail-Servern zu bestimmen, wie Nachrichten zu bewerten sind, die behaupten, von Ihrer Domäne zu stammen, und ist einer der wichtigsten Schritte, die Sie unternehmen können, um Ihre Zustellbarkeit zu verbessern. SparkPost und andere E-Mail-Experten empfehlen die Implementierung einer DMARC-E-Mail-Authentifizierungsrichtlinie im Rahmen einer vollständigen Messaging-Strategie.

Unterstützt SparkPost DMARC?

Ja. SparkPost implementiert und befolgt E-Mail-Authentifizierungsstandards, einschließlich DMARC. Tatsächlich enthalten alle E-Mails, die wir für unsere Benutzer zustellen, eine Standard-DMARC-Richtlinie, die an Ihre Bedürfnisse angepasst werden kann.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.