So beheben Sie "Externe Domänen geben keine Berechtigung für DMARC-Berichte"
von
Zuletzt aktualisiert: 3 Lesezeit: 3 Minuten
Wichtigste Erkenntnisse
- Die externe Domänenüberprüfung ist erforderlich, wenn DMARC-Berichte an eine Adresse außerhalb Ihrer eigenen Domäne gesendet werden.
- Die externe Domäne muss einen speziellen DNS-Eintrag veröffentlichen, der die Erlaubnis zum Empfang Ihrer Berichte erteilt.
- Dieser Schritt verhindert Report Hijacking, bei dem Angreifer den Posteingang mit gefälschten DMARC-Berichten überfluten könnten.
- Um den Fehler "Permission Not Given" zu beheben, muss ein TXT-Eintrag im DNS der externen Domäne erstellt werden.
- Die Verwendung einer Wildcard-Verifizierung ist riskant und wird aufgrund von Spam- und Sicherheitsbedenken nicht empfohlen.
- PowerDMARC automatisiert den gesamten Prozess, macht die manuelle DNS-Arbeit überflüssig und bietet Ihnen sofortigen Zugriff auf die geparsten Berichte.
Externe Domänen in Ihrem DMARC geben keine Erlaubnis, dass Ihre Berichte an sie gesendet werden? Dieses Problem tritt häufig auf, wenn Sie versuchen, Berichte ohne ordnungsgemäße DNS-Überprüfung an eine externe Domäne zu senden. In diesem Leitfaden wird erklärt, warum dies der Fall ist, und Sie erfahren, wie Sie das Problem entweder manuell oder automatisch mit PowerDMARC beheben können.
Was ist DMARC External Destination Verification?
DMARC External Destination Verification ist ein Sicherheitsmechanismus innerhalb des DMARC-Protokolls, der eine unautorisierte Umleitung Ihrer DMARC-Berichte.
Kern-Prinzip: Wenn Ihre Domäne (z. B. yourcompany.com) DMARC-Berichte an eine E-Mail-Adresse unter einer anderen Domäne (z. B. reports.com) senden möchte, muss die externe Domäne dies in ihrem DNS ausdrücklich erlauben.
Stellen Sie sich das so vor, als würden Sie sich in eine Mailingliste eintragen: Sie können nur dann Nachrichten an die Liste senden, wenn der Eigentümer der Liste bestätigt, dass er bereit ist, sie zu empfangen.
Warum Sie den Fehler "Berechtigung nicht gegeben" sehen
Der Fehler "Externe Domänen in Ihrem DMARC geben keine Erlaubnis, dass Ihre Berichte an sie gesendet werden" tritt auf, wenn Ihr DMARC-Datensatz auf eine externe Berichtsadresse verweist, die empfangende Domäne aber nicht den erforderlichen Autorisierungsdatensatz eingerichtet hat.
Beispiel:
- Ihr DMARC-Eintrag → rua=mailto:[email protected]
- Reports.com → Hat keinen DNS-Eintrag, der bestätigt, dass es Berichte von yourcompany.com akzeptiert
Ergebnis: Die Berichte sind blockiert, bis die externe Domäne den Verifizierungssatz veröffentlicht hat.
Wie man es repariert: Eine Schritt-für-Schritt-Anleitung
Um den Fehler "External Domains Not Giving Permission for DMARC Reports" zu beheben, können Sie die folgenden Schritte ausführen:
Schritt 1: Identifizierung der betroffenen Bereiche
- Ihr Bereich: Die Domain, die Sie schützen möchten (z. B. yourcompany.com)
- Externer Bereich: Die Domäne, über die Sie Berichte erhalten möchten (z. B. reports.com)
Schritt 2: Erstellen Sie den DNS-Eintrag zur Überprüfung
Hinweis: Dieser Eintrag wird im DNS der externen Domäne veröffentlicht, nicht in Ihrem eigenen.
| DNS-Feld | Beispielwert | Beschreibung |
|---|---|---|
| Datensatztyp | TXT | Immer ein TXT-Datensatz |
| Gastgeber / Name | IhrUnternehmen.com._Bericht._dmarc.reports.com | Ersetzen Sie yourcompany.com durch Ihre Domain und reports.com durch die Domain des Empfängers |
| Wert / Inhalt | v=DMARC1; | Immer dieser feste Wert |
| TTL | 3600 (oder Standard) | Standard-TTL für DNS-Einträge |
Schritt 3: Veröffentlichen des Datensatzes und Überprüfen
- Die externe Domäne muss diesen TXT-Eintrag zu ihrer DNS-Zone hinzufügen.
