Zustellbarkeit
DMARC als E-Mail-Validierungssystem: Funktion und Anwendung
Mailjet stellt für Sie folgende Lösung bereit, damit Ihre Domain nicht für Spoofing oder anderen Cyberkriminalitäten genutzt wird: DMARC aktivieren.
Mit Ihrer Domain geben Sie nicht nur den Namen Ihrer Webseite an, sondern repräsentieren ebenfalls mit dieser Ihre Marke. Werden Sie zum Opfer von Spoofing, einem Täuschungsversuch zur Verschleierung der eigenen Identität in E-Mails, kann dies negative Auswirkungen auf Ihre Reputation haben.
Was wäre nämlich, wenn jemand eine E-Mail von Ihrer Domain versendet, die den gleichen Inhalt anbietet, wie Sie Ihren Kunden und letzten Endes so nicht nur von Ihrem Umsatz profitiert? Hinzu kommt, dass Sie Ihre Leser davon überzeugen müssen, dass dies nicht Ihre Schuld ist.
Hierfür haben wir für Sie folgende Lösung: Aktivieren Sie DMARC. In diesem Artikel erfahren Sie, was DMARC bedeutet und beinhaltet und wie Sie DMARC in Ihr E-Mail Marketing integrieren, um Sie vor Spoofing-Attacken zu schützen.
Was ist DMARC?
Domain-based Message Authentication Reporting and Conformance (DMARC) ist ein E-Mail Validierungssystem, das entwickelt wurde, um Ihre Domain vor der Verwendung für E-Mail Spoofing, Phishing-Betrug und anderer Cyberkriminalität zu schützen. Somit wird DMARC zur Notwendigkeit für die Online-Sicherheit einer Domain.
DMARC stellt eine Richtlinie dar, die den Empfänger-Servern zeigt, wie Sie reagieren müssen, wenn Sie eine E-Mail erhalten, die so aussieht, als ob sie von Ihnen oder jeder anderen Adresse „@yourdomain.com” gesendet wurde, auch wenn dem nicht so ist.
Sie können Ihre DMARC-Richtlinie so durchführen, dass die E-Mails, die von Ihrer Domain versendet werden nur überprüft werden oder Sie können die Mailbox-Anbieter anweisen, sie in den Spam-Ordner zu verbannen oder nicht authentifizierte E-Mails zurückzuweisen.
Betrachten Sie DMARC als Ihren eigenen persönlichen Sicherheitsbeauftragten für Ihre Domain. DMARC wurde von PayPal mit Hilfe von Google, Microsoft und Yahoo! als E-Mail Sicherheitsprotokoll entwickelt.
Wenn Sie als Domaininhaber einen DMARC-Eintrag in Ihrem DNS-Eintrag einrichten, erhalten Sie einen Überblick darüber, wer E-Mails im Namen Ihrer Domain versendet. DMARC verwendet die E-Mail Authentifizierungstechniken SPF (Sender Policy Framework) und DKIM (Domain Keys Identified Mail) und fügt eine wichtige Funktion hinzu - das Reporting.
Das bedeutet, dass niemand in der Lage sein wird, Ihre Domain zu leihen, um eine E-Mail mit der Bitte um eine Spende von $100 für den Amazonas-Regenwald zu senden und dann das Geld für den Kauf einer neuen Yacht zu verwenden.... um den Amazonas-Regenwald zu besuchen.
Ist DMARC notwendig?
Wenn Sie ein Unternehmen sind, das E-Mails mit personenbezogenen Daten (Rechnungen, Auftragsbestätigungen, sogar Kontoaktivierungen) oder E-Mails mit Marketingzwecken (kommerziell) versendet, müssen Sie auf jeden Fall eine oder mehrere Formen der E-Mail Authentifizierung implementieren, um sicherzustellen, dass eine E-Mail tatsächlich von Ihnen und Ihrer Domain stammt.
DMARC hilft Empfangsservern dabei, festzustellen, wie Sie Nachrichten auswerten können, die vorgeben, von Ihrer Domain zu stammen. Zumal ist es einer der wichtigsten Schritte, die Sie unternehmen können, um Ihre Zustellbarkeit zu verbessern.
Wie andere Tipps und Tricks aussehen, um Ihre Zustellbarkeit zu verbessern, erfahren Sie hier: Der große E-Mail Zustellbarkeit 101 Guide
Auch wenn DMARC für den Versand mit Mailjet nicht zwingend erforderlich ist, empfehlen wir Ihnen, es so einzurichten, dass Sie neben SPF und DKIM auch Spoofing vermeiden können.
Sie können jederzeit den Leitfaden unserer Partner von Google einsehen, indem Sie hier klicken. Bei allgemeinen Fragen zu DMARC können Sie sich jederzeit an unseren Support wenden.
