Wussten Sie, dass Sie Folgendes erhalten können DMARC-Berichte außerhalb Ihrer eigenen Domain empfangen können? Ja, es ist möglich, Ihre DMARC-Berichte über die DMARC External Destination Verification an eine E-Mail-Adresse zu senden, die nicht in den Bereich Ihrer eigenen Domain fällt. Wenn Sie die Domain firma.debesitzen, können Sie Ihre Berichte an eine Adresse senden (Beispiel) rua@mailreports.netsenden, wobei company.com keine Autorität über mailreports.net hat und es sich um zwei völlig getrennte Domains handelt.
Um dies zu erreichen, muss jedoch die Domäne, die die Berichte empfängt (mailreports.net) die Zustimmung zum Empfang von Berichten mit den DMARC-Daten Ihrer Domäne (firma.com).
Die Methode, die dies ermöglicht, wird als "External Domain Verification" bezeichnet, und wir werden heute erörtern, was das ist und wie es Ihnen bei Ihrer Authentifizierungsreise hilft.
DMARC Externe Domänenüberprüfung - erklärt
Angenommen, Sie besitzen die Domain firma.de und Sie haben DMARC für Ihre Domäne aktiviert. Sie möchten nun Informationen über Ihre E-Mail-Sendequellen über DMARC-Aggregatberichte erhalten, aber um den Posteingang Ihrer internen Domänen und Subdomänen nicht zu überschwemmen, möchten Sie diese Berichte an ein externes Ziel umleiten, z. B. mailreports.net.
Dies ist eine gängige Taktik von Unternehmen, die mehrere registrierte Domains, Drittanbieter und einen großen Informationsfluss zu und von ihren Domains haben.
Ihr anschließender DMARC-Datensatz würde dann etwa so aussehen:
v=DMARC1; p=Quarantäne; rua=mailto:rua@mailreports.net
[Um Ihren eigenen Datensatz kostenlos zu erstellen, verwenden Sie unseren DMARC-Datensatz-Generator Tool]
Das rua-Tag gibt die E-Mail-Adresse an, über die Sie Ihre DMARC-Berichte erhalten werden. Beachten Sie, dass die Veröffentlichung eines DNS-Eintrags mit der Aufforderung, Ihre Daten an mailreports.net zu senden, nicht bedeutet, dass dies auch der Fall ist. So einfach ist das nicht.
Die Domäne, die den Bericht erhält, muss ihre digitale Zustimmung zum Erhalt der Berichte von firma.dezu erhalten, sonst können sie nicht gesendet werden. Dies wird als External Domain Verification oder External Destination Verification bezeichnet (wie unter RFC 7489 7.1).
Warum ist eine externe Zielüberprüfung erforderlich? Potenzielle Bedrohungen und Schwachstellen
Die folgenden Gründe können Sie dazu bewegen, sich für eine externe Domänenüberprüfung zu entscheiden:
- Sie besitzen eine Domain, die keine Mailserver betreibt
- Ohne externe Domänenüberprüfung können Cyber-Angreifer leicht einen DMARC-Eintrag erstellen, der eine externe Domäne (eines Opfers) erwähnt, um Berichte zu erhalten. Berichte über alle vom Angreifer gesendeten schlechten E-Mails werden nun den Posteingang des Opfers überfluten
Durch die Überprüfung des externen Ziels können Bedrohungsakteure daran gehindert werden, ihre böswilligen Taten auszuführen, und Domänenbesitzer können Berichte an eine externe Domäne weiterleiten, die Mailserver betreibt.
Wie funktioniert die externe Bereichsüberprüfung?
Überprüfung von externen Berichtszielen
Wenn eine Domäne mit einem veröffentlichten DMARC-Datensatz eine E-Mail sendet, prüft der E-Mail-Empfangsserver, ob die Organisationsdomäne, bei der der Datensatz veröffentlicht wurde, genau mit der Organisationsdomäne übereinstimmt, die im rua- (oder ruf-) Tag des DMARC-Datensatzes angegeben ist.
Wenn es keine Übereinstimmung gibt und eine externe Domäne für den Empfang von Berichten angegeben wurde, wird der Überprüfungsprozess eingeleitet.
Zu diesem Zweck wird der DNS des Hosts, der die Berichte empfängt, abgefragt, um zu überprüfen, ob er dem Empfang der Berichte zugestimmt hat. Wenn ein DMARC-Eintrag im DNS des Empfängers gefunden wird, der dies bestätigt, wird die Überprüfung bestanden und die Berichte werden an die externe Domäne gesendet. Schlägt sie fehl, werden die Berichte nicht zugestellt.