- Verwenden Sie nach der Veröffentlichung einen DMARC-Prüfer Tool, um zu überprüfen, ob der Datensatz korrekt aufgelöst wird.
- Die Berichte sollten innerhalb von 72 Stunden eintreffen, je nach den Berichtszyklen des Mailservers.
Der einfache Weg: Lassen Sie PowerDMARC alles automatisch erledigen
Die Verwaltung von DNS-Einträgen über mehrere Domänen hinweg kann schnell mühsam und fehleranfällig werden. PowerDMARC beseitigt diese Komplexität.
Wenn Sie PowerDMARC verwenden, aktualisieren Sie einfach Ihren DMARC-Datensatz, um auf unsere Meldeadresse zu verweisen (z. B. rua=mailto:[email protected]).
Wir wickeln den gesamten externen Verifizierungsprozess hinter den Kulissen ab, so dass Sie die DNS-Einträge nicht mehr anfassen müssen.
Vorteile, wenn Sie PowerDMARC damit beauftragen:
- Keine manuelle DNS-Einrichtung: Richten Sie DMARC automatisch ein und aktivieren Sie die Berichterstattung, während Sie externe Quellen autorisieren.
- Sofortige Konfiguration: Berichte fließen innerhalb von 72 Stunden nach der Einrichtung.
- Zentrales Armaturenbrett: Alle Berichte anzeigen, analysieren und darauf reagieren.
Die Risiken von Wildcard-Datensätzen (und warum wir sie nicht empfehlen)
Einige Anbieter versuchen, die externe Überprüfung zu vereinfachen, indem sie einen Platzhaltereintrag veröffentlichen:
*._report._dmarc.external.com TXT v=DMARC1;
Dies bedeutet zwar, dass der externe Bereich Berichte von jedem beliebigen Bereich akzeptiert, birgt aber auch ernsthafte Risiken:
- Spam-Fluten von böswilligen Akteuren
- Verlust der Kontrolle darüber, welche Domänen Berichte senden können
- Verwässerung der Sicherheit durch Aushöhlung des strengen DMARC-Überprüfungskonzepts
Bei PowerDMARC vermeiden wir Wildcard-Datensätze und verlassen uns stattdessen auf eine explizite, sichere Überprüfung, um sowohl Absender als auch Empfänger zu schützen.
Abschließende Überlegungen
Der Fehler "Erlaubnis nicht erteilt" ist kein Fehler, sondern eine eingebaute Sicherheitsfunktion, die DMARC-Berichte vor Missbrauch schützt. Sie können den Fehler beheben, indem Sie den erforderlichen DNS-Überprüfungseintrag auf der externen Domäne veröffentlichen. Für Unternehmen, die mehrere Domänen verwalten, kann dieser Prozess jedoch sehr komplex werden.
PowerDMARC macht dies mühelos möglich, indem es die externe Überprüfung automatisch durchführt, so dass Sie sich auf Erkenntnisse statt auf DNS-Einträge konzentrieren können.
Mühen Sie sich nicht länger mit der manuellen Einrichtung ab. Registrieren Sie sich für eine kostenlose DMARC-Testversion und vereinfachen Sie Ihren Berichterstattungsprozess.
Häufig gestellte Fragen
Kann ich Berichte an mehrere externe Domänen senden?
Ja, aber jede externe Domäne muss ihren eigenen Verifizierungseintrag veröffentlichen, der Ihre Domäne autorisiert.
Wie lange nach dem Hinzufügen des Datensatzes erhalte ich die ersten Berichte?
Normalerweise innerhalb von 72 Stunden, abhängig von der DNS-Verbreitung und den Meldeplänen der Mailserver.
Unterstützt PowerDMARC auch forensische (RUF-)Berichte?
Ja. PowerDMARC unterstützt in vollem Umfang sowohl die Sammlung und Verarbeitung aggregierter (rua) als auch forensischer (ruf) Berichte.
Experte für Domain- und E-Mail-Sicherheit bei PowerDMARC
Ahona ist Marketing-Managerin bei PowerDMARC und verfügt über mehr als 5 Jahre Erfahrung im Schreiben über Cybersicherheitsthemen, insbesondere im Bereich Domain- und E-Mail-Sicherheit. Ahona hat einen Postgraduierten-Abschluss in Journalismus und Kommunikation und ist seit 2019 in der Sicherheitsbranche tätig.
Neueste Beiträge von Ahona Rudra (alle anzeigen)
