Zustellbarkeit
DMARC einrichten: Ein Schritt-für-Schritt-Leitfaden
DMARC ist nicht nur ein Eintrag, sondern ein Prozess, mit dem Sie Ihr E-Mail-Programm vor Spoofing schützen. Wir erklären Ihnen die Schritte zur Einrichtung.
E-Mail-Spoofing ist immer weiter verbreitet. Posteingänge werden von Betrugs-E-Mails, Ransomware und sogar Aktienmarktmanipulation überschwemmt. Jedes Jahr verlieren Unternehmen Millionen Dollar an betrügerische Hacker – nicht einmal Wohltätigkeitsorganisationen sind vor ihnen sicher. Selbst wenn Sie eine eigene Domain besitzen und strikte E-Mail-Sicherheitsvorkehrungen getroffen haben, kann Ihre Absenderadresse immer noch gefälscht werden, wenn Sie DMARC nicht eingerichtet haben.
Doch was ist DMARC und warum ist es so wichtig? In diesem Leitfaden erfahren Sie alles Wichtige zu diesem E-Mail-Authentifizierungsprotokoll und dazu, wie Sie es am besten einrichten.
Inhaltsverzeichnis
Vor DMARC: SPF- und DKIM-Authentifizierung
Während DMARC: DMARC aufgeschlüsselt
Nach DMARC: Überprüfung von DMARC-Berichten
1. Bereiten Sie Ihre Domain auf DMARC vor
2. Richtlinie auswählen
3. TXT-Eintrag hinzufügen
4. Berichte analysieren
5. Strategie nach und nach anwenden
Inhaltsverzeichnis
Was ist DMARC?
Holen Sie sich erstmal einen Kaffee, denn es ist eine lange Abkürzung.
Die Authentifizierungsmethode DMARC (Domain-based Message Authentication, Reporting & Conformance) dient dazu, böswillige Akteure daran zu hindern, sich als Sie auszugeben.
DMARC wurde im Jahr 2012 entwickelt und ist als erste Schutzmaßnahme gegen bösartige E-Mails zur branchenüblichen Praxis geworden. Sie sind sich nicht sicher, ob Sie DMARC bereits eingerichtet haben? Mit diesem Tool können Sie eine schnelle DMARC-Prüfung durchführen.
Warum ist DMARC so wichtig?
Während E-Mails schon so alt wie das Internet sind, befindet sich die E-Mail-Authentifizierung noch in den Kinderschuhen.
Vor DMARC verließen sich E-Mail-Anbieter wie Google zur Identifizierung von Spammern auf strikte Filter und das Feedback von Nutzern. Diese Filter waren so strikt, dass sie teilweise sogar legitime Absender blockierten.
DMARC gibt Absendern die Möglichkeit, auf der Grundlage von Feedbackschleifenberichten ein striktes Authentifizierungsprotokoll auszuarbeiten, das den empfangenden E-Mail-Servern mitteilt, welche IP-Adressen auf Ihrer Domain Ihnen gehören. DMARC-Richtlinien weisen ISPs an, E-Mails von betrügerischen IP-Adressen abzulehnen, die versuchen, Ihre Domain zu nutzen.
Das klingt ja alles schön und gut, aber warum sollte Sie das kümmern, wenn Ihre E-Mails gut in den Posteingängen ankommen? Die Antwort lautet: Sicherheit. 90 % aller Netzwerkangriffe erfolgen über die E-Mail-Infrastruktur und werden immer raffinierter. Eine Phishing-Attacke schadet sowohl Ihrer IP-Reputation und Ihrer Zustellbarkeitsrate als auch der Reputation Ihrer Marke sehr.
Ziemlich beängstigend, nicht wahr? Doch bevor Sie DMARC einrichten, sollten Sie erst einmal verstehen, wie es funktioniert.
Wie funktioniert DMARC?
Einfach ausgedrückt ist DMARC eine Zeile Code, die in Ihren DNS-TXT-Eintrag eingepflegt wird. Doch DMARC ist viel mehr als nur Code: Es handelt sich um einen Prozess, der vor, während und nach der Einrichtung stattfindet, um sicherzustellen, dass Ihr E-Mail-System rund läuft. Schauen wir uns drei Schlüsselelemente von DMARC an, um diesen Authentifizierungsstandard besser zu verstehen.
Vor DMARC: SPF- und DKIM-Authentifizierung
Um DMARC zu verstehen, ist es wichtig, zunächst ein Verständnis seiner Vorgänger Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM) zu erlangen.
