Benachrichtigung

Duet AI heißt jetzt Gemini für Google Workspace. Weitere Informationen

DMARC-Eintrag definieren

Vor Spoofing und Phishing schützen und verhindern, dass Nachrichten als Spam markiert werden

Ihre DMARC-Richtlinien (Domain-based Message Authentication, Reporting and Conformance) werden in einer Zeile mit Textwerten definiert, die als DMARC-Eintrag bezeichnet wird. Mit dem Eintrag wird Folgendes festgelegt:

  • Wie streng Nachrichten per DMARC geprüft werden sollen
  • Empfohlene Aktionen für den empfangenden Server, wenn dort Nachrichten eingehen, die die Authentifizierungsprüfungen nicht bestanden haben

DMARC-Richtlinienoptionen

Ihre DMARC-Richtlinien enthalten eine Empfehlung, wie der empfangende E-Mail-Server mit Nachrichten von Ihrer Domain verfahren soll, die die DMARC-Authentifizierung nicht bestehen.

Das ist ein Beispiel für einen DMARC-Richtlinieneintrag. Die Tags v und p müssen zuerst aufgeführt werden, alle anderen Tags können in beliebiger Reihenfolge angegeben werden:

v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com, mailto:dmarc@solarmora.com; pct=100; adkim=s; aspf=s

Tag-Definitionen und -Werte für DMARC-Einträge

Halsbandanhänger Beschreibung und Werte
V

DMARC-Version. Muss DMARC1 lauten.

Dieses Tag ist erforderlich.
p Weist den Empfängerserver an, was mit Nachrichten passieren soll, die nicht authentifiziert werden konnten.
  • none Die Nachricht wird ohne weitere Maßnahmen an den vorgesehenen Empfänger zugestellt. Nachrichten in einem täglichen Bericht protokollieren. Der Bericht wird an die E-Mail-Adresse gesendet, die mit der Option rua im Eintrag angegeben wurde.
  • quarantine— Die Nachrichten werden als Spam markiert und an den Spamordner des Empfängers gesendet. Empfänger können überprüfen, ob der Spamordner auch zulässige Nachrichten enthält.
  • reject—Die Nachricht wird abgelehnt. Bei dieser Option sendet der Empfängerserver in der Regel eine Unzustellbarkeitsnachricht an den sendenden Server.

Dieses Tag ist erforderlich.

Hinweis zu BIMI: Wenn Ihre Domain BIMI verwendet, muss die p-Option von DMARC auf quarantine (Quarantäne) oder reject (ablehnen) gesetzt sein. BIMI unterstützt keine DMARC-Richtlinien, bei denen für die Option p die Einstellung none (keine) festgelegt wurde.
pct

Gibt den Prozentsatz der nicht authentifizierten Nachrichten an, die der DMARC-Richtlinie unterliegen. Wenn Sie DMARC nach und nach bereitstellen, können Sie mit einem kleinen Prozentsatz Ihrer Nachrichten beginnen. Wenn mehr Nachrichten von Ihrer Domain die Authentifizierung auf den Empfängerservern bestehen, erhöhen Sie den Prozentsatz, bis 100 % erreicht sind.

Muss eine ganze Zahl zwischen 1 und 100 sein. Wenn Sie diese Option nicht im Eintrag verwenden, gilt die DMARC-Richtlinie für alle Nachrichten, die von Ihrer Domain gesendet werden.

Dieses Tag ist optional.

Hinweis zu BIMI Wenn Ihre Domain BIMI verwendet, muss der pct-Wert Ihrer DMARC-Richtlinien 100 betragen. BIMI unterstützt keine DMARC-Richtlinien, bei denen für pct ein Wert unter 100 festgelegt wurde.
rua

E-Mail-Adresse, an die Berichte zu DMARC-Aktivitäten für Ihre Domain gesendet werden.

Die E-Mail-Adresse muss mailto: enthalten,
zum Beispiel: mailto:dmarc-reports@solarmora.com.

Wenn Sie DMARC-Berichte an mehrere E-Mail-Adressen senden möchten, trennen Sie die einzelnen E-Mail-Adressen durch Kommas und fügen Sie vor jeder E-Mail-Adresse das Präfix mailto: hinzu. Beispiel:
mailto:dmarc-reports@solarmora.com, mailto:dmarc-admin@solarmora.com

Diese Option kann zu sehr vielen Bericht-E-Mails führen. Wir raten davon ab, Ihre eigene E-Mail-Adresse zu verwenden. Nutzen Sie stattdessen möglichst ein separates Postfach, eine Gruppe oder einen Drittanbieterdienst speziell für DMARC-Berichte.

