Ihre DMARC-Richtlinien (Domain-based Message Authentication, Reporting and Conformance) werden in einer Zeile mit Textwerten definiert, die als DMARC-Eintrag bezeichnet wird. Mit dem Eintrag wird Folgendes festgelegt:
- Wie streng Nachrichten per DMARC geprüft werden sollen
- Empfohlene Aktionen für den empfangenden Server, wenn dort Nachrichten eingehen, die die Authentifizierungsprüfungen nicht bestanden haben
DMARC-Richtlinienoptionen
Ihre DMARC-Richtlinien enthalten eine Empfehlung, wie der empfangende E-Mail-Server mit Nachrichten von Ihrer Domain verfahren soll, die die DMARC-Authentifizierung nicht bestehen.
Das ist ein Beispiel für einen DMARC-Richtlinieneintrag. Die Tags v und p müssen zuerst aufgeführt werden, alle anderen Tags können in beliebiger Reihenfolge angegeben werden:
v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com, mailto:dmarc@solarmora.com; pct=100; adkim=s; aspf=s
Tag-Definitionen und -Werte für DMARC-Einträge
Halsbandanhänger | Beschreibung und Werte |
V |
DMARC-Version. Muss DMARC1 lauten. Dieses Tag ist erforderlich. |
p | Weist den Empfängerserver an, was mit Nachrichten passieren soll, die nicht authentifiziert werden konnten.
Dieses Tag ist erforderlich. Hinweis zu BIMI: Wenn Ihre Domain BIMI verwendet, muss die p-Option von DMARC auf quarantine (Quarantäne) oder reject (ablehnen) gesetzt sein. BIMI unterstützt keine DMARC-Richtlinien, bei denen für die Option p die Einstellung none (keine) festgelegt wurde. |
pct |
Gibt den Prozentsatz der nicht authentifizierten Nachrichten an, die der DMARC-Richtlinie unterliegen. Wenn Sie DMARC nach und nach bereitstellen, können Sie mit einem kleinen Prozentsatz Ihrer Nachrichten beginnen. Wenn mehr Nachrichten von Ihrer Domain die Authentifizierung auf den Empfängerservern bestehen, erhöhen Sie den Prozentsatz, bis 100 % erreicht sind. Muss eine ganze Zahl zwischen 1 und 100 sein. Wenn Sie diese Option nicht im Eintrag verwenden, gilt die DMARC-Richtlinie für alle Nachrichten, die von Ihrer Domain gesendet werden. Dieses Tag ist optional. Hinweis zu BIMI Wenn Ihre Domain BIMI verwendet, muss der pct-Wert Ihrer DMARC-Richtlinien 100 betragen. BIMI unterstützt keine DMARC-Richtlinien, bei denen für pct ein Wert unter 100 festgelegt wurde. |
rua |
E-Mail-Adresse, an die Berichte zu DMARC-Aktivitäten für Ihre Domain gesendet werden. Die E-Mail-Adresse muss mailto: enthalten, Wenn Sie DMARC-Berichte an mehrere E-Mail-Adressen senden möchten, trennen Sie die einzelnen E-Mail-Adressen durch Kommas und fügen Sie vor jeder E-Mail-Adresse das Präfix mailto: hinzu. Beispiel: Diese Option kann zu sehr vielen Bericht-E-Mails führen. Wir raten davon ab, Ihre eigene E-Mail-Adresse zu verwenden. Nutzen Sie stattdessen möglichst ein separates Postfach, eine Gruppe oder einen Drittanbieterdienst speziell für DMARC-Berichte. Dieses Tag ist optional. |
ruf |
Nicht unterstützt. Das Tag ruf, mit dem Fehlerberichte gesendet werden, wird in Gmail nicht unterstützt. Fehlerberichte werden auch als forensische Berichte bezeichnet. |
sp | Legt die Richtlinie für Nachrichten fest, die über Subdomains Ihrer primären Domain gesendet werden. Diese Option können Sie nutzen, wenn Sie eine andere DMARC-Richtlinie für Ihre Subdomains verwenden möchten.
