Was ist ein DMARC und welche Möglichkeiten bietet es?

Was ist DMARC?

DMARC, was für „Domain-based Message Authentication, Reporting, and Conformance“ steht, ist eine Sicherheitstechnologie, die entwickelt wurde, um Sie davor zu schützen, dass Ihr Domainname für den missbräuchlichen Versand von unerwünschten E-Mails verwendet wird. Diese Technik stützt sich dabei auf die bereits etablierten Spezifikationen von DKIM (DomainKeys Identified Mail) und SPF und erweitert diese zu einer robusten Sicherheitslösung.

Welche Möglichkeiten bietet DMARC?

DMARC bietet Ihnen dabei die Möglichkeit, Richtlinien zu definieren, welche die Echtheit aller E-Mails, die über Ihren Domainnamen versendete werden, sicherstellen. Bei der Konfiguration der DMARC-Richtlinie können Sie dabei konkret festlegen, wie Mailserver mit E-Mails umgehen, die nicht den definierten Sicherheitsrichtlinien entsprechen. Diese können weiterhin zugestellt werden (“p=none”), in einen Spam-Ordnder geschoben (“p=quarantine”) oder gar nicht mehr zugestellt werden (“p=reject”).

Wie wird DMARC technisch konfiguriert?

Für die technische Umsetzung werden DMARC-Richtlinien als TXT-Record in Ihre DNS-Einstellungen eingefügt. Dieser spezielle Eintrag, bekannt als DMARC-Record, wird unter einem spezifischen Subdomain-Namen, nämlich _dmarc (zum Beispiel _dmarc.ihredomain.com), angelegt. Der Inhalt dieses TXT-Records besteht aus verschiedenen Parametern, die durch Semikolons voneinander getrennt sind und die spezifischen Richtlinien Ihrer DMARC-Konfiguration definieren.

Der wichtigste Parameter ist dabei der p-Parameter. Dieser steuert die Policy (Richtlinie) für nicht konforme E-Mails. Hier sind die folgenden Optionen möglich:

  • p=none → Keine Aktion, nur Berichte sammeln (Empfehlung für den Start)
  • p=quarantine → Verdächtige E-Mails werden in den Spam-Ordner verschoben
  • p=reject → Nicht konforme E-Mails werden direkt abgelehnt (Maximaler Schutz)

Ziel ist es, für jede Domain, die sich in Ihrem Besitz befindet, DMARC auf die maximale Sicherheitsstufe (p=reject) zu stellen.

Ein ebenfalls wichtiger Parameter ist der rua-Parameter. In diesem wird eine oder mehrere E-Mail-Adresse(n) konfiguriert, an welche alle über Ihre Domain versendeten E-Mails protokolliert werden.

Möchten Sie einen DMARC-Eintrag manuell in Ihrer Domain setzen? Klicken Sie hier für die Schritt für Schritt Anleitung.

Hinweis: Falls Sie eigene Nameserver und gleichzeitig das united-domains Mailsystem verwenden, folgen Sie bitte dieser Anleitung. Den DMARC-Eintrag müssen Sie in diesem Fall dann entsprechend in Ihren eigenen Nameservern vornehmen.

Konfiguration für Domains, welche nicht für den E-Mail-Versand genutzt werden

Für alle Domains, die sich in Ihrem Besitz befinden und über welche Sie selbst keine E-Mails versenden möchten, können Sie direkt und ohne weitere Prüfung einen DMARC-Eintrag mit dem Parameter “p=reject” anlegen. Dies führt dazu, dass alle Mails, die dennoch über diese Domain verschickt werden, nicht mehr zugestellt werden.

Wichtig: Dies gilt auch für Domains, die sie gar nicht aktiv nutzen und nur aus Markenschutzgründen reserviert haben.

