Im digitalen Alltag sind E-Mails nach wie vor ein unverzichtbares Kommunikationsmittel für Unternehmen.
Doch mit E-Mails besteht unter anderem die Gefahr, dass Angreifer gefälschte E-Mails im Namen Ihrer Domain versenden oder aber sich als Distributoren ausgeben, um Unternehmen, Kunden oder Partner zu täuschen und damit Schaden anzurichten. Die Methoden dazu werden immer ausgereifter und cleverer, was es schwer macht, schädliche E-Mails von echten zu unterscheiden.
Darum gibt es Technologien wie DMARC.
Eine DMARC-Richtlinie legt fest, wie eine E-Mail behandelt wird, nachdem sie anhand von SPF- und DKIM-Einträgen überprüft wurde. Dies alles sind wesentliche Bausteine, um diese Risiken zu reduzieren und die Sicherheit sowie Zustellbarkeit Ihrer E-Mails zu verbessern.
Wichtig hierbei ist, dass die E-Mail Konfiguration korrekt eingerichtet wird, damit Mails sauber empfangen werden können.
Wir erklären Ihnen, worauf es bei DMARC ankommt und was Sie bei der Implementierung beachten sollten.
Sender Policy Framework (SPF) ermöglicht es, festzulegen, welche Mailserver berechtigt sind, E-Mails im Namen der eigenen Domain zu versenden. Dazu werden die entsprechenden IP-Adressen der verwendeten Mailserver definiert und geprüft.
DomainKeys Identified Mail (DKIM) sorgt dafür, dass ausgehende E-Mails digital signiert werden. Dadurch kann überprüft werden, ob die Nachricht tatsächlich von der angegebenen Domain stammt und während der Übertragung nicht verändert wurde.
Domain-based Message Authentication, Reporting and Conformance (DMARC) basiert auf den Verfahren SPF und DKIM. Er trägt dazu bei, Phishing-Angriffe und Spam zu reduzieren, indem er den Umgang mit nicht korrekt authentifizierten E-Mails klar regelt.
Kurz gesagt:
SPF prüft den sendenden Server.
DKIM gewährleistet die Integrität der Nachricht.
DMARC entscheidet anhand der Ergebnisse über die Zustellung.
Die DMARC-Richtlinie legt fest, ob die E-Mail zugestellt, als Spam markiert oder vollständig blockiert wird. Auch ohne DMARC-Eintrag können E-Mail-Server Nachrichten als Spam einstufen, DMARC sorgt jedoch für klare und eindeutige Vorgaben im Umgang mit solchen E-Mails.
Hier werden die unterschiedlichen Möglichkeiten und Wege der DMARC-Prüfung mit SPF und DKIM vereinfacht dargestellt.
DMARC beantwortet drei zentrale Fragen bei der Zustellung von E-Mails:
Wie soll der Empfänger die Authentizität prüfen?
Was passiert, wenn die Prüfung fehlschlägt?
Wer erhält Berichte über das Ergebnis der Prüfungen?
Es ermöglicht dem Domaininhaber, dem empfangenden Server mitzuteilen, wie E-Mails authentifiziert werden sollen, wie mit nicht bestandenen Prüfungen umgegangen wird und dass Reports erstellt werden, die entsprechende Rückmeldungen enthalten.
Der Domaininhaber hinterlegt eine DMARC-Richtlinie als TXT-Eintrag im DNS der Domain.
Dieser Eintrag definiert, wie empfangende Mailserver eingehende E-Mails prüfen und behandeln sollen.
Empfangende Mailserver prüfen:
SPF: Ist der sendende Mailserver für die Domain autorisiert?
DKIM: Ist die Nachricht kryptografisch signiert und unverändert?
Zusätzlich fordert DMARC ein Alignment, bei dem die geprüfte Domain mit der im From-Header sichtbaren Absenderdomain übereinstimmen muss.
Bestehen E-Mails die Prüfungen nicht, legt die DMARC-Richtlinie fest, wie damit umzugehen ist:
p=none – E-Mail wird zugestellt (Monitoring)
p=quarantine – E-Mail wird als verdächtig eingestuft
p=reject – E-Mail wird abgelehnt
DMARC unterstützt ein Reporting-System:
Aggregierte Berichte (RUA) werden in der Regel täglich versendet
Optional forensische Berichte (RUF) für einzelne Fehlversuche
Über den Parameter pct kann gesteuert werden, für welchen Anteil der E-Mails die Richtlinie angewendet wird.
DMARC verbindet damit Authentifizierung, Richtliniendurchsetzung und Überwachung in einem einheitlichen Verfahren.
Die Einführung von DMARC sollte schrittweise erfolgen.
Ziel ist es, die Richtlinie von einer reinen Überwachung bis zur vollständigen Ablehnung nicht authentifizierter E-Mails auszubauen.
1. Überwachung starten
Beginnen Sie mit einer reinen Monitoring-Richtlinie für Haupt- und/oder Unterdomänen und lassen Sie sich regelmäßige Berichte zusenden.