Gründe, wieso Sie DMARC nutzen sollten
Wie funktioniert DMARC?
Wie bereits erwähnt, stützt sich DMARC bei der E-Mail Authentifizierung auf die etablierten SPF- und DKIM-Einträge. Aber im Gegensatz zu SPF und DKIM könnte ein DMARC-Eintrag dem Server sagen, ob er eine Nachricht annehmen soll oder nicht.
Mit DMARC wird es möglich, Einblicke in Phishing-Angriffe zu gewinnen. Auf diese Weise können Kunden im Voraus informiert werden und sind über Angriffe informiert.
SPF und DKIM
Das Sender Policy Framework, kurz SPF (früher Sender Permitted From) ist ein Verfahren, um das Fälschen von E-Mail Absenderadresse zu verhindern.
Verfahren des SPF via Zen Software
DomainKeys Identified Mail, kurz DKIM genannt, ist eine Authentifizierungsmethode, die einen Domainnamen mit einer E-Mail verknüpft. Es wird von ISPs oder Webmail Providern verwendet, um nachzugehen, ob die versendete E-Mail in den Posteingang des Empfängers gelangen darf oder nicht.
Verfahren DKIM via Dmarcian
Zusammen stellen sie eine wichtige Komponente des E-Mail Marketings dar. Insbesondere spielen sie dann eine Rolle, wenn Sie Massen-E-Mails versenden wollen
Wissenswertes rund um beider oben genannten Tools und wie Sie sie mit Mailjet einrichten, um von der Nutzung DMARCs profitirieren zu können, haben wir Ihnen in einem Artikel für Sie zusammengestellt: SPF und DKIM einrichten mit Mailjet
Jeder größere ISP-Server führt heutzutage einen DMARC-Check durch und die Implementierung von DMARC erfolgt immer häufiger. Lassen Sie uns also nun einen Blick darauf werfen, wie DMARC funktioniert und aus welchen Komponenten es besteht.
Der Prozess der DMARC-Validierung funktioniert wie folgt:
Der Domainbesitzer legt die Richtlinie fest, wählt seine E-Mail-Authentifizierungsverfahren und bestimmt, wie die Empfänger-Server mit E-Mails umgehen sollen, die gegen diese Richtlinie verstoßen: Diese DMARC-Richtlinie wird Teil der DNS-Einträge dieser Domain.
Falls der Posteingangsserver eine eingehende E-Mail erhält, überprüft er über DNS die DMARC-Richtlinie für die Absenderdomain im Header "From" (RFC 5322). Der Inbound-Server wertet die Nachricht dann anhand von drei Schlüsselfaktoren aus:
Ist die DKIM-Signatur korrekt?
Ist die Absender-IP im SPF-Eintrag enthalten?
Zeigen die Überschriften in der Nachricht die richtige "Domain-Ausrichtung"?
Wenn die Informationen gesammelt werden, kann der Server entscheiden, was mit der Nachricht gemäß der DMARC-Richtlinie geschehen soll.
Der Server informiert den Domaininhaber über das Ergebnis und das Geschehen mit der Nachricht.
So funktioniert DMARC
Um es anders auszudrücken: DMARC ermöglicht es Ihnen, Ihre Domains zu sichern und zu entscheiden, was passieren soll, wenn Empfänger-Server unauthentifizierte E-Mails von Ihrer Domain erhalten. DMARC ist eine sehr leistungsfähige Lösung, um Ihre E-Mail-Domain bei richtiger Konfiguration vollständig zu schützen.
Wie ist DMARC aufgebaut?
Um einen genaueren Einblick darüber zu gewinnen, was DMARC und seine einzelnen Komponenten bedeuten, wird im Folgenden näher darauf eingegangen:
Beginnen wir mit dem Aussehen eines DMARC und gehen dann Stück für Stück jede Komponente durch:
“v=DMARC1;p=none;pct=100;rua=mailto:postmaster@dmarcdomain.com;ruf=mailto:dmarc@dmarcdomain.com;rf=afrf”
“v=DMARC1”
v=DMARC1 ist die Kennung, nach der der empfangende Server sucht, wenn er den DNS-Eintrag nach der Domain durchsucht, von der er die Nachricht erhalten hat. Wenn die Domain keinen txt-Eintrag hat, der mit v=DMARC1 beginnt, führt der empfangende Server keinen DMARC-Check durch.
Richtlinien:
“p=none” teilt dem empfangenden Server mit, was er mit Nachrichten tun soll, die den DMARC-Check nicht bestehen. Es gibt drei Richtlinienoptionen:
Keine,
Quarantäne,
und Ablehnung.
Welche Richtlinie für Sie die beste ist, hängt dabei ganz von Ihren Bedürfnissen ab.