Ablauf für Domains, die aktiv für den E-Mail-Versand genutzt werden

Für alle Domains, die sich in Ihrem Besitz befinden und über welche Sie auch E-Mails versenden, können Sie den DMARC-Eintrag nicht direkt auf “p=reject” stellen. Sie müssen zuerst sicherstellen, dass alle Systeme, welche über diese Domain E-Mails versenden, korrekt konfiguriert sind (DKIM und SPF müssen korrekt vorhanden sein).

Dazu sollten Sie folgende Schritte genau in der angegebene Reihenfolge und je Domain durchlaufen:

1. DMARC im Modus p=none konfigurieren

Navigieren Sie hierzu in Ihrem Portfolio auf die E-Mail-Sicherheits-Seite Ihrer Domain. Sie finden diese z.B. indem Sie auf der E-Mail-Übersichtsseite auf den Button Sicherheit klicken.

E-Mail-Sicherheit

Dort können Sie im Block “DMARC Management” den Radiobutton auf “DMARC aktiv (p=none)” stellen und die Änderungen mit Klick auf den Speichern-Button bestätigen.

DMARC p=none

2. DMARC Management Lösung buchen

Klicken Sie in dem DMARC-Check-Widget auf der rechten Seite auf den Button “Beginnen Sie jetzt mit dem Schutz”.

DMARC Manager

Sie gelangen dadurch auf die Landingpage unseres Partners DMARC Advisor. Dort können Sie das Produkt DMARC Manager buchen und innerhalb des Tools die Protokoll-Adresse (die sogenannte rua-Adresse) einsehen.

Ein ausführliches Helpcenter zur Bedienung des DMARC Managers finden Sie übrigens hier: https://dmarcmanager.app/guide/

3. rua-Protokoll-Adresse hinterlegen

Springen Sie zurück in Ihr united-domains Portfolio auf die Sicherheitsseite. Dort können Sie im Block “DMARC Management” unterhalb der Radiobuttons eine oder mehrere rua-Adressen eintragen und mit Klick auf “Speichern” in Ihrem DMARC-Eintrag hinterlegen.

DMARC rua-Adresse

4. Versendende Systeme identifizieren und korrekt konfigurieren

Über die nächsten Tage und Wochen werden nun im DMARC Manager alle Systeme protokolliert, welche über Ihre Domain E-Mails versenden. Viele dieser Systeme werden Ihnen bekannt vorkommen, da es sich um legitime Systeme handelt (z.B. Newsletter-Tools etc.). Ggf. sind für diese in der Domain-Konfiguration auch schon korrekte DKIM- und SPF-Einträge hinterlegt.

Es werden Ihnen in diesem Zuge aber auch unbekannte Systeme auffallen. Diese müssen Sie jetzt individuell prüfen: Handelt es sich dabei um unerwünschte Spam-Mails? Oder versendet hier ggf. ein legitimes, aber nicht korrekt konfiguriertes System E-Mails? Beispiele hierfür könnten interne Tools oder Ticketsysteme sein, die nur einen kleinen internen Empfängerkreis haben.

Kontaktieren Sie die Owner dieser Systeme und definieren Sie gemeinsam mit diesem die nötigen DKIM- und SPF-Konfigurationen und nehmen diese in der Domain-Konfiguration vor. Ausführliche Anleitung hierfür finden Sie hier: DKIM und SPF.

Auch nachdem alle versendende Systeme korrekt konfiguriert wurden, empfehlen wir, den DMARC Manager noch einige weitere Tage/Wochen zu beobachten, um auch seltener versendende System zu identifizieren und korrekt zu konfigurieren.

6. DMARC im Modus p=reject konfigurieren

Sobald alle legitimen E-Mail-Systeme korrekt konfiguriert wurden, springen Sie wieder  zurück in Ihr united-domains Portfolio auf die Sicherheitsseite. Dort können Sie nun im Block “DMARC Management” den Radiobutton auf “DMARC aktiv und sicher (p=reject) setzen und die Änderungen mit Klick auf den Speichern-Button bestätigen.

DMARC p=reject