Was ist DMARC und für was wird der Eintrag eingesetzt?

DMARC (Domain-based Message Authentication, Reporting and Conformance) wurde entwickelt, um den Missbrauch von E-Mails, wie z.B. Mail-Spoofing, einzuschränken und zu reduzieren. Mit der Spezifikation wird versucht, die seit langem bestehenden Unzulänglichkeiten im Zusammenhang mit der Authentifizierung von E-Mails zu beheben, indem es sicher stellt, dass der FROM:-Header der Domain vertrauenswürdig ist.

Mit DMARC legen Sie für Ihre Domain fest, wie der Empfängerserver die Authentifizierung von eingehenden E-Mails durchführen und wie er im Falle eines Authentifizierungsfehlers mit der Nachricht verfahren soll. Der Empfängerserver nutzt bei der Überprüfung den SPF- als auch den DKIM-Eintrag der Absenderdomain. Während SPF festlegt, wer eine Nachricht im Namen der Domain versenden darf und DKIM sicherstellt, dass die Nachricht unverändert vom Versender stammt, kann der Absender mit der DMARC-Spezifikation zusätzlich Empfehlungen geben, auf welche Art der Empfänger mit der Mail umgeht, die in einem oder mehreren Fällen nicht den Anforderungen entspricht. Sofern der Empfänger einer E-Mail die DMARC-Spezifikation anwendet, ist dadurch eine konsistente Überprüfung der Authentizität dieser E-Mail gesichert.

Welche Angriffe kann man mit DMARC verhindern?

• Domain-Spoofing: Um eine E-Mail legitim erscheinen zu lassen, kann ein Angreifer die Domain eines Unternehmens fälschen.
• E-Mail-Spoofing: Um eine E-Mail legitim erscheinen zu lassen, kann ein Angreifer den Absender im "FROM:"-Header einer E-Mail fälschen.
• Business E-Mail Compromise (BEC): Bei diesem Angriff gibt sich der Angreifer als leitender Angestellter eines Unternehmens aus und fordert "seinen" Mitarbeiter auf entweder Geld oder auch vertrauliche Informationen an ihn zu senden.
• Impostor E-Mails: In einer gefälschten E-Mail gibt der Angreifer vor, jemand anderes zu sein.
• Phishing E-Mails: Mit einer E-Mail versucht ein Angreifer sein Opfer dazu zu bringen Malware auf seinem Gerät zu installieren oder geheime Zugangsdaten mitzuteilen. Dabei nutzt der Angreifer das Layout und Wording einer bekannten Firma/Organisation, um die Nachricht echt erscheinen zu lassen.
• Consumer-Phishing: Hierbei wird eine gefälschte E-Mail an die Kunden eines Unternehmens gesendet, um an deren Zahlungsdaten zu gelangen.
• Partner-Spoofing: Mit Hilfe gefälschter Geschäfts-E-Mails an einen Partner in der Lieferkette eines Unternehmens versucht ein Angreifer die Zahlungsdaten zu ändern, um so Geld abschöpfen zu können.
• Whaling: Beim Whaling wird eine gefälschte E-Mail an einen leitenden Angestellten eines Unternehmens gesendet, um so größere Geldbeträge zu erhalten.

Wie arbeiten DMARC, SPF und DKIM zusammen?

Das Sender Policy Framework (SPF) ist ein Verfahren zur Überprüfung von E-Mails, das es Unternehmen ermöglicht, festzulegen, welche Absender berechtigt sind, E-Mails von ihren Domains zu versenden. Hierzu wird ein SPF-Eintrag im Domain-Name-System (DNS) erstellt, der die autorisierten Absenderadressen enthält.

Der SPF-Eintrag listet die zugelassenen IP-Adressen der Absender, einschließlich derjenigen von Dienstleistern, die im Auftrag des Unternehmens E-Mails versenden dürfen. Die Veröffentlichung und Überprüfung von SPF-Einträgen ist eine effektive Maßnahme gegen Phishing-Angriffe und andere Bedrohungen, die durch gefälschte „From“-Adressen und Domains entstehen.

