Zustellbarkeit

DMARC als E-Mail-Validierungssystem: Funktion und Anwendung

Mailjet stellt für Sie folgende Lösung bereit, damit Ihre Domain nicht für Spoofing oder anderen Cyberkriminalitäten genutzt wird: DMARC aktivieren.

Hermes bei der Postzustellung an Hera vor roter Hauswand

Mit Ihrer Domain geben Sie nicht nur den Namen Ihrer Webseite an, sondern repräsentieren ebenfalls mit dieser Ihre Marke. Werden Sie zum Opfer von Spoofing, einem Täuschungsversuch zur Verschleierung der eigenen Identität in E-Mails, kann dies negative Auswirkungen auf Ihre Reputation haben.

Was wäre nämlich, wenn jemand eine E-Mail von Ihrer Domain versendet, die den gleichen Inhalt anbietet, wie Sie Ihren Kunden  und letzten Endes so nicht nur von Ihrem Umsatz profitiert? Hinzu kommt, dass Sie Ihre Leser davon überzeugen müssen, dass dies nicht Ihre Schuld ist.

Hierfür haben wir für Sie folgende Lösung: Aktivieren Sie DMARC. In diesem Artikel erfahren Sie, was DMARC bedeutet und beinhaltet und wie Sie DMARC in Ihr E-Mail Marketing integrieren, um Sie vor Spoofing-Attacken zu schützen.

Was ist DMARC?

Domain-based Message Authentication Reporting and Conformance (DMARC) ist ein E-Mail Validierungssystem, das entwickelt wurde, um Ihre Domain vor der Verwendung für E-Mail Spoofing, Phishing-Betrug und anderer Cyberkriminalität zu schützen. Somit wird DMARC zur Notwendigkeit für die Online-Sicherheit einer Domain.

DMARC stellt eine Richtlinie dar, die den Empfänger-Servern zeigt, wie Sie reagieren müssen, wenn Sie eine E-Mail erhalten, die so aussieht, als ob sie von Ihnen oder jeder anderen Adresse „@yourdomain.com” gesendet wurde, auch wenn dem nicht so ist.

Sie können Ihre DMARC-Richtlinie so durchführen, dass die E-Mails, die von Ihrer Domain versendet werden nur überprüft werden oder Sie können die Mailbox-Anbieter anweisen, sie in den Spam-Ordner zu verbannen oder nicht authentifizierte E-Mails zurückzuweisen.

Betrachten Sie DMARC als Ihren eigenen persönlichen Sicherheitsbeauftragten für Ihre Domain. DMARC wurde von PayPal mit Hilfe von Google, Microsoft und Yahoo! als E-Mail Sicherheitsprotokoll entwickelt.

Fragezeichen

Wenn Sie als Domaininhaber einen DMARC-Eintrag in Ihrem DNS-Eintrag einrichten, erhalten Sie einen Überblick darüber, wer E-Mails im Namen Ihrer Domain versendet. DMARC verwendet die E-Mail Authentifizierungstechniken SPF (Sender Policy Framework) und DKIM (Domain Keys Identified Mail) und fügt eine wichtige Funktion hinzu - das Reporting.

Das bedeutet, dass niemand in der Lage sein wird, Ihre Domain zu leihen, um eine E-Mail mit der Bitte um eine Spende von $100 für den Amazonas-Regenwald zu senden und dann das Geld für den Kauf einer neuen Yacht zu verwenden.... um den Amazonas-Regenwald zu besuchen.

Ist DMARC notwendig?

Wenn Sie ein Unternehmen sind, das E-Mails mit personenbezogenen Daten (Rechnungen, Auftragsbestätigungen, sogar Kontoaktivierungen) oder E-Mails mit Marketingzwecken (kommerziell) versendet, müssen Sie auf jeden Fall eine oder mehrere Formen der E-Mail Authentifizierung implementieren, um sicherzustellen, dass eine E-Mail tatsächlich von Ihnen und Ihrer Domain stammt.