SPF ist eine Standardmethode zur E-Mail-Authentifizierung, bei der Absender die IP-Adressen von vertrauenswürdigen SMTP-Servern angeben, die von einer Domain aus versenden dürfen. Dieser Eintrag wird daraufhin von dem Eingangsserver geprüft, um die E-Mail zu validieren und an den Posteingang zu senden. Die Authentifizierung mit DKIM funktioniert hingegen über eine Signatur, die den DNS-Einträgen hinzugefügt und mit einem eigenen Schlüssel in Ihrem Nachrichtenheader überprüft wird.
Warum sind SPF und DKIM so wichtig für DMARC? Weil DMARC die beiden Einträge als Entscheidungsgrundlage dafür nutzt, ob eine Nachricht durchgelassen wird oder nicht.
Während DMARC: DMARC aufgeschlüsselt
Ein DMARC-Eintrag besteht aus relativ schlichten Tags und Werten. Nur zwei Felder sind erforderlich, die restlichen sind optional. In diesem Leitfaden stellen wir nur die Mindestanforderungen vor. Bei Google finden Sie jedoch eine Liste mit allen erweiterten Tags.
Hier ist ein Beispiel für einen einfachen DMARC-Eintrag:
v=DMARC1; p=reject; rua=mailto:postmaster@mailgun.com;
Das erste Tag (v=) ist einfach. Der Wert muss immer DMARC1 lauten. Es gibt bislang keine andere Versionen, nutzen Sie also immer “1”.
Das zweite Tag (p=) weist den Empfängerserver an, was mit Nachrichten passieren soll, die nicht authentifiziert werden konnten. Hier sind Ihre Optionen:
None: Nachrichten werden protokolliert, aber keine Maßnahmen ergriffen.
Quarantine: Nachrichten werden als Spam markiert.
Reject: Nachrichten werden abgelehnt (es kommt zum Bounce).
Wenn Sie BIMI verwenden, muss das p= Tag auf quarantine oder reject gesetzt sein, da BIMI none nicht unterstützt.
Das dritte Tag ist rua= bzw. die E-Mail-Adresse, an die Ihre DMARC-Berichte gesendet werden.
Falls Sie den Eintrag nicht selbst erstellen möchten, verfügt der Drittanbieterdienst Dmarcian über eine kostenlose Funktion zur Generierung von Einträgen.
Nach DMARC: Überprüfung von DMARC-Berichten
Schließlich geht es in das Stadium der Berichterstattung. Sobald DMARC sicher eingerichtet ist, werden nach und nach Berichte in Ihrem Posteingang eintrudeln. Diese Berichte informieren Sie über Folgendes:
Welche Server oder Dritte von Ihrer Domain aus E-Mails versenden und ob diese die Authentifizierung bestehen
Wie der jeweilige Eingangsserver auf nicht authentifizierte E-Mails reagiert
Wie hoch der Gesamtprozentsatz der DMARC-Erfolgsquote ist.
Das optionale Berichts-Tag ruf= teilt ISPs mit, wohin sie Fehlerberichte (auch forensische Berichte genannt) schicken sollen. Dieses Tag wird zwar aus Datenschutzgründen nicht von allen E-Mail-Anbietern unterstützt (ja, wir meinen Gmail), doch es ermöglicht Ihnen mehr Einblicke in die abgelehnten E-Mail-Inhalte als ein aggregierter Standardbericht.
Die Ergebnisse dieser Berichte helfen Ihnen bei der Ausrichtung Ihrer DMARC-Richtlinien. Wenn beispielsweise die meisten Nachrichten die Mailserver des Empfängers passieren, benötigen Sie striktere Richtlinien, um Spoofing-E-Mails abzufangen. Jeden Tag müssen Sie Ihre Berichte analysieren und Probleme beheben wie z. B., dass legitime E-Mails im Spam-Ordner landen. Nachdem Sie nun ein besseres Verständnis von DMARC haben, schauen wir uns eine Checkliste mit konkreten Schritten zur Einrichtung an.
Wie Sie DMARC einrichten
Sie fragen sich, wie die Einrichtung von DMARC funktioniert? Hier ist unser Schritt-für-Schritt-Leitfaden für Sie:
1. Bereiten Sie Ihre Domain auf DMARC vor
Wir wissen, dass Sie Ihre neuen DMARC-Richtlinien am liebsten gleich anwenden würden, aber zuerst sind einige Vorbereitungen zu treffen.
SPF und DKIM für Ihre Domain einrichten
Wie bereits erwähnt, müssen Sie vor der Verwendung von DMARC erst SPF und DKIM aktivieren.
Bei SPF bedeutet dies, Ihrem Domainanbieter einen DNS-TXT-Eintrag hinzuzufügen, den Sie in den Einstellungen Ihres E-Mail-Service-Providers finden. Im Falle der DKIM-Signatur ist der Ablauf ähnlich: Kopieren Sie einfach den DKIM-Eintrag in Ihre in den Einstellungen Ihres DNS-Anbieters befindliche TXT-DNS-Datei.
