DMARC (Domain-based Message Authentication, Reporting and Conformance) ist ein technisches Protokoll zur Authentifizierung von ausgehenden Nachrichten. DMARC dient als erste Verteidigungslinie gegen eine Vielzahl von E-Mail-basierten Bedrohungen, einschließlich Phishing und Spoofing.
Unter DMARC zu konfigurierenzu konfigurieren, müssen Sie einen DMARC-Eintrag erstellen. Der erstellte DMARC-Eintrag ist ein TXT-Eintrag, der dann in Ihrem DNS veröffentlicht wird. Damit wird der Prozess der E-Mail-Authentifizierung in Gang gesetzt. Durch die Einrichtung eines DMARC-Eintrags können Domänenbesitzer den Empfängern mitteilen, wie sie auf E-Mails reagieren sollen, die von nicht autorisierten oder illegitimen Quellen stammen.
Wichtigste Erkenntnisse
- Ein DMARC-Eintrag ist ein DNS-TXT-Eintrag, der die Authentifizierung ausgehender E-Mails unterstützt und Spoofing- und Phishing-Angriffe verhindert.
- Die Wahl der richtigen DMARC-Richtlinie ist für die Kontrolle des Umgangs mit nicht autorisierten E-Mails von entscheidender Bedeutung.
- Um DMARC zu implementieren, muss der Eintrag im Domain Name System (DNS) mit Hilfe von Tools wie cPanel, GoDaddy oder Cloudflare veröffentlicht werden.
- Auch Domänen, die nicht aktiv E-Mails versenden, sollten einen restriktiven DMARC-Eintrag haben, insbesondere "p=reject", um möglichen Missbrauch zu verhindern.
- Um optimale Ergebnisse zu erzielen, wird empfohlen, einen einzigen DMARC-Eintrag pro Domäne zu pflegen und die Durchsetzung schrittweise zu implementieren, um Probleme bei der E-Mail-Zustellung zu vermeiden.
- Lösungen wie PowerDMARC automatisieren die Verwaltung von DMARC-Datensätzen und vereinfachen die Überwachung durch den Einsatz von KI-gesteuerter Bedrohungserkennung.
Was ist ein DMARC-Datensatz?
Ein DMARC-Eintrag ist ein DNS-TXT-Eintrag, der angibt, wie E-Mail-Server Nachrichten behandeln sollen, die Authentifizierungsprüfungen (SPF und DKIM) nicht bestehen. Er hilft Domänenbesitzern, E-Mail-Spoofing und Phishing zu verhindern, indem er Empfängerserver anweist, nicht autorisierte E-Mails abzulehnen, in Quarantäne zu stellen oder zuzulassen.
Hauptbestandteile eines DMARC-Eintrags
1. DMARC-Richtlinien-Modi
Die DMARC-Richtlinie legt fest, wie die Empfänger E-Mails behandeln sollen, die die DMARC-Authentifizierung nicht bestehen. Sie wird mit "p" bezeichnet. Sie kann einen der folgenden drei Werte annehmen:
- p=keine: Um keine Maßnahmen gegen nicht autorisierte E-Mails zu ergreifen.
- p=Quarantäne: Zur Kennzeichnung verdächtiger E-Mails.
- p=Ablehnen: Um nicht autorisierte E-Mails zurückzuweisen, bevor sie Ihre Empfänger erreichen.
2. DMARC-Berichtsoptionen
- Aggregierte Berichte (rua=): Hierbei handelt es sich um zusammenfassende Berichte, die an die angegebene E-Mail-Adresse gesendet werden und die Authentifizierungsergebnisse für alle E-Mails von der Domäne anzeigen.
- Forensische Berichte (ruf=): Dies sind detaillierte Fehlerberichte, die gesendet werden, wenn eine E-Mail die DMARC-Authentifizierung nicht bestanden hat.
3. DMARC-Ausrichtungsmodi
- SPF-Ausrichtung (aspf=): Bestimmt, ob die Domäne des Absenders in der From: Kopfzeile mit dem SPF-Eintrag übereinstimmt. Es besteht die Möglichkeit, entweder eine strikte (s) Ausrichtung für eine exakte Übereinstimmung oder eine entspannte (r) Ausrichtung für eine organisatorische Übereinstimmung zu wählen.
- DKIM-Ausrichtung (adkim=): Legt fest, ob die DKIM-Signaturdomäne mit der Domäne im From: Header übereinstimmt. Es besteht die Möglichkeit, entweder eine strikte (s) Ausrichtung für eine exakte Übereinstimmung oder eine entspannte (r) Ausrichtung für eine organisatorische Übereinstimmung zu wählen.
Wie erstellt man einen DMARC-Eintrag?
