Erweiterte DMARC-Konfigurationstipps für Sicherheit auf Unternehmensebene

Blog, DMARC

DMARC für Unternehmen stellt sicher, dass große Unternehmen vor Phishing, Spoofing und BEC geschützt sind und die Vorschriften von HIPAA, GDPR und PCI DSS einhalten.

von Milena Baghdasaryan

Zuletzt aktualisiert:
6 Lesezeit: 2 Minuten
Erweiterte DMARC-Konfigurationstipps für Sicherheit auf Unternehmensebene
Inhaltsverzeichnis-

Wichtigste Erkenntnisse

  • DMARC für Unternehmen ist entscheidend für die Bekämpfung von Phishing, Spoofing und die Kompromittierung von Geschäfts-E-Mails.
  • Eine starke DMARC-Strategie hilft großen Unternehmen bei der Verwaltung komplexer E-Mail-Ökosysteme und sorgt für Sicherheit in jeder Domäne und Subdomäne.
  • DMARC bietet Unternehmen einen überprüfbaren Authentifizierungsnachweis, der die Einhaltung von Vorschriften wie HIPAA, PCI DSS und GDPR unterstützt.
  • Durch kontinuierliche Überwachung, Berichterstattung und Anpassung wird DMARC zu einem laufenden Sicherheitsprozess im Unternehmen und nicht zu einer einmaligen Einrichtung.
  • PowerDMARC ermöglicht Unternehmen die Skalierung von DMARC mit Automatisierung, Berichterstattung und Richtlinienverwaltung.

Im Gegensatz zu einfachen Implementierungen erfordert DMARC auf Unternehmensebene eine genaue Abstimmung, eine sorgfältige Integration mehrerer E-Mail-Quellen und eine proaktive Berichterstattung, um den sich entwickelnden Bedrohungen einen Schritt voraus zu sein. Neben der Sicherheit schützt DMARC auch den Ruf der Marke, unterstützt Einhaltung von Vorschriftenund gewährleistet die zuverlässige Zustellung von E-Mails. Indem sie DMARC als skalierbares und anpassungsfähiges Framework betrachten, können Unternehmen ihre E-Mail-Systeme zukunftssicher gegen ausgeklügelte Angriffe machen.

Erweiterte Tipps zur DMARC-Konfiguration für Unternehmen

Wenn Sie erfolgreich über die grundlegende p=none-Politikhinausgehen wollen, brauchen Sie die richtige Strategie und die richtigen Werkzeuge. Diese Tipps für Fortgeschrittene sollen großen Unternehmen dabei helfen, einen umfassenden Schutz (p=reject) in großem Umfang zu erreichen.

Subdomain-Richtlinien verwenden

Angreifer haben es oft auf ungenutzte oder vergessene Subdomänen abgesehen, um Spoofing-Kampagnen durchzuführen. Das liegt daran, dass solche Subdomains weniger wahrscheinlich überwacht werden. Schlimmer noch: Eine DMARC-Richtlinie für Ihre Top-Level-Domain schützt sie nicht automatisch. Um diese Lücke zu schließen, sollten Sie das Subdomain-Richtlinien-Tag sp verwenden.

Angenommen, Sie haben alle legitimen sendenden Subdomains identifiziert und konfiguriert. Sie können nun eine Standard-Ablehnungsrichtlinie für den DMARC-Eintrag Ihrer Organisationsdomain festlegen.

v=DMARC1; p=Ablehnung; sp=Ablehnung; rua=mailto:[email protected];

Dieser Eintrag weist die Empfänger an, E-Mails von der Hauptdomäne und allen Subdomänen abzulehnen, die die DMARC-Authentifizierung nicht bestehen. Wenn für eine bestimmte Subdomain eine andere Richtlinie erforderlich ist, benötigt sie einen eigenen DMARC-Eintrag.

Richtige Implementierung der Ausrichtungsmodi

Die DMARC-Abgleichprüfung überprüft, ob die Domain im „From“-Header (die der Benutzer sieht) mit der durch SPF und DKIM validierten Domain übereinstimmt. Es gibt zwei Modi: „relaxed“ und „strict“.

