DMARC-Ausrichtung: Entspannte und strenge Ausrichtungsmodi

Blog

DMARC-Abgleich ist der Prozess des Abgleichs (oder der Übereinstimmung) von Domänen unter verschiedenen Abschnitten Ihres E-Mail-Headers während der Authentifizierungsprüfungen.

von Maitham Al Lawati

Lesezeit: 8 min
DMARC-Ausrichtung: Entspannte und strenge Ausrichtungsmodi
Inhaltsverzeichnis-

Durch die Aktivierung von DMARC (Domain-based Message Authentication Reporting and Conformance) wird eine Reihe von Prüfzeichen eingesetzt, um festzustellen, ob eine E-Mail von der Quelle des Antragstellers stammt. DMARC bietet eine unglaubliche Flexibilität in Bezug auf Richtlinien und Abgleichmodi, die vom Domänenbesitzer konfiguriert werden können, um das gewünschte Sicherheitsniveau zu erreichen.

DMARC Der Abgleich der Bezeichner bestätigt, dass der Domänenname, der an verschiedene Teile einer E-Mail-Nachricht angehängt ist, korrekt ausgerichtet ist, was darauf hinweist, dass die E-Mail legitim ist und wahrscheinlich nicht Teil von Phishing- oder Spoofing-Versuchen ist.

Wichtigste Erkenntnisse

  1. Die DMARC-Authentifizierung bietet einen robusten Rahmen, um die Legitimität einer E-Mail-Quelle zu überprüfen.
  2. Der Abgleich von SPF- und DKIM-Kennungen ist für die Einhaltung von DMARC und den Schutz vor Spoofing unerlässlich.
  3. Die Entscheidung zwischen einer lockeren und einer strengen DMARC-Ausrichtung hängt von den E-Mail-Praktiken und Sicherheitszielen Ihres Unternehmens ab.
  4. Die Weiterleitung von E-Mails kann die DMARC-Anpassung erschweren, was bei unsachgemäßer Handhabung häufig zu Authentifizierungsfehlern führt.
  5. Die Überwachung und Anpassung Ihrer DMARC-Einstellungen kann die Zustellbarkeit von E-Mails erheblich verbessern und das Betrugsrisiko verringern.

Was ist DMARC Alignment?

DMARC-Abgleich ist der Prozess des Abgleichs (oder der Übereinstimmung) von Domänen unter verschiedenen Abschnitten Ihres E-Mail-Headers während der Authentifizierungsprüfungen. DMARC richtet Ihre E-Mail aus, wenn die Nachricht eine oder beide SPF- und DKIM-Kennungsabgleiche besteht.

So stellen Sie sicher, dass Ihre E-Mails legitim sind und vor einer Reihe von E-Mail-Betrugsangriffen wie Phishing, Spoofing, Ransomware und anderen geschützt sind.

dkim

Das DMARC-Authentifizierungsprotokoll prüft die Übereinstimmung der DMARC-Kennungen, um festzustellen, ob eine E-Mail-Domäne möglicherweise gefälscht ist. Bei der Validierung Ihrer E-Mail prüft DMARC drei Bezeichner:

  • Die Von-Kopfzeile
  • Die Return-Path-Adresse
  • Der Domänenname in der DKIM-Signatur

Wenn die Kennungen für SPF- oder DKIM-Authentifizierungskennungen übereinstimmen, erreicht die E-Mail die DMARC-Anpassung, besteht die DMARC-Authentifizierung und wird sicher im Posteingang des Benutzers zugestellt.

Vereinfachen Sie die Sicherheit mit PowerDMARC!

15-Tage-TestDemo buchen

Wie funktioniert der DMARC-Abgleich?

spf dkim kopfzeile

Um die DMARC-Ausrichtung zu verstehen, müssen wir wissen, wie sie funktioniert. Wenn Sie DMARC implementieren, verknüpfen Sie die Ergebnisse von SPF und DKIM, um alle von Ihrer Domäne kommenden E-Mails zu authentifizieren. Für jede beliebige E-Mail verwendet DMARC die so genannte "zentrale Identität", d. h. die Domäne, die in der Absenderkopfzeile steht. Sie gilt als die Ursprungsdomäne Ihrer E-Mail und enthält den Domänennamen Ihres Unternehmens.

