Was ist DMARC?

E-Mail-Anbieter sind mittlerweile sehr gut darin, ungewollte Mails zu erkennen und auszusieben. Doch einige Spam-Nachrichten kommen immer noch durch und stellen damit ein potenzielles Risiko für Privatpersonen sowie Unternehmen dar.

Darum ist E-Mail-Authentifizierung wichtiger geworden. Das spiegelt sich auch darin wider, dass sowohl Yahoo als auch Google im Februar 2024 ihre Richtlinien aktualisiert haben. Sie fordern seitdem unter anderem, dass Vielversender von Massen-E-Mails das DMARC-Protokoll nutzen müssen, um ihre E-Mails zu authentifizieren.

Das sind die bislang umfänglichsten Sicherheitsanforderungen und es ist gut möglich, dass die beiden Anbieter diese noch verschärfen, sobald genug E-Mail-Sender die neuen Standards umsetzen.

Für E-Mail-Marketer bedeutet das daher: Sie sollten sich jetzt schon Gedanken über diese Sicherheitsstandards machen. Denn wer diese Richtlinien nicht erfüllt, dessen E-Mails werden nicht mehr verschickt. Und mit unverschickten Mails lässt sich kein Geld verdienen.

Im Folgenden blicken wir daher genauer darauf, was DMARC ist und inwiefern dieses Protokoll Ihr E-Mail-Marketing beeinflussen kann.

DMARC steht für domain-based message authentication reporting and conformance. Es handelt sich dabei also um ein Authentifizierungs-, Richtlinien- und Berichtsprotokoll für E-Mails.

Es wurde 2012 als Sicherheitsprotokoll von PayPal mithilfe von Google, Microsoft und Yahoo entwickelt. Das Protokoll soll eine Domain davor schützen, für Scams wie E-Mail-Spoofing oder Phishing-Angriffen missbraucht zu werden.

Es ist der dritte Schritt in einer Authentifizierungsprüfung nach SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail).

Wenn eine E-Mail an der Authentifizierungsprüfung von SPF und/oder DKIM scheitert, sagt DMARC dem Mailbox-Anbieter, was mit dieser E-Mail passieren soll. Dafür gibt es drei Optionen:

• E-Mail trotz gescheiterter Prüfung in den Posteingang schicken (p=none)
• E-Mail in den Spam-Ordner schicken (p=quarantine)
• E-Mail nicht zustellen (p=reject)

Ein DMARC-Eintrag (DMARC record) ist eine Code-Zeile, die zu Ihrem DNS TXT Eintrag hinzugefügt wird. Die Information in dieser Zeile bestimmt, was passieren soll, wenn die Authentifizierung scheitert:

"v=DMARC1;p=none;pct=100;rua=mailto:postmaster@dmarcdomain.com;ruf=mailto:dmarc@dmarcdomain.com;rf=afrf"

Das erste Tag (v=) ist einfach. Der Wert muss immer DMARC1 lauten. Es gibt bislang keine anderen Versionen, nutzen Sie also immer “1”.

Das zweite Tag (p=) weist den Empfängerserver an, was mit Nachrichten passieren soll, die nicht authentifiziert werden konnten. Hier sind Ihre Optionen:

• None: Nachrichten werden protokolliert, aber keine Maßnahmen ergriffen.
• Quarantine: Nachrichten werden als Spam markiert.
• Reject: Nachrichten werden abgelehnt (es kommt zum Bounce).

Das dritte Tag ist rua= bzw. die E-Mail-Adresse, an die Ihre DMARC-Berichte gesendet werden.

So funktioniert DMARC mit den verschiedenen Richtlinien

Falls Sie den Eintrag nicht selbst erstellen möchten, verfügt der Dienst der Drittanbieter Dmarcian über eine kostenlose Funktion zur Generierung von Einträgen.

Aber Achtung, denn wenn Sie einen DMARC-Eintrag einfügen oder aktualisieren, sollten Sie vorher SPF und DKIM einstellen und mindestens 48 Stunden aktiviert haben, um Ihre Nachrichten zu authentifizieren.

