DMARC RFC Erklärt: Ein Kernstandard für moderne E-Mail-Authentifizierung

DMARC (Domain-based Message Authentication Reporting and Conformance) ist ein E-Mail-Authentifizierungsprotokoll, das in RFC 7489 (Informational) spezifiziert ist; sein Nachfolger, der IETF DMARCbis-Entwurf, aktualisiert und präzisiert das Protokoll und soll RFC 7489 überflüssig machen. 

DMARC baut auf SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail) auf, um E-Mail-Domänen vor Spoofing, Phishing und unbefugter Nutzung zu schützen. Durch die Veröffentlichung einer DMARC-Richtlinie im DNS weisen die Domänenbesitzer die empfangenden Mailserver an, wie sie mit Nachrichten umgehen sollen, die die Authentifizierungsprüfung nicht bestehen. Diese technische Grundlage macht DMARC zu einem Eckpfeiler der modernen E-Mail-Sicherheit und des Vertrauens.

Was ist der DMARC RFC?

Die IETF veröffentlichte DMARC als RFC 7489 (Informational) im März 2015. Darin wird definiert, wie Domänenbesitzer DNS-Richtlinien veröffentlichen können, die den Empfängern mitteilen, was zu tun ist, wenn eine Nachricht die DMARC-Bewertung nicht besteht.

Das Protokoll wurde ursprünglich von einem Industriekonsortium entwickelt, dem Google, Microsoft, Yahoo, PayPal und andere angehörten und das unter dem Banner von DMARC.org. Ihr Ziel war es, den E-Mail-Betrug einzudämmen, indem sie eine gemeinsame Methode zur Signalisierung und Durchsetzung der Authentifizierung auf Domänenebene schufen; diese Arbeit wurde später bei der IETFvorgelegt, die sie als RFC 7489 veröffentlichte. Obwohl es sich bei RFC 7489 um einen Informations-RFC und nicht um ein Standard-Track-Dokument handelt, ist es zur De-facto-Referenz für die Implementierung von DMARC geworden.

Was beinhaltet RFC 7489?

RFC 7489 definiert den kompletten Rahmen für DMARC. Das Dokument selbst ist zwar technisch, aber seine Hauptziele sind einfach:

Bereitstellung eines politischen Mechanismus

Mit DMARC können Domänenbesitzer klare Richtlinien veröffentlichen, die den Empfängern vorschreiben, wie sie mit E-Mails verfahren sollen, die die Authentifizierungsprüfungen nicht bestehen.

Profitieren Sie von umfassender Berichterstattung 

DMARC ist auch ein Berichtsprotokoll. Das bedeutet, dass Domäneninhaber Daten darüber erhalten können, welche E-Mails die Authentifizierung bestehen und welche nicht. Dies hilft ihnen, zwischen legitimen und bösartigen E-Mails zu unterscheiden.

Reduzieren Sie E-Mail-Betrug

DMARC prüft, ob die RFC5322.From-Domäne mit Identifikatoren übereinstimmt, die über SPF oder DKIM authentifiziert wurden. Dadurch wird direktes Domain-Spoofing abgeschwächt; es verhindert jedoch keine "Look-alike"-Domains oder Display-Name-Täuschung und kann durch indirekte Mailflüsse beeinträchtigt werden. 

Auf bestehenden Standards aufbauen

DMARC verwendet die Ergebnisse von SPF und/oder DKIM und fügt Identifier-Abgleich, Richtlinien (p=) und Berichterstattung (rua/ruf) hinzu. 

Technische Gliederung der Anforderungen

DMARC bewertet den Abgleich und wendet Richtlinien an. Entscheidend ist, dass es eine wichtige neue Anforderung hinzufügt: den Abgleich der Bezeichner.

Wie DMARC die SPF- und DKIM-Ergebnisse verwendet

DMARC prüft nicht nur, ob SPF oder DKIM gültig sind, sondern verlangt auch einen Abgleich der Kennung mit der RFC5322.From-Domäne.