DMARC hilft Empfangsservern dabei, festzustellen, wie Sie Nachrichten auswerten können, die vorgeben, von Ihrer Domain zu stammen. Zumal ist es einer der wichtigsten Schritte, die Sie unternehmen können, um Ihre Zustellbarkeit zu verbessern.

Wie andere Tipps und Tricks aussehen, um Ihre Zustellbarkeit zu verbessern, erfahren Sie hier: Der große E-Mail Zustellbarkeit 101 Guide

Auch wenn DMARC für den Versand mit Mailjet nicht zwingend erforderlich ist, empfehlen wir Ihnen, es so einzurichten, dass Sie neben SPF und DKIM auch Spoofing vermeiden können.

Sie können jederzeit den Leitfaden unserer Partner von Google einsehen, indem Sie hier klicken. Bei allgemeinen Fragen zu DMARC können Sie sich jederzeit an unseren Support wenden.

Gründe, wieso Sie DMARC nutzen sollten

Gründe, wieso Sie DMARC nutzen sollten

Wie funktioniert DMARC?

Wie bereits erwähnt, stützt sich DMARC bei der E-Mail Authentifizierung auf die etablierten SPF- und DKIM-Einträge. Aber im Gegensatz zu SPF und DKIM könnte ein DMARC-Eintrag dem Server sagen, ob er eine Nachricht annehmen soll oder nicht.

Mit DMARC wird es möglich, Einblicke in Phishing-Angriffe zu gewinnen. Auf diese Weise können Kunden im Voraus informiert werden und sind über Angriffe informiert.

SPF und DKIM

Das Sender Policy Framework, kurz SPF (früher Sender Permitted From) ist ein Verfahren, um das Fälschen von E-Mail Absenderadresse zu verhindern.

Verfahren des SPF via Zen Software

Verfahren des SPF via Zen Software

DomainKeys Identified Mail, kurz DKIM genannt, ist eine Authentifizierungsmethode, die einen Domainnamen mit einer E-Mail verknüpft. Es wird von ISPs oder Webmail Providern verwendet, um nachzugehen, ob die versendete E-Mail in den Posteingang des Empfängers gelangen darf oder nicht.

Verfahren DKIM via Dmarcian

Verfahren DKIM via Dmarcian

Zusammen stellen sie eine wichtige Komponente des E-Mail Marketings dar. Insbesondere spielen sie dann eine Rolle, wenn Sie Massen-E-Mails versenden wollen

Wissenswertes rund um beider oben genannten Tools und wie Sie sie mit Mailjet einrichten, um von der Nutzung DMARCs profitirieren zu können, haben wir Ihnen in einem Artikel für Sie zusammengestellt: SPF und DKIM einrichten mit Mailjet

Jeder größere ISP-Server führt heutzutage einen DMARC-Check durch und die Implementierung von DMARC erfolgt immer häufiger. Lassen Sie uns also nun einen Blick darauf werfen, wie DMARC funktioniert und aus welchen Komponenten es besteht.

Der Prozess der DMARC-Validierung funktioniert wie folgt:

  1. Der Domainbesitzer legt die Richtlinie fest, wählt seine E-Mail-Authentifizierungsverfahren und bestimmt, wie die Empfänger-Server mit E-Mails umgehen sollen, die gegen diese Richtlinie verstoßen: Diese DMARC-Richtlinie wird Teil der DNS-Einträge dieser Domain.

  2. Falls der Posteingangsserver eine eingehende E-Mail erhält, überprüft er über DNS die DMARC-Richtlinie für die Absenderdomain im Header "From" (RFC 5322). Der Inbound-Server wertet die Nachricht dann anhand von drei Schlüsselfaktoren aus:

    • Ist die DKIM-Signatur korrekt?

    • Ist die Absender-IP im SPF-Eintrag enthalten?

    • Zeigen die Überschriften in der Nachricht die richtige "Domain-Ausrichtung"?

  3. Wenn die Informationen gesammelt werden, kann der Server entscheiden, was mit der Nachricht gemäß der DMARC-Richtlinie geschehen soll.

