DMARC – der dritte Baustein zu höherer E-Mail-Sicherheit
Cyberkriminalität ist auf dem Vormarsch und E-Mails gelten als ein Haupteinfallstor für Angreifer. Dementsprechend ist es wichtig, die eigenen E-Mail-Domains besonders zu schützen. Ein praktisches Verfahren dafür ist unter dem Begriff DMARC beschrieben. Dieses steht für Domain-based Message Authentication, Reporting and Conformance.
DMARC ist neben Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM) ein weiterer Baustein zu höherer E-Mail-Sicherheit, damit Online-Kriminelle nicht Schwächen des Simple Mail Transfer Protocols (SMTP) nutzen und etwa nach Belieben Absender-Adressen fälschen und Spam sowie Malware im Namen fremder E-Mail-Domains verteilen können. Während SPF eine Liste autorisierter Servernamen und IP-Adressen definiert, die im Namen einer E-Mail-Domain Nachrichten verschicken dürfen, geht DKIM noch einen Schritt weiter und ergänzt digitale Signaturen auf Basis von öffentlichen und privaten Schlüsseln. Nur Mail-Server, die über den passenden privaten Schlüssel verfügen, können eine zu einer Domain passende Signatur erzeugen, um die Absender-Adresse als echt und die Nachricht als unverfälscht zu verifizieren.
Was ist DMARC?
SPF und DKIM unterstützen so E-Mail-Anbieter und deren Spam-Filter mittelbar, die Reputation einer Absender-Adresse zu bewerten und so zu entscheiden, wie wahrscheinlich es sich bei einer Nachricht um Spam handelt. Allerdings liegt es im Ermessen eines empfangenen E-Mail-Systems, wie es bei fehlgeschlagenen SPF und DKIM Checks mit einer Nachricht verfährt, ob es die Nachricht etwa komplett abweist oder zwar als potenziellen Spam markiert und trotzdem zustellt.
Hier kommt DMARC ins Spiel. Dabei handelt es sich eigentlich um keine eigenständige Technologie, sondern eine Ergänzung zu SPF und DKIM. Mithilfe eines DMARC Records beschreiben die Administratoren einer E-Mail-Domain, also eines absendenden Servers, wie ein empfangender Mail-Server mit einer Nachricht bei fehlerhaften SPF und DKIM Checks verfahren soll und wer im Fehlerfall zu informieren ist. Diesen zusätzlichen DMARC Check erledigt Gmail automatisch im Hintergrund und ohne Zutun der Endanwender.
DMARC Entry erzeugen
Analog zu SPF und DKIM setzt auch DMARC auf TXT-Records im Domain Name System (DNS). Ein DMARC Record verwendet die Subdomain „_dmarc“ und beschreibt mit seinem Wert die gewünschte Richtlinie. Lautet das Ergebnis einer Prüfung „DMARC Record not found“, so ist für die entsprechende Domain noch keine Richtlinie definiert. Dies lässt sich einfach beheben, etwa mit einem Online-Dienst wie „DMARC-Record“. Das Tool hilft beim Generieren einer passenden Richtlinie und bei der Prüfung, ob für eine Domain bereits eine Richtlinie existiert und welche Einstellungen sie enthält. Für eine sehr einfache Richtlinie genügt der Wert
v=DMARC1; p=reject;
Der obligatorische Parameter „v“ definiert dabei die Protokoll-Version und „p“ beschreibt, wie der Empfänger einer Nachricht mit der Hauptdomäne als Absender umgehen soll. In diesem Fall sorgt „reject“ dafür, dass Nachrichten bei fehlgeschlagenen SPF oder DKIM Checks abgewiesen werden sollen. Als alternative Werte sind „quarantine“ und „none“ möglich. Ersterer verlangt die Markierung einer Nachricht als potenzieller Spam, der zweite Wert macht keine expliziten Vorgaben. Subdomains erben automatisch die Einstellungen der Hauptdomain.