Wenn eine E-Mail von Ihrer Domäne den Empfangsserver erreicht, SPF den Rückkanal und DKIM die verschlüsselte Signatur. Diese beiden Prüfungen finden getrennt auf zwei verschiedenen Domänen statt. DMARC nimmt das Ergebnis der jeweiligen Authentifizierung und prüft, ob die in SPF oder DKIM verwendete Domäne mit der Absenderdomäne (der zentralen Identität) übereinstimmt. Wenn beides zutrifft, ist der DMARC-Abgleich abgeschlossen.

Es gibt jedoch nur ein kleines Problem. Jeder, auch Kriminelle, kann eine Domäne kaufen und SPF und DKIM. Theoretisch sollte es also möglich sein, dass jemand eine E-Mail mit der Domäne Ihrer Organisation in der Absenderadresse (der zentralen Identität) versendet und den Rückkanal der eigenen Domäne verwendet, um die SPF-Authentifizierung zu umgehen. Die Benutzer sehen in der Regel nur die Absenderadresse und nicht den Rücksprungpfad, so dass sie nicht einmal wissen, dass eine Diskrepanz zwischen den beiden besteht.

Die Rolle des SPF- und DKIM-Identifikatorabgleichs

Ihre Authentifizierungskennung gibt an, ob der Absender Ihrer E-Mail berechtigt ist, die E-Mail im Namen Ihrer Domäne zu versenden oder nicht. Dies kann durch Überprüfung der Authentizität der E-Mail anhand von SPF (Sender Policy Framework) oder DKIM (DomainKeys Identified Mail) festgestellt werden. Abgeglichene E-Mails durchlaufen letztendlich die Absenderüberprüfung, die von den empfangenden Mailservern als Basisbeispiel verwendet werden kann, um bösartige oder nicht autorisierte E-Mails abzugrenzen und herauszufiltern. 

PowerDMARC geht noch einen Schritt weiter und gleicht Ihre Nachrichten mit SPF- und DKIM-Identifikatoren ab, damit Sie eine 100%ige DMARC-Konformität für Ihre E-Mails erreichen und gleichzeitig die p=reject-Richtlinie einhalten können. Auf diese Weise können Sie sichtbare Verbesserungen bei der Zustellbarkeit Ihrer E-Mails feststellen und mit angemessener Überwachung und Unterstützung durch unser engagiertes technisches Supportteam in nur wenigen Wochen deutliche Unterschiede bei Ihren Spam- und Bounce-Raten beobachten. 

Welche Faktoren können den Abgleich von SPF- und DKIM-Kennungen beeinflussen? 

  • E-Mail-Clients und E-Mail-Dienstanbieter von Drittanbietern können zu Komplikationen und Fehlanpassungen führen.
  • Die Ausrichtung Ihrer weitergeleiteten Nachrichten kann fehlschlagen  

Was ist die Lösung?

PowerDMARC hilft Ihnen dabei, alle Ihre Drittanbieter korrekt und genau abzugleichen und Ihre Einträge im Portal zu ändern und zu aktualisieren, wenn Sie weitere Dienste und Anbieter hinzufügen, um sicherzustellen, dass Ihre legitimen E-Mails Ihre Kunden mit der höchsten Wahrscheinlichkeit erreichen. 

PowerDMARC hilft Ihnen, SPF, DKIM und ARC zusammen mit DMARC zu konfigurieren, um diese schwierigen E-Mail-Weiterleitungsszenarien zu bewältigen, bei denen zwischengeschaltete Server Änderungen an Ihren E-Mails vornehmen können, die zu unerwünschten Authentifizierungsfehlern führen. 

Mit der intuitiven Benutzeroberfläche von PowerDMARC können Sie Ihren Richtliniendatensatz ganz einfach auf maximale Durchsetzung aktualisieren und so sicherstellen, dass Ihre Domain angemessen gegen E-Mail-Spoofing und Phishing-Angriffe geschützt ist. 

DMARC-Ausrichtungstypen: Strenge vs. entspannte Bezeichnerausrichtungen 

Es gibt zwei Arten von DMARC-Kennungen, je nach Schweregrad und Genauigkeit, mit der Sie Ihre Authentifizierungsprüfungen durchführen wollen. Das sind die folgenden: 

1. DMARC Entspannter Abgleich

Bei SPF und DKIM gibt es 2 Arten der Ausrichtung: entspannt und streng. Wenn die entspannte Ausrichtung für beide konfiguriert ist, bedeutet dies im Wesentlichen, dass Sie die entspannte Ausrichtung für Ihre gesamte DMARC-Implementierung implementiert haben.