  4. Der Server informiert den Domaininhaber über das Ergebnis und das Geschehen mit der Nachricht.

So funktioniert DMARC

So funktioniert DMARC

Um es anders auszudrücken: DMARC ermöglicht es Ihnen, Ihre Domains zu sichern und zu entscheiden, was passieren soll, wenn Empfänger-Server unauthentifizierte E-Mails von Ihrer Domain erhalten. DMARC ist eine sehr leistungsfähige Lösung, um Ihre E-Mail-Domain bei richtiger Konfiguration vollständig zu schützen.

Wie ist DMARC aufgebaut?

Um einen genaueren Einblick darüber zu gewinnen, was DMARC und seine einzelnen Komponenten bedeuten, wird im Folgenden näher darauf eingegangen:

Beginnen wir mit dem Aussehen eines DMARC und gehen dann Stück für Stück jede Komponente durch:

“v=DMARC1;p=none;pct=100;rua=mailto:postmaster@dmarcdomain.com;ruf=mailto:dmarc@dmarcdomain.com;rf=afrf”

“v=DMARC1”

v=DMARC1 ist die Kennung, nach der der empfangende Server sucht, wenn er den DNS-Eintrag nach der Domain durchsucht, von der er die Nachricht erhalten hat. Wenn die Domain keinen txt-Eintrag hat, der mit v=DMARC1 beginnt, führt der empfangende Server keinen DMARC-Check durch.

Richtlinien:

“p=none” teilt dem empfangenden Server mit, was er mit Nachrichten tun soll, die den DMARC-Check nicht bestehen. Es gibt drei Richtlinienoptionen:

  1. Keine,

  2. Quarantäne,

  3.  und Ablehnung.

Welche Richtlinie für Sie die beste ist, hängt dabei ganz von Ihren Bedürfnissen ab.

Kommen wir nun zum wichtigste Teil von DMARC:

Überwachen Sie die Richtlinie: p=none

Die DMARC-Richtlinie "none" weist die E-Mail Empfänger an, DMARC-Berichte an die Adresse zu senden, die in den Tags "rua" oder "ruf" des Datensatzes veröffentlicht ist. Es ist nur als Überwachungsrichtlinie bekannt, weil Sie damit Einblick in Ihren E-Mail Kanal gewinnen.

Es wird den E-Mail Empfängern jedoch nicht mitgeteilt, wie Sie mit E-Mails umgehen sollen, die bei den DMARC-Prüfungen fehlschlagen. Sie können mit der "none"-Richtlinie mit DMARC beginnen und alle DMARC-Berichte sammeln und mit der Analyse dieser Daten beginnen.

Quarantänebestimmungen: p=quarantine

Eine andere Art von Politik ist die "Quarantäne". Diese DMARC-Richtlinie weist die E-Mail Empfänger dazu an E-Mails, die bei den DMARC-Check fehlschlagen, in den Spam-Ordner zu verschieben und den DMARC-Bericht zu versenden.

Die Quarantäne-Richtlinie kontrolliert bereits die Auswirkungen von Spoofing, aber Spoof-E-Mails werden weiterhin an den Empfänger zugestellt.

Richtlinien ablehnen: p=reject

Die dritte Richtlinie ist die "Ablehnung". Neben dem Senden von DMARC-Berichten lehnt die DMARC-Richtlinie die E-Mails, die bei der DMARC-Prüfung fehlschlagen, vollständig ab. Alle anderen E-Mails, die die DMARC-Prüfungen bestehen, werden im primären Posteingang des Empfängers zugestellt. Diese Richtlinie mildert die Auswirkungen von Spoofing am besten.

rua=mailto:postmaster@dmarcdomain.com

“rua=mailto:postmaster@dmarcdomain.com”

Hierdurch wird dem Server mitgeteilt, wohin er die Sammelberichte über DMARC-Fehler senden soll. Wir werden mehr über die Berichte im nächsten Abschnitt des Artikels eingehen: Sie können jede beliebige E-Mail Adresse hinzufügen oder sogar mehrere hinzufügen.