Wenn Sie diese Option nicht im Eintrag verwenden, wird für die Subdomains die für die übergeordnete Domain festgelegte DMARC-Richtlinie übernommen. Dieses Tag ist optional. |
adkim | Legt die Abgleichrichtlinie für DKIM fest. Darin ist definiert, wie genau Nachrichteninformationen mit DKIM-Signaturen übereinstimmen müssen. Weitere Informationen zum Abgleich
Dieses Tag ist optional. |
aspf | Legt die Abgleichrichtlinie für SPF fest. Darin ist definiert, wie genau Nachrichteninformationen mit SPF-Signaturen übereinstimmen müssen. Weitere Informationen zum Abgleich
Dieses Tag ist optional. |
Wir empfehlen für die erste Anwendung von DMRAC eine Richtlinie mit der Einstellung none (keine) für die Erzwingung. Wenn Sie wissen, wie Nachrichten aus Ihrer Domain von empfangenden Servern authentifiziert werden, können Sie Ihre Richtlinie aktualisieren. Legen Sie dann im Lauf der Zeit für die Empfängerrichtlinie die Einstellung quarantine (Quarantäne) und schließlich reject (Ablehnen) fest. Ein Beispiel für eine DMARC-Richtlinie, die nach der DMARC-Einführung aktualisiert wird, finden Sie unter Anleitung: Empfohlene DMARC-Einführung.
Erzwingungsrichtlinie | Empfohlene Aktion | Weitere Informationen |
none | Bei Nachrichten, die die DMARC-Prüfungen des empfangenden Servers nicht bestehen, wird nichts unternommen. Die Nachrichten werden normal an den Empfänger gesendet. |
Wir empfehlen diese Option bei der Ersteinrichtung von DMARC. Mit der Option none (neine) werden Nachrichten von Ihrer Domain normal zugestellt. Wenn Ihre Richtlinie auf none (keine) eingestellt ist, sollten Sie regelmäßig DMARC-Berichte lesen, damit Sie später wissen, wie Ihre E-Mails authentifiziert und zugestellt werden. DMARC-Berichte, die Sie von empfangenden Servern bekommen, enthalten Details zu den Nachrichten, die nicht mit SPF oder DKIM authentifiziert werden können. Wenn sehr viele Nachrichten aus Ihrer Domain in den Spamordner verschoben werden, sollten Sie die SPF- und DKIM-Konfiguration prüfen. Weitere Informationen zur Fehlerbehebung bei DMARC Legen Sie für die Option zur Richtlinienerzwingung die Einstellung quarantine (Quarantäne) oder reject (ablehnen) erst fest, wenn Sie wissen, welche Nachrichten nicht von empfangenden Servern authentifiziert werden. Hinweis zu BIMI: Wenn Ihre Domain BIMI, muss Ihre DMARC-Erzwingungsrichtlinie (p) auf quarantine (Quarantäne) oder reject (ablehnen) gesetzt sein. BIMI unterstützt keine DMARC-Richtlinien, bei denen für die Option p die Einstellung none (keine) festgelegt wurde. |
quarantine | Nachrichten, die vom empfangenden Server nicht mit DMARC authentifiziert werden, werden in den Spamordner des Empfängers verschoben. Wenn für den empfangenden E-Mail-Server eine Quarantäne konfiguriert ist, werden die Nachrichten möglicherweise unter Quarantäne gestellt und nicht direkt in den Spamordner des Empfängers gesendet. | Sie erhalten weiterhin DMARC-Berichte. |
reject | Nachrichten, die vom empfangenden Server nicht mit DMARC authentifiziert werden, werden abgelehnt und nicht zugestellt. Der empfangende Server sendet in der Regel eine Unzustellbarkeitsnachricht an den Absender. |
Wir empfehlen die Option „reject“ (ablehnen) nach einer gewissen Zeit für alle DMARC-Richtlinien als dauerhafte Option festzulegen. Sie erhalten weiterhin DMARC-Berichte. Aktualisieren Sie Ihre Richtlinie auf diese Option, wenn Sie den DMARC-Berichten entnehmen, dass gültige Nachrichten wie vorgesehen authentifiziert und zugestellt werden. Wenn nicht authentifizierte Nachrichten abgelehnt werden, ist der Empfänger besser vor Spam, Spoofing und Phishing geschützt. |
DMARC-Abgleichsoptionen
Nachrichten können die DMARC-Prüfung bestehen oder nicht, je nachdem, wie weit der „Von:“-Header der Nachricht mit der von SPF oder DKIM angegebenen Absenderdomain übereinstimmt. Das wird als Abgleich bezeichnet.
Sie haben die Wahl zwischen zwei Abgleichsmodi: strict (streng) oder relaxed (locker). Sie können den Abgleichsmodus für SPF und DKIM im DMARC-Eintrag einstellen. Der Abgleichsmodus wird über die DMARC-Eintrags-Tags aspf und adkim festgelegt.
