Sie sehen eine automatische Übersetzung. Bitte wechseln Sie bei Verständnisproblemen auf unsere englischsprachige Originalseite.
+49 (0) 7245 919 581 info@eunetic.com
Login
  1. Home
  2. EuropeanMX Wissensdatenbank
  3. EuropeanMX Ausgehender Filter
  4. Was ist DMARC und für was wird der Eintrag eingesetzt?
europeanMX
Wissensdatenbank

Was ist DMARC und für was wird der Eintrag eingesetzt?

DMARC (Domain-based Message Authentication, Reporting and Conformance) wurde entwickelt, um den Missbrauch von E-Mails, wie z.B. Mail-Spoofing, einzuschränken und zu reduzieren. Mit der Spezifikation wird versucht, die seit langem bestehenden Unzulänglichkeiten im Zusammenhang mit der Authentifizierung von E-Mails zu beheben. Mit DMARC legen Sie für Ihre Domain fest, wie der Empfängerserver die Authentifizierung von eingehenden E-Mails durchführen und wie er im Falle eines Fehlers mit der Nachricht verfahren soll. Der Empfängerserver nutzt bei der Überprüfung den SPF- als auch den DKIM-Eintrag der Absenderdomain. Während SPF festlegt, wer eine Nachricht im Namen der Domain versenden darf und DKIM sicherstellt, dass die Nachricht unverändert vom Versender stammt, kann der Absender mit der DMARC-Spezifikation zusätzlich Empfehlungen geben, auf welche Art der Empfänger mit der Mail umgeht, die in einem oder mehreren Fällen nicht den Anforderungen entspricht. Sofern der Empfänger einer E-Mail die DMARC-Spezifikation anwendet, ist dadurch eine konsistente Überprüfung der Authentizität dieser E-Mail gesichert.

Wie ist DMARC aufgebaut?

DMARC verwendet, ähnlich wie DKIM und SPF, einen TXT-Record in den DNS-Einstellungen. Hierbei wird für die Subdomain "_dmarc" ein Resource-Record angelegt, der die DMARC-Richtlinie für die Absenderdomain beschreibt. Nachfolgend finden Sie ein Beispiel wie der DMARC einer der Domain "test.de" aussehen könnte:

_dmarc.test.de IN TXT v=DMARC1;p=quarantine;pct=100;rua=mailto:RUA@test.de;ruf=mailto:RUF@example.org;adkim=s;aspf=r

 ParameterBedeutungAngabeErlaubte Werte
 vProtokollversionnotwendig"DMARC1"
 pctProzentualer Anteil der zu filternden Mailsoptionalganze Zahl zwischen 0 und 100
 rufForensischer Report soll gesendet werden an:optional"mailto:mailadresse@IHREDOMAIN.tld" 
 rua

Aggregierter Report soll gesendet werden an:

optional

"mailto:mailadresse@IHREDOMAIN.tld" 

 rf

Format der Fehlerberichte

optional

"afrf" oder "iodef"

 pAnweisung, wie mit den Mails der Hauptdomain verfahren werden sollnotwendig"none", "quarantine" oder "reject"
 spAnweisung, wie mit den Mails der Subdomain verfahren werden solloptional"none", "quarantine" oder "reject"
 adkimAbgleichmodus für DKIMoptional"r" oder "s"
 aspfAbgleichmodus für SPFoptional"r" oder "s"
 foFehlerberichtsoptionenoptional"0", "1", "d" "s"


  • Der Wert für v muss immer "DMARC1" lauten.
  • Bei ruf bzw. rua kann man eine beliebige gültige E-Mail-Adresse eintragen, worauf man die Berichte empfangen möchte. Wenn man die Berichte auf einer externen E-Mail-Adresse erhalten möchte, dann muss man bestätigen, dass man als Inhaber der externen Domain die Berichte auch erhalten möchte. Dies erfolgt über einen TXT-Eintrag bei der externen Domain.
    Beispiel: Für die Domain "beispiel.de" soll ein DMARC eingerichtet und die Berichte dann an "dmarc@example.com" gesendet werden. Mit dem folgenden TXT-Eintrag kann der Inhaber der Domain "example.com" bestätigen, dass er die Berichte erhalten möchte:
    beispiel.de_report_dmarc.example.com IN TXT "v=DMARC1"
  • Bei den Parametern p und sp gibt man an, wie der empfangende Mailserver reagieren soll, wenn die DMARC-Prüfung fehlschlägt. Bei none wird keine Aktion ausgeführt und die Nachricht wird angenommen. Bei quarantine wird die Nachricht automatisch unter Quarantäne gestellt oder in den Spamordner verschoben. Bei reject wird die Nachricht vom empfangenden Mailserver abgewiesen.
  • Die Abgleichmodi für DKIM und SPF haben eine besondere Bedeutung. Für SPF fordert die DMARC-Spezifikation, dass erstens die Überprüfung positiv ausfällt und zweitens die "From"-Kopfzeile der E-Mail dieselbe Domäne aufweist, wie im SPF-Record hinterlegt. Für DKIM wird gefordert, dass die Signatur gültig ist und zusätzlich die dort genannte Domäne dieselbe ist, wie in der "From"-Kopfzeile der E-Mail. Als Abgleichmodi sind s für 'strict' bzw. r für 'relaxed' vorgesehen. Bei 'strict' müssen die Domänen exakt übereinstimmen, bei 'relaxed' darf die "From"-Kopfzeile auch eine Subdomäne enthalten.
  • Mit dem Parameter fo steuert man, wann ein Fehlerbericht erzeugt werden soll. Der Standardwert 0 erzeugt einen DMARC-Fehlerbericht, wenn alle zugrundeliegenden Authentifizierungsmechanismen (SPF und DKIM) kein ausgerichtetes "Pass"-Ergebnis liefern. Beim Wert 1 wird ein Fehlerbericht erzeugt, wenn einer der zugrundeliegenden Authentifizierungsmechanismen (SPF oder DKIM) ein anderes als ein ausgerichtetes "Pass"-Ergebnis liefert. Der Wert d gibt an, dass ein Bericht erzeugt werden soll, wenn die Nachricht eine Signatur enthielt, die nicht ausgewertet werden konnte, unabhängig von ihrer Ausrichtung. Mit dem Wert s soll ein Bericht erzeugt werden, wenn die Nachricht die SPF-Auswertung nicht bestanden hat, unabhängig von ihrer Ausrichtung. Mehrere Werte können mit einem Doppelpunkt getrennt werden, z.B. fo=1:d:s.

Wie kann ich einen DMARC-Eintrag für meine Domain Generieren?

Für die Generierung eines DMARC-Eintrags für Ihre Domain, können Sie einen DMARC-Generator auf unserer Webseite.

Verwandte Themen: Zurück zum Inhaltsverzeichnis...
Empfanden Sie diesen Artikel als hilfreich?
Nein Ja
Wir verwenden Cookies für die technische Funktionalität dieser Website. Mit Ihrer Zustimmung erfassen wir außerdem Seitenaufrufe und andere statistische Daten in anonymisierter Form.

Nur notwendige
Allen zustimmen
Einzeln auswählen
Cookie-Einstellungen
Datenschutzbestimmungen lesen