DMARC – zum Schutz Deiner E-Mail-Domain: Funktionsweise und Einrichtung

e-mail, sicherheit, spam

DMARC – zum Schutz Deiner E-Mail-Domain: Funktionsweise und Einrichtung

DMARC (Domain-based Message Authentication, Reporting and Conformance) ist ein System zum Schutz einer E-Mail-Domain gegen Missbrauch. Damit sollen Phishing– und Spoofing-Angriffen vorgebeugt werden.

So funktioniert DMARC

Damit DMARC funktioniert, muss es von dem Server unterstützt werden, der die E-Mails entgegennimmt. Obwohl DMARC von immer mehr E-Mail-Anbietern unterstützt wird, ist die Verbreitung noch nicht sehr hoch. Glücklicherweise nimmt diese stetig zu.

Ein E-Mail-Empfangsserver, der DMARC unterstützt, überprüft jede einkommende E-Mail. Zuerst wird geschaut, ob bei der Absenderdomain der E-Mail (zum Baispiel «gmx.de») ein DMARC-Eintrag vorhanden ist.

Falls ja, schaut der Emfangsserver die Regeln an, die im DMARC-Eintrag hinterlegt sind. Diese Regeln können vom Absender im DMARC-Eintrag hinterlegt werden. Typische in einem DMARC-Eintrag hinterlegten Empfehlungen:

Das machst Du (der Empfangsserver) bei verdächtigen E-Mails

  • Mach nichts (Wert: „q=none„)
    Sammle nur mal Daten und sende mir Benachrichtigungen bei verdächtigen Nachrichten.
  • Quarantäne (Wert: „q=quarantine„)
    Lege verdächtige E-Mails in den Spam-Ordner.
  • Ablehnen (Wert: „q=reject„)
    Lehne verdächtige Nachrichten ab – damit werden die E-Mails nicht zugestellt und der Versand scheitert mit einer Fehlermeldung

So Benachrichtigst Du mich

Wenn eine E-Mail verdächtig ist, kann eine Benachrichtigung an eine hinterlegte E-Mail-Adresse gesendet werden. Die Konfiguration im DMARC-Eintrag dazu:

rua=mailto:

So genau nehme ich es mit Domains und Subdomains

Eine weitere Einstellung, welche über den DMARC-Eintrag in der DNS-Zone festgelegt werden kann ist, wie strikt die E-Mail-Absenderdomain mit sämtlichen Randdaten im E-Mail übereinstimmen muss. Hier gibt es die Optionen…

Mit dieser Einstellung kann festgelegt werden, wie mit E-Mails von Subdomains wie zum Beispiel «newsletter.ka2.ch» oder «shop.ka2.ch» umgegangen wird.

  • Strikt (Wert: „adkim=s„)
    Hierbei muss die Domain an allen Orten exakt übereinstimmen.
  • Relaxed (Wert: „adkim=r“)
    Hier werden auch E-Mails, welche über Subdomains (Hauptdomain: ka2.ch, Subdomain: newsletter.ka2.ch) versendet werden akzeptiert.

So erstellst Du einen DMARC-Eintrag

Ein DMARC-Eintrag besteht aus vielen Komponenten und ist recht komplex aufgebaut. Deshalb empfehle ich Dir Deinen eigenen DMARC-Eintrag über einen Generator zu erstellen. Damit geht am wenigstens vergessen.

Es gibt einige DMARC-Generatoren – eine spezielle Empfehlung habe ich hier nicht. Am besten im Internet nach «DMARC Generator» suchen.

Limiten von DMARC

DMARC ist eine gute Sache. Es ist aber nur eine von vielen Massnahmen, wie Du Deine Domain vor Missbrauch schützen kannst. Und wie Alles, hat DMARC auch Schattenseiten.

DMARC kann zu Problemen führen, wenn Du E-Mails weiterleiten möchtest oder Du Dienste nutzt, welche im Namen Deiner Domain E-Mails senden. Ein Beispiel eines solchen Dienstes sind E-Mail-Newsletter- oder Benachrichtigungs-Dienste sowie externe Shops sein.

Wenn Du externe Dienste nutzt, die im Namen Deiner Domain E-Mails versenden, prüfe bitte immer zuerst, ob die verwendeten Dienste DMARC-Kompatibel sind.

Bei Fragen, stehe ich Dir gerne zur Verfügung: Kontakt.

Portrait-Banner: Philippe Krebs

Über den Autor

Liebt beruflich HTML, CSS, WordPress, Gadgets, IoT, Unix-Servers und NAS-Systeme. Privat Sushi, Zelda, Radfahren und Wandern.

Unverbindliche Beratung

Kontaktiere mich gerne für eine unverbindliche Beratung.

Termin vereinbaren

Ka2 GmbH
Bernerring 75
4054 Basel

+41 61 511 99 00

© Ka2 GmbH

ImpressumDatenschutzAllgemeine Geschäftsbedingungen