DMARC für Behörden und öffentliche Einrichtungen

Blog

DMARC für Behörden hilft Behörden, Spoofing zu stoppen, öffentliche E-Mails zu sichern und das Vertrauen der Bürger zu stärken. Erfahren Sie mehr über die Bedeutung, die globalen Richtlinien und die einfachen Schritte zur Einhaltung.

von Ahona Rudra

Lesezeit: 6 min
DMARC für Behörden und öffentliche Einrichtungen
Inhaltsverzeichnis-

Wichtigste Erkenntnisse

  • DMARC für Regierungsdomänen schützt die Glaubwürdigkeit der offiziellen Kommunikation und sichert das nationale digitale Vertrauen.
  • Die DMARC-Herausforderungen im öffentlichen Sektor sind einzigartig, einschließlich der dezentralisierten Kontrolle und der Abhängigkeit von Anbietern, was die Einführung komplexer macht.
  • Eine unzureichende Annahme birgt Risiken auf nationaler Ebene. Gefälschte E-Mails von Regierungen können zu Desinformation, öffentlicher Panik und Vertrauensverlust bei den Bürgern führen.
  • Ein schrittweiser, zentral koordinierter Ansatz funktioniert am besten. Beginnen Sie mit den Bereichen, die am stärksten betroffen sind, überwachen Sie sie und gehen Sie dann zur vollständigen Durchsetzung über, wobei Sie auf eine angemessene Transparenz und Governance achten.
  • PowerDMARC vereinfacht die DMARC-Einführung bei Behörden. Von einheitlichen Dashboards bis hin zur Verfolgung der Konformität ermöglicht es den Behörden eine sichere, schnelle und transparente Durchsetzung.

Wenn wir als Bürger eine E-Mail von der Regierung des Staates erhalten, ist unser erster Instinkt, sofort zu handeln. Von Katastrophenwarnungen über Steuerbescheide bis hin zu Bestätigungen von Arztterminen - dies sind nur einige Beispiele für Mitteilungen der Regierung, die unsere Aufmerksamkeit erregen. Stellen Sie sich nun eine Phishing-Kampagne vor, die diese Nachrichten fälscht. Sie kann landesweit Panik und Chaos auslösen! Das ist genau das, was DMARC (Domain-based Message Authentication, Reporting & Conformance) soll genau das verhindern.

In diesem Leitfaden wird erläutert, warum E-Mail-Sicherheit wichtig ist und welche potenziellen Risiken eine unzureichende DMARC-Einführung in Behörden birgt. 

Warum E-Mail-Sicherheit für den öffentlichen Sektor von entscheidender Bedeutung ist

Im Gegensatz zu privaten Unternehmen, Regierungen:

  • Eigene "universelle Vertrauensdomänen". Bürger können eine verdächtig aussehende E-Commerce-E-Mail ignorieren, aber sie werden in der Regel keine Nachricht von einer Regierungsdomäne ignorieren.
  • Sie können in großem Maßstab operieren. Eine gefälschte Gesundheitswarnung oder Steuerwarnung kann an einem einzigen Tag Millionen von Menschen betreffen.
  • Sie haben geopolitisches Gewicht. Gefälschte Regierungsnachrichten können von Angreifern als Waffe eingesetzt werden, um Fehlinformationen zu verbreiten oder sogar gefälschte Krisenanweisungen zu simulieren.
  • Beeinträchtigung kritischer Dienste. In den Bereichen Gesundheitswesen, Steuern, Verteidigung, Einwanderung oder Katastrophenschutz könnte eine einzige bösartige E-Mail die nationale Stabilität stören.

E-Mail-Adressen von Behörden haben Gewicht. Bürger, Unternehmen und andere staatliche Stellen betrachten Nachrichten von .gov, .gov.uk, .eu oder ähnlichen Domänen als verbindlich. Das macht sie zu wertvollen Zielen für Angreifer, die sich als offizielle Absender ausgeben:

  • Stehlen sensibler Bürgerdaten 
  • Mitarbeiter zur Überweisung von Geldern oder zur Preisgabe von Anmeldedaten verleiten
  • Verbreitung von Fehlinformationen, die der öffentlichen Sicherheit schaden oder zu einem Vertrauensverlust führen

Eine einzige erfolgreich gefälschte Nachricht kann eine Kettenreaktion auslösen, z. B. Verwirrung bei Notfällen, Identitätsdiebstahl, Betrug und Rufschädigung. DMARC, verwendet mit SPF und DKIMverwendet wird, ermöglicht es den Empfängern zu überprüfen, ob eine E-Mail, die vorgibt, von einer offiziellen Adresse zu stammen, tatsächlich von einem autorisierten Absender stammt, und weist die empfangenden E-Mail-Server an, wie sie mit Nachrichten umgehen sollen, die die Überprüfung nicht bestehen. Dadurch werden die Auswirkungen von Impersonationsangriffen verringert.

