DMARC

DMARC aktivieren

Verdächtige E-Mails mit DMARC verwalten

Sie können DMARC (Domain-based Message Authentication, Reporting and Conformance) aktivieren, indem Sie den DNS-Einträgen Ihrer Domain DMARC-Richtlinien in Form von TXT-Einträgen hinzufügen. Über die DMARC-Spezifikation wird bestimmt, welche Aktionen erfolgen sollen, wenn verdächtige E-Mails erkannt werden.

Bei den DMARC-Richtlinien werden drei Methoden zum Umgang mit verdächtigen E-Mails unterstützt:

  • Keine Aktion, aber Protokollierung im täglichen Bericht.
  • Nachricht wird als Spam markiert. Diese Nachrichten werden in Gmail im Spamordner des Empfängers abgelegt.
  • Empfangsserver werden angewiesen, die Nachricht abzulehnen. Dies führt auch zu einer SMTP-Rücksendung an den Absender.

Beispiele für DMARC-Richtlinien

Im Folgenden finden Sie einige mögliche Anwendungen. 

Wichtig: Die hier verwendete Domain ist eine Beispieldomain. Ersetzen Sie solarmora.com durch Ihre eigene.

Die Werte in diesen Beispielen werden gemäß dem Abschnitt Werte der DMARC-TXT-Einträge definiert.

Aktionen bei nicht bestandener DMARC-Prüfung Inhalt des TXT-Eintrags
Keine Aktion bei Nachrichten, die die DMARC-Prüfung nicht bestehen. Der tägliche Bericht wird an "dmarc@solarmora.com" gesendet. v=DMARC1; p=none; rua=mailto:dmarc@solarmora.com

5 % der Nachrichten, die die DMARC-Prüfung nicht bestehen, werden im Spamordner der Empfänger abgelegt. Der tägliche Bericht wird an "dmarc@solarmora.com" gesendet.

v=DMARC1; p=quarantine; pct=5; rua=mailto:dmarc@solarmora.com

Alle Nachrichten, die die DMARC-Prüfung nicht bestehen, werden abgelehnt. Der tägliche Bericht wird an zwei Adressen gesendet: "postmaster@solarmora.com" und "dmarc@solarmora.com". 

Nachrichten, die die Prüfung nicht bestanden haben, lösen eine SMTP-Rücksendung an den Absender aus.

v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com, mailto:dmarc@solarmora.com

TXT-Eintrag hinzufügen, um DMARC zu aktivieren

Wenn Sie DMARC aktivieren möchten, aktualisieren Sie Ihre Domaineinstellungen mit einem DNS-TXT-Eintrag.

TXT-Einträge

TXT-Einträge sind DNS-Einträge mit Textinformationen, die von Quellen außerhalb Ihrer Domain verwendet werden. Diese Einträge fügen Sie den Domaineinstellungen bei Ihrem Domainhost hinzu, nicht in der Google Admin-Konsole.

Weitere Informationen zu TXT-Einträgen finden Sie unter Tipps zum Aktualisieren von DNS-TXT-Einträgen.

DMARC-TXT-Eintrag hinzufügen

So fügen Sie einen DMARC-TXT-Eintrag für Ihre Domain hinzu:

Wichtig:

  • Die hier verwendete Domain ist eine Beispieldomain. Ersetzen Sie solarmora.com durch Ihre eigene. 
  • Ersetzen Sie die Beispielwerte durch Werte für die DMARC-Richtlinie Ihrer Domain.
  1. Melden Sie sich in der Verwaltungskonsole Ihres Domainanbieters an.
  2. Suchen Sie die Seite, auf der DNS-Einträge aktualisiert werden können.

    Subdomains: Fügen Sie den Eintrag der übergeordneten Domain hinzu, wenn das Aktualisieren von DNS-Einträgen für Subdomains beim Domainhost nicht unterstützt wird. DNS-Einträge für eine Subdomain aktualisieren

  3. Fügen Sie einen DNS-Eintrag unter _dmarc hinzu:

    TXT record name (Name des TXT-Eintrags): Geben Sie im ersten Feld unter dem Namen des DNS-Hosts Folgendes ein:
    _dmarc.solarmora.com

    TXT record value (Wert des TXT-Eintrags): Geben Sie im zweiten Feld die Werte für Ihre DMARC-Richtlinie ein:
    v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@solarmora.com; pct=90; sp=none

  4. Speichern Sie die Änderungen.

Werte der DMARC-TXT-Einträge

Hinweis: Das DMARC-Tag ruf, mit dessen Hilfe (forensische) Fehlerberichte gesendet werden, wird in Gmail nicht unterstützt.