  • Entspannte Ausrichtung (Standard): Die "Von"-Domäne muss dieselbe Organisationsdomäne wie die SPF/DKIM-geprüften Domänen haben. Zum Beispiel: mail.ihrunternehmen.com ist mit ihrunternehmen.com identisch. Dies ist für die meisten Unternehmen eine praktische Ausrichtungsoption.
  • Strenge Ausrichtung (adkim=s und aspf=s): Die "Von"-Domäne muss genau mit den SPF/DKIM-geprüften Domänen übereinstimmen. Dies bietet das höchste Maß an Sicherheit. Beachten Sie jedoch, dass eine strikte Übereinstimmung zu Problemen mit einigen Drittanbietern führen kann, die ihre eigenen Subdomänen für den Versand verwenden.

Integrieren Sie mehrere E-Mail-Quellen

Eine der größten Herausforderungen bei der fortgeschrittenen DMARC-Einrichtung ist die Koordinierung der E-Mail-Authentifizierung für große Organisationen über alle Absender hinweg. Das sollten Sie tun:

Alle Absender prüfen

Erstellen Sie ein detailliertes Verzeichnis aller Dienste, die in Ihrem Namen E-Mails versenden.

Konfigurieren Sie SPF und DKIM für jede Quelle

Arbeiten Sie mit jedem Anbieter zusammen, um dessen spezifischen SPF-Include-Mechanismen Mechanismen und öffentlichen DKIM-Schlüsseln zu erhalten. Der Grund dafür ist, dass jeder Drittanbieter-Dienst mit einem eindeutigen DKIM-Selektor konfiguriert werden sollte, um die Signierung zu isolieren und die Schlüsselrotation zu vereinfachen.

Überwachung über DMARC-Berichte

Verwenden Sie DMARC-Berichte (im Modus „p=none“), um unbefugte oder falsch konfigurierte Absenderquellen zu identifizieren, die Sie möglicherweise übersehen haben.

Forensische und zusammenfassende Berichte aktivieren

DMARC-Berichte sind Ihre wichtigste Quelle für zuverlässige Informationen zur E-Mail-Authentifizierung.

  • Aggregat Berichte (rua): Diese XML-Berichte geben einen Überblick über den gesamten E-Mail-Verkehr, der angeblich von Ihrer Domäne stammt. Sie zeigen IP-Adressen, Sendevolumen und SPF/DKIM/DMARC Pass/Fail Statistiken.
  • Forensische Berichte (ruf): Diese Berichte liefern detaillierte Echtzeitdaten zu einzelnen E-Mails, die DMARC-Prüfungen nicht bestehen. Sie können sehr hilfreich sein, um aktive Spoofing-Angriffe zu untersuchen und komplexe Konfigurationsprobleme zu diagnostizieren. Beachten Sie jedoch, dass sie möglicherweise personenbezogene Daten enthalten und Bedenken hinsichtlich des Datenschutzes aufwerfen.

Ein umfassender DMARC-Datensatz enthält beides:

v=DMARC1; p=keine; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1;

Das fo=1-Tag erzeugt einen forensischen Bericht, wenn ein Teil der DMARC-Auswertung fehlschlägt.

Vor der Durchsetzung überwachen

Gehen Sie nie direkt zu p=reject. Entscheiden Sie sich stattdessen für ein schrittweises Vorgehen, um die Blockierung legitimer E-Mails zu vermeiden.

  1. Beginnen Sie mit p=none: Dieser "Überwachungsmodus" ermöglicht es Ihnen, rua- und ruf-Berichte zu sammeln, ohne die E-Mail-Zustellung zu beeinträchtigen. Sie sollten diese Berichte wochen- oder monatelang analysieren (je nach Ihren besonderen Umständen), um alle Authentifizierungsprobleme mit legitimen Absendern zu erkennen und zu beheben.
  2. Verschieben nach p=Quarantäne: Diese Richtlinie weist die Empfangsserver an, fehlerhafte E-Mails in den Spam- oder Junk-Ordner zu verschieben. Dies ist eine risikoärmere Methode, um die Auswirkungen der Durchsetzung zu testen. So können Sie das Benutzerfeedback und die Berichtsdaten genau überwachen.
  3. Durchsetzen mit p=ablehnen: Sobald Sie sicher sind, dass alle legitimen E-Mails korrekt authentifiziert werden (idealerweise über 99,9 %), können Sie zu p=reject übergehen. p=reject weist die Empfänger an, alle E-Mails zu blockieren, die DMARC nicht bestehen.