Gruppe oder Postfach für Berichte einrichten
Sie werden schnell immer mehr XML-Berichte erhalten, in denen der Versand Ihrer E-Mails an jeden Standort und jeden ISP nachverfolgt wird. Daher ist ein unabhängiges Postfach hilfreich, das Sie nur für den Empfang dieser Berichte verwenden. Bei kleinen Unternehmen sind es vielleicht nur wenige Berichte, bei großen können es hingegen mehrere Tausend sein. Erwägen Sie die Nutzung eines Drittanbieterdienstes zur Verwaltung und Entschlüsselung dieser Berichte.
Absenderdomains prüfen
Selbst ein Schachmeister hätte Schwierigkeiten, sich eine Liste von IP-Adressen zu merken. Wenn also langsam Ihre DMARC-Berichte eintrudeln, sollten Sie eine Liste Ihrer Absenderdomains bei der Hand haben, um die falschen von den richtigen unterscheiden zu können.
Beim Domainmanagement werden Ihre Domänen einer Prüfung unterzogen. Wenn Sie diesen Schritt zuerst durchführen, sparen Sie sich viel Zeit und Kopfzerbrechen. Das gilt besonders für größere Organisationen, bei denen mehrere Teams zusammenarbeiten. Glücklicherweise hat unser Partner Dmarcian ein praktisches Video zum DMARC-Projektmanagement erstellt.
2. Richtlinie auswählen
Vor DMARC entschieden die E-Mail-Anbieter über das Schicksal Ihrer E-Mails. Inzwischen können Sie jedoch selbst das Steuer übernehmen, indem Sie Ihre Authentifizierungsrichtlinie festlegen. Konkret heißt das: Was soll Microsoft tun, wenn eine Nachricht von Ihrem Domainnamen nicht mit dem DMARC-Eintrag übereinstimmt? Stellen Sie sich Ihre Richtlinie wie eine Ampel vor, die schrittweise von grün (none) über orange (quarantine) auf rot geschaltet wird (reject).
“None”
Das Tag p=none bewirkt keine Änderungen an Ihren bestehenden Einstellungen. Der E-Mail-Anbieter wird die Nachricht also ganz normal an den Empfänger weiterleiten. Dies ist ein guter Ausgangspunkt, denn somit können Sie die anfänglichen DMARC-Berichte im abgesicherten Modus überwachen.
Denken Sie daran: BIMI unterstützt keine DMARC-Richtlinien mit der Option p=none.
“Quarantine”
Sie wissen mittlerweile sicher, was Quarantäne bedeutet. Bei DMARC bedeutet dies, dass Nachrichten, die nicht authentifiziert werden, im Spamordner landen, bis Sie 100 % sicher sind, woher diese stammen.
“Reject”
p=reject ist der gewünschte Zustand, in dem sich DMARC befinden sollte. Die Quarantäne ist zwar für den Anfang sehr nützlich, doch Sie wollen bestimmt nicht, dass Spoofing-E-Mails ewig im Spamordner Ihrer Kunden liegen. Wenn Sie jedoch zu früh zu dieser Richtlinie wechseln, kann es bei legitimen E-Mails zum Bounce kommen. Aktualisieren Sie Ihre Richtlinie daher erst auf “reject“, nachdem Sie Ihre Berichte mit der Lupe durchgegangen sind (siehe Schritt 5).
Volumen
Um Ihre DMARC-Einführung besser zu kontrollieren, sollten Sie Ihre Richtlinie zunächst nur auf einen kleinen Prozentsatz Ihrer Nachrichten anwenden, indem Sie dieses Tag verwenden: pct=5.
Die Zahl 5 entspricht 5 % der Gesamtzahl der von Ihrer Domain gesendeten Nachrichten. Berücksichtigen Sie bei der Festlegung dieses Werts Ihre Zeit sowie Ressourcen und Risikobereitschaft. Es ist am sichersten, klein anzufangen und den Wert langsam zu erhöhen. Wenn Sie dieses Tag nicht hinzufügen, wird die Richtlinie auf 100 % der Nachrichten angewandt.
3. TXT-Eintrag hinzufügen
Jetzt, da Sie Ihre DMARC-Richtlinie festgelegt haben, ist es an der Zeit, loszulegen.
Melden Sie sich bei Ihrem Domainhost an und gehen Sie zu den DNS-Einstellungen.
Geben Sie unter dem DNS-Hostnamen den Eintragsnamen ein: _dmarc.ihredomain.de.
Geben Sie unter dem Wert des DNS-Eintrags Ihren DMARC-Eintrag ein (siehe “DMARC aufgeschlüsselt” oben).
Speichern Sie die Änderungen.