Dieses Tag ist optional.
ruf

Nicht unterstützt. Das Tag ruf, mit dem Fehlerberichte gesendet werden, wird in Gmail nicht unterstützt. Fehlerberichte werden auch als forensische Berichte bezeichnet.
sp Legt die Richtlinie für Nachrichten fest, die über Subdomains Ihrer primären Domain gesendet werden. Diese Option können Sie nutzen, wenn Sie eine andere DMARC-Richtlinie für Ihre Subdomains verwenden möchten.

  • noneTake no action on the message and deliver it to the intended recipient. Log messages in a daily report. The report is sent to the email address specified with the rua option in the policy.

  • quarantine Die Nachrichten werden als Spam markiert und an den Spamordner des Empfängers gesendet. Empfänger können überprüfen, ob der Spamordner auch zulässige Nachrichten enthält.
  • reject Die Nachricht wird abgelehnt. Bei dieser Option sendet der Empfängerserver eine Unzustellbarkeitsnachricht an den sendenden Server.

Wenn Sie diese Option nicht im Eintrag verwenden, wird für die Subdomains die für die übergeordnete Domain festgelegte DMARC-Richtlinie übernommen.

Dieses Tag ist optional.
adkim Legt die Abgleichrichtlinie für DKIM fest. Darin ist definiert, wie genau Nachrichteninformationen mit DKIM-Signaturen übereinstimmen müssen. Weitere Informationen zum Abgleich
  • s Strenger Abgleich. Der Name der Absenderdomain muss genau mit dem entsprechenden Wert d = Domainname in den DKIM-E-Mail-Headern übereinstimmen.
  • rRelaxed alignment (default). Allows partial matches. Any valid subdomain of d=domain in the DKIM mail headers is accepted.

Dieses Tag ist optional.
aspf Legt die Abgleichrichtlinie für SPF fest. Darin ist definiert, wie genau Nachrichteninformationen mit SPF-Signaturen übereinstimmen müssen. Weitere Informationen zum Abgleich
  • s Strenger Abgleich (strict). Der Nachrichtenheader „Von“ muss genau mit dem Domainnamen im Befehl „SMTP MAIL FROM“ übereinstimmen.
  • r – Lockerer Abgleich (relaxed), die Standardeinstellung. Es sind auch teilweise Übereinstimmungen zulässig. Jede gültige Subdomain des Domainnamens wird akzeptiert.

Dieses Tag ist optional.

Wir empfehlen für die erste Anwendung von DMRAC eine Richtlinie mit der Einstellung none (keine) für die Erzwingung. Wenn Sie wissen, wie Nachrichten aus Ihrer Domain von empfangenden Servern authentifiziert werden, können Sie Ihre Richtlinie aktualisieren. Legen Sie dann im Lauf der Zeit für die Empfängerrichtlinie die Einstellung quarantine (Quarantäne) und schließlich reject (Ablehnen) fest. Ein Beispiel für eine DMARC-Richtlinie, die nach der DMARC-Einführung aktualisiert wird, finden Sie unter Anleitung: Empfohlene DMARC-Einführung.

Erzwingungsrichtlinie Empfohlene Aktion Weitere Informationen
none Bei Nachrichten, die die DMARC-Prüfungen des empfangenden Servers nicht bestehen, wird nichts unternommen. Die Nachrichten werden normal an den Empfänger gesendet.

Wir empfehlen diese Option bei der Ersteinrichtung von DMARC. Mit der Option none (neine) werden Nachrichten von Ihrer Domain normal zugestellt. Wenn Ihre Richtlinie auf none (keine) eingestellt ist, sollten Sie regelmäßig DMARC-Berichte lesen, damit Sie später wissen, wie Ihre E-Mails authentifiziert und zugestellt werden.

DMARC-Berichte, die Sie von empfangenden Servern bekommen, enthalten Details zu den Nachrichten, die nicht mit SPF oder DKIM authentifiziert werden können. Wenn sehr viele Nachrichten aus Ihrer Domain in den Spamordner verschoben werden, sollten Sie die SPF- und DKIM-Konfiguration prüfen. Weitere Informationen zur Fehlerbehebung bei DMARC

Legen Sie für die Option zur Richtlinienerzwingung die Einstellung quarantine (Quarantäne) oder reject (ablehnen) erst fest, wenn Sie wissen, welche Nachrichten nicht von empfangenden Servern authentifiziert werden.