Kommen wir nun zum wichtigste Teil von DMARC:
Überwachen Sie die Richtlinie: p=none
Die DMARC-Richtlinie "none" weist die E-Mail Empfänger an, DMARC-Berichte an die Adresse zu senden, die in den Tags "rua" oder "ruf" des Datensatzes veröffentlicht ist. Es ist nur als Überwachungsrichtlinie bekannt, weil Sie damit Einblick in Ihren E-Mail Kanal gewinnen.
Es wird den E-Mail Empfängern jedoch nicht mitgeteilt, wie Sie mit E-Mails umgehen sollen, die bei den DMARC-Prüfungen fehlschlagen. Sie können mit der "none"-Richtlinie mit DMARC beginnen und alle DMARC-Berichte sammeln und mit der Analyse dieser Daten beginnen.
Quarantänebestimmungen: p=quarantine
Eine andere Art von Politik ist die "Quarantäne". Diese DMARC-Richtlinie weist die E-Mail Empfänger dazu an E-Mails, die bei den DMARC-Check fehlschlagen, in den Spam-Ordner zu verschieben und den DMARC-Bericht zu versenden.
Die Quarantäne-Richtlinie kontrolliert bereits die Auswirkungen von Spoofing, aber Spoof-E-Mails werden weiterhin an den Empfänger zugestellt.
Richtlinien ablehnen: p=reject
Die dritte Richtlinie ist die "Ablehnung". Neben dem Senden von DMARC-Berichten lehnt die DMARC-Richtlinie die E-Mails, die bei der DMARC-Prüfung fehlschlagen, vollständig ab. Alle anderen E-Mails, die die DMARC-Prüfungen bestehen, werden im primären Posteingang des Empfängers zugestellt. Diese Richtlinie mildert die Auswirkungen von Spoofing am besten.
“rua=mailto:postmaster@dmarcdomain.com”
Hierdurch wird dem Server mitgeteilt, wohin er die Sammelberichte über DMARC-Fehler senden soll. Wir werden mehr über die Berichte im nächsten Abschnitt des Artikels eingehen: Sie können jede beliebige E-Mail Adresse hinzufügen oder sogar mehrere hinzufügen.
“ruf=mailto:dmarc@dmarcdomain.com”
Dies ist für die forensischen Berichte von DMARC-Fehlern. Damit gibt es eine Anforderung an die E-Mail Adresse - sie muss aus der Domain stammen, für die der DMARC-Eintrag veröffentlicht wird.
“rf=afrf”
Sobald wir die E-Mail Adresse gewählt haben, an die die Berichte gesendet werden sollen, wählen wir aus, welche Art von Berichterstattung wir wünschen. In diesem Fall bedeutet rf=afrf das aggregierte Fehlerberichtsformat. In dem Fall ist es ideal, wenn Sie bereits über ein System verfügen, das diese Berichte überwacht.
“pct=100”
Dieser Teil des Datensatzes teilt dem Server mit, wie viele seiner E-Mails den Spezifikationen der DMARC-Richtlinie unterliegen sollen. In diesem Fall: wenn das p= (erinnern Sie sich an die drei oben genannten Richtlinien) auf Ablehnung gesetzt wurde, würden 100% der Mail, die DMARC nicht schafft, abgelehnt.
Weitere Schlüsselmechanismen:
Es gibt eine Reihe weiterer Mechanismen, die in einen DMARC-Datensatz aufgenommen werden können. Diese sehen aus wie folgt:
“sp” | “adkim” | “aspf” | “ri” |
|---|---|---|---|
“sp” | |||
Dieser Teil würde dem empfangenden Server mitteilen, ob die DMARC-Richtlinie auf Subdomains angewendet werden soll oder nicht. Die Werte sind die gleichen wie bei “p=”. | Hiermit wird die DKIM-Ausrichtung eingestellt. Es kann entweder auf "s" für streng oder "r" für entspannt gesetzt werden. Streng bedeutet, dass der DKIM-Teil der DMARC-Authentifizierung nur dann durchlaufen wird, wenn das Feld d= in der DKIM-Signatur genau mit der Domain von übereinstimmt. Wenn er auf entspannt eingestellt ist, übergeben die Nachrichten den DKIM-Teil der DMARC-Authentifizierung, wenn das Feld DKIM d= mit der Root-Domain der Absenderadresse übereinstimmt. | Zeigt eine strenge oder entspannte Ausrichtung des SPF-Identifikators an. Die Voreinstellung ist entspannt. Zeigt eine strenge oder entspannte Ausrichtung des SPF-Identifikators an. | Hiermit wird das Intervall festgelegt, in dem Sie aggregierte Berichte über DMARC-Fehler erhalten möchten. Der Standardwert ist 86400 Sekunden, was einem Tag entspricht. |
Des Weiteren erklären wir, was die DMARC-Berichte anzeigen und wie sie Ihrer Marke dabei helfen, jegliches Spoofing zu vermeiden.