Eine etwas komplexere Richtlinie mit dem Wert
v=DMARC1; p=reject; rua=mailto:postmaster@example.com; ruf=mailto:soc@example.com; aspf=r; adkim=s;
veranlasst die Zustellung von aggregierten („rua“) und detaillierten forensischen („ruf“) DMARC Reports an die genannten E-Mail-Adressen. Die beiden letzten Parameter regeln getrennt nach SPF und DKIM, wie genau die Prüfungen ausfallen sollen. „s“ wie „strict“ verlangt, dass die Absender-Domain einer Nachricht exakt mit der im DNS hinterlegten Hauptdomain übereinstimmt, „r“ wie „relaxed“ lässt auch Subdomains zu.
DMARC Report auswerten
Ein DMARC Report liefert Erkenntnisse zur Nutzung Ihrer E-Mail-Domains sowie zu Fehlschlägen. Im Kern handelt es sich bei einem Report um eine komprimierte XML-Datei, also ein Textformat, das Sie mit jedem beliebigen Editor öffnen können. Einfacher macht Ihnen die Auswertung ein spezielles DMARC Reporting Tool, wie etwa der Online-Dienst „Dmarc Report Analyzer“. Laden Sie dort einen DMARC Bericht hoch, liefert Ihnen der Dienst eine tabellarische Auswertung mit erfolgreichen und fehlgeschlagenen Prüfungen nach den Kategorien SPF, DKIM und DMARC.
Fazit: Mit SPF, DKIM und DMARC stehen drei wichtige Bausteine zum Schutz Ihrer E-Mail-Kommunikation bereit. Google unterstützt mit Gmail von Haus all diese Verfahren. Sie lassen sich ohne weitere Kosten nutzen und mit wenigen Handgriffen einrichten. Besonderheiten sind allerdings dann zu berücksichtigen, wenn Sie zusätzliche Dienste, wie Newsletter-Anbieter, Mailinglisten oder spezielle Software zur automatisierten Weiterleitung von Nachrichten, einsetzen möchten. Setzen Sie daher bei der Konfiguration auf Spezialisten! Wir unterstützen Sie gern – wie auch in anderen Fragen der E-Mail-Sicherheit und bei der Migration zu Gmail.
Cyberkriminalität ist auf dem Vormarsch und E-Mails gelten als ein Haupteinfallstor für Angreifer. Dementsprechend ist es wichtig, die eigenen E-Mail-Domains besonders zu schützen. Ein praktisches Verfahren dafür ist unter dem Begriff DMARC beschrieben. Dieses steht für Domain-based Message Authentication, Reporting and Conformance.
DMARC ist neben Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM) ein weiterer Baustein zu höherer E-Mail-Sicherheit, damit Online-Kriminelle nicht Schwächen des Simple Mail Transfer Protocols (SMTP) nutzen und etwa nach Belieben Absender-Adressen fälschen und Spam sowie Malware im Namen fremder E-Mail-Domains verteilen können. Während SPF eine Liste autorisierter Servernamen und IP-Adressen definiert, die im Namen einer E-Mail-Domain Nachrichten verschicken dürfen, geht DKIM noch einen Schritt weiter und ergänzt digitale Signaturen auf Basis von öffentlichen und privaten Schlüsseln. Nur Mail-Server, die über den passenden privaten Schlüssel verfügen, können eine zu einer Domain passende Signatur erzeugen, um die Absender-Adresse als echt und die Nachricht als unverfälscht zu verifizieren.
Was ist DMARC?
SPF und DKIM unterstützen so E-Mail-Anbieter und deren Spam-Filter mittelbar, die Reputation einer Absender-Adresse zu bewerten und so zu entscheiden, wie wahrscheinlich es sich bei einer Nachricht um Spam handelt. Allerdings liegt es im Ermessen eines empfangenen E-Mail-Systems, wie es bei fehlgeschlagenen SPF und DKIM Checks mit einer Nachricht verfährt, ob es die Nachricht etwa komplett abweist oder zwar als potenziellen Spam markiert und trotzdem zustellt.
Hier kommt DMARC ins Spiel. Dabei handelt es sich eigentlich um keine eigenständige Technologie, sondern eine Ergänzung zu SPF und DKIM. Mithilfe eines DMARC Records beschreiben die Administratoren einer E-Mail-Domain, also eines absendenden Servers, wie ein empfangender Mail-Server mit einer Nachricht bei fehlerhaften SPF und DKIM Checks verfahren soll und wer im Fehlerfall zu informieren ist. Diesen zusätzlichen DMARC Check erledigt Gmail automatisch im Hintergrund und ohne Zutun der Endanwender.
