DMARC

DMARC - Einfacher Einstieg

von

Zuletzt aktualisiert am 2. Januar 2025 von Lars

DMARC - war das nicht diese frühere deutsche Währung? Nein halt, gemeint ist nicht die D-Mark, sondern Domain-based Message Authentication, Reporting and Conformance.

Versuchen wir uns in diesem Artikel, uns dem ganzen einfach zu nähern: DMARC ist ein weiterer Versuch, die eigene Domain gegen Spam-Missbrauch zu schützen.

Das Problem

Jeder kann versuchen, E-Mails mit deiner E-Mail-Adresse zu versenden. Mit dem entsprechenden Know-How ist das nicht mal sonderlich schwer. Dieses Video hier zeigt zum Beispiel, wie das mit dem E-Mail-Programm Thunderbird geht. Sowas ist natürlich ideal für Spam und Phishing.

Lösungsansätze gegen Spam und Phishing

Es gibt verschiedene Lösungsansätze, um Spam oder Phishing zumindest einzuschränken.

SPF

Mit SPF definierst du in der DNS-Zone deiner Domain, welche E-Mail-Server berechtigt sind, E-Mails in deinem Namen zu versenden. Versucht nun jemand über einen fremden E-Mail-Server E-Mails in deinem Namen zu verschicken, so kann das der Empfänger feststellen und die E-Mail entweder abweisen, oder in den Spam-Ordner packen.

SPF zu prüfen ist keine Pflicht. Nach meiner Erfahrung auch im Support eines Webhosters ist SPF inzwischen ein Quasi-Standard, sodass man keine E-Mail-Adresse mehr ohne passenden SPF-Record betreiben sollte. Mehr Informationen zu SPF findest du in diesem Artikel: SPF einfach erklärt.

DKIM

DKIM nutzt RSA, einen Verschlüsselungsalgorithmus, der auch an anderen Stellen in der IT Verwendung findet. Es gibt dabei einen privaten und einen öffentlichen Schlüssel. Mit dem privaten Schlüssel können E-Mails signiert werden. Mit dem öffentlichen Schlüssel kann die Signierung auf Gültigkeit überprüft werden.

Bei DKIM wird der öffentliche Schlüssel in die DNS-Zone gepackt. Der empfangende E-Mail-Server kann somit kontrollieren, ob die Signatur vorhanden ist und ob diese korrekt ist.

Die DKIM-Signatur ist im Quelltext der E-Mail, dem sogenannten Header enthalten.

DKIM ist aktuell noch längst nicht so verbreitet, wie SPF.

DMARC

DMARC selbst ist kein Schutzmechanismus, sondern die Möglichkeit eine Richtlinie festzulegen, die definiert, was bei einem SPF- oder DKIM-Verstoss passieren soll.

Es ist als DNS-Eintrag vom Typ TXT definiert. Der Eintrag muss allerdings zwingend den Wert "_dmarc" erhalten.

Um den Eintrag der Domain google.com abzufragen, könnte man also den folgenden dig-Befehl verwenden:

dig txt _dmarc.gmail.com

Hier die Syntax:

SyntaxBedeutung
v=DMARC1Kennzeichner
p=Policy - Bestimmt die Maßnahme, die ergriffen werden soll, wenn eine E-Mail nicht SPF- und/oder DKIM-konform ist.

p=none: Die E-Mail wird immer gesendet. Dies ist nützlich für das Monitoring und die Fehleranalyse, ohne den E-Mail-Fluss zu beeinträchtigen.
p=quarantine: Die E-Mail wird in Quarantäne verschoben, in der Regel den Spam-Ordner des Empfängers.
p=reject: Die E-Mail wird abgelehnt und nicht zugestellt.
pct=Legt fest, welcher Prozentsatz der E-Mails, die die Prüfungen nicht bestehen, von der angegebenen Policy betroffen ist.

Beispiel: pct=50 bedeutet, dass nur 50% der nicht konformen E-Mails entsprechend der definierten Policy behandelt werden. Dies kann nützlich sein, um eine Policy schrittweise einzuführen.
rua=Wohin soll ein Report geschickt werden? Reports sind aggregierte Berichte über die Authentifizierungsergebnisse.

Beispiel: rua=mailto:[email protected] konfiguriert DMARC so, dass tägliche Zusammenfassungen an [email protected] gesendet werden.
ruf=An diese Adresse werden forensische Berichte gesendet, wenn bestimmte E-Mails fehlschlagen.
Beispiel: ruf=mailto:[email protected] ermöglicht den Empfang detaillierter Berichte zu einzelnen fehlgeschlagenen E-Mails.
adkim=Überprüfungseinstellungen für DKIM
s=Strict: Die Domäne im DKIM-Signatur-Header muss genau der Domäne des Absenders entsprechen.
r=Relaxed: E-Mails von Subdomains werden auch akzeptiert.
aspfÜberprüfungseinstellungen für SPF
s=Strict: Die Domäne im SPF muss genau der Domäne des Absenders entsprechen.
r=Relaxed: E-Mails von Subdomains werden auch akzeptiert.
Beispiel: aspf=r bietet Flexibilität für Organisationen, die mehrere Subdomains für den E-Mail-Versand nutzen.
foSteuerungsparameter für Fehlerberichte
fo=0: Ein Bericht wird nur gesendet, wenn sowohl SPF als auch DKIM fehlschlagen.
fo=1: Ein Bericht wird gesendet, wenn entweder SPF oder DKIM fehlschlagen.

riReporting Intervall
Beispiel: ri=86400 - Zahl in Sekunden (=24 Stunden) - Bericht wird einmal
täglich gesendet.

