DMARC (Domain-based Message Authentication, Reporting and Conformance) wurde entwickelt, um den Missbrauch von E-Mails, wie z.B. Mail-Spoofing, einzuschränken und zu reduzieren. Mit der Spezifikation wird versucht, die seit langem bestehenden Unzulänglichkeiten im Zusammenhang mit der Authentifizierung von E-Mails zu beheben. Mit DMARC legen Sie für Ihre Domain fest, wie der Empfängerserver die Authentifizierung von eingehenden E-Mails durchführen und wie er im Falle eines Fehlers mit der Nachricht verfahren soll. Der Empfängerserver nutzt bei der Überprüfung den SPF- als auch den DKIM-Eintrag der Absenderdomain. Während SPF festlegt, wer eine Nachricht im Namen der Domain versenden darf und DKIM sicherstellt, dass die Nachricht unverändert vom Versender stammt, kann der Absender mit der DMARC-Spezifikation zusätzlich Empfehlungen geben, auf welche Art der Empfänger mit der Mail umgeht, die in einem oder mehreren Fällen nicht den Anforderungen entspricht. Sofern der Empfänger einer E-Mail die DMARC-Spezifikation anwendet, ist dadurch eine konsistente Überprüfung der Authentizität dieser E-Mail gesichert.
DMARC verwendet, ähnlich wie DKIM und SPF, einen TXT-Record in den DNS-Einstellungen. Hierbei wird für die Subdomain "_dmarc" ein Resource-Record angelegt, der die DMARC-Richtlinie für die Absenderdomain beschreibt. Nachfolgend finden Sie ein Beispiel wie der DMARC einer der Domain "test.de" aussehen könnte:
_dmarc.test.de IN TXT v=DMARC1;p=quarantine;pct=100;rua=mailto:RUA@test.de;ruf=mailto:RUF@example.org;adkim=s;aspf=r
Parameter | Bedeutung | Angabe | Erlaubte Werte |
---|---|---|---|
v | Protokollversion | notwendig | "DMARC1" |
pct | Prozentualer Anteil der zu filternden Mails | optional | ganze Zahl zwischen 0 und 100 |
ruf | Forensischer Report soll gesendet werden an: | optional | "mailto:mailadresse@IHREDOMAIN.tld" |
rua | Aggregierter Report soll gesendet werden an: | optional | "mailto:mailadresse@IHREDOMAIN.tld" |
rf | Format der Fehlerberichte | optional | "afrf" oder "iodef" |
p | Anweisung, wie mit den Mails der Hauptdomain verfahren werden soll | notwendig | "none", "quarantine" oder "reject" |
sp | Anweisung, wie mit den Mails der Subdomain verfahren werden soll | optional | "none", "quarantine" oder "reject" |
adkim | Abgleichmodus für DKIM | optional | "r" oder "s" |
aspf | Abgleichmodus für SPF | optional | "r" oder "s" |
fo | Fehlerberichtsoptionen | optional | "0", "1", "d" "s" |
Für die Generierung eines DMARC-Eintrags für Ihre Domain, können Sie einen DMARC-Generator auf unserer Webseite.