In den folgenden Fällen kann der strenge Abgleich sinnvoll sein, um den Schutz vor Spoofing zu erhöhen:
- E-Mails werden von einer Subdomain außerhalb Ihrer Kontrolle gesendet.
- Sie haben Subdomains, die von einer anderen Entität verwaltet werden.
Für eine erfolgreiche DMARC-Authentifizierung müssen Nachrichten mindestens eine der folgenden Prüfungen bestehen:
- SPF-Authentifizierung und SPF-Abgleich
- DKIM-Authentifizierung und DKIM-Abgleich
Eine DMARC-Authentifizierung schlägt fehl, wenn Nachrichten die folgenden beiden Prüfungen nicht bestehen:
- SPF oder SPF-Abgleich
- DKIM oder DKIM-Abgleich
Informationen zum Envelope-Absender und zu „Von:“-Adressen
Bei E-Mail-Nachrichten gibt es zwei Arten von Adressen, die beide den Absender angeben. Bei der Einrichtung von SPF, DKIM und DMARC ist es wichtig, den Unterschied zu kennen.
Die Adresse des Envelope-Absenders und die „Von:“-Adresse einer Nachricht können voneinander abweichen.
Adresse des Envelope-Absenders: Gibt an, woher die Nachricht kommt. Bei dieser Adresse gehen Unzustellbarkeitsnachrichten ein. Daher wird sie unter anderem auch als „Return-Path-Adresse“ bezeichnet. Die Empfänger der E-Mail können die Adresse des Envelope-Absenders nicht sehen.
SPF verwendet sie normalerweise für die Authentifizierung.
„Von:“-Adresse: Die E-Mail-Adresse im Nachrichtenheader. Nachrichten bestehen aus zwei Teilen: dem Header und dem Inhalt der Nachricht. Der Header enthält Informationen zur Nachricht, z. B. den Namen und die E-Mail-Adresse des Absenders, den Betreff der Nachricht sowie das Sendedatum. Im „Von:“-Header steht die E-Mail-Adresse und normalerweise der Name der Person, die die Nachricht gesendet hat.
DKIM verwendet die Adresse aus dem „Von:“-Header der Nachricht zur Authentifizierung.
Beispiel für den SPF-Abgleich
Beim SPF-Abgleich wird die mit SPF authentifizierte Domain (normalerweise die Adresse des Envelope-Absenders) mit der Domain der Adresse im „Von:“-Header der Nachricht verglichen. Im Folgenden finden Sie einige Beispiele mit den entsprechenden Ergebnissen der SPF-Prüfung.
Adresse des Envelope-Absenders | Adresse im „Von:“-Header | Strenger Abgleich | Lockerer Abgleich |
jon@solarmora.com |
jon@solarmora.com |
Bestanden | Bestanden |
jon@mail.solarmora.com |
jon@solarmora.com |
Nicht bestanden | Bestanden |
jon@solarmora.org |
jon@solarmora.com |
Nicht bestanden | Nicht bestanden |
Beispiel für den DKIM-Abgleich
Beim DKIM-Abgleich wird der Wert im Feld für die DKIM-Signatur der Domain (d=) im Nachrichtenheader mit der Domain im Von:-Header der Nachricht verglichen.
Im Folgenden finden Sie einige Beispiele mit den entsprechenden Ergebnissen der DKIM-Prüfung:
„Von:“-Header | DKIM d=domain | Strenger Abgleich | Lockerer Abgleich |
jon@solarmora.com |
solarmora.com |
Bestanden | Bestanden |
jon@mail.solarmora.com |
solarmora.com |
Nicht bestanden | Bestanden |
jon@solarmora.org |
solarmora.com |
Nicht bestanden | Nicht bestanden |
DMARC-Berichtsoptionen
Sie können DMARC so einrichten, dass Sie regelmäßig Berichte von E-Mail-Servern anfordern, die E-Mails von Ihrer Domain empfangen.
Die DMARC-Berichte enthalten folgende Informationen:
- Server oder Drittanbieter, die E-Mails an Ihre Domain senden
- Prozentsatz der Nachrichten aus Ihrer Domain, die die DMARC-Authentifizierung bestehen
- Server oder Dienste, die Nachrichten senden, die keine DMARC-Authentifizierung erhalten
- DMARC-Aktionen, die der Empfangsserver bei nicht authentifizierten Nachrichten Ihrer Domain ausführt: none, quarantine oder reject.
Wenn Sie DMARC-Berichte erhalten möchten, verwenden Sie das DMARC-Eintrags-Tag rua in Ihrem DMARC-Eintrag.