Tag-Name Erforderlich/Optional? Zweck und Werte

v

Erforderlich Protokollversion. Der Wert muss DMARC1 lauten.

p

Erforderlich

Legt fest, welche Aktionen Ihre Domain mit verdächtigen Nachrichten ausführt:

  • none (keine): Keine Aktion, aber die verdächtigen Nachrichten werden im täglichen Bericht protokolliert.
  • quarantine (Quarantäne): Nachrichten werden als Spam markiert und im Gmail-Spamordner des Empfängers abgelegt. Empfänger können E-Mails in Gmail als Spam markieren oder Markierungen wieder aufheben.
  • reject (ablehnen): Die Empfangsserver werden angewiesen, die Nachricht abzulehnen. In diesem Fall sollte vom Empfangsserver eine Rücksendung an den sendenden Server erfolgen.

pct

Optional

Legt fest, für welchen Prozentsatz verdächtiger Nachrichten die DMARC-Richtlinie gilt. Verdächtige Nachrichten sind solche, die die DMARC-Prüfung nicht bestanden haben.

Muss eine ganze Zahl zwischen 1 und 100 sein. Der Standardwert ist 100

rua

Optional

E-Mail-Adresse, an die Berichte zu DMARC-Aktivitäten für Ihre Domain gesendet werden. Dafür kann die persönliche E-Mail-Adresse verwendet oder eine separate erstellt werden.

Die E-Mail-Adresse muss mailto: enthalten, zum Beispiel: "mailto:dmarc-reports@solarmora.com".

Wenn der Bericht an mehrere E-Mail-Adressen gesendet werden soll, geben Sie diese durch Kommas getrennt ein.

sp

Optional

Legt die Richtlinien für Nachrichten fest, die über Subdomains Ihrer Hauptdomain gesendet werden. Diese Option können Sie nutzen, wenn Sie eine andere DMARC-Richtlinie für Ihre Subdomains verwenden möchten.

  • none (keine): Keine Aktion, aber die verdächtigen Nachrichten werden im täglichen Bericht protokolliert.
  • quarantine (Quarantäne): Nachrichten werden als Spam markiert und zur weiteren Bearbeitung aufbewahrt.
  • reject (ablehnen): Die Empfangsserver werden angewiesen, die Nachricht abzulehnen.
adkim Optional

Legt die Einstellungen des Abgleichsmodus für DKIM fest. Dabei wird bestimmt, wie genau Nachrichten mit den DKIM-Signaturen übereinstimmen müssen.

  • s: Strict (Strikt). Der Name der Absenderdomain muss genau mit dem entsprechenden Wert d=name in den DKIM-E-Mail-Headern übereinstimmen.
  • r: Relaxed (Weniger strikt) – Standardwert. Es sind auch partielle Übereinstimmungen zulässig. Jede gültige Subdomain von d=domain in den DKIM-E-Mail-Headern wird akzeptiert.

aspf

Optional

Legt die Einstellungen des Abgleichsmodus für SPF (ASPF) fest. Dabei wird bestimmt, wie genau Nachrichten mit den SPF-Signaturen übereinstimmen müssen.

  • s: Strict (Strikt). Der Nachrichtenheader from: muss genau mit domain.name im Befehl "SMTP MAIL FROM" übereinstimmen.
  • r: Relaxed (Weniger strikt) – Standardwert. Es sind auch partielle Übereinstimmungen zulässig. Jede gültige Subdomain von domain.name wird akzeptiert.

DMARC schrittweise bereitstellen

Sie können eine Kombination der Optionen "Richtlinien" (p) und "Prozent" (pct) verwenden, um DMARC schrittweise und langsam in Gmail bereitzustellen.

Die Option "Richtlinien" (p) verwenden. Diese Option können Sie über den Tag-Wert "p" im TXT-Eintrag aktivieren und ändern. Beginnen Sie mit einer Quarantänerichtlinie, um verdächtige Nachrichten zu überprüfen. Passen Sie die Richtlinie dann nach und nach auf Grundlage der unter Quarantäne gestellten Nachrichten und täglichen Berichte an.