Hinweis zu BIMI: Wenn Ihre Domain BIMI, muss Ihre DMARC-Erzwingungsrichtlinie (p) auf quarantine (Quarantäne) oder reject (ablehnen) gesetzt sein. BIMI unterstützt keine DMARC-Richtlinien, bei denen für die Option p die Einstellung none (keine) festgelegt wurde.
quarantine Nachrichten, die vom empfangenden Server nicht mit DMARC authentifiziert werden, werden in den Spamordner des Empfängers verschoben. Wenn für den empfangenden E-Mail-Server eine Quarantäne konfiguriert ist, werden die Nachrichten möglicherweise unter Quarantäne gestellt und nicht direkt in den Spamordner des Empfängers gesendet. Sie erhalten weiterhin DMARC-Berichte.
reject Nachrichten, die vom empfangenden Server nicht mit DMARC authentifiziert werden, werden abgelehnt und nicht zugestellt. Der empfangende Server sendet in der Regel eine Unzustellbarkeitsnachricht an den Absender.

Wir empfehlen die Option „reject“ (ablehnen) nach einer gewissen Zeit für alle DMARC-Richtlinien als dauerhafte Option festzulegen.

Sie erhalten weiterhin DMARC-Berichte.

Aktualisieren Sie Ihre Richtlinie auf diese Option, wenn Sie den DMARC-Berichten entnehmen, dass gültige Nachrichten wie vorgesehen authentifiziert und zugestellt werden. Wenn nicht authentifizierte Nachrichten abgelehnt werden, ist der Empfänger besser vor Spam, Spoofing und Phishing geschützt.

DMARC-Abgleichsoptionen

Nachrichten können die DMARC-Prüfung bestehen oder nicht, je nachdem, wie weit der „Von:“-Header der Nachricht mit der von SPF oder DKIM angegebenen Absenderdomain übereinstimmt. Das wird als Abgleich bezeichnet.

Sie haben die Wahl zwischen zwei Abgleichsmodi: strict (streng) oder relaxed (locker). Sie können den Abgleichsmodus für SPF und DKIM im DMARC-Eintrag einstellen. Der Abgleichsmodus wird über die DMARC-Eintrags-Tags aspf und adkim festgelegt.

In den folgenden Fällen kann der strenge Abgleich sinnvoll sein, um den Schutz vor Spoofing zu erhöhen:

  • E-Mails werden von einer Subdomain außerhalb Ihrer Kontrolle gesendet.
  • Sie haben Subdomains, die von einer anderen Entität verwaltet werden.

Für eine erfolgreiche DMARC-Authentifizierung müssen Nachrichten mindestens eine der folgenden Prüfungen bestehen:

  • SPF-Authentifizierung und SPF-Abgleich
  • DKIM-Authentifizierung und DKIM-Abgleich

Eine DMARC-Authentifizierung schlägt fehl, wenn Nachrichten die folgenden beiden Prüfungen nicht bestehen:

  • SPF oder SPF-Abgleich
  • DKIM oder DKIM-Abgleich
Wichtig: Ein lockerer Abgleich bietet in der Regel einen ausreichenden Schutz vor Spoofing. Ein strenger Abgleich kann dazu führen, dass Nachrichten von zugehörigen Subdomains abgelehnt oder an den Spamordner gesendet werden.
Authentifizierungsmethode Strenger Abgleich Lockerer Abgleich
SPF Eine genaue Übereinstimmung zwischen der mit SPF authentifizierten Domain und der Domain der Adresse im Von:-Header Die Domain der Adresse im „Von:“-Header muss mit der mit SPF authentifizierten Domain übereinstimmen oder eine Subdomain davon sein.
DKIM Eine genaue Übereinstimmung zwischen der relevanten DKIM-Domain und der Domain der Adresse im Von:-Header Die Domain der Adresse im „Von:“-Header muss mit der Domain übereinstimmen, die im DKIM-Signatur-Tag d= angegeben ist, oder eine Subdomain davon sein.