DomainKeys Identified Mail (DKIM) ist ein weiteres Authentifizierungsverfahren für E-Mails, das dem Empfänger ermöglicht, zu überprüfen, ob eine E-Mail tatsächlich vom Inhaber der angegebenen Domain stammt. Hierzu wird eine digitale Signatur an die E-Mail angehängt, die mittels eines im DNS hinterlegten öffentlichen Schlüssels verifiziert wird. Diese Signatur garantiert, dass die E-Mail nach ihrer Versendung nicht verändert wurde.

Sowohl SPF als auch DKIM helfen, die Echtheit von E-Mails zu sichern und Bedrohungen wie Spoofing und Phishing zu verhindern. In Kombination mit DMARC, das als DNS-Eintrag veröffentlicht wird, geben diese Mechanismen an, wie Empfängerserver mit E-Mails umgehen sollen, die die SPF- oder DKIM-Prüfungen nicht bestehen. DMARC ermöglicht es den Domaininhabern, Richtlinien festzulegen, die bestimmen, ob nicht authentifizierte E-Mails unter Quarantäne gestellt oder abgelehnt werden sollen. Dies erhöht die Kontrolle über die Zustellung von E-Mails und reduziert das Risiko von Betrug.

Wie ist DMARC aufgebaut?

DMARC verwendet, ähnlich wie DKIM und SPF, einen TXT-Record in den DNS-Einstellungen. Hierbei wird für die Subdomain _dmarc ein Resource-Record angelegt, der die DMARC-Richtlinie für die Absenderdomain beschreibt. Nachfolgend finden Sie ein Beispiel wie der DMARC einer der Domain test.de aussehen könnte:

_dmarc.test.de IN TXT v=DMARC1;p=quarantine;pct=100;rua=mailto:RUA@test.de;ruf=mailto:RUF@example.org;adkim=s;aspf=r

• Der Wert für v muss immer DMARC1 lauten.
• Bei ruf bzw. rua kann man eine beliebige gültige E-Mail-Adresse eintragen, worauf man die Berichte empfangen möchte. Wenn man die Berichte auf einer externen E-Mail-Adresse erhalten möchte, dann muss man bestätigen, dass man als Inhaber der externen Domain die Berichte auch erhalten möchte. Dies erfolgt über einen TXT-Eintrag bei der externen Domain.
  
  
  BeispielFür die Domain "beispiel.de" soll ein DMARC eingerichtet und die Berichte dann an "dmarc@beispiel2.de" gesendet werden. Mit dem folgenden TXT-Eintrag kann der Inhaber der Domain "beispiel2.de" bestätigen, dass er die Berichte erhalten möchte:

  beispiel.de_report_dmarc.beispiel2.de IN TXT "v=DMARC1"
  

• Bei den Parametern p und sp gibt man an, wie der empfangende Mailserver reagieren soll, wenn die DMARC-Prüfung fehlschlägt. Bei none wird keine Aktion ausgeführt und die Nachricht wird angenommen. Bei quarantine wird die Nachricht automatisch unter Quarantäne gestellt oder in den Spamordner verschoben. Bei reject wird die Nachricht vom empfangenden Mailserver abgewiesen.
• Die Abgleichmodi für DKIM und SPF haben eine besondere Bedeutung. Für SPF fordert die DMARC-Spezifikation, dass erstens die Überprüfung positiv ausfällt und zweitens die "From"-Kopfzeile der E-Mail dieselbe Domäne aufweist, wie im SPF-Record hinterlegt. Für DKIM wird gefordert, dass die Signatur gültig ist und zusätzlich die dort genannte Domäne dieselbe ist, wie in der "From"-Kopfzeile der E-Mail. Als Abgleichmodi sind s für "strict" bzw. r für "relaxed" vorgesehen. Bei "strict" müssen die Domänen exakt übereinstimmen, bei "relaxed" darf die "From"-Kopfzeile auch eine Subdomäne enthalten.
• Mit dem Parameter fo steuert man, wann ein Fehlerbericht erzeugt werden soll. Der Standardwert 0 erzeugt einen DMARC-Fehlerbericht, wenn alle zugrundeliegenden Authentifizierungsmechanismen (SPF und DKIM) kein ausgerichtetes "Pass"-Ergebnis liefern. Beim Wert 1 wird ein Fehlerbericht erzeugt, wenn einer der zugrundeliegenden Authentifizierungsmechanismen (SPF oder DKIM) ein anderes als ein ausgerichtetes "Pass"-Ergebnis liefert. Der Wert d gibt an, dass ein Bericht erzeugt werden soll, wenn die Nachricht eine Signatur enthielt, die nicht ausgewertet werden konnte, unabhängig von ihrer Ausrichtung. Mit dem Wert s soll ein Bericht erzeugt werden, wenn die Nachricht die SPF-Auswertung nicht bestanden hat, unabhängig von ihrer Ausrichtung. Mehrere Werte können mit einem Doppelpunkt getrennt werden, z.B. fo=1:d:s.