  1. p=none: Der E-Mail-Verkehr wird überwacht und es wird in den täglichen Berichten nach Problemen gesucht. Für betroffene Nachrichten wird allerdings keine Aktion ausgeführt. Achten Sie insbesondere auf Spoofing und auf Nachrichten, die die DKIM- oder SPF-Prüfung nicht bestanden haben.
  2. p=quarantine: Wenn Sie bei den E-Mails im täglichen Bericht Muster erkennen, stellen Sie die Richtlinie auf Quarantäne um. Überprüfen Sie weiterhin die täglichen Berichte und sehen Sie sich Nachrichten an, die als Spam markiert und unter Quarantäne gestellt wurden.
  3. p=reject: Verwenden Sie diese Richtlinie, wenn Sie sicher sind, dass alle von Ihrer Domain gesendeten Nachrichten die Prüfungen bestehen, sodass Spamnachrichten zukünftig gefiltert werden. Überprüfen Sie weiterhin die täglichen Berichte, um dafür zu sorgen, dass Spamnachrichten herausgefiltert und auch wirklich nur unbeanstandete E-Mails versendet werden.

Verwenden Sie die Option "Prozent" (pct). Diese Option gibt an, auf welchen Prozentsatz der verdächtigen Nachrichten die DMARC-Richtlinie angewendet wird. Verdächtige Nachrichten sind solche, die die DMARC-Prüfung nicht bestanden haben. Die Standardeinstellung beträgt 100 % (alle verdächtigen Nachrichten). Beginnen Sie mit einem niedrigen Wert, damit wenige Nachrichten gefiltert werden, und erhöhen Sie ihn alle paar Tage im Verlauf der Verfeinerung der DMARC-Richtlinie. Legen Sie sie zum Beispiel für den Anfang auf 20 % fest, sodass 20 % der abgelehnten oder unter Quarantäne gestellten Nachrichten gefiltert werden. In der folgenden Woche können Sie den Wert dann z. B. von 20 auf 50 % erhöhen, um die Hälfte aller Nachrichten zu filtern.

Beispiel eines Bereitstellungszyklus: Hier sehen Sie ein Beispiel für die schrittweise Bereitstellung: Passen Sie nach und nach Ihre Richtlinie mit folgenden Werten an:

  1. p=none pct=100
  2. p=quarantine pct=1
  3. p=quarantine pct=5
  4. p=quarantine pct=10
  5. p=quarantine pct=25
  6. p=quarantine pct=50
  7. p=quarantine pct=100
  8. p=reject pct=1
  9. p=reject pct=5
  10. p=reject pct=10
  11. p=reject pct=25
  12. p=reject pct=50
  13. p=reject pct=100

Tägliche DMARC-Berichte

Diese Berichte liegen im XML-Format vor und enthalten Informationen zum E-Mail-Verkehr. Auf Grundlage der Berichte haben Sie folgende Möglichkeiten:

  • Überprüfen, ob die Quellen ausgehender E-Mails authentifiziert wurden
  • Überprüfen, ob die E-Mail-Server, die Nachrichten von Ihrer Domain senden, legitimiert sind
  • Reagieren, wenn ein neuer Server online ist oder ein existierender Konfigurationsprobleme hat
Beispielbericht

Hier sehen Sie einen Auszug aus einem Bericht mit Ergebnissen für Nachrichten, die von zwei IP-Adressen gesendet wurden. Eine Nachricht wurde direkt gesendet, die andere wurde weitergeleitet. Beide Nachrichten haben die DMARC-Prüfungen bestanden:


<record>
<row>
<source_ip>207.126.144.129</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
</policy_evaluated>
</row>
<identities>
<header_from>stefanomail.com</header_from>
</identities>
<auth_results>
<dkim>
<domain>stefanomail.com</domain>
<result>pass</result>
<human_result></human_result>
</dkim>
<spf>
<domain>stefanomail.com</domain>
<result>pass</result>
</spf>
</auth_results>
</record>
<record>
<row>
<source_ip>207.126.144.131</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<reason>
<type>forwarded</type>
<comment></comment>
</reason>
</policy_evaluated>
</row>
<identities>
<header_from>stefanomail.com</header_from>
</identities>
<auth_results>
<dkim>
<domain>stefanomail.com</domain>
<result>pass</result>
<human_result></human_result>
</dkim>
<spf>
<domain>stefanomail.com</domain>
<result>pass</result>
</spf>
</auth_results>
</record>

War das hilfreich?
Wie können wir die Seite verbessern?