So richten Sie einen DMARC-Eintrag ein

Was ist ein DMARC-Datensatz?

Ein DMARC-Datensatz ist der Datensatz, in dem die DMARC-Regelsätze definiert sind. Dieser Eintrag informiert die ISPs (wie Gmail, Microsoft, Yahoo! usw.) darüber, ob eine Domain für die Verwendung von DMARC eingerichtet ist. Der DMARC-Eintrag enthält die Richtlinie und sollte in Ihrem DNS platziert werden.

Wie Sie einen DMARC-Eintrag einrichten

1. Bewerten Sie Ihre E-Mail-Infrastruktur

Bevor Sie DMARC konfigurieren, sollten Sie Ihre aktuelle E-Mail-Infrastruktur bewerten und alle legitimen Absender und Quellen identifizieren, die mit Ihrer Domain verbunden sind. Dies beinhaltet:

• E-Mail-Dienstleister
• Plattformen zur Marketingautomatisierung
• Jeder E-Mail-Server eines Drittanbieters, der E-Mails in Ihrem Namen versendet

Sobald Sie sie identifiziert haben, dokumentieren Sie jeden Absender und jede Quelle in einer zentralen Liste, einschließlich der von ihnen verwendeten Domäne, ihrer Sende-IPs und ob sie SPF oder DKIM unterstützen. Dieses Inventar benötigen Sie in späteren Schritten bei der Konfiguration von SPF, DKIM und DMARC, um sicherzustellen, dass jeder legitime Dienst vollständig authentifiziert ist. Wenn Sie diese Liste auf dem neuesten Stand halten, können Sie auch Lücken vermeiden, die zu DMARC-Fehlern führen, wenn neue Tools hinzugefügt werden.

Sobald SPF und DKIM eingerichtet sind, konfigurieren Sie DMARC, indem Sie den DNS-Einträgen Ihrer Domain Richtlinien in Form von TXT-Einträgen hinzufügen (genau wie bei SPF oder DKIM).

Der Name des TXT-Eintrags sollte "_dmarc.yourdomain.com" lauten. wobei "ihredomain.de" durch Ihren tatsächlichen Domainnamen (oder Ihre Subdomain) ersetzt wird.

2. Wählen Sie TXT DNS-Einträge und Typen:

TXT DNS-Einträge sind einfache Texteinträge, die Sie zu den DNS-Einstellungen Ihrer Domain hinzufügen. Diese finden Sie in der Regel bei Ihrem Domain-Registrar oder DNS-Hosting-Anbieter (z. B. GoDaddy, Cloudflare, Namecheap). Diese Einträge teilen den empfangenden Mailservern mit, wie sie E-Mails von Ihrer benutzerdefinierten Domäne authentifizieren und wie sie Nachrichten behandeln sollen, die DMARC-Prüfungen nicht bestehen.

Jede DMARC-Konfiguration muss mindestens die Tags v=DMARC1 und p= (Policy) enthalten. Viele Unternehmen setzen jedoch von Anfang an auch optionale Tags wie rua, ruf, aspf und adkim, da sie für Transparenz und bessere Kontrolle sorgen.

Wenn Sie sich nicht sicher sind, wo Sie diese Einstellungen finden, suchen Sie das DNS-Verwaltungspanel, wo Sie zuvor Ihre SPF- oder DKIM-Einträge hinzugefügt haben. Ihr DMARC-Datensatz wird an der gleichen Stelle abgelegt.

Besuchen Sie DMARC Tag Registry für weitere verfügbare Tags. Wenn Sie sich auf app.dmarcanalyzer.com anmelden , gehen Sie zu "DNS Records", um Ihren DMARC-Eintrag zu erstellen. Nur die Tagsv (Version) und p (Policy) sind erforderlich.

3. Wählen Sie eine DMARC-Richtlinie

 Es stehen drei mögliche Richtlinieneinstellungen bzw. Nachrichtenverfügungen zur Verfügung:

• keine Richtlinie: Sie möchten nur die DMARC-Ergebnisse überwachen und keine spezifischen Maßnahmen für alle fehlgeschlagenen E-Mails ergreifen. Sie können die Richtlinie "keine" verwenden, um mit DMARC zu beginnen und alle DMARC-Berichte zu sammeln und diese Daten zu analysieren.
• Quarantäne-Richtlinie: Sie stellen die E-Mails, die die Prüfungen nicht bestehen, in Quarantäne. Die meisten dieser E-Mails werden im Junk-Ordner des Empfängers landen.
• Richtlinie ablehnen: Sie können alle E-Mails ablehnen, die die DMARC-Prüfung nicht bestehen. Die E-Mail-Empfänger sollten dies 'auf SMTP-Ebene' tun. Die E-Mails werden direkt beim Versand gebounct.