“ruf=mailto:dmarc@dmarcdomain.com”

Dies ist für die forensischen Berichte von DMARC-Fehlern. Damit gibt es eine Anforderung an die E-Mail Adresse - sie muss aus der Domain stammen, für die der DMARC-Eintrag veröffentlicht wird.

“rf=afrf”

Sobald wir die E-Mail Adresse gewählt haben, an die die Berichte gesendet werden sollen, wählen wir aus, welche Art von Berichterstattung wir wünschen. In diesem Fall bedeutet rf=afrf das aggregierte Fehlerberichtsformat. In dem Fall ist es ideal, wenn Sie bereits über ein System verfügen, das diese Berichte überwacht.

“pct=100”

Dieser Teil des Datensatzes teilt dem Server mit, wie viele seiner E-Mails den Spezifikationen der DMARC-Richtlinie unterliegen sollen. In diesem Fall: wenn das p= (erinnern Sie sich an die drei oben genannten Richtlinien) auf Ablehnung gesetzt wurde, würden 100% der Mail, die DMARC nicht schafft, abgelehnt.

Weitere Schlüsselmechanismen:

Es gibt eine Reihe weiterer Mechanismen, die in einen DMARC-Datensatz aufgenommen werden können. Diese sehen aus wie folgt:

“sp”

“adkim”

“aspf”

“ri”

“sp”

Dies­er Teil­ würd­e dem empf­angenden Serv­er mitt­eilen, ob die DMAR­C-Richtlinie auf Subd­omains ange­wendet werd­en soll­ oder­ nich­t. Die Wert­e sind­ die glei­chen wie bei ­ “p=”­.

Hier­mit wird­ die DKIM­-Ausrichtung eing­estellt. Es kann­ entw­eder auf "s" für stre­ng oder­ "r" für ents­pannt gese­tzt werd­en. Stre­ng bede­utet, dass­ der DKIM­-Teil der DMAR­C-Authentifizierung nur dann­ durc­hlaufen wird­, wenn­ das Feld­ d= in der DKIM­-Signatur gena­u mit der Doma­in von über­einstimmt. Wenn­ er auf ents­pannt eing­estellt ist,­ über­geben die Nach­richten den DKIM­-Teil der DMAR­C-Authentifizierung, wenn­ das Feld­ DKIM­ d= mit der Root­-Domain der Abse­nderadresse über­einstimmt.

Zeig­t eine­ stre­nge oder­ ents­pannte Ausr­ichtung des SPF-­Identifikators an. Die Vore­instellung ist ents­pannt. Zeig­t eine­ stre­nge oder­ ents­pannte Ausr­ichtung des SPF-­Identifikators an.

Hier­mit wird­ das Inte­rvall fest­gelegt, in dem Sie aggr­egierte Beri­chte über­ DMAR­C-Fehler erha­lten möch­ten. Der Stan­dardwert ist 8640­0 Seku­nden, was eine­m Tag ents­pricht.

Des Weiteren erklären wir, was die DMARC-Berichte anzeigen und wie sie Ihrer Marke dabei helfen, jegliches Spoofing zu vermeiden.

Mailjet bietet Ihnen an dieser Stelle nicht nur die Möglichkeit Einblicke über E-Mail Marketing bezogene Aspekte zu erhalten, sondern auch Technische. Abonnieren Sie dazu einfach unseren Newsletter und bleiben Sie auf dem neuesten Stand:

DMARC Berichte

Wie wir im vorherigen Abschnitt gesehen haben, können die Berichte zwei verschiedene Typen sein: aggregiert und forensisch.

