DMARC

DMARC-Eintrag hinzufügen

Aktionen bei verdächtigen E-Mails in Ihrer Domain festlegen

Richten Sie DMARC (Domain-based Message Authentication, Reporting and Conformance) ein, indem Sie mithilfe von TXT-Einträgen den DNS-Einträgen Ihrer Domain Richtlinien hinzufügen. Diese legen fest, wie in Ihrer Domain mit verdächtigen E-Mails umgegangen werden soll.

Insgesamt sind drei DMARC-Richtlinien verfügbar:

  • Keine Aktion, aber Protokollierung im täglichen Bericht
  • Nachricht als Spam markieren und zur weiteren Bearbeitung unter Quarantäne stellen
  • Nachricht ablehnen, sodass sie gar nicht erst an den Empfänger gesendet wird

DMARC-Richtlinien wählen Sie über das p-Tag im TXT-Eintrag aus. Weitere Informationen hierzu finden Sie in der Tabelle Gängige Tags in TXT-Einträgen für DMARC.

Vorbereitung: SPF und DKIM einrichten

Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM) sollten vor DMARC eingerichtet werden, da diese Funktionen bei DMARC verwendet werden, um die Authentizität von Nachrichten zu prüfen. Wenn eine E-Mail die SPF- oder DKIM-Prüfung nicht besteht, wird die festgelegte DMARC-Richtlinie ausgelöst.

DMARC-Einträge erstellen

Erstellen Sie einen TXT-Eintrag mit den Tag-Namen und -Werten, die die für Ihre Domain gewünschten Richtlinien definieren.

Der Name des TXT-Eintrags muss folgendes Format haben. Hierbei steht your_domain.com für den Namen Ihrer Domain:
 _dmarc.your_domain.com 

Tipps zum Erstellen eines TXT-Eintrags für DMARC

In den folgenden Hilfeartikeln finden Sie weitere Informationen zum Erstellen von DMARC-Einträgen:

Gängige Tags in TXT-Einträgen für DMARC

Hinweis: Das DMARC-Tag ruf, mithilfe dessen (forensische) Fehlerberichte gesendet werden, wird in Gmail nicht unterstützt.

Tag-Name Erforderlich Zweck und Werte Beispiel

v

erforderlich Protokollversion. Dieser Wert muss DMARC1 sein. v=DMARC1

p

erforderlich

Legt fest, welche Aktionen Ihre Domain mit verdächtigen Nachrichten ausführt:

  • none (keine): Keine Aktion. Die verdächtigen Nachrichten werden lediglich im täglichen Bericht protokolliert.
  • quarantine (Quarantäne): Nachrichten werden als Spam markiert und zur weiteren Bearbeitung aufbewahrt
  • reject (ablehnen): Die betroffene Nachricht wird abgelehnt und gar nicht erst an den Empfänger gesendet
p=quarantine

pct

optional Legt fest, für wie viel Prozent der Nachrichten die Richtlinie gilt. Der Standardwert ist 100. pct=20

rua

optional

Meldet den URI (Uniform Resource Identifier) an die aggregierten Berichte. Wenn Sie Berichte zu den DMARC-Aktivitäten in Ihrer Domain erhalten möchten, geben Sie hier Ihre eigene E-Mail-Adresse an.

rua=mailto:aggrep@example.com

sp

optional

Legt die Richtlinien für Nachrichten fest, die über Subdomains Ihrer Hauptdomain gesendet werden. Verwenden Sie diese Option, wenn Sie für Ihre Subdomains abweichende DMARC-Richtlinien festlegen möchten. Die verfügbaren Werte entsprechen denen des p-Tags.

 

sp=reject

aspf

optional

Legt die Einstellungen des Abgleichsmodus für SPF (alignment mode for SPF, ASPF) fest, mithilfe derer bestimmt wird, wie genau Nachrichten mit den SPF-Signaturen übereinstimmen müssen. Die Standardeinstellung ist relaxed (locker).

r: "Relaxed" (locker) erlaubt eine teilweise Übereinstimmung, z. B. bei Subdomains innerhalb einer Domain

s: "Strict" (streng) erfordert eine genaue Übereinstimmung

aspf=r

 

DMARC schrittweise bereitstellen

Verwenden Sie die Optionen "Richtlinien" (p) und "Prozent" (pct) in Kombination, um DMARC schrittweise und langsam in Gmail bereitzustellen.

Tipps und Tricks

Verwenden Sie die Option "Richtlinien" (p), indem Sie im TXT-Eintrag den Wert "p" hinzufügen und gegebenenfalls anpassen. Beginnen Sie mit einer Quarantänerichtlinie, um verdächtige Nachrichten zu überprüfen. Passen Sie dann die Richtlinie nach und nach auf Grundlage der unter Quarantäne gestellten Nachrichten und täglichen Berichte an.

  1. p=none: Der E-Mail-Verkehr wird überwacht und es wird in den täglichen Berichten nach Problemen gesucht. Grundsätzlich wird für betroffene Nachrichten allerdings keine Aktion ausgeführt. Achten Sie insbesondere auf Spoofing und auf Nachrichten, die die DKIM- oder SPF-Prüfung nicht bestanden haben.
  2. p=quarantine: Wenn Sie bei den E-Mails im täglichen Bericht Muster erkennen, stellen Sie die Richtlinie auf Quarantäne um. Überprüfen Sie weiterhin die täglichen Berichte und sehen Sie sich Nachrichten an, die als Spam markiert und unter Quarantäne gestellt wurden.
  3. p=reject: Verwenden Sie die Richtlinie "reject", wenn Sie sicher sind, dass alle Nachrichten, die von Ihrer Domain gesendet werden, die Prüfungen bestehen, sodass Spamnachrichten zukünftig gefiltert werden. Überprüfen Sie weiterhin die täglichen Berichte, um dafür zu sorgen, dass Spamnachrichten herausgefiltert und auch wirklich nur unbeanstandete E-Mails versendet werden.