Wählen Sie eine der drei DMARC-Richtlinien, um festzulegen, wie die E-Mail-Empfänger E-Mails behandeln sollen, die die DMARC-Prüfungen Ihres DMARC-Eintrags nicht bestehen.

Um das Risiko zu verringern, dass legitime E-Mails blockiert werden, empfiehlt es sich, diese Richtlinien schrittweise einzuführen. Beginnen Sie mit keiner Richtlinie, gehen Sie zur Quarantäne über und nehmen Sie die Ablehnung erst dann vor, wenn Sie sicher sind, dass alle Absender ordnungsgemäß authentifiziert sind. Dieser stufenweise Ansatz gibt Ihnen Zeit, Verkehrsmuster zu überprüfen und Probleme zu beheben, bevor die Durchsetzung strenger wird.

 

Der Ausrichtungsmodus (aspf / adkim) bezieht sich auf die Genauigkeit, mit der Absenderdatensätze mit SPF- und DKIM-Signaturen verglichen werden. Die beiden möglichen Werte sind "relaxed" und "strict", dargestellt durch "r" bzw. "s". Kurz gesagt, relaxed erlaubt partielle Übereinstimmungen, wie z.B. Subdomains einer bestimmten Domain, während strict eine exakte Übereinstimmung erfordert.

Stellen Sie sicher, dass Sie Ihre E-Mail-Adresse mit dem optionalen rua-Tag angeben, um die täglichen Berichte zu erhalten.

4. Fügen Sie den DMARC-Eintrag zu Ihrem DNS hinzu

Das Erstellen eines TXT-Eintrags mit dem entsprechenden Namen und Wert ist für jeden Domain-Host anders. Kontaktieren Sie uns, wenn Sie Hilfe bei der Einrichtung bei Ihrem Provider benötigen.

Es sollte recht einfach sein und könnte im Generator etwa so aussehen:

5. Analysieren Sie Ihre DMARC-Berichte

Die täglichen Berichte werden in einem XML-Format geliefert. Lesen Sie sie, um Ihren Postfluss besser zu verstehen. Mit Hilfe der Berichte können Sie sicherstellen, dass Ihre ausgehenden E-Mail-Quellen ordnungsgemäß authentifiziert werden. Vergewissern Sie sich, dass die verschiedenen IPs, die E-Mails versenden und behaupten, von Ihrer Domain zu stammen, tatsächlich legitim sind, konfigurieren Sie sie ordnungsgemäß mit DKIM oder fügen Sie sie zu ihrem SPF-Bereich hinzu. Die Berichte helfen Administratoren auch dabei, schnell zu handeln, wenn sie eine Blockierungsrichtlinie eingerichtet haben, wenn eine neue E-Mail-Quelle online geht oder die Konfiguration einer bestehenden E-Mail-Quelle nicht mehr stimmt.

Hier ist ein Auszug aus einem Bericht, der die Ergebnisse für Nachrichten zeigt, die von zwei IP-Adressen gesendet wurden, wobei eine direkt gesendet und die andere weitergeleitet wurde. Beide Nachrichten wurden weitergeleitet:

<record>
 <row>
 <source_ip>207.126.144.129</source_ip>
        <count>1</count>
 <policy_evaluated>
 <disposition>none</disposition>
 </policy_evaluated>
 </row>
 <identities>
 <header_from>yourdomain.com</header_from>
    </identities>
 <auth_results>
 <dkim>
 <domain>yourdomain.com</domain>
 <result>pass</result>
 <human_result></human_result>
 </dkim>
 <spf>
 <domain>yourdomain.com</domain>
 <result>pass</result>
 /spf>
 </spf>
    </auth_results>
</record>
<record>
<row>
 <source_ip>207.126.144.131</source_ip>
    <count>1</count>
 <policy_evaluated>
 <disposition>none</disposition>
 <reason>
 <type>forwarded</type>
          <comment></comment>
 </reason>
 </policy_evaluated>
</row>
<identities>
 <header_from>yourdomain.com</header_from>
</identities>
<auth_results>
 <dkim>
 <domain>yourdomain.com</domain>
 <result>pass</result>
 <human_result></human_result>
 </dkim>
 <spf>
 <domain>yourdomain.com</domain>
 <result>pass</result>
 < /spf
 </spf>
</auth_results>
</record>

