DMARC (Domain-based Message Authentication, Reporting and Conformance) ist ein System zum Schutz einer Domain gegen Missbrauch. Insbesondere soll damit Phishing– und Spoofing-Attacken vorgebeugt werden.
So funktioniert DMARC
DMARC muss vom Server unterstützt werden, welcher die E-Mails entgegen nimmt. Der Empfagsserver überprüft dabei bei jeder einkommenden E-Mail, ob bei der Absenderdomain ein DMARC-Eintrag in der öffentlich einsehbaren DNS-Zone eingerichtet ist. Falls ja, hält sich der Empfangsserver an die im DMARC-Eintrag durch den Besitzer der Domain hinterlegten Empfehlungen zum Behandeln von E-Mails.
Typische in einem DMARC-Eintrag hinterlegten Empfehlungen, sind zum Beispiel folgende:
Verhalten bei verdächtigen Nachrichten
- Mach nichts (Wert: “q=none“)
Sammle nur mal Daten und sende mir Benachrichtigungen bei verdächtigen Nachrichten. - Quarantäne (Wert: “q=quarantine“)
Lege verdächtige E-Mails in den Spam-Ordner. - Ablehnen (Wert: “q=reject“)
Lehne verdächtige Nachrichten ab.
Benachrichtigung
Wenn eine E-Mail verdächtig ist, kann eine Benachrichtigung an eine hinterlegte E-Mail-Adresse gesendet werden. Die Konfiguration im DMARC-Eintrag dazu:
rua=mailto:
Genauigkeit der Übereinstimmung
Eine weitere Einstellung, welche über den DMARC-Eintrag in der DNS-Zone festgelegt werden kann ist, wie strikt die E-Mail-Absenderdomain mit sämtlichen Randdaten im E-Mail übereinstimmen muss. Hier gibt es die Optionen…
- Strikt (Wert: “adkim=s“)
Hierbei muss die Domain an allen Orten exakt übereinstimmen. - Relaxed (Wert: “adkim=r”)
Hier werden auch E-Mails, welche über Subdomains (Hauptdomain: ka2.ch, Subdomain: newsletter.ka2.ch) versendet werden akzeptiert.
So erstellst Du einen DMARC-Eintrag
Ein DMARC-Eintrag besteht aus vielen Komponenten. Deshalb ist es am einfachsten, wenn Du Dir Deinen eigenen DMARC-Eintrag über einen Generator erstellst, damit nichts vergessen geht. Es gibt einige DMARC-Generatoren – eine spezielle Empfehlung habe ich hier nicht. Am besten im Internet nach «DMARC Generator» suchen.
Limiten von DMARC
DMARC ist eine gute Sache, ist aber nur eine von vielen Massnahmen, wie Du Deine Domain vor Missbrauch schützen kannst. DMARC kann auch zu Problemen führen, wenn Du zum Beispiel E-Mails weiterleiten möchtest oder Du Dienste nutzt, welche im Namen Deiner Domain E-Mails senden. Das können zum Beispiel E-Mail-Newsletter- oder Benachrichtigungs-Dienste sein.
Falls Du externe Dienste nutzt, welche im Namen Deiner Domain E-Mails versenden, prüfe bitte immer zuerst, ob die verwendeten Dienste DMARC-Kompatibel sind.
Bei Fragen, stehe ich Dir gerne zur Verfügung: Kontakt.