DMARC steht für Domain-based Message Authentication, Reporting, and Conformance und ist ein DNS-TXT-Eintrag, der für eine Domain veröffentlicht werden kann, um zu kontrollieren, was passiert, wenn eine Nachricht nicht authentifiziert werden kann.
In diesem Artikel:
Was ist ein DMARC-Eintrag und welchem Zweck dient er?
Kann eine Nachricht nicht authentifiziert werden, liegt dies daran, dass der Empfängerserver deiner Kontakte nicht überprüfen kann, ob der Absender der Nachricht derjenige ist, der er vorgibt zu sein.
Ein veröffentlichter DMARC-Eintrag dient im Wesentlichen zwei Zwecken:
- Er teilt dem Empfänger-Server mit, dass er die Nachricht entweder in Quarantäne zustellen, zurückzuweisen oder die weitere Zustellung der Nachricht zuzulassen soll.
- Er sendet Berichte an eine oder mehrere E-Mail-Adressen mit Daten über alle von der Domain gesichteten Nachrichten.
Nach der Veröffentlichung wird ein DMARC-Eintrag von den empfangenden E-Mail-Servern (z. B. Gmail oder Yahoo) verwendet, um zu bestimmen, was mit einer fehlgeschlagenen Nachricht geschehen soll. Der empfangende Mailserver sieht sich den DMARC-Eintrag an und wählt aus den folgenden Optionen die zu befolgende Richtlinie aus:
- Nichts mit der Nachricht machen
- Die Nachricht in Quarantäne stellen
- Die Nachricht ablehnen
Dieses Überprüfung und damit einhergehende Entscheidung kann jedoch nur getroffen werden, wenn für deine Domain ein DMARC-Eintrag veröffentlicht wurde.
Wurde für deine Domain kein DMARC-Eintrag veröffentlicht, trifft der Empfängerserver selbst die Entscheidung, ob die Nachricht zugestellt werden soll. Angesichts von Phishing, Malware-Bedrohungen und einer Vielzahl anderer Sicherheitsbedenken ist die Wahrscheinlichkeit, dass der Mailserver des Empfängers anweist, Nachrichten, die DMARC nicht bestehen, unter Quarantäne zu stellen oder abzulehnen, mittlerweile zum Standard für den Versand legitimer E-Mails geworden.
Ein DMARC-Datensatz besteht im Wesentlichen aus einem bestimmten Host/Namen (d. h. dem Datensatznamen - z. B.: _dmarc.mxtoolbox.com ist der Host/Name für MxToolbox) und tag-value pairs. tag-value pairs haben einen Tag (z. B. "p=" für "policy") und einen Wert, z. B. "none", die zusammen dem empfangenden E-Mail-Server mitteilen, welche Maßnahmen er ergreifen soll.
Der nachfolgende Einträgt enthält 3 tag-value pairs:
"v=DMARC1; p=none; rua=mailto:dmarc@dmarc.brevo.com"
- Die drei Tags sind: v, p und rua.
- Der "v"-Tag steht für Version (v). Dieser ist erforderlich und steht für die Protokollversion, z. B. v=DMARC1
- Der "p"-Tag steht für Policy (p). Dieser ebenfalls erforderliche Tag gibt die Richtlinie für die Domain (oder die angeforderte Bearbeitungsrichtlinie) an. Es weist den Empfänger an, jene E-Mails zu melden, in Quarantäne zu stellen oder zurückzuweisen, welche die Authentifizierungsprüfung nicht bestehen.
-
- Der "rua"-Tag steht für RUA Report Email Address(es) (rua): Dieser optionale Tag ist für die Meldung von URI(s) für aggregierte Daten vorgesehen. Ein rua-Beispiel ist rua=mailto:CUSTOMER@for.example.com
- Die drei Werte sind: DMARC1, none, und mailto:dmarc@dmarc.brevo.com.
Wie authentifizierte ich eine Domain mit einem DMARC-Eintrag?
Um eine DMARC-E-Mail-Authentifizierung für deine Domäne einzurichten stehen dir 2 Optionen zur Verfügung:
- Option 1: DMARC-Eintrag „p=none“ einrichten
Fügen deiner Domäne einen DMARC-Eintrag ohne Auswirkungen, z. B. „v=DMARC1; p=none“ zusammen mit einem RUA-Tag hinzu. - Option 2. DMARC-Eintrag „p=quarantine“ oder „p=reject“ einrichten
Bitte stelle zunächst sicher, dass deine Domain ordnungsgemäss authentifiziert wurde, bevor du den DMARC-Eintrag „p=quarantine“ oder „p=reject“ einrichtest.
Fügen deiner Domain anschließend einen DMARC-Eintrag mit einer Richtlinie (p) hinzu, z. B. „v=DMARC1; p=reject“ oder „v=DMARC1; p=quarantine“.
Es gibt insgesamt 11 Tags, die auf eine DMARC-Richtlinie angewendet werden können. Von diesen 11 Tags sind die Tags "v" und "p" obligatorisch, und wir empfehlen auch dringend den Tag "rua", um die Berichte zu erhalten.
Nachstehend ein Beispiel für die Verifizierung des DMARC-Eintrags für den Versand über den Standard-Provider Brevo:
DMARC record