Inhalt des Artikels
- Das DMARC FO-Tag (Failure Options) steuert, wann ein Empfänger einen DMARC-Fehlerbericht (auch forensischer Bericht genannt) senden darf, der Details auf Nachrichtenebene zur Fehlerbehebung und Bedrohungssuche liefert.
- FO=1 erhöht die Sichtbarkeit, indem es eine Fehlermeldung anfordert, wenn entweder SPF oder DKIM fehlschlägt, selbst wenn die Nachricht DMARC noch über den anderen Mechanismus passiert.
- Im Vergleich zu anderen FO-Werten kann FO=1 zu mehr Berichten und operativem Mehraufwand führen, so dass es am besten mit einer klaren Steuerung und Filterung gepaart ist.
- Tools wie ein DMARC-Analysator können dabei helfen, das DMARC-Berichtsvolumen zu verwalten und die DMARC-Implementierung und -Fehlerbehebung zu beschleunigen.
Wenn Sie die E-Mail-Authentifizierung verschärfen, bietet DMARC-Berichte einen echten Einblick. Die meisten Teams beginnen mit DMARC-Aggregatberichten (Trends auf hoher Ebene) und fügen dann Fehlerberichte hinzu, wenn sie Einblicke auf Nachrichtenebene benötigen.
Hier kommt die Einstellung DMARC fo=1 ins Spiel. Es hilft, partielle Authentifizierungsfehler aufzudecken, die Fehlkonfigurationen, Abgleichslücken und erste Anzeichen von Spoofing verbergen können.
Dieser Leitfaden erklärt, was das FO-Tag bewirkt, wie FO=1 in der Praxis funktioniert, wie es im Vergleich zu anderen Optionen funktioniert und wann es für Unternehmensumgebungen sinnvoll ist.
Was ist das DMARC FO-Tag?
Das DMARC FO-Tag (Failure Options) ist ein Tag in Ihrem DMARC-Datensatz, das beeinflusst, wann ein empfangender Mailserver forensische (Fehler-)Berichte erstellen darf. FO hilft bei der Definition, welche DMARC Authentifizierungsfehlerbedingungen einen Bericht auf Nachrichtenebene auslösen sollen.
Es ist wichtig, FO von einem aggregierten Bericht zu trennen:
- Aggregat (RUA): Zusammenfassende DMARC-Berichte, die die Ergebnisse der Authentifizierung und des DMARC-Abgleichs für große E-Mail-Mengen anzeigen .
- Fehler/Forensik (RUF): Forensische Berichtsdaten auf Nachrichtenebene, die mit bestimmten Fehlern oder Bedingungen verknüpft sind.
FO ist an das Fehlermeldeverhalten gebunden (wird normalerweise über die Adresse in ruf= geliefert), während aggregierte Zusammenfassungen über rua= geliefert werden.
Was FO=1 in einer DMARC-Richtlinie bedeutet
FO=1 fordert Fehlermeldungen an, wenn entweder die SPF-Authentifizierung oder die DKIM-Authentifizierung fehlschlägt.
Auch wenn die Nachricht DMARC passiert, weil der andere Mechanismus funktioniert und übereinstimmt, kann FO=1 einen Bericht anfordern. Diese zusätzliche Transparenz hilft Ihnen, Teilausfälle zu erkennen, wie z.B. Fälle, in denen Ihr SPF-Eintrag korrekt ist, aber Ihre DKIM-Signatur nicht funktioniert, oder in denen DKIM erfolgreich ist, aber der SPF-Abgleich aufgrund von Drittabsendern fehlschlägt.
Wie DMARC FO=1 in der Praxis funktioniert
Wenn ein Empfänger eine Nachricht auswertet, prüft er SPF und DKIM, dann prüft er den Abgleich der Identifikatoren, um zu entscheiden, ob die authentifizierte Identität mit der sichtbaren "Von"-Domäne übereinstimmt (die Hauptanforderung von DMARC). Der Abgleich macht aus "Authentifizierung ist erfolgt" "Authentifizierung ist sinnvoll für in dieser Domäne".