SPF-Ausrichtung

DMARC verwendet die SPF-authentifizierte Domäne RFC5321.MailFrom (oder HELO) und verlangt, dass sie mit der Domäne RFC5322.From übereinstimmt. Es muss mindestens eine organisatorische Übereinstimmung im entspannten Modus (aspf=r, Standard) oder eine genaue Übereinstimmung im strengen Modus (aspf=s) sein.

DKIM-Ausrichtung

DMARC verwendet die DKIM d=-Domäne und verlangt, dass sie mit der RFC5322.From-Domäne übereinstimmt. Es muss mindestens eine organisatorische Übereinstimmung im entspannten Modus (adkim=r, Standard) oder eine genaue Übereinstimmung im strengen Modus (adkim=s) sein.

Diese Abgleichsanforderung ist die Superkraft von DMARC. Sie verknüpft die Authentifizierungsergebnisse direkt mit der sichtbaren Domäne der Marke, wodurch eine Lücke geschlossen wird, die Angreifer früher ausgenutzt haben.

Politik-Modi (p=)

Der DMARC-Datensatz legt eine von drei Richtlinien fest, die der Empfänger befolgen muss, wenn eine E-Mail die DMARC-Prüfung nicht besteht:

• p=keiner: nur überwachen; Berichte anfordern.
• p=Quarantäne: Signal, dass eine fehlgeschlagene E-Mail verdächtig ist (typische Behandlung: Spam/Junk).
• p=reject: ein starkes Signal, dass fehlgeschlagene Mails zurückgewiesen werden sollten. Während der RFC lokale Ausnahmen zulässt (z. B. für bekannte gute Absender), halten sich die großen Anbieter in der Regel strikt an diese Richtlinie für nicht authentifizierte Spoofing-Versuche.

Berichtsfunktionen (RUA & RUF)

DMARC liefert nützliches Feedback durch zwei Arten von Berichten:

Aggregierte Berichte (RUA)

RUA-Berichte sind maschinenlesbare XML-Zusammenfassungen (normalerweise täglich) der DMARC-Ergebnisse. Sie enthalten Daten wie die IP-Adresse des Absenders, SPF/DKIM-Ergebnisse, Ausrichtungsdetails und die Anzahl der Nachrichten. Diese XML-Rohdateien sind jedoch nicht leicht von Menschen lesbar und lassen sich ohne spezielle Tools nur schwer manuell analysieren. Der PowerDMARC DMARC-Bericht-Analysator Tool automatisiert diesen Prozess und wandelt komplexe Daten in intuitive Diagramme und Grafiken um.

Nachrichtenspezifische Fehlerberichte (RUF, oft als "forensisch" bezeichnet)

Sie sind fakultativ und werden aus Gründen des Datenschutzes selten gesendet. Viele Empfänger schwärzen sie ab oder deaktivieren sie. DMARCbis dokumentiert diese Bedenken und verweist auf einen separaten Entwurf zur Fehlerberichterstattung, der RUF-Berichte zunehmend ablehnt.

DMARCbis und bevorstehende Änderungen

Technologiestandards ändern sich schnell, und DMARC ist da keine Ausnahme. DMARCbis ist die kommende aktualisierte Spezifikation für das DMARC-Protokoll, die von der IETF formalisiert wird. Sie basiert auf den Erfahrungen der letzten Jahre und zielt darauf ab, DMARC von einem "Informational" RFC zu einem formalen "Proposed Standard" zu machen. 

Betrachten Sie es nicht als eine Revolution oder Abkehr von DMARC, sondern als eine Weiterentwicklung. Zu den wichtigsten Änderungen und Klarstellungen in DMARCbis gehören:

p=Quarantäne Verhalten

DMARCbis klärt die Quarantäne-Semantik und die Empfängerführung, lässt dem Empfänger aber immer noch einen Ermessensspielraum. 