Das DMARC-Protokoll mag auf den ersten Blick nicht so relevant für E-Mail-Marketing erscheinen. Tatsächlich kann es aber einen Einfluss auf Kampagnen und den Ruf des Unternehmens haben.

Stellen wir uns folgendes Szenario vor. Sie haben SPF- und DKIM-Protokolle eingerichtet. Damit können E-Mail-Clients verifizieren, ob E-Mails, die von Ihrer Domain verschickt werden authentisch sind.

Nun schalten sich aber Hacker dazwischen und nutzen Ihre vertrauenswürdige Domain, um per Spoofing „in Ihrem Domain-Namen“ Spam oder betrügerische E-Mails zu verschicken.

Dann können Mailbox-Anbieter zwar feststellen, dass diese betrügerischen Mails an den SPF- und DKIM-Protokollen scheitern, aber was passiert dann?

Wenn Sie als Unternehmen keine DMARC-Regeln festlegen, entscheiden die Voreinstellungen der Mailbox-Anbieter, was mit diesen Mails passiert. Im schlimmsten Fall kommen sie durch.

Das ist aus folgenden Gründen problematisch:

• Ihre Kunden sind einem Risiko oder lästigen Spam-Nachrichten ausgesetzt.
• Auch, wenn Sie selbst nichts für die Angriffe können, schaden solche Mails Ihrem Ruf als Unternehmen.
• E-Mail-Clients werten diese Nachrichten als Spam, der von Ihnen ausgeht. Damit sinkt Ihre Vertrauensbewertung, was langfristig dazu führen kann, dass auch legitime Marketing-E-Mails von Ihnen nicht mehr durchgestellt werden.
• Eine niedrigere Zustellbarkeitsrate bedeutet, dass Ihre Marketing-Mails seltener ankommen, Ihre Kampagnen weniger Nutzer erreichen – und Sie somit bares Geld verlieren.

Zusammengefasst heißt das: Ohne DMARC-Protokoll riskieren Sie Ihren Ruf, Sie schaden Ihren Kampagnen und setzen auch Kunden einem Sicherheitsrisiko aus.

Gehen Sie mit DMARC auf Nummer sicher und schützen Sie Ihren E-Mail-Versand

Seit 2024 gelten für Yahoo! Mail und Gmail neue Anforderungen zu SPF, DKIM und DMARC. Massenversender, die über 5 000 E-Mails pro Tag verschicken, müssen alle drei Protokolle, inklusive DMARC nachweisen.

Es gibt zwar keine Richtlinien dazu, welche DMARC-Option Massenversender festlegen sollen. Wir empfehlen aber eine der beiden strengeren Einstellungen (Quarantäne oder Abweisung), um so Ihr Unternehmen sowie Ihre Empfänger besser vor Spam oder Angriffen wie Phishing oder Spoofing zu schützen.

Das DMARC-Protokoll bietet Ihnen gleich mehrere Vorteile.

1. Sie erhöhen damit den Schutz vor Angriffen oder Spam für Ihre Empfänger.
2. Sie schützen Ihre eigene Domain besser vor Attacken wie Spoofing oder Phishing.
3. Sie verbessern ebenfalls die Vertrauensbewertung Ihrer Domain, was Ihre Zustellbarkeitsrate erhöht.
4. Wenn Sie als Domain-Inhaber einen DMARC-Eintrag in Ihrem DNS-Eintrag einrichten, erhalten Sie außerdem einen Überblick darüber, wer E-Mails im Namen Ihrer Domain versendet. Das bedeutet, dass niemand in der Lage sein wird, Ihre Domain zu missbrauchen.

Die Vorteile von DMARC.

Übrigens: Mit BIMI (Brand Indicators for Message Identification) gibt es seit Neuestem auch einen weiteren Sicherheitsstandard. BIMI erlaubt es Unternehmen, das eigene Logo neben dem Namen in der E-Mail mitzuverschicken.

Verschicken Sie E-Mails mit BIMI-Logos.

Das BIMI-Logo können Sie aber nur dann verschicken, wenn Sie SPF und DKIM eingerichtet haben und Ihre DMARC-Einstellungen auf die strikten Optionen „p=quarantine“ (Quarantäne) oder „p=reject“ (zurückweisen) gesetzt haben.

