Zusammenfassung
Der DMARC-Eintrag ist eine Standardmethode zur E-Mail-Authentifizierung. Es handelt sich dabei um einen Eintrag, der definiert, was mit einer E-Mail passieren soll, die eine Überprüfung der Einträge für SPF und DKIM nicht bestanden hat. Der Domaininhaber kann dabei eine von drei Arten von DMARC-Richtlinien anwenden:
- E-Mail trotzdem zustellen
- E-Mail in den Spam-Ordner verschieben
- E-Mail zurückweisen bzw. nicht zustellen
Das Vorhandensein dieser Einträge (SPF, DKIM und DMARC) wird mittlerweile auch von Gmail und Yahoo gefordert. Daher sind diese Einträge mittlerweile zwingend erforderlich, damit die versendeten Mailings auch im Posteingang ihrer Kunden landen.
Für die meisten Domains, welche als Absenderdomain in Emma für den Versand genutzt werden, wurde die DMARC-Einstellung in den letzten Jahren bereits von der jeweiligen IT bzw. der FI gesetzt.
Was müssen Sie jetzt tun?
Mittlerweile nutzen die meisten Emma-Accounts für den Versand eine eigene Subdomain (z.B. mailing.sparkasse-musterstadt.de). Der Versand erfolgt also mit der Absenderadresse info@mailing.sparkasse-musterstadt.de statt wie bisher info@sparkasse-musterstadt.de.
Alle vom Emma-Team eingerichteten Subdomains haben korrekt eingerichtete SPF- und DKIM-Einstellungen in ihren DNS.
Sie sollten sicherstellen, dass an ihrer Hauptdomain ein DMARC-Eintrag gesetzt ist.
Ein DMARC-Eintrag an der Hauptdomain (z.B. sparkasse-musterstadt.de) gilt automatisch auch für alle Subdomains (z.B. mailing.sparkasse-musterstadt.de).
Wird die Hauptdomain von der FI verwaltet, dann hat die Subdomain i.d.R. bereits einen gültigen DMARC-Eintrag, da die FI bereits seit 2022 diese Einträge setzt. Von der FI wurde dabei die Standard-Richtilinie „p=none“ gesetzt.
Wenn ihr Emma-Account eine korrekt eingerichtete Subdomain hat und sie sich effektiv gegen Spoofing- und Phishing-Angriffe schützen möchten, dann können Sie von der FI den DMARC-Eintrag „p=reject“ setzen lassen.
Details entnehmen Sie bitte dem Rundschreiben der FI.
Eine Prüfung, ob ein gültiger DMARC für eine bestimmte Domain veröffentlicht wurde, kann man kostenlos über verschiedene Online-Tools wie z.B. https://mxtoolbox.com/dmarc.aspx durchführen.
Dort gibt man die zu prüfende Domain ein und klickt auf den Button DMARC Lookup. Falls noch kein DMARC gesetzt wurde, erscheint die Meldung “No DMARC Record Found„. In diesem Fall wenden Sie sich bitte an Ihren Domain-Administrator (i.d.R. ist das die IT) und lassen den DMARC-Eintrag an der betroffenen Domain setzen.
Was ist DMARC?
DMARC (Domain-based Message Authentication, Reporting and Conformance) soll dabei helfen, E-Mail-Missbrauch durch Spoofing, Phishing und Spam zu verhindern. Die Spezifikation trägt dazu bei, sicherzustellen, dass der angeführte Absender einer Nachricht auch tatsächlich der ist, der er vorgibt zu sein. Dies trägt zum einen zum Schutz der Anwender bei und soll auch dafür sorgen, dass bekannte Marken nicht namentlich für den E-Mail-Versand missbraucht werden.
DMARC baut auf den Techniken Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM) auf, indem es für eine Absender-Domain festlegt, wie das Empfänger-Mailsystem die Authentifizierung von E-Mails durchführen soll und wie im Falle eines Fehlers zu verfahren ist.
Die Entscheidung über die DMARC-Einstellungen liegt grundsätzlich beim einzelnen Emma-Kunden. Das Emma-Team kann hier lediglich eine Empfehlung abgeben.
DMARC ist ein E-Mail-Authentifizierungsprotokoll, mit dem die Inhaber von E-Mail-Domänen festlegen können, welche Mechanismen sie zur Authentifizierung ihrer E-Mail-Nachrichten verwenden und wie Mailserver, die Nachrichten von ihrer Domäne empfangen, mit Authentifizierungsfehlern umgehen sollen.