Skalierung von DMARC für Unternehmen

Die Verwaltung von DMARC über Hunderte oder Tausende von Domänen hinweg erfordert spezielle Tools und Prozesse.

Zentralisierte Überwachung

Das manuelle Parsen von XML-Berichten kann in großem Umfang äußerst schwierig sein. Genauso wie Unternehmen sich auf Enterprise-Asset-Management-Software verlassen, um Asset-Daten in einem zentralen Dashboard zu konsolidieren, sollten Unternehmen einen DMARC-Berichtanalysator verwenden, um die Berichtsdaten aller ihrer Domains in einem einzigen Dashboard zu analysieren, zu visualisieren und zu vereinfachen.

Geleitete Politik-Updates

Versuchen Sie, eine DMARC-Plattform zu finden, die Folgendes bietet API-Zugang bietet und die Aktualisierung von Richtlinien automatisieren kann. So können Sie Konsistenz gewährleisten und manuelle Fehler reduzieren.

Arbeiten Sie mit einem DMARC-Anbieter

Ein engagierter DMARC-Anbieter für Unternehmen bietet das Fachwissen und die Werkzeuge, um komplexe Implementierungen zu verwalten, SPF-Beschränkungen zu umgehen und Daten für Bedrohungsanalysen zu interpretieren.

Häufige Fallstricke und wie man sie vermeidet

Hier sind einige häufige Fallstricke, die es zu vermeiden gilt.

Die (un)berühmte SPF-Datensatzgrenze 

Ein SPF-Eintrag kann nicht mehr als 10 DNS-Suchvorgänge. Unternehmen, die viele Dienste von Drittanbietern nutzen, überschreiten diese Grenze häufig. Dies führt dazu, dass SPF fehlschlägt.

Um dieses Problem zu lösen, überprüfen Sie Ihren SPF-Eintrag, um überflüssige oder unnötige Einschlussmechanismen zu entfernen. Sie können ein SPF-Verflachungstool oder Makros verwenden, um automatisch unter der Grenze von 10 DNS-Lookups zu bleiben.

Falsch konfigurierte DKIM-Selektoren

Jeder Versanddienst sollte über einen eigenen eindeutigen DKIM-Selektor verfügen (z. B. selector1._domainkey.yourcompany.com). Wenn Sie doppelte Selektoren verwenden oder den richtigen öffentlichen Schlüssel nicht im DNS veröffentlichen, sollten Sie sich nicht wundern, wenn DKIM fehlschlägt.

Um dies zu verhindern, sollten Sie immer genau festhalten, welche Selektoren welchen Lieferanten zugeordnet sind. Verwenden Sie DKIM-Validierungstools um zu prüfen, ob Ihre DNS-Einträge korrekt sind.

Authentifizierung von Drittanbietern ignorieren

Wenn eine Marketing-Plattform nicht ordnungsgemäß mit DKIM konfiguriert und in Ihrem SPF-Eintrag enthalten ist, werden ihre E-Mails DMARC-Prüfungen nicht bestehen, sobald Sie zu p=reject wechseln.

Um dies zu vermeiden, führen Sie eine gründliche Erstprüfung durch und richten Sie einen formellen Prozess für die Einbindung neuer E-Mail-Versanddienstleister ein. Die Einhaltung der DMARC-Richtlinien sollte dabei ein obligatorischer Schritt sein.