Risiken einer mangelhaften DMARC-Einführung in Behörden

Wenn staatliche Einrichtungen keine DMARC-Richtlinie haben oder DMARC falsch konfigurieren, kann das folgende Folgen haben:

  • Phishing und Betrug: Angreifer können die Empfänger davon überzeugen, dass eine bösartige E-Mail legitim ist, was die Klickrate und den Diebstahl von Zugangsdaten erhöht.
  • Störung der Betriebsabläufe: Betrügerische E-Mails können Notdienste, Steuer- oder Leistungsunterbrechungen und ein hohes Aufkommen an Helpdesk-Anfragen auslösen.
  • Verlust des Vertrauens der Bürger: Wiederholtes Spoofing führt dazu, dass die Bürger allmählich das Vertrauen in die offizielle Kommunikation verlieren, was langfristig kostspielige Auswirkungen hat.
  • Regulatorische Auswirkungen: Viele Bereiche des öffentlichen Sektors sind nun staatlicherseits verpflichtet, sichere E-Mail-Richtlinien einzuführen. Wenn sie es versäumen Durchsetzung von DMARC kann zur Nichteinhaltung führen.
  • Bewaffnete Desinformation: Angreifer fälschen Regierungswarnungen bei Naturkatastrophen, Pandemien oder Wahlen und schaffen so ein Chaos, das sich schnell verbreitet.
  • Wirtschaftliche Folgen: Gefälschte Steuerforderungen oder betrügerische Rechnungen von Behörden können branchenübergreifend finanziellen Schaden verursachen.
  • Internationale Risiken: Viele Regierungsbehörden sind international tätig. Ein kompromittiert wirkender Regierungsbereich kann das Vertrauen in die Außenbeziehungen oder den globalen Handel untergraben.

DMARC-Anforderungen und -Empfehlungen der Regierung

Verschiedene Länder haben unterschiedliche Mandate oder strenge Richtlinien für die E-Mail-Authentifizierung im öffentlichen Sektor erlassen. Nachstehend sind einige bemerkenswerte Beispiele aufgeführt: 

  • Vereinigte Staaten: DHS Verbindliche Operative Richtlinie (BOD) 18-01 wies zivile Bundesbehörden an, SPF, DKIM und DMARC zu implementieren und aggregierte Berichte zu verwenden.
  • Vereinigtes Königreich: Die britische Regierung unternahm 2016 einen bahnbrechenden Schritt, indem sie eine p=reject DMARC-Richtlinie für alle ihre Domains vorschrieb, um Bedrohungen durch Imitationen einzudämmen. Dennoch, mit dem NCSC im März 2025 die Mail-Check-Aggregate-Berichte einstellt, haben die Behörden einen wichtigen Einblick in die E-Mail-Authentifizierungsaktivitäten verloren, was das Risiko von unentdeckten Fehlkonfigurationen oder Zustellbarkeitsproblemen erhöht.
  • Deutschland: Seit Juni 2018 hat Deutschland proaktive Schritte um die Ausbreitung von Malware und Spam einzudämmen, indem es Internetdienstanbieter auffordert, SPF, DKIM und DMARC zu übernehmen, die grundlegenden E-Mail-Authentifizierungsstandards, die die Legitimität des Absenders überprüfen und das Vertrauen in die digitale Kommunikation verbessern sollen.
  • Neuseeland: Unter Neuseelands Sichere E-Mail der Regierung (SGE) Framework müssen alle E-Mail-fähigen Regierungsdomänen eine DMARC-Richtlinie von p=reject einführen, SPF mit hard-fail (-all) implementieren und DKIM-Signierung für alle ausgehenden E-Mails sicherstellen.
  • Die Niederlande: Die Niederländer Forum Standaardisatie (Standardisierungsforum) hat DMARC zu einem Teil der "offenen Standards" gemacht und in die Liste "Pas toe of leg uit" ("Erfülle oder erkläre") aufgenommen. Gemäß dem "Joint Ambition Statement" und den damit verbundenen Vereinbarungen sollten alle staatlichen Organisationen in den Niederlanden bis Ende 2019 Anti-Phishing-E-Mail-Standards (SPF, DKIM, DMARC) und E-Mail-Sicherheitsstandards (wie STARTTLS und DANE) einführen.