Welche Vorteile bringt DMARC?

DMARC bringt Unternehmen zahlreiche Vorteile zur Verbesserung der Cybersicherheit im E-Mail-Bereich. Zu den wesentlichen Vorteilen von DMARC gehören:

• Erhöhte E-Mail-Zustellbarkeit: Durch die Einrichtung eines DMARC-Eintrags in den DNS-Einstellungen kann die Zustellrate von E-Mails verbessert werden, während gleichzeitig verhindert wird, dass bösartige E-Mails über die eigene Domain verschickt werden.
• Verminderung des Phishing-Risikos: DMARC reduziert effektiv das Risiko von Phishing-Angriffen, die für Unternehmen kostspielige Folgen haben können.
• Durchsetzung von Authentifizierungsrichtlinien: DMARC ermöglicht es Organisationen, spezifische Authentifizierungsrichtlinien festzulegen und zu erzwingen, sowie den empfangenden Mailservern Anweisungen zur Durchsetzung dieser Richtlinien zu geben.
• Schutz der Unternehmensreputation: DMARC hilft dabei, den Ruf eines Unternehmens zu schützen, indem es Cyberkriminelle daran hindert, die Domain zu missbrauchen und so Kunden und Geschäftspartner zu täuschen.
• Detaillierte Authentifizierungsberichte: DMARC liefert umfassende Berichte zur E-Mail-Authentifizierung, die das E-Mail-System einer Organisation unterstützen.
• Skalierbarkeit: DMARC ist skalierbar und daher besonders nützlich für große Unternehmen, Institutionen und Organisationseinheiten.

Obwohl sich viele dieser Vorteile überschneiden, besteht der Hauptzweck von DMARC darin, E-Mails durch zuverlässige Authentifizierung und Bedrohungsabwehr besser zu schützen.

Was ist der Unterschied zwischen DKIM und DMARC?

DMARC und DKIM sind E-Mail-Authentifizierungsprotokolle, die Unternehmen dabei helfen, E-Mail-Betrug und Identitätsmissbrauch zu verhindern. DMARC bietet jedoch erweiterte Richtlinienimplementierung und Berichterstellungsfunktionen im Vergleich zu DKIM. Beide Protokolle nutzen Public-Key-Kryptografie, aber sie validieren E-Mails auf unterschiedliche Weise. Während DKIM sich auf die Authentifizierung konzentriert, liefert DMARC detaillierte Berichte zur Optimierung der E-Mail-Sicherheit eines Unternehmens.

DMARC koordiniert die SPF- und DKIM-Mechanismen und stellt umfassende Berichte über die Aktivitäten bereit, die durch diese Richtlinien überwacht werden. Domaininhaber können in ihren DNS-Einträgen Richtlinien festlegen, die bestimmen, wie das „Von:“-Feld überprüft wird und wie mit Authentifizierungsfehlern umzugehen ist.

Zusammengefasst prüft DKIM die Legitimität einer E-Mail, während DMARC darüber hinaus festlegt, wie solche E-Mails behandelt werden sollen.

Wie kann ich einen DMARC-Eintrag für meine Domain generieren?

Für die Generierung eines DMARC-Eintrags für Ihre Domain, können Sie einen DMARC-Generator auf unserer Webseite.