Neue Begriffe und Umstrukturierung

DMARCbis basiert zwar auf dem ursprünglichen RFC 7489, wurde aber umstrukturiert und ist nun für den durchschnittlichen Benutzer leichter zu lesen.

Die Spezifikation ist nun in drei separate Dokumente (RFCs) aufgeteilt. Diese umfassen: 

• Das Hauptdokument
• Die Website aggregierte Berichterstattung Spezifikation
• Die Website Fehlermeldung Spezifikation

Einige Begriffe und Formulierungen wurden ebenfalls geändert, um mehr Klarheit zu schaffen, zum Beispiel:

• "Berichtsempfänger" statt "Berichtsverbraucher"
• "Richtlinie zur Bewertung des Domänenbesitzers" statt "DMARC-Richtlinie".
• "Enforcement" für p=Quarantäne und p=Ablehnung
• Modus "Überwachung" für p=keine

Fragen der Berichterstattung

Weiterleitungen können SPF verletzen, während Mailinglisten oft DKIM verletzen. DMARCbis rät nun davon ab, eine p=reject-Richtlinie zu verwenden, wenn Mailinglisten häufige Empfänger sind. 

Auch die Vorschriften für die aggregierte Berichterstattung werden verschärft verschärftund das XML-Berichtsformat wurde aktualisiert, um die neuen Tags widerzuspiegeln.

RUF entmutigen

DMARCbis rät aufgrund von Datenschutzbedenken von der Verwendung von RUF-Berichten ab und verweist in einem separaten Entwurf auf die Fehlerberichterstattung.

DNS Tree Walk

Die ursprüngliche Methode zur Bestimmung der Organisationsdomäne stützte sich stark auf die öffentliche Suffix-Liste (PSL), die unvollständig sein konnte. DMARCbis spezifiziert formell einen flexibleren und zuverlässigeren "DNS Tree Walk"-Algorithmus zur Ermittlung der anwendbaren DMARC-Richtlinie.

Neue vs. entfernte DMARC-Datensatz-Tags

Einige DMARC-Tags wie "pct", "rf" und "ri" werden vollständig entfernt. Stattdessen werden neue DMARC-Datensatz-Tags hinzugefügt, wie "np", "psd" und "t". 

Bedeutung für Organisationen

Das Verständnis des DMARC RFC kann Organisationen in mehrfacher Hinsicht helfen:

Verbesserte Compliance

Google, Yahoo, Microsoft und Apple Mail verlangen jetzt Massenversender einen DMARC-Eintrag zusammen mit anderen Kontrollen (SPF/DKIM, Ausrichtung, niedrige Spam-Raten usw.) zu veröffentlichen. Die Nichteinhaltung dieser Vorschriften kann die Zustellbarkeit von E-Mails erheblich beeinträchtigen.

Vermeiden von Fehlkonfigurationen

Ein falsches Verständnis der wichtigsten RFC-Konzepte, insbesondere der Ausrichtung, kann dazu führen, dass legitime E-Mails blockiert werden. Die Kenntnis des RFC 7489 kann Ihnen helfen, Probleme zu beheben und Ihre Richtlinien von Anfang an richtig zu konfigurieren. 

Um Fehler zu vermeiden, können Sie auch einen DMARC-Datensatz-Generator Tool verwenden, um eine gültige Richtlinie zu erstellen. Wenn Sie bereits einen Datensatz haben und ihn nur überprüfen müssen, können Sie PowerDMARCs DMARC-Datensatz-Prüfer verwenden, um sicherzustellen, dass er korrekt veröffentlicht wurde, bevor Sie zu einer Durchsetzungsrichtlinie übergehen.

Viele Sicherheitsvorteile 

Eine ordnungsgemäß durchgesetzte DMARC-Richtlinie mit p=reject ist eine der wirksamsten Abwehrmaßnahmen gegen Direct Domain Spoofing, das eine der Hauptursachen für Business Email Compromise und viele Phishing-Angriffe ist. Durch die Implementierung von DMARC können Sie Ihre Mitarbeiter, Kunden und den Ruf Ihrer Marke vor einer Vielzahl von E-Mail-Betrug schützen.

