Was ist ein DMARC-Eintrag?

Ein DMARC-Eintrag (Domain-based Message Authentication, Reporting, and Conformance) ist ein DNS-TXT-Eintrag, der E-Mail-Servern hilft, E-Mails zu authentifizieren und Richtlinien für den Umgang mit nicht autorisierten Nachrichten festzulegen. Er ergänzt andere Authentifizierungsprotokolle wie SPF und DKIM und bietet Berichte über deren Ergebnisse.

Wozu dient ein DMARC-Eintrag?

1. Schutz vor E-Mail-Spoofing und Phishing:
   • Verhindert, dass Betrüger E-Mails im Namen deiner Domain versenden können.
2. E-Mail-Authentifizierung stärken:
   • Stellt sicher, dass nur autorisierte Server E-Mails im Namen deiner Domain senden dürfen.
3. Transparenz und Berichte:
   • Liefert detaillierte Berichte über die Zustellung und Authentifizierung deiner E-Mails.

Wie funktioniert DMARC?

1. SPF und DKIM prüfen:

   • DMARC validiert E-Mails basierend auf den Ergebnissen von SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail).
   • Die Absenderadresse muss mit der Domain übereinstimmen (Alignment).

2. Richtlinie anwenden:

   • Basierend auf der festgelegten DMARC-Richtlinie wird die E-Mail akzeptiert, in Quarantäne verschoben oder abgelehnt.

3. Berichte generieren:

   • E-Mail-Server senden Berichte über die Authentifizierungsergebnisse an eine angegebene Adresse.

Aufbau eines DMARC-Eintrags

Ein DMARC-Eintrag ist ein TXT-Datensatz in der DNS-Zone deiner Domain.

Beispiel: _dmarc.example.com. IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc-reports@example.com; ruf=mailto:dmarc-reports@example.com; fo=1"

Erklärung der Bestandteile:

• _dmarc: Der Name des DNS-Eintrags, gefolgt von deiner Domain.
• v=DMARC1: Gibt an, dass es sich um die DMARC-Version 1 handelt.
• p=: Richtlinie für nicht autorisierte E-Mails:
  • none: Keine Maßnahmen, nur Berichte senden.
  • quarantine: E-Mails als verdächtig markieren (z. B. in den Spam-Ordner verschieben).
  • reject: E-Mails komplett ablehnen.
• rua=: Adresse für aggregierte Berichte (XML-Format), z. B. mailto:dmarc-reports@example.com.
• ruf=: Adresse für forensische Berichte (detaillierte Informationen über fehlerhafte Nachrichten).
• fo=: Fehleroptionen (wie detailliert Berichte sein sollen), z. B. 1 für jeden Fehlerbericht.

Wie richte ich einen DMARC-Eintrag ein?

1. SPF und DKIM einrichten:

   • DMARC benötigt funktionierende SPF- und DKIM-Einträge.

2. TXT-Datensatz hinzufügen:

   • Füge einen neuen TXT-Eintrag in der DNS-Zone deiner Domain hinzu. Beispiel: _dmarc 3600 IN TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@example.com;"

3. Bericht-Adresse einrichten:

   • Stelle sicher, dass die angegebene E-Mail-Adresse (z. B. dmarc-reports@example.com) aktiv und erreichbar ist.

4. Richtlinien schrittweise verstärken:

   • Beginne mit p=none, um Berichte zu erhalten, ohne E-Mails zu blockieren.
   • Wechsle zu p=quarantine oder p=reject, wenn du sicher bist, dass SPF und DKIM korrekt eingerichtet sind.

Warum ist ein DMARC-Eintrag wichtig?

1. Schutz vor Phishing und Betrug:
   • Blockiert gefälschte E-Mails und schützt Absender und Empfänger.
2. Vertrauenswürdigkeit erhöhen:
   • E-Mails deiner Domain werden seltener als Spam eingestuft.
3. Analyse der E-Mail-Authentifizierung:
   • Berichte helfen dir, mögliche Konfigurationsprobleme zu erkennen.

Zusammenarbeit mit SPF und DKIM

• SPF: Stellt sicher, dass nur autorisierte Server E-Mails senden dürfen.
• DKIM: Signiert E-Mails digital, um Manipulationen zu erkennen.
• DMARC: Verbindet die Ergebnisse von SPF und DKIM und setzt eine Richtlinie durch.