Informationen zum Envelope-Absender und zu „Von:“-Adressen

Bei E-Mail-Nachrichten gibt es zwei Arten von Adressen, die beide den Absender angeben. Bei der Einrichtung von SPF, DKIM und DMARC ist es wichtig, den Unterschied zu kennen.

Die Adresse des Envelope-Absenders und die „Von:“-Adresse einer Nachricht können voneinander abweichen.

Adresse des Envelope-Absenders: Gibt an, woher die Nachricht kommt. Bei dieser Adresse gehen Unzustellbarkeitsnachrichten ein. Daher wird sie unter anderem auch als „Return-Path-Adresse“ bezeichnet. Die Empfänger der E-Mail können die Adresse des Envelope-Absenders nicht sehen.

SPF verwendet sie normalerweise für die Authentifizierung.

„Von:“-Adresse: Die E-Mail-Adresse im Nachrichtenheader. Nachrichten bestehen aus zwei Teilen: dem Header und dem Inhalt der Nachricht. Der Header enthält Informationen zur Nachricht, z. B. den Namen und die E-Mail-Adresse des Absenders, den Betreff der Nachricht sowie das Sendedatum. Im „Von:“-Header steht die E-Mail-Adresse und normalerweise der Name der Person, die die Nachricht gesendet hat.

DKIM verwendet die Adresse aus dem „Von:“-Header der Nachricht zur Authentifizierung.

Beispiel für den SPF-Abgleich

Beim SPF-Abgleich wird die mit SPF authentifizierte Domain (normalerweise die Adresse des Envelope-Absenders) mit der Domain der Adresse im „Von:“-Header der Nachricht verglichen. Im Folgenden finden Sie einige Beispiele mit den entsprechenden Ergebnissen der SPF-Prüfung.

Adresse des Envelope-Absenders Adresse im „Von:“-Header Strenger Abgleich Lockerer Abgleich
jon@solarmora.com jon@solarmora.com Bestanden Bestanden
jon@mail.solarmora.com jon@solarmora.com Nicht bestanden Bestanden
jon@solarmora.org jon@solarmora.com Nicht bestanden Nicht bestanden

Beispiel für den DKIM-Abgleich

Beim DKIM-Abgleich wird der Wert im Feld für die DKIM-Signatur der Domain (d=) im Nachrichtenheader mit der Domain im Von:-Header der Nachricht verglichen.

Im Folgenden finden Sie einige Beispiele mit den entsprechenden Ergebnissen der DKIM-Prüfung:

„Von:“-Header DKIM d=domain Strenger Abgleich Lockerer Abgleich
jon@solarmora.com solarmora.com Bestanden Bestanden
jon@mail.solarmora.com solarmora.com Nicht bestanden Bestanden
jon@solarmora.org solarmora.com Nicht bestanden Nicht bestanden

DMARC-Berichtsoptionen

Sie können DMARC so einrichten, dass Sie regelmäßig Berichte von E-Mail-Servern anfordern, die E-Mails von Ihrer Domain empfangen.

Die DMARC-Berichte enthalten folgende Informationen:

  • Server oder Drittanbieter, die E-Mails an Ihre Domain senden
  • Prozentsatz der Nachrichten aus Ihrer Domain, die die DMARC-Authentifizierung bestehen
  • Server oder Dienste, die Nachrichten senden, die keine DMARC-Authentifizierung erhalten
  • DMARC-Aktionen, die der Empfangsserver bei nicht authentifizierten Nachrichten Ihrer Domain ausführt: none, quarantine oder reject.

Wenn Sie DMARC-Berichte erhalten möchten, verwenden Sie das DMARC-Eintrags-Tag rua in Ihrem DMARC-Eintrag.

Weitere Informationen zu DMARC-Berichten

War das hilfreich?

Wie können wir die Seite verbessern?

Benötigen Sie weitere Hilfe?

Mögliche weitere Schritte:

Im Hilfeforum posten Antworten von Forenmitgliedern erhalten
Kontakt Weitere Informationen angeben und Hilfe erhalten
true
Starten Sie noch heute mit Ihrer kostenlosen Testversion für 14 Tage.

Berufliche E-Mail-Konten, Online-Speicherplatz, Kalender mit Freigabefunktion, Videobesprechungen und vieles mehr. Starten Sie noch heute mit Ihrer kostenlosen Testversion von G Suite.

Suche
Suche löschen
Suche schließen
Hauptmenü
267311893854831561
true
Suchen in der Hilfe
true
true
true
true
true
73010
false
false