Mailjet bietet Ihnen an dieser Stelle nicht nur die Möglichkeit Einblicke über E-Mail Marketing bezogene Aspekte zu erhalten, sondern auch Technische. Abonnieren Sie dazu einfach unseren Newsletter und bleiben Sie auf dem neuesten Stand:
DMARC Berichte
Wie wir im vorherigen Abschnitt gesehen haben, können die Berichte zwei verschiedene Typen sein: aggregiert und forensisch.
Diese Berichte unterstützen Sie dabei, sicherzustellen, dass Sie Ihre ausgehenden E-Mails ordnungsgemäß authentifizieren. Im Folgenden werden die Unterschiede erklärt:
Aggregierte Berichte
Bei aggregierten Berichten handelt es sich um XML-Dokumente, die Daten über die empfangenen Nachrichten anzeigen, die angeblich aus einer bestimmten Domain stammen. Diese Berichte sollen maschinenlesbar sein. Hier ist ein Beispiel:
Forensische Berichte
Forensische Berichte beinhalten einzelne Kopien von Nachrichten, bei denen die Authentifizierung fehlgeschlagen ist, die jeweils in einer vollständigen E-Mail Nachricht mit einem speziellen Format namens AFRF enthalten sind. Diese Berichte sind auch für eine Person leicht zu lesen. Die Informationen, die diese Berichte enthalten könnten, sind:
Betreffzeile
Uhrzeit, zu der die Nachricht empfangen wurde
IP-Informationen
Authentifizierungsergebnisse
SPF-Ergebnis
DKIM-Ergebnis
DMARC-Ergebnis
Domain-Informationen
Von dieser Adress
E-Mail von dieser Adresse
DKIM von dieser Adresse
Nachrichten-ID
URLs
Ergebnis der Zustellbarkeit
Angewandte Richtlinie
ISP-Informationen
Nun wissen Sie, wie DMARC funktioniert, wie er aussieht und welche Informationen er liefert. Warum Sie DMARC integrieren sollten und wie die Vorteile aussehen, erfahren Sie im nächsten Abschnitt.
Mailjet und DMARC: Wie Sie Ihre Zustellbarkeit optimieren
Die Postfächer Ihrer Kontakte müssen die Quelle Ihrer Nachrichten (in der Regel über SPF und DKIM) authentifizieren. Bei der Nutzung einer Gmx-, Gmail-, Yahoo- oder einer anderen kostenlosen Webmail-Adresse ist diese Authentifizierung nicht möglich und die Nachricht könnte abgelehnt werden.
Eine derartige Ablehnung erzeugt einen Fehler, der Ihre Zustellbarkeit und die Reputation Ihrer IP-Adressen beeinträchtigen kann.
Yahoo! hat beispielsweise vor Kurzem seine DMARC (Domain based Message Authentication, Reporting and Conformance) Regeln verschärft. Yahoo hat seine Regeln dahingehend geändert, dass alle Empfangsdomains E-Mails, die eine Yahoo-E-Mail-Adresse im Absenderfeld haben, die jedoch von einem Nicht-Yahoo-Server versendet wurden (wie z. B. von einem ESP wie Mailjet), abgelehnt werden.
Aus diesem Grund sollten Sie unbedingt eine Absender-Adresse, die mit Ihrem eigenen Domainnamen verknüpft ist, hinzufügen. Beispiel: peter@mein-unternehmen.de.
Wenn Sie eine E-Mail-Adresse mit einer benutzerdefinierten Domain verwenden, können Sie SPF und DKIM selbst einstellen, um die Zustellbarkeit Ihrer E-Mails zu optimieren. So stehen die Chancen besser, dass Ihre Nachrichten auch im Posteingang des Empfängers landen und genau das wollen Sie ja, richtig?
Fazit
Mit DMARC kann ein Unternehmen Malware, Phishing-Angriffe blockieren und gleichzeitig seine Zustellbarkeit verbessern. Sobald es aktiviert ist, stellt ein DMARC-Eintrag sicher, dass nur autorisierte Absender Ihre Domäne zum Senden von Nachrichten verwenden können.
Das bedeutet, dass die Empfänger auf einen Blick erkennen können, von wem die E-Mail wirklich stammt, und sie können sicher sein, dass sie nicht von einer gefälschten Domain stammt. So wird niemand in der Lage sein, Geld zu sammeln, um in den Amazonas-Regenwald zu gehen, indem er Ihre Marke verwendet.
Richten Sie Ihren DMARC ein und stellen Sie sicher, dass niemand Ihre Domain benutzt, ohne dass Sie es wissen. Somit kann Ihr erfolgirech E-Mail Marketing beginnen.