Resümee

DMARC RFC bietet einen soliden grundlegenden Rahmen für den Schutz von Domains gegen E-Mail-Betrug. Er umreißt unkomplizierte, klare Standards und Richtlinien für die Einrichtung und Durchsetzung von DMARC. Wenn Sie die Regeln des DMARC RFC genau befolgen, können Sie die E-Mail-Sicherheit erhöhen, den Ruf Ihrer Marke schützen und die Zustellbarkeit verbessern. 

Noch besser ist, dass die Implementierung und effektive Verwaltung von DMARC kein manueller Prozess sein muss. Die PowerDMARC-Plattform vereinfacht den gesamten Prozess, von der schnellen Einrichtung bis zur gründlichen Überwachung und Durchsetzung. 

Nehmen Sie Kontakt auf mit dem PowerDMARC Team und lassen Sie die Experten sich um Ihre E-Mail-Sicherheit kümmern!

Häufig gestellte Fragen

Wann wurde RFC 7489 veröffentlicht?

RFC 7489 wurde im März 2015 veröffentlicht.

Wer kann DMARC nutzen?

Jede Organisation oder Person, die E-Mails von einer Domäne aus versendet, kann und sollte DMARC verwenden. Es gibt keine Lizenzgebühren oder Beschränkungen, so dass es ein für jedermann zugänglicher Standard ist, um seine Domain vor Spoofing zu schützen.

Warum verlangen die großen E-Mail-Anbieter DMARC für Massenversender?

Der Durchschnittsnutzer kann in der Regel nicht erkennen, ob eine Nachricht oder E-Mail echt oder gefälscht ist. Daher müssen die Anbieter von Postfächern darauf achten, welche E-Mails sie in den primären Posteingang gelangen lassen. DMARC hilft, dieses Problem zu lösen. Es ermöglicht Absendern, Empfängern und Mailbox-Anbietern, gemeinsam gegen E-Mail-Betrug vorzugehen. Ab Februar 2024 verlangen Google/Yahoo SPF- oder DKIM-Authentifizierung, DMARC mit p=none oder stärker, niedrige Spam-Beschwerdequoten und RFC5322.From-Abgleich.

Gibt es Tools, die die Einrichtung und Durchsetzung von DMARC erleichtern?

PowerDMARC bietet viele solcher Tools und Dienste, einschließlich DMARC-Generator, Checker, gehostete Dienste und mehr!

• Über
• Neueste Beiträge

Ayan Bhuiya

Schichtleiter, Experte für Infrastruktur und E-Mail-Sicherheit bei PowerDMARC

Ayan Bhuiya verfügt über mehr als 13 Jahre Erfahrung im Bereich Cybersicherheit und ist spezialisiert auf Infrastruktur, Geschäftskontinuität, Risikomanagement und E-Mail-Sicherheit. Derzeit ist er als Shift Lead bei PowerDMARC tätig. Er hat ein Postgraduierten-Diplom in Netzwerken und Sicherheit und verfügt über eine nachgewiesene Erfolgsbilanz bei der Leitung strategischer Sicherheitsinitiativen zur Abschwächung von Bedrohungen und zur Gewährleistung der Widerstandsfähigkeit von Unternehmen.

Neueste Beiträge von Ayan Bhuiya (alle anzeigen)

• 6 Wege, wie eine Verletzung des Datenschutzes die Sicherheit Ihres Unternehmens gefährden kann – 1. April 2026
• NIS2-Richtlinie: Was sie ist, Anforderungen, Fristen und wie man sie einhält – 26. März 2026
• Essential Eight vs. SMB 1001: Ein umfassender Vergleich für moderne Cybersicherheit in Australien – 12. Februar 2026