Diese Berichte unterstützen Sie dabei, sicherzustellen, dass Sie Ihre ausgehenden E-Mails ordnungsgemäß authentifizieren. Im Folgenden werden die Unterschiede erklärt:

Aggregierte Berichte

Bei aggregierten Berichten handelt es sich um XML-Dokumente, die Daten über die empfangenen Nachrichten anzeigen, die angeblich aus einer bestimmten Domain stammen. Diese Berichte sollen maschinenlesbar sein. Hier ist ein Beispiel:

Forensische Berichte

Forensische Berichte beinhalten einzelne Kopien von Nachrichten, bei denen die Authentifizierung fehlgeschlagen ist, die jeweils in einer vollständigen E-Mail Nachricht mit einem speziellen Format namens AFRF enthalten sind. Diese Berichte sind auch für eine Person leicht zu lesen. Die Informationen, die diese Berichte enthalten könnten, sind:

  • Betreffzeile

  • Uhrzeit, zu der die Nachricht empfangen wurde

  • IP-Informationen

  • Authentifizierungsergebnisse

    • SPF-Ergebnis

    • DKIM-Ergebnis

    • DMARC-Ergebnis

  • Domain-Informationen

    • Von dieser Adress

    • E-Mail von dieser Adresse

    • DKIM von dieser Adresse

  • Nachrichten-ID

  • URLs

  • Ergebnis der Zustellbarkeit

  • Angewandte Richtlinie

  • ISP-Informationen

Nun wissen Sie, wie DMARC funktioniert, wie er aussieht und welche Informationen er liefert. Warum Sie DMARC integrieren sollten und wie die Vorteile aussehen, erfahren Sie im nächsten Abschnitt.

Mailjet und DMARC: Wie Sie Ihre Zustellbarkeit optimieren

Die Postfächer Ihrer Kontakte müssen die Quelle Ihrer Nachrichten (in der Regel über SPF und DKIM) authentifizieren. Bei der Nutzung einer Gmx-, Gmail-, Yahoo- oder einer anderen kostenlosen Webmail-Adresse ist diese Authentifizierung nicht möglich und die Nachricht könnte abgelehnt werden.

Eine derartige Ablehnung erzeugt einen Fehler, der Ihre Zustellbarkeit und die Reputation Ihrer IP-Adressen beeinträchtigen kann.

Yahoo! hat beispielsweise vor Kurzem seine DMARC (Domain based Message Authentication, Reporting and Conformance) Regeln verschärft. Yahoo hat seine Regeln dahingehend geändert, dass alle Empfangsdomains E-Mails, die eine Yahoo-E-Mail-Adresse im Absenderfeld haben, die jedoch von einem Nicht-Yahoo-Server versendet wurden (wie z. B. von einem ESP wie Mailjet), abgelehnt werden.

Aus diesem Grund sollten Sie unbedingt eine Absender-Adresse, die mit Ihrem eigenen Domainnamen verknüpft ist, hinzufügen. Beispiel: peter@mein-unternehmen.de.

Wenn Sie eine E-Mail-Adresse mit einer benutzerdefinierten Domain verwenden, können Sie SPF und DKIM selbst einstellen, um die Zustellbarkeit Ihrer E-Mails zu optimieren. So stehen die Chancen besser, dass Ihre Nachrichten auch im Posteingang des Empfängers landen und genau das wollen Sie ja, richtig?

Fazit

Mit DMARC kann ein Unternehmen Malware, Phishing-Angriffe blockieren und gleichzeitig seine Zustellbarkeit verbessern. Sobald es aktiviert ist, stellt ein DMARC-Eintrag sicher, dass nur autorisierte Absender Ihre Domäne zum Senden von Nachrichten verwenden können.

Das bedeutet, dass die Empfänger auf einen Blick erkennen können, von wem die E-Mail wirklich stammt, und sie können sicher sein, dass sie nicht von einer gefälschten Domain stammt. So wird niemand in der Lage sein, Geld zu sammeln, um in den Amazonas-Regenwald zu gehen, indem er Ihre Marke verwendet.

Richten Sie Ihren DMARC ein und stellen Sie sicher, dass niemand Ihre Domain benutzt, ohne dass Sie es wissen. Somit kann Ihr erfolgirech E-Mail Marketing beginnen.

Beliebte Beiträge

Mailjet-iconDer Aufbau von Beziehungen war noch nie so einfach. Starten Sie jetzt mit Mailjet durch.Starten Sie Ihr Abenteuer
CTA icon Mailjet Icon