6. Setzen Sie Ihre DMARC-Richtlinie schrittweise ein

Wir empfehlen dringend, die Verwendung von DMARC langsam zu steigern, indem Sie diese Richtlinien in dieser Reihenfolge anwenden. Überwachen Sie zunächst Ihren Datenverkehr und achten Sie auf Anomalien in den Berichten, z. B. auf Nachrichten, die noch nicht signiert oder vielleicht gefälscht sind. Wenn Sie mit den Ergebnissen zufrieden sind, ändern Sie die Einstellung der TXT-Datensatz-Richtlinie von "keine" auf "Quarantäne". Überprüfen Sie noch einmal die Ergebnisse, dieses Mal sowohl in Ihrem spam catch als auch in den täglichen DMARC-Berichten. Wenn Sie sicher sind, dass alle Ihre Nachrichten signiert sind, ändern Sie die Richtlinieneinstellung auf "Ablehnen", um DMARC vollständig zu nutzen. Überprüfen Sie die Berichte, um sicherzustellen, dass Ihre Ergebnisse akzeptabel sind.

In ähnlicher Weise kann das optionale pct-Tag verwendet werden, um Ihre DMARC-Bereitstellung zu testen. Da 100% der Standardwert ist, führt die Angabe von "pct=20" in Ihrem DMARC-TXT-Eintrag dazu, dass ein Fünftel aller von der Richtlinie betroffenen Nachrichten tatsächlich die Disposition erhalten, anstatt alle. Diese Einstellung ist besonders nützlich, wenn Sie sich entscheiden, E-Mails unter Quarantäne zu stellen und abzuweisen. Beginnen Sie mit einem niedrigeren Prozentsatz und erhöhen Sie ihn alle paar Tage.

Ein konservativer Bereitstellungszyklus würde also so aussehen:

• Alle überwachen.
• Quarantäne 1%.
• Quarantäne 5%.
• Quarantäne 10%.
• Quarantäne 25%.
• Quarantäne 50%.
• Alle unter Quarantäne stellen.
• Ablehnen 1%.
• Ablehnen 5%.
• Ablehnen 10%.
• Ablehnen 25%.
• Ablehnen 50%.
• Alle ablehnen.

Versuchen Sie, die Prozentsätze zu entfernen, um die Bereitstellung abzuschließen. Wie immer sollten Sie Ihre täglichen Berichte überprüfen.

7. Aufrechterhaltung von Compliance und Sicherheit

Die Einrichtung von DMARC ist nur der Anfang. Eine kontinuierliche Verwaltung ist wichtig, damit Ihre Domain geschützt bleibt. Im Laufe der Zeit können neue E-Mail-Versanddienste hinzukommen, oder bestehende Dienste können ihr Verhalten ändern. Deshalb sind regelmäßige Überprüfungen Ihrer DMARC-, SPF- und DKIM-Einträge notwendig, um sicherzustellen, dass alles aufeinander abgestimmt ist und Ihre DMARC-Authentifizierung intakt bleibt. Überprüfen Sie regelmäßig die DNS-Einträge Ihrer Domäne und vergewissern Sie sich, dass alle autorisierten E-Mail-Quellen die Authentifizierungsprüfungen weiterhin bestehen.

Es ist auch wichtig, die rua- und ruf-Tags zu aktualisieren, wenn sich Ihre Meldeadressen oder Ihre Infrastruktur ändern, um zu vermeiden, dass wichtige DMARC-Meldedaten fehlen. Diese kontinuierliche Sorgfalt unterstützt eine gesunde DMARC-Einrichtung, die sich an das Wachstum Ihres Unternehmens anpasst. Wenn Sie mit den sich entwickelnden E-Mail-Sicherheitsstandards auf dem Laufenden bleiben, können Sie sich vor Spoofing-Bedrohungen schützen, die Zustellbarkeit von E-Mails verbessern und den Ruf Ihrer Domain als Absender stärken. Verwenden Sie DMARC-Validierungstools routinemäßig, um Probleme zu erkennen, bevor sie die Zustellung von Nachrichten beeinträchtigen.

Möchten Sie Ihren eigenen DMARC-Eintrag erstellen?

Häufig zu vermeidende Fehler bei der DMARC-Einrichtung

1. DMARC-Berichte ignorieren

Ohne Überprüfung der Berichte bleiben Authentifizierungsprobleme unbemerkt. Die gesammelten Daten weisen auf nicht autorisierte Absender, Fehlkonfigurationen und Lücken in der E-Mail-Infrastruktur hin, die in der Regel bei einer frühen Einführung auftreten. Die routinemäßige Analyse von Berichten dient der Anpassung von Richtlinien und der Verringerung von Authentifizierungsfehlern, wodurch ein sauberer Weg zu einer strengeren DMARC-Konfiguration gewährleistet wird.