Die DMARC-Validierung von E-Mails läuft folgendermaßen ab:

1. Der Domain-Besitzer setzt seine DMARC-Richtlinie (DMRAC policy) auf. Dazu wählt er eine der drei Optionen aus, die den empfangenden Servern sagen, was sie mit einer E-Mail machen sollen, die die Authentifizierungsmethoden per SPF und DKIM nicht bestanden hat. Das wird dann Teil des DNS-Eintrags der Domain.
2. Wenn ein Mailbox-Anbieter wie Google oder Yahoo eine E-Mail von Ihrer Domain bekommen, sucht dieser Anbieter nach der DMARC-Richtlinie der Absender-Domain. Diese erscheint in der Kopfzeile dieser E-Mail. Der Anbieter bewertet die Nachricht dann nach folgenden Faktoren:
   • Ist die DKIM-Signatur korrekt?
   • Ist die Sender-IP in Ihrem SPF-Eintrag?
   • Zeigen die Kopfzeilen in der Nachricht das korrekte Domain Alignment?
3. Sobald all diese Informationen zusammengetragen wurden, entscheidet der E-Mail-Anbieter nach Ihren DMARC-Richtlinien, was mit der Nachricht passiert.
4. Sie bekommen dann einen DMARC-Bericht (wenn Sie dies aktiviert haben), um Sie als Domain-Besitzer über den Versand zu informieren.

Sobald DMARC sicher eingerichtet ist, werden nach und nach Berichte in Ihrem Posteingang eintrudeln. Diese Berichte informieren Sie über Folgendes:

• Welche Server oder Dritte von Ihrer Domain aus E-Mails versenden und ob diese die Authentifizierung bestehen
• Wie der jeweilige Eingangsserver auf nicht authentifizierte E-Mails reagiert
• Wie hoch der Gesamtprozentsatz der DMARC-Erfolgsquote ist.

Das optionale Berichts-Tag ruf= teilt ISPs mit, wohin sie Fehlerberichte (auch forensische Berichte genannt) schicken sollen. Dieses Tag wird zwar aus Datenschutzgründen nicht von allen E-Mail-Anbietern unterstützt (z. B. Gmail), doch es ermöglicht Ihnen mehr Einblicke in die abgelehnten E-Mail-Inhalte als ein aggregierter Standardbericht.

Berichte haben zwei verschiedene Typen: aggregiert und forensisch: Diese Berichte unterstützen Sie dabei, sicherzustellen, dass Sie Ihre ausgehenden E-Mails ordnungsgemäß authentifizieren.

Aggregierte Berichte

Bei aggregierten Berichten handelt es sich um XML-Dokumente, die Daten über die empfangenen Nachrichten anzeigen, die angeblich aus einer bestimmten Domain stammen. Diese Berichte im XML-Rohformat sind maschinenlesbar.

Forensische Berichte

Forensische Berichte beinhalten einzelne Kopien von Nachrichten, bei denen die Authentifizierung fehlgeschlagen ist, die jeweils in einer vollständigen E-Mail-Nachricht mit einem speziellen Format namens AFRF enthalten sind.

Die Informationen, die diese Berichte enthalten könnten, sind:

• Betreffzeile
• Uhrzeit, zu der die Nachricht empfangen wurde
• IP-Informationen
• Authentifizierungsergebnisse
  • SPF-Ergebnis
  • DKIM-Ergebnis
  • DMARC-Ergebnis
• Domain-Informationen
  • Von dieser Absender-Adresse
  • E-Mail von dieser Adresse
  • DKIM von dieser Adresse
• Nachrichten-ID
• URLs
• Ergebnis der Zustellbarkeit
• Angewandte Richtlinie
• ISP-Informationen

Das DMARC-Protokoll macht den E-Mail-Versand sowohl für Unternehmen als auch für Empfänger sicherer.

Denn mit diesem E-Mail-Authentifizierungsprozess wird niemand mehr Ihre E-Mail-Domain spoofen können. Das heißt: Nutzer bekommen weniger betrügerische Nachrichten und Ihr Ruf wird nicht missbraucht.

Das führt unterm Strich zu einem besseren Image und höherer Zustellbarkeit.