DMARC Entry erzeugen
Analog zu SPF und DKIM setzt auch DMARC auf TXT-Records im Domain Name System (DNS). Ein DMARC Record verwendet die Subdomain „_dmarc“ und beschreibt mit seinem Wert die gewünschte Richtlinie. Lautet das Ergebnis einer Prüfung „DMARC Record not found“, so ist für die entsprechende Domain noch keine Richtlinie definiert. Dies lässt sich einfach beheben, etwa mit einem Online-Dienst wie „DMARC-Record“. Das Tool hilft beim Generieren einer passenden Richtlinie und bei der Prüfung, ob für eine Domain bereits eine Richtlinie existiert und welche Einstellungen sie enthält. Für eine sehr einfache Richtlinie genügt der Wert
v=DMARC1; p=reject;
Der obligatorische Parameter „v“ definiert dabei die Protokoll-Version und „p“ beschreibt, wie der Empfänger einer Nachricht mit der Hauptdomäne als Absender umgehen soll. In diesem Fall sorgt „reject“ dafür, dass Nachrichten bei fehlgeschlagenen SPF oder DKIM Checks abgewiesen werden sollen. Als alternative Werte sind „quarantine“ und „none“ möglich. Ersterer verlangt die Markierung einer Nachricht als potenzieller Spam, der zweite Wert macht keine expliziten Vorgaben. Subdomains erben automatisch die Einstellungen der Hauptdomain.
Eine etwas komplexere Richtlinie mit dem Wert
v=DMARC1; p=reject; rua=mailto:postmaster@example.com; ruf=mailto:soc@example.com; aspf=r; adkim=s;
veranlasst die Zustellung von aggregierten („rua“) und detaillierten forensischen („ruf“) DMARC Reports an die genannten E-Mail-Adressen. Die beiden letzten Parameter regeln getrennt nach SPF und DKIM, wie genau die Prüfungen ausfallen sollen. „s“ wie „strict“ verlangt, dass die Absender-Domain einer Nachricht exakt mit der im DNS hinterlegten Hauptdomain übereinstimmt, „r“ wie „relaxed“ lässt auch Subdomains zu.
DMARC Report auswerten
Ein DMARC Report liefert Erkenntnisse zur Nutzung Ihrer E-Mail-Domains sowie zu Fehlschlägen. Im Kern handelt es sich bei einem Report um eine komprimierte XML-Datei, also ein Textformat, das Sie mit jedem beliebigen Editor öffnen können. Einfacher macht Ihnen die Auswertung ein spezielles DMARC Reporting Tool, wie etwa der Online-Dienst „Dmarc Report Analyzer“. Laden Sie dort einen DMARC Bericht hoch, liefert Ihnen der Dienst eine tabellarische Auswertung mit erfolgreichen und fehlgeschlagenen Prüfungen nach den Kategorien SPF, DKIM und DMARC.
Fazit: Mit SPF, DKIM und DMARC stehen drei wichtige Bausteine zum Schutz Ihrer E-Mail-Kommunikation bereit. Google unterstützt mit Gmail von Haus all diese Verfahren. Sie lassen sich ohne weitere Kosten nutzen und mit wenigen Handgriffen einrichten. Besonderheiten sind allerdings dann zu berücksichtigen, wenn Sie zusätzliche Dienste, wie Newsletter-Anbieter, Mailinglisten oder spezielle Software zur automatisierten Weiterleitung von Nachrichten, einsetzen möchten. Setzen Sie daher bei der Konfiguration auf Spezialisten! Wir unterstützen Sie gern – wie auch in anderen Fragen der E-Mail-Sicherheit und bei der Migration zu Gmail.
Bleiben Sie auf dem Laufenden!
Wir informieren Sie über alle neuen Blogbeiträge automatisch.
Jetzt eintragenJetzt zum Newsletter
anmelden
%202.webp)