Hier ist der vereinfachte Entscheidungsablauf:
- SPF-Prüfung: Der Empfänger prüft, ob die sendende IP-Adresse für die in SPF verwendete Domäne autorisiert ist, dann prüft er die Ausrichtung (ob diese SPF-Domäne mit der für die sendenden E-Mail-Adressen konfigurierten Absenderdomäne übereinstimmt).
- DKIM-Prüfung: Der Empfänger prüft die DKIM-Datensatzsignatur anhand der Absenderdomäne im DKIM-Header und bewertet dann dkim alignment (ob diese DKIM-Domäne mit der Absenderdomäne übereinstimmt).
- DMARC-Prüfergebnis: DMARC ist bestanden, wenn entweder SPF oder DKIM bestanden wurde. Wenn beide Abgleiche fehlschlagen, schlägt DMARC fehl und der Empfänger wendet Ihre DMARC-Richtlinie (p=) an.
Wie FO=1 einen Bericht auslöst
Mit FO=1 kann ein Fehlerbericht generiert werden, wenn entweder SPF oder DKIM fehlschlägt, unabhängig vom endgültigen DMARC-Ergebnis (bestanden/nicht bestanden) . Dies ist nützlich, wenn Sie versuchen herauszufinden, warum ein Mechanismus bei einigen E-Mails nicht funktioniert, auch wenn legitime E-Mails noch ankommen.
Was Sie in FO=1 Fehlerberichten sehen können
Ein Fehlerbericht enthält in der Regel Signale auf Nachrichtenebene wie:
- Wichtige Nachrichtenheader (ausreichend für die Fehlersuche bei Routing und Identität)
- Authentifizierungsergebnisse(SPF/DKIM bestanden/nicht bestanden und Abgleichsergebnisse)
- Indikatoren für die Sendeinfrastruktur wie Quell-IPs und Domänen
Da es sich hierbei um Daten auf Nachrichtenebene handelt, können sie sensible Informationen enthalten. Viele Unternehmen behandeln Fehlerberichte als eingeschränkte Telemetrie: Sie schränken ein, wer auf sie zugreifen kann, legen die Aufbewahrung fest und vermeiden die Weiterleitung von Rohberichten auf breiter Basis.
Beachten Sie auch, dass die Unterstützung für Fehlerberichte je nach Mailbox-Anbieter variiert. Selbst wenn Sie FO und ruf= veröffentlichen, können die Empfänger nicht in allen Fällen forensische Berichte senden.
DMARC-Datensatz Beispiel mit FO=1
Hier ein einfaches Beispiel für einen DMARC-Eintrag mit FO=1 in einem DMARC-TXT-Eintrag (veröffentlicht als DNS-TXT-Eintrag unter _dmarc.yourdomain.com):
|
v=DMARC1; p=Quarantäne; rua=mailto:dmarc-agg@yourdomain.com; ruf=mailto:dmarc-forensic@yourdomain.com; fo=1; adkim=s; aspf=s; pct=100 |
- fo=1 fordert Fehlerberichte an, wenn SPF oder DKIM fehlschlagen
- adkim=s und aspf=s straffen die Ausrichtung (strenger Modus)
- rua= empfängt aggregierte Zusammenfassungen; ruf= empfängt Fehlerberichte
Wenn Sie die Datensätze während des Rollouts validieren, kann ein DMARC-Datensatzprüfer die Syntax bestätigen und feststellen, ob ein DMARC-Datensatz für die Domain gefunden wurde.
DMARC FO=1 gegenüber anderen FO-Tag-Optionen
FO unterstützt mehrere Werte, und jeder davon verändert Ihre Sichtbarkeit und die operative Belastung:
FO=0
FO=0 fordert Fehlermeldungen vor allem dann an, wenn DMARC fehlschlägt (eher auf "vollständige Fehlschläge" ausgerichtet). Dies ist die am wenigsten störende Option und kann ein praktischer Standard sein, wenn Sie eine Basis für die Berichterstattung erstellen.
FO=d
FO=d beschränkt die Fehlerberichterstattung auf DKIM-bezogene Fehler. Es ist nützlich, wenn Ihre Umgebung in hohem Maße auf DKIM angewiesen ist und Sie sich stärker auf DKIM-Verletzungen konzentrieren möchten, die die Zustellbarkeit und Authentifizierung von E-Mails beeinträchtigen.
