DMARC (Domain-based Message Authentication, Reporting and Conformance) wurde entwickelt, um den Missbrauch von E-Mails, wie z.B. Mail-Spoofing, einzuschränken und zu reduzieren. Mit der Spezifikation wird versucht, die seit langem bestehenden Unzulänglichkeiten im Zusammenhang mit der Authentifizierung von E-Mails zu beheben, indem es sicher stellt, dass der "FROM:"-Header der Domain vertrauenswürdig ist.
Mit DMARC legen Sie für Ihre Domain fest, wie der Empfängerserver die Authentifizierung von eingehenden E-Mails durchführen und wie er im Falle eines Authentifizierungsfehlers mit der Nachricht verfahren soll. Der Empfängerserver nutzt bei der Überprüfung den SPF- als auch den DKIM-Eintrag der Absenderdomain. Während SPF festlegt, wer eine Nachricht im Namen der Domain versenden darf und DKIM sicherstellt, dass die Nachricht unverändert vom Versender stammt, kann der Absender mit der DMARC-Spezifikation zusätzlich Empfehlungen geben, auf welche Art der Empfänger mit der Mail umgeht, die in einem oder mehreren Fällen nicht den Anforderungen entspricht. Sofern der Empfänger einer E-Mail die DMARC-Spezifikation anwendet, ist dadurch eine konsistente Überprüfung der Authentizität dieser E-Mail gesichert.
Das Sender Policy Framework (SPF) ist ein Verfahren zur Überprüfung von E-Mails, das es Unternehmen ermöglicht, festzulegen, welche Absender berechtigt sind, E-Mails von ihren Domains zu versenden. Hierzu wird ein SPF-Eintrag im Domain-Name-System (DNS) erstellt, der die autorisierten Absenderadressen enthält.
Der SPF-Eintrag listet die zugelassenen IP-Adressen der Absender, einschließlich derjenigen von Dienstleistern, die im Auftrag des Unternehmens E-Mails versenden dürfen. Die Veröffentlichung und Überprüfung von SPF-Einträgen ist eine effektive Maßnahme gegen Phishing-Angriffe und andere Bedrohungen, die durch gefälschte „From“-Adressen und Domains entstehen.
DomainKeys Identified Mail (DKIM) ist ein weiteres Authentifizierungsverfahren für E-Mails, das dem Empfänger ermöglicht, zu überprüfen, ob eine E-Mail tatsächlich vom Inhaber der angegebenen Domain stammt. Hierzu wird eine digitale Signatur an die E-Mail angehängt, die mittels eines im DNS hinterlegten öffentlichen Schlüssels verifiziert wird. Diese Signatur garantiert, dass die E-Mail nach ihrer Versendung nicht verändert wurde.
Sowohl SPF als auch DKIM helfen, die Echtheit von E-Mails zu sichern und Bedrohungen wie Spoofing und Phishing zu verhindern. In Kombination mit DMARC, das als DNS-Eintrag veröffentlicht wird, geben diese Mechanismen an, wie Empfängerserver mit E-Mails umgehen sollen, die die SPF- oder DKIM-Prüfungen nicht bestehen. DMARC ermöglicht es den Domaininhabern, Richtlinien festzulegen, die bestimmen, ob nicht authentifizierte E-Mails unter Quarantäne gestellt oder abgelehnt werden sollen. Dies erhöht die Kontrolle über die Zustellung von E-Mails und reduziert das Risiko von Betrug.
DMARC verwendet, ähnlich wie DKIM und SPF, einen TXT-Record in den DNS-Einstellungen. Hierbei wird für die Subdomain "_dmarc" ein Resource-Record angelegt, der die DMARC-Richtlinie für die Absenderdomain beschreibt. Nachfolgend finden Sie ein Beispiel wie der DMARC einer der Domain "test.de" aussehen könnte:
_dmarc.test.de IN TXT v=DMARC1;p=quarantine;pct=100;rua=mailto:RUA@test.de;ruf=mailto:RUF@example.org;adkim=s;aspf=r
Parameter | Bedeutung | Angabe | Erlaubte Werte |
---|---|---|---|
v | Protokollversion | notwendig | "DMARC1" |
pct | Prozentualer Anteil der zu filternden Mails | optional | ganze Zahl zwischen 0 und 100 |
ruf | Forensischer Report soll gesendet werden an: | optional | "mailto:mailadresse@IHREDOMAIN.tld" |
rua | Aggregierter Report soll gesendet werden an: | optional | "mailto:mailadresse@IHREDOMAIN.tld" |
rf | Format der Fehlerberichte | optional | "afrf" oder "iodef" |
p | Anweisung, wie mit den Mails der Hauptdomain verfahren werden soll | notwendig | "none", "quarantine" oder "reject" |
sp | Anweisung, wie mit den Mails der Subdomain verfahren werden soll | optional | "none", "quarantine" oder "reject" |
adkim | Abgleichmodus für DKIM | optional | "r" oder "s" |
aspf | Abgleichmodus für SPF | optional | "r" oder "s" |
fo | Fehlerberichtsoptionen | optional | "0", "1", "d" "s" |
DMARC bringt Unternehmen zahlreiche Vorteile zur Verbesserung der Cybersicherheit im E-Mail-Bereich. Zu den wesentlichen Vorteilen von DMARC gehören:
Obwohl sich viele dieser Vorteile überschneiden, besteht der Hauptzweck von DMARC darin, E-Mails durch zuverlässige Authentifizierung und Bedrohungsabwehr besser zu schützen.
DMARC und DKIM sind E-Mail-Authentifizierungsprotokolle, die Unternehmen dabei helfen, E-Mail-Betrug und Identitätsmissbrauch zu verhindern. DMARC bietet jedoch erweiterte Richtlinienimplementierung und Berichterstellungsfunktionen im Vergleich zu DKIM. Beide Protokolle nutzen Public-Key-Kryptografie, aber sie validieren E-Mails auf unterschiedliche Weise. Während DKIM sich auf die Authentifizierung konzentriert, liefert DMARC detaillierte Berichte zur Optimierung der E-Mail-Sicherheit eines Unternehmens.
DMARC koordiniert die SPF- und DKIM-Mechanismen und stellt umfassende Berichte über die Aktivitäten bereit, die durch diese Richtlinien überwacht werden. Domaininhaber können in ihren DNS-Einträgen Richtlinien festlegen, die bestimmen, wie das „Von:“-Feld überprüft wird und wie mit Authentifizierungsfehlern umzugehen ist.
Zusammengefasst prüft DKIM die Legitimität einer E-Mail, während DMARC darüber hinaus festlegt, wie solche E-Mails behandelt werden sollen.
Für die Generierung eines DMARC-Eintrags für Ihre Domain, können Sie einen DMARC-Generator auf unserer Webseite.
Aufgrund der Vielzahl an Berichten, die nach der Einrichtung von DMARC auf Sie zukommen werden, empfiehlt es sich einen DMARC-Analyzer-Tool einzusetzen. Mit unserem kostenlosen DMARC-Berichtsanalysetool erhalten Sie aggregierte Berichte und sehen mit einem Blick, wo Sie aktiv werden müssen.