Aufgrund von DNS-Zeitüberschreitungen und anderen kleineren Problemen kann ein vorübergehender Fehler auftreten, der die Empfangsserver vorübergehend daran hindert, den Prozess der Überprüfung des externen Ziels abzuschließen. Der Vorgang wird jedoch zu einem späteren Zeitpunkt wieder aufgenommen.
Externe Zielüberprüfungskonfigurationen für bestimmte Domänen (und Unterdomänen)
Nehmen wir unser vorheriges Beispiel, um herauszufinden, wie Sie sicherstellen können, dass Ihr externer Zielüberprüfungsprozess kein Fehlerergebnis für Ihre spezifischen Domänen und Subdomänen liefert.
Beispiel für einen Domänennamen: firma.de
Beispiel für eine externe Berichtsempfangsdomäne: mailreports.net
Ein DMARC-DNS-Eintrag mit den folgenden Informationen muss auf der Domäne mailreports.net veröffentlicht werden:
| Feld | Beschreibung | Wert |
| Host | Hier veröffentlichen Sie den Datensatz auf | firma.com._bericht._dmarc.mailreports.net |
| Wert | Ihr TXT-Eintragswert | v=DMARC1; |
Hinweis: Ersetzen Sie die Domänennamen durch Ihre eigene Domäne und jede externe Domäne, an die Sie Ihre Berichte senden möchten. Dieser Eintrag soll NICHT auf Ihrer Domain veröffentlicht werden, sondern auf der externen Domain, an die Sie Ihre Berichte senden möchten.
Und schon sind Sie fertig! Während der Verifizierung des externen Ziels werden die E-Mail-Empfangsserver nun darüber informiert, dass Ihre bevorzugte externe Domain, die im rua- oder ruf-Tag erwähnt wird, tatsächlich dem Empfang von DMARC-Berichten im Namen Ihrer Domain zustimmt.
Optionale Konfigurationen für die externe Zielüberprüfung
Anstatt den oben erwähnten Datensatz zu veröffentlichen, um bestimmten Domänen die Erlaubnis zu erteilen, Berichte an ihre Adresse zu senden, verwenden externe Domänen oft einen Wildcard-Eintrag (der mit einem Sternchen "*" beginnt).
Dies ist einfach eine Abkürzung, um zusätzlichen Aufwand zu vermeiden, da ein Wildcard-Eintrag im Wesentlichen bedeutet, dass die externe Domäne dem Empfang von DMARC-Berichten von JEDER Domäne zustimmt (und nicht nur von Ihrer spezifischen Domäne).
Nachstehend finden Sie die Syntax (Beispiel) für einen Wildcard-Eintrag, der für die Überprüfung externer Domänen verwendet wird:
| Feld | Beschreibung | Wildcard-Datensatz Wert |
| Host | Hier veröffentlichen Sie den Datensatz auf | *._report._dmarc.domain.com |
| Wert | Ihr TXT-Eintragswert | v=DMARC1; |
Mögliche Risiken bei der Verwendung von Platzhaltereinträgen
Die Verwendung von Platzhaltereinträgen für die Überprüfung externer Domänen ist keine empfohlene Praxis und birgt potenzielle Risiken. Denn wenn eine Domäne dem Empfang von Berichten von einer beliebigen Domäne zustimmt, können böswillige Akteure dies nutzen, um E-Mail-Konten mit Massenberichten von bösartigen Domänen zu spammen, ohne dass ein Mechanismus zur Regulierung oder Filterung der Berichte vorhanden ist. Dies kann für die Domäne, die die Berichte empfängt, potenziell schädlich sein und auch Probleme für Sie verursachen, die diese Domäne für den Empfang Ihrer eigenen Berichte verwenden.
Wie handhaben wir die externe Bereichsüberprüfung bei PowerDMARC?
Für Kunden, die ein PowerDMARC-Konto eingerichtet haben und Berichte über den DMARC-Bericht-Analysator Dashboard erhalten, müssen sich nicht um die externe Domainüberprüfung kümmern, da wir dies für Sie übernehmen. Alle von den Empfängern gesendeten Berichte werden automatisch weitergeleitet und an unsere Plattform gesendet, wo sie ordentlich geparst und organisiert werden, damit Sie sie einsehen können, ohne dass Sie Datensätze veröffentlichen müssen, um den Prozess der externen Zielverifizierung zu optimieren. Alles, was Sie tun müssen, ist, unsere benutzerdefinierte rua- (oder ruf-) Adresse in Ihrem DMARC-Eintrag anzugeben.
Melden Sie sich jetzt an, um den Prozess der Validierung externer Ziele und der DMARC-Implementierung mühelos zu gestalten, indem Sie eine kostenlose DMARC-Testversion.