2. Fehlendes SPF oder DKIM für einen Absenderdienst

Wenn auch nur ein einziges legitimes System nicht authentifiziert ist, kommt es zu DMARC-Fehlern, die zu weiteren Authentifizierungsfehlern in Ihrer gesamten Umgebung führen können. Viele Unternehmen vergessen, sekundäre Systeme wie Abrechnungsplattformen, Marketing-Tools oder von CRM generierte E-Mails zu authentifizieren. Jeder Dienst muss zu SPF hinzugefügt oder mit seinem eigenen DKIM-Schlüssel als Teil Ihrer DMARC-Konfiguration konfiguriert werden, um eine vollständige Abdeckung zu gewährleisten.

3. Falsch ausgerichtete "Von"-Domänen

Die sichtbare Absenderadresse muss mit SPF- und DKIM-Signaturdomänen übereinstimmen, um DMARC-Fehler zu vermeiden. Der Abgleich schlägt fehl, wenn Absender von Drittanbietern standardmäßig ihre eigenen Domänen verwenden oder wenn Subdomänen, die mit einer benutzerdefinierten Domäne verbunden sind, nicht in die Richtliniengestaltung einbezogen werden. Die konsistente Verwendung von Domains in allen Tools verhindert Lücken, die ansonsten die DMARC-Einstellungen und deren Durchsetzung untergraben würden.

4. Übermäßig strenge Durchsetzung zu früh

Eine zu frühe Freigabe der Ablehnung kann legitime Kunden-E-Mails und Arbeitsabläufe unterbrechen. Die meisten Unternehmen benötigen eine schrittweise Einführung, beginnend mit "keiner" Datenerfassung und einer schrittweisen Verschärfung der Durchsetzung. Ein stufenweiser Ansatz stellt sicher, dass alle Absender authentifiziert werden, bevor sie in die Quarantäne oder die Ablehnung übergehen, so dass Ihre DMARC-Konfiguration während der Umstellung stabil bleibt.

5. Eine Richtlinie ohne Berichte verwenden

Ein weiterer häufiger Fehler ist die Veröffentlichung eines DMARC-Datensatzes wie V=DMARC1, p=none, der jedoch keine Meldeadressen enthält. E-Mails werden zwar weiterhin unter einer "none"-Richtlinie zugestellt, aber Unternehmen erhalten keine aggregierten oder forensischen Berichte, wenn keine rua- oder ruf-Adresse definiert ist. Ohne diese Authentifizierungsberichte bleiben die Teams blind für Spoofing-Versuche, falsch zugeordnete Absender und Konfigurationslücken, was es schwierig macht, die DMARC-Durchsetzung im Laufe der Zeit zu validieren oder zu stärken.

Ist mein E-Mail-Verkehr richtig konfiguriert?

Bei der Implementierung von DMARC werden Sie die DMARC-Daten verwenden, um Ihre aktuellen E-Mail-Flüsse zu analysieren. Sie können dies tun, indem Sie die Daten überprüfen und sich vergewissern, dass Ihre Sendequellen korrekt konfiguriert sind.

Bitte beachten Sie, dass beim Testen eines aktualisierten DNS-Eintrags (entweder DKIM oder SPF) ein DNS-Cache vorhanden sein kann, der das Ergebnis beeinflusst. Aktualisierungen Ihres SPF-Datensatzes sollten Sie immer testen, bevor Sie sie durchführen, indem Sie unseren SPF-Prävalidierungs-Checker verwenden.

Benutzerfreundliche DMARC-Analysesoftware

Mimecast bietet eine benutzerfreundliche DMARC-Analysesoftware und fungiert als Ihr Experte, um Sie so schnell wie möglich zu einer Ablehnungsrichtlinie zu führen. DMARC Analyzer ist eine SaaS-Lösung, die es Unternehmen ermöglicht, komplexe DMARC-Implementierungen einfach zu verwalten. Die Lösung bietet 360°-Transparenz und Governance für alle E-Mail-Kanäle. Alles ist so konzipiert, dass es so einfach wie möglich ist.

Mimecast bietet eine benutzerfreundliche DMARC-Analysesoftware und fungiert als Ihr Experte, um Sie so schnell wie möglich zu einer Ablehnungsrichtlinie zu führen.