Darüber hinaus verweisen mehrere Branchen, darunter das Finanz- und Gesundheitswesen, zunehmend auf DMARC oder die E-Mail-Authentifizierung als Sicherheitsgrundlage. 

Einrichten von DMARC für Domains von Behörden und des öffentlichen Sektors 

Im Folgenden finden Sie eine einfache Schritt-für-Schritt-Anleitung zur Implementierung von DMARC für eine Regierungsdomäne. Sie können die Domänennamen und -adressen an den entsprechenden Stellen ersetzen.

Einrichtung von DMARC für Behörden und den öffentlichen Sektor

1. Bestandsaufnahme: Abbildung jedes Absenders

  • Erstellen Sie ein Inventar aller Dienste, einschließlich Cloud-Anbieter und Drittanbieter, die Ihre Domain oder Subdomains nutzen.
  • Notieren Sie sich die IP-Adressen und DKIM-Signaturquellen.

2. Sicherstellung der SPF- und DKIM-Basislinie

  • Veröffentlichen Sie einen genauen SPF-Eintrag, der nur autorisierte sendende IPs/Dienste auflistet und übermäßige Einschlüsse vermeidet.
  • Stellen Sie sicher, dass die DKIM-Signierung für ausgehende E-Mails aktiviert ist; veröffentlichen Sie öffentliche DKIM-Schlüssel (DNS TXT) und wechseln Sie die Schlüssel regelmäßig, um die Sicherheit zu erhöhen.
  • Testen Sie SPF/DKIM für jede Quelle mit unserem SPF-Prüfer und DKIM-Prüfer Werkzeuge.

3. Veröffentlichen eines überwachten DMARC-Eintrags

Beginnen Sie mit der Überwachung, damit Sie sicher Berichte sammeln können:

Name: _dmarc.example.gov

Typ: TXT

Wert: "v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected]; pct=100; adkim=s; aspf=s; fo=1"

  • p=none sammelt Berichte, ohne die Zustellung zu beeinflussen.
  • Verwenden Sie rua für aggregierte XML-Berichte und ruf für Fehlereinblicke (prüfen Sie zunächst die rechtlichen Bestimmungen).
  • Verwenden Sie adkim=s und aspf=s für eine strikte Ausrichtung in sensiblen Umgebungen (dies ist anfangs optional).

4. Sammeln und Analysieren von Berichten

  • Zentralisieren Sie die aggregierten Berichte (rua) in einem verwalteten Dashboard, das Berichte analysiert, wie unser DMARC-Bericht-Analysator. Die Berichte zeigen, welche IPs E-Mails senden, Pass/Fail-Raten und Ausrichtungsfehler.
  • Unterscheiden Sie zwischen legitimen Absendern und nicht autorisierten Quellen und aktualisieren Sie SPF-Includes entsprechend. Verlassen Sie sich bei Problemen mit weitergeleiteten E-Mails auf DKIM, autorisieren Sie Weiterleitungsserver oder konfigurieren Sie ARC so, dass Authentifizierungs-Header erhalten bleiben.

5. Schrittweiser Übergang zur Durchsetzung

  • Umstellung auf p=Quarantäne für eine Teilmenge von Domänen.
  • Überwachen Sie Bounce-/Complaint-Raten und Zustellbarkeit.
  • Sobald Sie sich sicher sind, gehen Sie bei pct=100 zu p=reject über. Strenge Überwachung nach der Durchsetzung.

Beispiel:

Ursprünglicher Datensatz: v=DMARC1; p=Quarantäne; pct=50; rua=mailto:[email protected]; adkim=s; aspf=s

Aktualisierter Datensatz: v=DMARC1; p=ablehnen; pct=100; rua=mailto:[email protected]; adkim=s; aspf=s