PowerDMARC für den Einsatz auf Unternehmensebene

PowerDMARC ist eine gute Wahl für Unternehmen, weil:

  • Es ist skalierbar: PowerDMARC ist für hohe E-Mail-Volumen und zahlreiche Domänen ausgelegt, was es zu einer hervorragenden DMARC-Lösung für Unternehmen macht.
  • Es ist gut geordnet: PowerDMARC bietet ein zentrales, mandantenfähiges Dashboard. Dank dieser intuitiven Benutzeroberfläche können Sie Ihre E-Mail-Authentifizierung in einer einzigen "Dachplattform" anzeigen, überwachen und verwalten.
  • Es ist umfassend: Neben Enterprise DMARC bietet PowerDMARC auch Generatoren, Checker und gehostete Dienste für andere Protokolle. Dazu gehören SPF, DKIM, BIMI, MTA-STS und TLS-RPT.
  • Es ist smart: PowerDMARC nutzt die neueste und fortschrittlichste KI-gesteuerte Threat Intelligence Engine, um komplexe DMARC-Berichte zu analysieren, Probleme zu erkennen und Sicherheitslücken zu identifizieren.
  • Es ist unterstützend: PowerDMARC bietet einen professionellen 24/7-Kundendienst in mehr als einem Dutzend Sprachen, um einen reibungslosen und sicheren Betrieb zu gewährleisten.
  • Es ist einfach: Auf PowerDMARC stehen zahlreiche Lernressourcen und Anleitungen zur Verfügung, so dass auch Anfänger die Plattform mühelos nutzen können.
  • Es ist vertrauenswürdig: Große Unternehmen aus der ganzen Welt vertrauen PowerDMARC bei ihrer Arbeit. Basierend auf echten Benutzerbewertungen auf G2 wurde PowerDMARC als das Schnellstwachsendes DMARC-Software-Unternehmen des Jahres 2025.

Resümee 

Während kleine Unternehmen mit einer einfachen DMARC-Konfiguration auskommen, können sich große Unternehmen diesen "Luxus" nicht leisten. Große Organisationen benötigen eine erweiterte DMARC-Konfiguration, wie z. B. Subdomain-Richtlinien, eine strikte Ausrichtung und eine umfassende Berichterstattung. Aber die Investition lohnt sich auf jeden Fall: Sie werden bald feststellen, dass das Risiko von Markenimitationen sinkt, die Zustellbarkeit von E-Mails steigt und das Vertrauen von Kunden und Partnern wächst. 

Denken Sie daran, dass DMARC kein einmaliges Projekt ist, sondern ein kontinuierlicher Prozess der Überwachung und Anpassung, um mit der sich entwickelnden Bedrohungs- und Gesetzeslandschaft Schritt zu halten. Wenn Sie in irgendeiner Phase Ihrer fortgeschrittenen DMARC-Konfiguration Unterstützung benötigen, kontaktieren Sie PowerDMARC noch heute!

Häufig gestellte Fragen

Wie wahrscheinlich ist es, dass ein großes Unternehmen von einem BEC-Angriff betroffen ist?

Die größten Organisationen (mit mehr als 50.000 Mitarbeitern) haben eine fast 100%ige Chance mit mindestens einem BEC-Angriff pro Woche konfrontiert zu werden. Sie stellen das höchste Risiko unter allen Organisationen dar.

Wenn Sie sagen, dass große Unternehmen E-Mails aus verschiedenen Quellen versenden, was meinen Sie dann genau?

Das E-Mail-Postfach von Großunternehmen umfasst: 

  • Vor-Ort-Mailserver
  • Cloud-Anbieter (z. B. Google Workspace oder Microsoft 365)
  • Drittanbieter für Marketing 
  • Kundenbetreuung
  • Transaktions-E-Mails

Sollte ich p=none komplett vermeiden?

p=none kann in der ersten Überwachungsphase der DMARC-Implementierung sehr nützlich sein. Letztendlich benötigen Sie jedoch einen stärkeren Schutz wie p=quarantine und vorzugsweise p=reject.

Neueste Beiträge von Milena Baghdasaryan (alle anzeigen)
Zuletzt aktualisiert:
Die besten Domain-Sicherheitsmanagement-Lösungen zum Schutz Ihrer digitalen IdentitätBeste-Domain-Security-Management-Lösungen zum Schutz Ihrer digitalen IdentitätItaliens nationale Cybersicherheitsbehörde empfiehlt DMARC und E-Mail-Authentifizierung...