Sowohl für SPF als auch für DKIM gilt: Selbst wenn die Domäne im Mail From-Befehl und die Domänen im Return-path-Header oder die Bounce-E-Mail-Adresse (bei SPF) und die DKIM-Signatur (bei DKIM) organisatorisch übereinstimmen, ist die DMARC-Ausrichtung eine Übereinstimmung. Folglich werden in diesem Szenario sogar Subdomänen mit DMARC abgeglichen.

Die E-Mail sollte die DMARC-Authentifizierung auf der Seite des E-Mail-Empfängers bestehen, wenn die Header-Domäne mit einer der Ausrichtungsanforderungen übereinstimmt.

Beispiel für einen entspannten DMARC-Abgleich

v=DMARC1; p=ablehnen; rua=mailto: [email protected]; aspf=r; adkim=r

Ausrichtungseinstellungen entschlüsselt: Die DMARC-Tags "aspf" und "adkim" sind die jeweiligen Ausrichtungs-Tags, um den Modus Ihrer Wahl zu definieren, und "r" steht für relaxed.

2. DMARC Strict Alignment

Wenn die Domänenbesitzer die strikte Ausrichtung sowohl für SPF als auch für DKIM aktivieren, bedeutet dies im Wesentlichen, dass Sie einen strikten Modus für Ihre gesamte DMARC-Implementierung implementiert haben.

Für beide Protokolle gilt, dass die DMARC-Abgleichsprüfung im strengen Abgleichsmodus nur dann eine Übereinstimmung ergibt, wenn die Domäne im From-Header und die Domänen in den Return-Path- (bei SPF) und DKIM-Signatur-Headern (bei DKIM) exakt übereinstimmen. Daher werden in diesem Szenario Subdomänen nicht mit DMARC abgeglichen.

DMARC strikte Ausrichtung mit Beispielen

v=DMARC1; p=ablehnen; rua=mailto: [email protected]; aspf=s; adkim=s

Ausrichtungseinstellungen entschlüsselt: Die DMARC-Tags "aspf" und "adkim" sind die jeweiligen Ausrichtungsmodus-Tags, um den Modus Ihrer Wahl festzulegen, und "s" steht für das Ausrichtungsziel, das streng ist.

Welcher DMARC-Ausrichtungsmodus ist besser?

Die Wahl zwischen entspanntem und strengem DMARC-Abgleich hängt von den E-Mail-Authentifizierungsprotokollrichtlinien Ihres Unternehmens, Ihrer Toleranz gegenüber Fehlalarmen und Ihren allgemeinen Sicherheitszielen ab.

Der entspannte Modus bietet mehr Flexibilität und ist weniger anfällig für falsch positive Ergebnisse. Er kann nützlich sein, wenn Sie mehrere E-Mail-Systeme oder -Dienste haben, die E-Mails im Namen Ihrer Domäne senden, und diese möglicherweise unterschiedliche Subdomänen verwenden. Allerdings ist er auch weniger streng und kann einige E-Mails mit geringfügigen Abweichungen passieren lassen, was möglicherweise Raum für Spoofing- oder Phishing-Versuche lässt.

Das strikte Modell erzwingt eine strengere Abgleichsrichtlinie, die sicherstellt, dass die exakte Domäne in der "Von"-Headerzeile mit den in SPF und DKIM angegebenen Domänen übereinstimmt. Dies bietet zwar einen stärkeren Schutz gegen Spoofing und Phishing, kann aber weniger nachsichtig sein, wenn Ihre E-Mail-Infrastruktur verschiedene Subdomänen für legitime Zwecke verwendet. Die Implementierung einer strikten Anpassung kann eine sorgfältige Konfiguration und Überwachung erfordern, um zu vermeiden, dass legitime E-Mails blockiert werden.

Wie überwacht man E-Mails auf strikte DMARC-Ausrichtung?

PowerDMARC hilft Ihnen bei der Überwachung Ihrer E-Mails unter Einhaltung einer strengen DMARC-Anpassungsrichtlinie mit Hilfe unseres DMARC-Analysator Werkzeugs. Wir helfen Ihnen, Ihre E-Mail-Versandquellen zu verfolgen, auf Ausrichtungsfehler zu prüfen und Ihre Authentifizierungskonfiguration direkt über unser Dashboard zu optimieren.

Kontaktieren Sie uns heute, um loszulegen!

Wie überprüft man die DMARC-Ausrichtung für E-Mails?