FO=s
FO=s beschränkt die Fehlerberichterstattung auf SPF-bezogene Fehler. Es ist nützlich, wenn SPF-Autorisierung und SPF-basierte Workflows die Hauptquelle für Authentifizierungsprobleme sind.
Ein einfacher Weg, um zu entscheiden, welchen FO-Wert wir verwenden sollen, ist die Berücksichtigung der spezifischen Anforderungen Ihres Unternehmens:
- Wählen Sie FO=0, wenn Sie eine geringere Lautstärke und einen sauberen Startpunkt wünschen.
- Wählen Sie FO=1, wenn Sie einen tieferen Einblick in Teilausfälle wünschen und bereit sind, mehr Daten zu verarbeiten.
- Wählen Sie FO=d oder FO=s, wenn Sie die Fehlerbehebung auf einen Mechanismus beschränken möchten.
FO=1 kann das Berichtsvolumen und den betrieblichen Aufwand erhöhen. Wenn Sie kein Verfahren haben, um diese Berichte zu sichten und zu speichern, kann es passieren, dass Sie am Ende nur Rauschen statt Erkenntnisse erhalten.
Warum DMARC FO=1 für die Sicherheit von Unternehmen wichtig ist
FO=1 ist wertvoll, denn in Teilausfällen verstecken sich die Probleme. Eine Nachricht kann DMARC "passieren", aber dennoch eine Schwachstelle von aufweisen, wie z.B. einen nicht funktionierenden DKIM-Signierungspfad, einen Absender eines Drittanbieters, der Ausrichtungsprobleme verursacht, oder eine allmähliche Umstellung der Infrastruktur, die die Authentifizierung für bestimmte Streams unterbricht. FO=1 kann Ihnen helfen:
- Finden Sie Authentifizierungs- und DMARC-Fehlkonfigurationen früher (insbesondere bei vielen Absendern)
- Erkennen Sie frühzeitige Anzeichen für Marken-Imitationen oder Phishing Versuche, die die E-Mail-Sicherheit von bedrohen.
- Überprüfen Sie, ob Ihre DMARC-Einrichtung über Domänen, Infrastruktur und sendende E-Mail-Adressen hinweg konsistent funktioniert.
- Verringern Sie den toten Winkel, wenn nur ein Mechanismus die ganze Arbeit verrichtet
Zu verwaltende Risiken und Zielkonflikte
Die Nachteile der Verwendung von FO=1 sind vor allem betrieblicher und verwaltungstechnischer Natur:
- Offenlegung von Daten: Fehlermeldungen können sensible Inhalte enthalten
- Compliance und Handhabung: Sie benötigen Zugriffskontrollen, Aufbewahrungsregeln und eine sichere Speicherung
- Volumen: FO=1 kann mehr Berichte erstellen, als Teams erwarten
Für die Unternehmensführung sollten Sie Fehlerberichte wie Sicherheitstelemetrie behandeln. Legen Sie fest, wer sie einsehen kann, wie lange sie aufbewahrt werden und wie sie für Ermittlungen verwendet werden.
Verbessern der DMARC-Überwachung mit FO=1
Das DMARC FO-Tag hilft bei der Verfeinerung der DMARC-Berichterstattung, indem es steuert, wann Fehlerberichte angefordert werden. FO=1 ist besonders nützlich, um partielle Authentifizierungsfehler aufzudecken, die leicht zu übersehen sind.
Für mittlere bis große Unternehmensumgebungen mit vielen Absendern kann FO=1 die Überwachung verbessern, indem es die Sichtbarkeit von SPF/DKIM-Problemen, Abgleichslücken und frühen Missbrauchssignalen verbessert.
Wenn Sie FO=1 in Erwägung ziehen, sollten Sie es als Teil einer ausgereiften Strategie betrachten: Planen Sie die Handhabung von Berichten, den Datenschutz und das Volumen. Und wenn Ihnen die Verwaltung von Berichten über mehrere Domänen und Absender schwerfällt, können der Mimecast DMARC Analyzer und der DMARC Record Generator dabei helfen, die Komplexität zu reduzieren und Berichte in verwertbare Erkenntnisse umzuwandeln.