In dieser Phase sind SPF und DKIM noch nicht zwingend erforderlich.
Beispiel:v=DMARC1; p=none; adkim=s; aspf=s; rua=mailto:report@example.com
2. Quarantäne aktivieren
Sobald SPF und DKIM vollständig eingerichtet sind, kann eine Quarantänerichtlinie gesetzt werden.
E-Mails, die die DMARC-Prüfung nicht bestehen, werden dann als Spam behandelt.
Beispiel:v=DMARC1; p=quarantine; adkim=s; aspf=s; rua=mailto:report@example.com
3. Ablehnung erzwingen
Im letzten Schritt werden alle E-Mails abgewiesen, die die DMARC-Prüfung nicht bestehen.
Beispiel:v=DMARC1; p=reject; adkim=s; aspf=s; rua=mailto:report@example.com
DMARC-Reports werden meist als XML-Dateien per E-Mail zugestellt.
Sie enthalten technische Informationen zu allen E-Mails, die im Namen Ihrer Domain empfangen wurden.
Wichtige Punkte bei der Auswertung:
Welche IP-Adressen versenden E-Mails für Ihre Domain?
Bestehen diese E-Mails die SPF- und DKIM-Prüfung?
Gibt es unbekannte oder unerwünschte Absender?
Welche Systeme verursachen Authentifizierungsfehler?
Best Practice:
Nutzen Sie spezialisierte Tools oder Dienste zur Auswertung der Reports. Diese bereiten die XML-Daten grafisch auf und machen Fehlkonfigurationen, vergessene Absender oder potenzielle Missbrauchsversuche schnell sichtbar.
So bietet beispielsweise SOPHOS den „SOPHOS DMARC Manager“ als Premium-Funktion für Kunden von Central Mail an.
Hier werden für Domäneneigentümer übersichtliche Reports erstellt, wie die Domänen für ausgehende E-Mails genutzt werden und gemäß den definierten DMARC-Richtlinies bewertet wurden.
Neben SOPHOS bieten wir von mars natürlich auch andere passende Auswertungs-Tools, um gewünschte Reports zu erstellen.
Ziel der Auswertungen:
Alle legitimen Absender bestehen SPF, DKIM und DMARC fehlerfrei.
Erst wenn das sichergestellt ist, sollte die DMARC-Richtlinie auf p=quarantine oder p=reject verschärft werden.
Ohne eine korrekt eingerichtete DMARC-Richtlinie kann es passieren, dass Ihre Domäne für Betrugsversuche missbraucht wird oder bei falscher Konfiguration Ihre „korrekten“ Mails abgelehnt werden.
Ein Beispielszenario:
Kriminelle versenden gefälschte Nachrichten im Namen Ihres Unternehmens und fordern Kunden auf, Rechnungen auf eine neue, falsche Bankverbindung zu überweisen. Da solche E-Mails oft an bestehende Kommunikationsverläufe anknüpfen, bleibt der Betrug zunächst unentdeckt und Zahlungen gehen an die Täter.
Wenn DMARC eingesetzt wird, teilt dieses mit was passieren soll wenn SPF und DKIM nicht bestanden werden und wohin entsprechende Reports gehen.
Zusätzlich weisen DMARC-Berichte frühzeitig auf fehlgeschlagene SPF- und DKIM-Prüfungen hin – vorausgesetzt, der empfangende Server unterstützt DMARC.
DMARC kann dabei helfen, dass die eigenen Mails nicht als Spam deklariert werden, böswilligen Akteuren den Missbrauch der eigenen Domain zu erschweren und abgelehnte Mails besser auswerten zu können. Je mehr Unternehmen DMARC / DKIM / SPF nutzen, desto wirksamer kann Spam und Angriffen vorgebeugt werden. Um Spam wirklich zu reduzieren, sollten alle Technologien sauber eingesetzt werden.
Speziell mit DMARC erhalten Domänen-Inhaber schließlich mehr Kontrolle über die E-Mail-Kommunikation ihres Unternehmens und erhöhen zugleich die Sicherheit ihrer gesamten IT-Infrastruktur.
Große E-Mail-Diensteanbieter passen ihre Richtlinien zunehmend an und setzen verstärkt auf sichere Absenderstandards wie DMARC, um Spam und Phishing wirksamer einzudämmen. Demnach wird das Thema wichtiger denn je.
Der Trend ist eindeutig:
Nach Gmail und Yahoo zieht auch Outlook/Microsoft die Anforderungen für Absender an. Wer DMARC nicht etabliert, riskiert mittelfristig unnötige Zustellprobleme.
Wir unterstützen Sie und Ihre IT bei der Beratung und Implementierung rund um die Thematik DMARC, DKIM und SPF und dass im Zuge dessen Ihre Domains nicht missbraucht werden und Ihre Mails korrekt zugestellt werden.
Kontaktieren Sie uns dazu gerne jederzeit.