Um die DMARC-Ausrichtung für Ihre E-Mail-Nachrichten zu überprüfen, können Sie sich im PowerDMARC-Portal anmelden und die folgenden Schritte ausführen: 

  • Gehen Sie im Hauptmenü auf Berichte 
  • Klicken Sie auf DMARC Aggregate Reports und erweitern Sie die Dropdown-Liste
  • Wählen Sie Pro Ergebnis aus der Liste
  • Überwachen Sie Ihre Sendequellen auf Ergebnisbasis, um die DMARC-Konformität und Ausrichtungsdetails für jedes einzelne Ergebnis anzuzeigen.

Wenn die DMARC-Anpassung erfolgreich ist 

Der DMARC-Abgleich ist für die E-Mail erfolgreich, wenn entweder der DKIM- oder/und der SPF-Kennungsabgleich erfolgreich ist, 

Warum die DMARC-Anpassung scheitert 

Ein DMARC-Abgleichsfehler tritt auf, wenn weder DKIM- noch SPF-Kennungen für die E-Mail übereinstimmen. Dies geschieht in der Regel, wenn die Domäne im Mail From-Header weder mit der Domäne im Return-Path-Header noch mit der Domäne im DKIM-Signatur-Header übereinstimmt. 

Was ist eine Return-Path-Domain? 

Eine Return-Path-Domain, auch bekannt als Bounce-Adresse oder Envelope From-Domain, ist die Domain, die Ihre nicht zugestellten oder gebouncten Nachrichten erhält. In Situationen, in denen eine E-Mail zurückgeschickt wird oder nicht zugestellt werden kann, enthält das versteckte Header-Feld die Umschlag-von-Domain, an die die E-Mail zurückgeschickt wird. Selbst wenn Sie als Domänenbesitzer Dienste von Drittanbietern einsetzen, um Ihre E-Mail-Nachrichten weiterzuleiten, kann die E-Mail anhand der Bounce-Adresse zur übergeordneten Domäne zurückverfolgt werden. Dies ist eine klare Abgrenzung zwischen Nachrichten, die von bösen Akteuren gesendet werden, und einem tatsächlichen Absender, der gute Absichten hat.  

SPF-Domäne Die SPF-Ausrichtung bei einer DMARC-Prüfung wird durch die Domäne in der Rücksprungadresse bestimmt. 

Was ist eine DKIM-Signaturdomäne?

Eine DKIM-Signaturdomäne ist der Domänenname, der bei der Erstellung von DKIM-Signaturen für Ihre Nachrichten verwendet wird, d. h. die Signierdomäne. Wenn die DKIM-Domänenabgleichsvalidierung während einer DMARC-Prüfung läuft, überprüft der Absender, ob die DKIM-Signaturdomäne mit der Von-Domäne übereinstimmt. Der DMARC-Abgleich wird im entspannten DKIM-Modus durchgeführt, wenn die Organisationsdomäne übereinstimmt. Bei einem strengen DKIM-Modus wird der DMARC-Abgleich nur dann durchgeführt, wenn eine exakte Domänenübereinstimmung festgestellt wird. 

Wie sich die E-Mail-Weiterleitung auf die DMARC-Ausrichtung auswirkt

Die Weiterleitung von E-Mail-Servern und E-Mail-Diskussionslisten führt zu Komplikationen beim DMARC-Abgleich, da die "Header from"-Adresse in die Adresse des weiterleitenden Servers umgeschrieben wird und neue Elemente in den Nachrichtentext und -inhalt aufgenommen werden. Dies führt zu Fehlern beim SPF- und DKIM-Abgleich, da die Identität der Mail From-Domäne nicht mit der umgeschriebenen Bounce-Adresse und dem geänderten Nachrichteninhalt übereinstimmt. 

Wie überwacht man Ausrichtungsfehler?

Zur Überwachung des Abgleichs können Sie aggregierte Berichte und forensische Berichte (Fehlerberichte) aktivieren, die Ihnen helfen, Ihre Abgleichsziele zu überwachen und zu erreichen und Zustellbarkeitsprobleme schneller zu beheben.

Neueste Beiträge von Maitham Al Lawati (alle anzeigen)
Web-Sicherheit 101 - Bewährte Praktiken und LösungenWeb-Sicherheit 101 - Bewährte Praktiken und LösungenGoogle ARCGoogle nimmt ARC in die E-Mail-Versenderrichtlinien 2024 auf