DMARC Record Checker

Es gibt auch Tools, mit denen man den Eintrag von Domains überprüfen kann, zum Beispiel diese hier:

DMARC Aggregated Report

Genau hier hören jetzt die meisten Anleitungen auf. Was hat es aber mit den Reports auf sich?

Die aggregierten Berichte werden zumindest von einigen empfangenden E-Mail-Servern gesendet, die die entsprechende Prüfung durchführen. Diese Server gehören zu den Organisationen oder Diensten, die E-Mails für den Empfänger verarbeiten, wie z.B. E-Mail-Provider (Gmail, Yahoo, Outlook etc.), Internetdienstanbieter oder Unternehmens-E-Mail-Server. Wenn diese Server eine eingehende E-Mail erhalten, prüfen sie die DMARC-Richtlinien der sendenden Domäne (die im DNS der sendenden Domäne veröffentlicht sind), um zu bestimmen, ob die E-Mail authentifiziert werden kann, indem SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail) überprüft werden.

Nach der Überprüfung erstellen die empfangenden Server einen aggregierten Bericht über die Ergebnisse der Prüfungen für alle E-Mails, die sie von der sendenden Domäne erhalten haben. Diese Berichte enthalten Informationen darüber, ob die E-Mails die Prüfungen bestanden haben, sowie Details zu jeder Überprüfung. Die Berichte werden dann gemäss der im Eintrag der sendenden Domäne spezifizierten Adresse und Frequenz gesendet.

Das allerdings nur, wenn der empfangende E-Mail-Server überhaupt "Lust" hat, deinen DMARC-Eintrag zu überprüfen.

Nicht alle empfangenden E-Mail-Server werten den DMARC-Eintrag aus. Wenn du keine Meldungen über fehlgeschlagene DKIM- oder SPF-Checks erhältst, ist nicht zwangsläufig alles in Ordnung.

Der Report kommt als Mailanhang in gepacktem Format und ist nach dem Auspacken eine XML-Datei.

Wohin mit den DMARC Aggregated Reports?

Und was macht man nun mit den Reports? Am besten füttert man damit einen Service, der diese aggregiert und auswertet. Viele Services sind kostenpflichtig. Ein Service, der zumindest für eine geringere Anzahl E-Mails kostenlos ist, ist dmarcian.

Im freien Account können bis zu 2 Domains mit bis zu 10.000 E-Mail-Nachrichten per Monat überwacht werden.

Update Feburar 2024

Seit Anfang Februar 2024 haben Google und Yahoo unter anderem DMARC zur Pflicht gemacht, speziell für Anbieter, die über 5000 E-Mails an verschiedene Empfänger versenden. Genauere Informationen findest du bei Google unter Email sender guidelines.

https://www.ionos.de/digitalguide/e-mail/e-mail-sicherheit/dmarc-erklaert/

https://www.cloudflare.com/de-de/learning/dns/dns-records/dns-dmarc-record/

https://www.learndmarc.com/ - Extrem gutes Tool. Hier kann man ein Test E-Mail an eine E-Mail senden und diese wird auf SPF, DKIM und DMARC untersucht. Bei meinen Tests gab es aber den Eindruck, dass bestimmte DKIM-Signaturen nicht gefunden werden.

https://www.mail-tester.com/ - Ebenfalls ein Tool, an das man eine E-Mail senden kann. Das Tool prüft aber eher, wie wahrscheinlich die komplette E-Mail im Spam landen wird.

Zeit gespart? Dann unterstütze doch it-zeugs.de

Wenn dieser Tipp dir geholfen hat, Zeit zu sparen, überlege bitte, eine kleine Spende zu hinterlassen. Dein Beitrag hilft mir, weiterhin wertvolle Inhalte zu erstellen. Du kannst unter diesem Linke spenden: Spende it-zeugs.de

Falld du nicht spenden willst oder kannst, dann wäre es toll, wenn du deinen nächsten Amazon Einkauf mit diesem Link beginnen würdest: Amazon Link. Für dich wird es nicht teurer, ich bekomme aber einen kleinen Beitrag.

Vielen herzlichen Dank ❤️

Das könnte dich auch interessieren

  • Einstieg in Debian Linux [Tutorial] Nachdem ich aufgrund einer Fortbildung einige Gehversuche unter Ubuntu machen musste, über die ich in dem Artikel Einstieg in Linux…
  • Einstieg in Linux - Ubuntu [Tutorial] Aufgrund einer Fortbildung beschäftige ich mich zurzeit mal wieder ausführlicher mit Linux. Konkret geht es hier um die auch nicht…
  • Einstieg in Citrix XenApp 7.6 Mein früherer Informatik-Lehrling Marco Näf hat in seinem Artikel Citrix XenApp 7.5 Installation Schritt für Schritt sauber erklärt, wie man…
  • Einstieg in VirtualBox VirtualBox ist eine Desktop-Virtualisierungsplattform von Oracle. Es ist OpenSource und bietet alle nötigen Funktonen einer Virtualisierungsumgebung. Es eignet sich damit…

Schreibe einen Kommentar