dmarc vs spf

Wenn Sie die ganze Debatte um DMARC vs. SPF verfolgt haben, sollten Sie verstehen, was sie sind und wie sie Ihnen helfen können. Wenn Sie neu im Bereich der E-Mail-Authentifizierung sind, sind Sie wahrscheinlich schon auf flüchtige Begriffe wie DMARC und SPF gestoßen und möchten sie besser verstehen, um entscheiden zu können, welcher von beiden am besten zu Ihnen passt.

Sender Policy Framework, auch bekannt als SPF, ermöglicht es Ihnen, eine Liste autorisierter IP-Adressen zwischenzuspeichern, die in Ihrem Namen E-Mails an Ihre Kunden senden dürfen(RFC 4408). Auf der anderen Seite hilft DMARC dabei, eine Richtlinie für E-Mails festzulegen, die nicht authentifiziert werden, und hilft Domänenbesitzern, die Strenge ihrer implementierten Sicherheitsprotokolle zu kontrollieren. Lassen Sie uns nun DMARC und SPF näher erläutern. 

Ich habe SPF implementiert, brauche ich trotzdem DMARC?

SPF bietet Domänenbesitzern keinen Mechanismus, um Berichte über fehlgeschlagene Zustellungen und Identitätswechselversuche zu senden. An dieser Stelle kommt DMARC ins Spiel. Wenn Sie die DMARC-Berichterstattung für Ihre Domains aktivieren, können Sie Benachrichtigungen über die Ergebnisse Ihrer SPF-Authentifizierung erhalten, die unter anderem fehlgeschlagene Zustellungen und Spoofing-Versuche umfassen. Dies ist eine wichtige Funktion, die eine unverzichtbare Ergänzung Ihrer E-Mail-Sicherheitssuite sein sollte, selbst wenn Sie nur SPF für Ihre Domains einsetzen.

Die Überwachung Ihrer Domänen kann hilfreich sein, um Informationen über die Leistung Ihrer E-Mails zu verarbeiten und die Erfolgsquote Ihrer E-Mail-Marketingkampagnen zu messen. Es hilft Ihnen auch, schneller auf Angriffe zu reagieren und verdächtige Absenderadressen auf eine schwarze Liste zu setzen. 

Kann ich DMARC ohne DKIM einsetzen?

Ja, es ist möglich, einen DMARC-Eintrag zu veröffentlichen, ohne dass ein DKIM-Eintrag in Ihrem DNS vorhanden ist. Denn damit Ihre E-Mails als DMARC-konform gelten, müssen sie entweder die SPF- oder die DKIM-Authentifizierung bestehen und nicht beide. Wenn Sie keinen DKIM-Eintrag haben, prüfen die empfangenden MTAs nur den SPF-Abgleich, der die Authentizität der Nachrichten bestimmt, während DKIM automatisch bei jeder Nachricht fehlschlägt.

Dies ist jedoch keine ideale Situation. Lassen Sie uns herausfinden, warum:

Das Problem mit E-Mail-Weiterleitungen und Mailinglisten

Bei weitergeleiteten E-Mails durchläuft Ihre Nachricht einen Zwischenserver, bevor sie im Posteingang des Empfängers landen kann. Dieser Server hat eine andere IP-Adresse, die möglicherweise nicht im SPF-Eintrag Ihrer Domäne enthalten ist. Daher brechen die weitergeleiteten E-Mails SPF auf der Seite des Empfängers.

Wenn Sie keinen DKIM-Datensatz haben, würde ein Fehlschlagen von SPF im Wesentlichen zu einem Fehlschlagen von DMARC führen. Bei einer auf Ablehnung eingestellten Richtlinie würden Ihre über Mailinglisten gesendeten legitimen E-Mails Ihre Empfänger überhaupt nicht erreichen. Deshalb ist es besser, sowohl SPF als auch DKIM für Ihre Domäne zu implementieren und eine vollständige DMARC-Konformität zu erreichen, indem Sie Ihre E-Mails mit beiden Protokollen abgleichen, um eine reibungslose Zustellbarkeit zu gewährleisten.

DMARC vs. SPF: Zusammenfassend

 

Um die Diskussion über DMARC vs. SPF zusammenzufassen, empfehlen wir, zunächst einen TXT-Eintrag für SPF und einen DMARC-Eintrag zu veröffentlichen, um die Richtlinie auf Null zu beschränken und gleichzeitig aggregierte Berichte zu ermöglichen. Auf diese Weise können Sie das Volumen der E-Mails, die weitergeleitet oder über Mailinglisten versendet werden, im Auge behalten. Eine "none"-Richtlinie hat keine Auswirkungen auf die Zustellbarkeit Ihrer E-Mails, ermöglicht Ihnen aber eine effektive Überwachung Ihrer Domänen.

Um Ihre Verteidigung gegen drohende Phishing-Angriffe und Spoofing zu verbessern, benötigen Sie jedoch eine strengere Richtlinie (p=reject/quarantine) für DMARC. Die alleinige Implementierung von SPF bietet keinen Schutz gegen E-Mail-Betrug, wofür eine DMARC-Richtlinie zwingend erforderlich ist.

Vorteile einer DMARC-Softwarelösung

Wir empfehlen die Verwendung von PowerDMARCs DMARC-Bericht-Analysator um fachkundigen Rat zu erhalten und das Beste aus Ihren E-Mail-Authentifizierungsstandards zu machen. Dies würde Ihnen helfen:

  • Umstellung auf eine Ablehnungspolitik in der schnellsten Marktgeschwindigkeit, ohne Beeinträchtigung Ihrer Zustellbarkeit 
  • 100%ige DMARC-Konformität für Ihre ausgehenden E-Mails
  • Überwachen Sie Ihre E-Mail-Kanäle, während p=none aktiviert ist, um Klarheit über das Volumen der weitergeleiteten E-Mails zu erhalten. 
  • Treffen Sie Entscheidungen über Ihre Protokollrichtlinienmodi und -konfigurationen schneller und profitieren Sie von einer reibungslosen Einführung Ihrer implementierten E-Mail-Authentifizierungsstandards.