Häufige Herausforderungen und wie man sie vermeidet

  1. Der Glaube an p=none schützt vor Spoofing: Der Überwachungsmodus (p=none) sammelt nur Daten und verhindert kein Spoofing. Sie sollten einen klaren Weg und Zeitplan für p=Quarantäne und p=Ablehnung planen.
  2. Veraltetes Inventar: Nicht dokumentierte Absender von Drittanbietern führen zu Fehlern, wenn Sie Richtlinien durchsetzen. Um dies zu beheben, stellen Sie sicher, dass Ihre Drittabsender in Ihrem SPF-Eintrag autorisiert sind, und aktualisieren Sie den Eintrag jedes Mal, wenn Sie einen neuen Absender hinzufügen.
  3. Mehrere DMARC/SPF-Einträge: Die Veröffentlichung von mehr als einem DMARC- oder SPF-Eintrag für eine Domäne unterbricht die Authentifizierung. Stellen Sie immer sicher, dass es genau einen Datensatz pro sendender Domäne gibt.
  4. Lange SPF-Einträge / DNS-Lookups überschritten: SPF hat Limits für Lookups (10 Mechanismen, die DNS-Lookups verursachen). Um unter dem Limit zu bleiben, können Sie unser SPF-Verflachungstool oder SPF-Makros Optimierung.
  5. Weiterleitung bricht SPF: Die Weiterleitung von E-Mails kann dazu führen, dass SPF auch bei legitimen E-Mails versagt. Es ist besser, sich auf DKIM zu verlassen und ARC zu verwenden, um die ursprünglichen Authentifizierungs-Header zu erhalten.
  6. Forensische Berichte und Datenschutz/rechtliche Bedenken: Forensische Berichte können in einigen Fällen sensible Daten und E-Mail-Inhalte enthalten. Wir empfehlen Ihnen, vor der Aktivierung von ruf Ihre Rechtsabteilung zu konsultieren und Dienste wie PowerDMARC zu nutzen, die eine Verschlüsselung forensischer Berichte anbieten.
  7. Fehlinterpretation von Aggregatberichten: XML-Aggregatberichte sind nicht menschenfreundlich und können für technisch nicht versierte Leser sehr komplex sein. Es ist viel bequemer, automatische Parser oder ein DMARC-Dashboard um Berichte in ein für Menschen lesbares Format zu übersetzen.

Wie PowerDMARC Agenturen des öffentlichen Sektors hilft

Behörden ziehen es oft vor, mit einem vertrauenswürdigen Partner zusammenzuarbeiten, um die DMARC-Einführung zu beschleunigen und gleichzeitig die Compliance-Vorgaben einzuhalten. PowerDMARC bietet die folgenden für den öffentlichen Sektor geeigneten Funktionen:

  • Automatisiertes Parsen von Berichten: Ihre Aggregierte und forensische Berichte werden automatisch analysiert und in farbigen, leicht zu navigierenden Dashboards mit klaren Filtern dargestellt.
  • SPF- und DKIM-Bereitstellung: Wir bieten gehostete Tools und Dienste zur Vereinfachung und Optimierung von SPF-Einträgen und zur Verwaltung der DKIM-Schlüsselrotation.
  • Alarmierung und reaktionsschneller Support: Unsere Plattform unterstützt Echtzeit-Warnungen bei Spoofing-Spitzen, neuen nicht autorisierten Absendern oder Zustellungsproblemen und bietet ein Support-Team, das schnell Abhilfe schaffen kann.
  • Sofortige Konformitätsprüfung: Sie können eine schnelle Analyse des Domänenzustands und Konformitätsprüfungen zur sofortigen Überwachung des gesamten E-Mail-Sicherheitsfortschritts durchführen.

PowerDMARC ist außerdem ein SOC2 Typ 2, SOC3, ISO 27001-zertifizierter und GDPR-konformer Anbieter. 

SOC2-Type-2-SOC3-ISO-27001-Certified-GDPR

Abschließende Worte

Für Regierungsbehörden ist DMARC mehr als nur ein Aktionspunkt. Es bedarf einer kontinuierlichen Steuerung und Überwachung. Das Ergebnis sind weniger Phishing-Angriffe, die sich als offizielle Kanäle ausgeben, ein geringerer Aufwand für den Helpdesk, ein größeres Vertrauen der Bürger und eine stärkere Compliance-Position.

Wenn Ihre Behörde Hilfe benötigt, um Zehntausende von Sammelmeldungen zu analysieren, unbekannte Absender zu ermitteln oder die Strafverfolgungsbehörden sicher zu erreichen, kontaktieren Sie PowerDMARC noch heute!

Neueste Beiträge von Ahona Rudra (alle anzeigen)
Monat des Bewusstseins für CybersicherheitMonat des Cyber-Sicherheitsbewusstseins -Was ist Cyber-Hygiene? Wichtigkeit, Praktiken und Vorteile