DMARC soll dazu beitragen, E-Mail-Betrug und Phishing-Angriffe zu bekämpfen, indem es den E-Mail-Empfängern ermöglicht, festzustellen, ob eine E-Mail-Nachricht, die angeblich von einer bestimmten Domäne stammt, tatsächlich von dieser Domäne stammt oder nicht. DMARC ermöglicht es den Eigentümern von Domänen, Richtlinien zu veröffentlichen, die den empfangenden E-Mail-Servern vorschreiben, wie sie mit Nachrichten umgehen sollen, die die Authentifizierungsprüfung nicht bestehen.
So erlaubt eine Richtlinie für DMARC der Absenderdomäne festzulegen, ob die E-Mail SPF und/oder DKIM verwendet werden. Richtlinien können auch bestimmen, wie vorgegangen werden soll, wenn die Authentifizierungsmethoden fehlschlagen. So beschreibt ja SPF, wer eine E-Mail versenden darf und DKIM bezeugt, dass diese E-Mail in bestimmter Weise unverändert vom Absender stammt. Gemäß DMARC kann der Absender nun Empfehlungen geben, wie der Empfänger mit der Nachricht umgehen soll, die in einem oder beiden Fällen nicht den Anforderungen entspricht. Wenn eine der Authentifizierungen fehlschlägt, kann auch eine entsprechende Rückmeldung an die Absenderdomäne erfolgen.
Viele Provider nehmen laut der Finanz-Informatik (FI) E-Mails nur verzögert an, wenn die Absenderdomäne keinen DMARC-Eintrag im DNS besitzt. Daher wurde zum 07.03.2022 DMARC für alle Hauptdomains (z.B. sparkasse-musterstadt.de), die von der Finanz-Informatik (FI) verwaltet werden, automatisch aktiviert.
Die DMARC-Einstellung an der Hauptdomain (z.B. sparkasse-musterstadt.de) gilt automatisch auch für die Subdomain (z.B. mailing.sparkasse-musterstadt.de), sofern für die Subdomain kein eigener DMARC-Eintrag gesetzt wurde.
Wie funktioniert DMARC?
Eine Nachricht wird von einem autorisierten Server an den SPF-Eintrag und/oder die DKIM-Signatur der DMARC-konformen Domäne gesendet, die auf DNS-Ebene gespeichert sind.
Wenn eine der beiden Prüfungen erfolgreich ist, wird die Nachricht als „DMARC PASS“ bezeichnet; wenn beide Prüfungen fehlschlagen, ist die Nachricht nicht DMARC-fähig (da sie die SPF- oder DKIM-Anforderungen nicht erfüllt hat).
Je nach konfigurierter DMARC-Richtlinie kann die Nachricht nun zurückgewiesen oder verworfen werden, als Spam gekennzeichnet oder in Quarantäne gestellt werden, oder sie wird unverändert zugestellt.
Es gibt aktuell drei DMARC-Richtlinien, die den entgegennehmenden Server anweisen, wie mit E-Mails verfahren werden soll, wenn ein Authentifizierung der E-Mail fehlschlägt:
- p=none – die E-Mail soll trotzdem angenommen werden
- p=quarantine – die E-Mail soll als Spam markiert werden, d.h. sie kommt im Spam-Ordner an
- p=reject – die E-Mail soll verworfen werden, d.h. sie kommt nicht an. Wenn Sie sich gegen Spoofing- und Phishing-Angriffe schützen möchten, ist diese Richtlinie empfehlenswert. Die wird auch von der FI empfohlen.
Zusätzlich kann in der Richtlinie auch noch ein E-Mail Postfach angegeben werden für aggregierte Berichte, an die Meldungen versendet werden können, wenn z.B. eine bestimmte E-Mail als Spam klassifiziert wurde und in Quarantäne gelandet ist.
Zusätzlich bietet ein DMARC-Eintrag die Möglichkeit, einem empfangenden Mailsystem ein Postfach für aggregierte Berichte über den Empfang und die Behandlung von E-Mails der entsprechenden Domäne mitzuteilen. Dies ist hilfreich, sofern noch nicht alle legitim versendenden Systeme einer Mail-Domäne im SPF-Eintrag berücksichtigt sind. Das Postfach wird mit folgendem Parameter angegeben: rua=mailto:postmaster@sparkasse-musterstadt.de
Ein Beispiel für einen DMARC-Eintrag wäre z.B.
v=DMARC1; rua=mailto:postmaster@sparkasse-musterstadt.de; p=quarantine
E-Mailings, welche die SPF- und DKIM-Tests nicht bestanden haben, werden in Quarantäne oder einen SPAM-Ordner verschoben. Anschließend wird eine Mitteilung über den Vorgang an das angegebene Postfach postmaster@sparkasse-musterstadt.de gesendet.
Die technischen Details stimmen Sie am besten mit ihre IT ab.