4. Berichte analysieren
Sie haben jetzt einen DMARC-Eintrag aktiviert und nach und nach landen Berichte in Ihrem Posteingang. Anhand dieser Berichte erfahren Sie, welche Nachrichten die SPF- und DKIM-Authentifizierung bestehen und welche nicht. Ein DMARC-Bericht im Rohdatenformat (XML) sieht etwa so aus:
Hinweis: Dieser Datensatz ist paraphrasiert.
XML-Dateien wie diese sind eigentlich für das maschinelle Lesen konzipiert und sind für Menschen meist schwierig und zeitaufwändig zu interpretieren. Es gibt jedoch einige Methoden, um diese Berichte übersichtlicher zu gestalten:
Einträge in eine tabellarische Form konvertieren mit einer relationalen Datenbank
XML in HTML konvertieren mithilfe eines XSL-Stylesheets
Einen SaaS-Drittanbieterdienst für Erhalt, Verwaltung und Analyse Ihrer Berichte nutzen.
Wir sind keine Roboter – wir bevorzugen unsere Berichte im Tabellenformat.
So, jetzt können wir schon eher etwas erkennen. Und zwar zunächst hoffentlich die IP-Adressen in der linken Spalte als unsere eigenen. Es ist jedoch unwahrscheinlich, dass Sie sich alle IPs Ihrer Drittanbieteranwendungen merken können. Für den Umgang mit diesen E-Mail-Strömen gibt es einen dreistufigen Prozess:
Bewertung: Gleichen Sie Ihre Absender-IP-Adressen mit den IP-Adressen in Ihren Berichten ab.
Abhilfe: Fügen Sie DMARC-Einträge zu allen verifizierten Sendequellen hinzu.
Pflege: Stellen Sie sicher, dass die Einführung erfolgreich ist. Wenn nicht, dann beginnen Sie mit der Fehlerbehebung.
5. Strategie nach und nach anwenden
Die von Ihnen gewählte DMARC-Richtlinie (p=) sollte allmählich wie eine Ampel von p=none zu p=quarantine und schließlich p=reject wechseln. So haben Sie Zeit, Daten zu erfassen und Ihre täglichen Berichte methodisch zu analysieren. Eine sichere Einführung sieht wie folgt aus:
v=DMARC1; p=none; pct=100; rua=mailto:postmaster@mailgun.com;
Beginnend mit diesem Eintrag werden Nachrichten normal zu- und Berichte vom ISP erstellt, sodass Sie sichere Absender auf Ihrer Domain identifizieren können. Sechs Wochen sollten für die Datensammlung ausreichen, dann können Sie zur nächsten Phase übergehen:
v=DMARC1; p=quarantine; pct=5; rua=mailto:postmaster@mailgun.com;
Erhöhen Sie pct= nach und nach, während Sie immer mehr Informationen sammeln, bis Sie die 100 % erreichen. Wenn Sie dann mit den Quarantänemeldungen zufrieden sind, gehen Sie zum nächsten Schritt über:
v=DMARC1; p=reject; pct=5; rua=mailto:postmaster@mailgun.com;
Erhöhen Sie pct= nach und nach und stellen Sie sicher, dass alle legitimen E-Mails im Posteingang ankommen, bis Sie 100 % erreicht haben. Herzlichen Glückwunsch, Sie haben DMARC sicher und erfolgreich eingerichtet!
Erfahren Sie mehr über DMARC von den Experten Ash Morin von Dmarcian und Kate Nowrouzi, VP Zustellbarkeit bei Mailgun, in unserem Podcast Email’s Not Dead.
Wie Sie DMARC mit Mailgun nutzen
Mailgun übernimmt im Bereich E-Mail-Authentifizierung die Führung. Denn bei Mailgun ist die Einrichtung von DKIM- und SPF-Einträgen obligatorisch, noch bevor Sie mit dem Versand beginnen dürfen. Falls Sie Mailgun bereits nutzen, sind Sie nur einen Schritt davon entfernt, Ihr Authentifizierungspuzzle zu vervollständigen: DMARC. Mit der DMARC-Einführung verbessern Sie außerdem auch andere Aspekte Ihres E-Mail-Programms wie die Identifizierung sicherer IP-Adressen.
Doch die Geschichte endet damit noch nicht, denn ISPs können Ihre E-Mails immer noch im Spamordner ablegen, wenn Sie die Best Practices zum E-Mail-Versand nicht einhalten. Warum sollten Sie also aufhören, wenn Sie doch gerade einen Lauf haben? Schauen Sie sich die Best Practices zum Thema Zustellbarkeit an, um Ihre E-Mails vom Spamordner fernzuhalten, und abonnieren Sie unseren Newsletter, um Tipps wie diese jede Woche per E-Mail zu erhalten!
