Eine Initiative des eco - Verband der Internetwirtschaft e.V.
Domain-based Message Authentication, Reporting and Conformance
Domain-based Message Authentication, Reporting and Conformance (DMARC) ist ein E-Mail-Standard, der:
- die Identität des Absenders mittels Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM) bestätigt
- dem E-Mail-Dienst des Empfängers mitteilt, wie mit E-Mails zu verfahren ist, die die Prüfung nicht bestehen
- den E-Mail-Dienst des Empfängers auffordert, Berichte über die Quelle der E-Mails zu erstellen
DMARC kombiniert also die beiden Protokolle DKIM und SPF, überprüft ihre Gültigkeit und sendet Berichte an den Inhaber der Absender-Domain. Dies ermöglicht es, E-Mails von Angreifern, die eine Identität vortäuschen, nicht zuzustellen und gleichzeitig einen Bericht über den Vorfall an den Inhaber der legitimen Domain (Identität) zu senden.
DMARC einrichten
Veröffentlichen Sie einen Text (TXT)-Eintrag in Ihrem DNS wie beispielsweise diesen:
v=DMARC1; p= quarantine; pct=100; rua=mailto:dmarc@eco.de
Dies teilt jedem, der E-Mails von Ihnen erhält, mit, dass:
- dass Sie eine DMARC-Richtlinie haben (v=DMARC1)
- alle Nachrichten, die DMARC-Prüfungen nicht bestehen, als Spam behandelt werden sollten (p=quarantine)
- 100% Ihrer Nachrichten auf diese Weise behandelt werden sollen (pct=100)
Anmerkung: Die Verwendung von „pct“ ist nicht mehr empfohlen – viele Empfänger bearbeiten nur den Standardfall pct=100 (bzw. pct=0) und darüber hinaus gibt es Anzeichen, dass der Eintrag an sich abgeschafft werden soll. - Der Empfänger sollte Reports über empfangene E-Mails an Sie zurücksenden (rua=mailto:dmarc@eco.de)
Hier gilt es zu beachten, dass die rua-Adresse in der selben Domain wie die DMARC-Domain liegen muss, liegt sie in einer anderen Domain, muss diese mittels zusätzlichen DNS Records eingetragen sein.
DMARC-Richtlinien
Eine DMARC-Richtlinie wird in einem DNS-Eintrag (Domain Name System) der Domain gespeichert und enthält Informationen darüber, wie E-Mail-Server mit E-Mails umgehen sollen, die die SPF- oder DKIM-Prüfungen nicht bestehen. Die Richtlinie kann eine der folgenden drei Aktionen angeben:
- none: Es wird keine spezifische Aktion unternommen. Diese Einstellung dient normalerweise dazu, Daten zu sammeln und Berichte zu erhalten, ohne dass legitime E-Mails abgelehnt werden.
- quarantine: E-Mails, die die Authentifizierung nicht bestehen, sollen in den Spam-Ordner verschoben werden.
- reject: E-Mails, die die Authentifizierung nicht bestehen, sollen abgelehnt und nicht zugestellt werden.