Verwenden Sie die Option "Prozent" (pct). Die Standardeinstellung beträgt 100 % (alle Nachrichten). Starten Sie mit einem niedrigen Wert, damit wenige Nachrichten gefiltert werden, und erhöhen Sie ihn alle paar Tage. Legen Sie sie zum Beispiel für den Anfang auf 20 % fest, sodass 20 % der abgelehnten oder unter Quarantäne gestellte Nachrichten gefiltert werden. In der folgenden Woche können Sie dann z. B. von 20 auf 50 % erhöhen, um 50 % der Nachrichten zu filtern.

Beispiel eines Bereitstellungszyklus: Hier sehen Sie ein Beispiel für die schrittweise Bereitstellung: Passen Sie nach und nach Ihre Richtlinie mit folgenden Werten an:

  1. p=quarantine pct=5
  2. p=quarantine pct=10
  3. p=quarantine pct=25
  4. p=quarantine pct=50
  5. p=quarantine pct=100
  6. p=reject pct=1
  7. p=reject pct=5
  8. p=reject pct=10
  9. p=reject pct=25
  10. p=reject pct=50
  11. p=reject pct=100
  12. p=none pct=100
  13. p=quarantine pct=1

Beispiele für TXT-Einträge

Im Folgenden finden Sie beispielhafte TXT-Einträge für DMARC, die Sie individuell anpassen können. Kopieren Sie diese Einträge und ersetzen Sie "your_domain.com" und "postmaster@your_domain.com" mit Ihrer eigenen Domain und E-Mail-Adresse.

Passen Sie auf Grundlage der täglichen Berichte die Werte für "p" und "pct" gegebenenfalls an.

Beispiel: TXT-Eintrag "Keine Aktion ausführen"

Für Nachrichten, die von your_domain.com zu kommen scheinen, die DMARC-Prüfungen aber nicht bestehen, werden keine Aktionen ausgeführt. Der tägliche Bericht wird an "postmaster@your_domain.com" gesendet.

"v=DMARC1; p=none; rua=mailto:postmaster@your_domain.com"

Beispiel: TXT-Eintrag "Nachricht unter Quarantäne stellen"

Insgesamt 5 % der Nachrichten, die von your_domain.com zu kommen scheinen, die DMARC-Prüfungen aber nicht bestehen, werden unter Quarantäne gestellt. Der tägliche Bericht wird an "postmaster@your_domain.com" gesendet.

"v=DMARC1; p=quarantine; pct=5; rua=mailto:postmaster@your_domain.com"

Beispiel: TXT-Eintrag "Nachricht ablehnen"

Alle Nachrichten (100 %), die von your_domain.com zu kommen scheinen, die DMARC-Prüfungen aber nicht bestehen, werden abgelehnt. Der tägliche Bericht wird an "postmaster@your_domain.com" und "dmarc@your_domain.com" gesendet.

"v=DMARC1; p=reject; rua=mailto:postmaster@your_domain.com, mailto:dmarc@your_domain.com"

Tägliche DMARC-Berichte

Diese Berichte liegen im XML-Format vor und enthalten Informationen zum E-Mail-Verkehr. Auf Grundlage der Berichte haben Sie folgende Möglichkeiten:

  • Überprüfen Sie, ob die Quellen ausgehender E-Mails authentifiziert wurden.
  • Überprüfen Sie, ob die E-Mail-Server, die Nachrichten von Ihrer Domain senden, legitimiert sind.
  • Reagieren Sie, wenn ein neuer Server online ist oder ein existierender Konfigurationsprobleme hat.
Beispielbericht

Hier sehen Sie einen Auszug aus einem Bericht, der die Ergebnisse für zwei Nachrichten enthält, die von verschiedenen IP-Adressen stammen. Die erste wurde direkt gesendet und die zweite weitergeleitet. Beide Nachrichten haben die DMARC-Prüfungen bestanden:


<record>
<row>
<source_ip>207.126.144.129</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
</policy_evaluated>
</row>
<identities>
<header_from>stefanomail.com</header_from>
</identities>
<auth_results>
<dkim>
<domain>stefanomail.com</domain>
<result>pass</result>
<human_result></human_result>
</dkim>
<spf>
<domain>stefanomail.com</domain>
<result>pass</result>
</spf>
</auth_results>
</record>
<record>
<row>
<source_ip>207.126.144.131</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<reason>
<type>forwarded</type>
<comment></comment>
</reason>
</policy_evaluated>
</row>
<identities>
<header_from>stefanomail.com</header_from>
</identities>
<auth_results>
<dkim>
<domain>stefanomail.com</domain>
<result>pass</result>
<human_result></human_result>
</dkim>
<spf>
<domain>stefanomail.com</domain>
<result>pass</result>
</spf>
</auth_results>
</record>

War dieser Artikel hilfreich?
Wie können wir die Seite verbessern?