Um einen DMARC-DNS-Eintrag für Ihre Domäne zu erstellen, stellen Sie sicher, dass Sie ihn haben:
a) ein zuverlässiges Instrument zur Erstellung des Datensatzes
b) Zugang zu Ihrer DNS-Verwaltungskonsole, um den Eintrag zu veröffentlichen
Folgen Sie den nachstehenden Schritten, um Ihren Datensatz zu erstellen:
1. Erzeugen Sie Ihren DMARC-Datensatz
Registrieren Sie sich für den Zugang zu unserem Portal mit einer E-Mail-Adresse oder melden Sie sich mit Gmail/Büro 365. Gehen Sie zu Analysis Tools > PowerToolbox > DMARC Record Generator, um mit der Erstellung Ihres DMARC-Datensatzes zu beginnen.
3. Definieren Sie eine DMARC-Richtlinie für Ihren DMARC-Eintrag
Entscheiden Sie sich für eine DMARC-Richtlinie abhängig von der gewünschten Durchsetzungsstufe (keine, Quarantäne oder Ablehnung). So wählen Sie Ihre DMARC-Datensatz-Richtlinie aus:
- Wenn Sie nicht möchten, dass gegen unerwünschte E-Mails, die von Ihrer Domain gesendet werden, vorgegangen wird, wählen Sie "keine".
- Wenn Sie E-Mails, die DMARC nicht bestehen, unter Quarantäne stellen möchten, wählen Sie "Quarantäne".
- Wenn Sie E-Mails ablehnen oder verwerfen möchten, die die Authentifizierung nicht bestehen, was Spoofing- und Phishing-Angriffe minimieren kann, wählen Sie "Ablehnen".
3. Konfigurieren Sie die empfohlenen optionalen Felder des DMARC-Datensatzes
Obwohl nicht alle Felder obligatorisch sind, empfehlen wir Ihnen, einige nützliche optionale Felder in Ihrem DMARC-Datensatz zu konfigurieren. Lassen Sie uns herausfinden, welche das sind:
- Aggregat (rua) Berichtsfeld: Wenn Sie das rua-Feld konfigurieren, erhalten Sie DMARC-Authentifizierungsdaten direkt an Ihre E-Mail-Adresse.
- Forensisches (ruf) Berichtsfeld: Gewinnen Sie Einblicke in forensische Vorfälle wie Cyberangriffe, indem Sie das ruf-Feld in Ihrem DMARC-Datensatz konfigurieren.
- DKIM/SPF-Ausrichtungsmodi" Wählen Sie aus, ob Sie sich für eine lockere oder eine strenge Ausrichtung für SPF und/oder DKIM entscheiden möchten.
Wie veröffentlicht man einen DMARC-Datensatz?
Um einen DMARC-Datensatz zu veröffentlichen, müssen einige Voraussetzungen erfüllt sein:
- Sie müssen Zugang zu Ihrer DNS-Verwaltungskonsole haben
- Sie müssen die Berechtigung haben, DNS-Einträge für Ihre Domäne zu bearbeiten und neue hinzuzufügen
Veröffentlichung Ihres DMARC-Datensatzes mit cPanel
1. Greifen Sie auf Ihre cPanel DNS-Verwaltungskonsole zu
2. Klicken Sie unter dem Abschnitt Domains auf DNS Zone Editor oder Advanced Zone Editor
3. Fügen Sie einen DMARC-Datensatz des Typs TXT (tex) hinzu und geben Sie die Details wie unten gezeigt ein. In das Feld "TXT-Daten" oder "Wert" müssen Sie Ihren zuvor erstellten DMARC-Eintrag einfügen.
Veröffentlichung eines DMARC-Datensatzes mit Godaddy
- Melden Sie sich bei Ihrem GoDaddy Domain Portfolio an, um auf die DNS-Zone zuzugreifen
- Suchen Sie unter Domainname Ihre E-Mail-Versanddomain und wählen Sie sie aus.
- Klicken Sie unter Ihrem Domänennamen auf DNS
- Wählen Sie nun Neuen Datensatz hinzufügen und beginnen Sie mit der Veröffentlichung Ihres Datensatzes mit den folgenden Details:
Typ: TXT
Name: _dmarc
Wert: Fügen Sie den Wert Ihres DMARC-Eintrags ein.
Veröffentlichung eines DMARC-Eintrags mit Cloudflare
- Melden Sie sich bei Ihrem Cloudflare-Konto an.
- Wählen Sie das gewünschte Konto und die Domäne aus.
- Navigieren Sie zu DNS und klicken Sie auf Eintrag hinzufügen
- Fügen Sie den generierten DMARC-Datensatz in den Abschnitt Datensatz hinzufügen ein, wie im folgenden Beispiel:
Überprüfen Ihres DMARC-Datensatzes
So überprüfen Sie Ihren DMARC-Datensatz und vermeiden die häufige "Kein DMARC-Eintrag gefunden" zu vermeiden, können Sie unser kostenloses Verifizierungstool verwenden.
1. Melden Sie sich kostenlos an und navigieren Sie zu Analysis Tools > PowerToolbox > DMARC Record Checker
2. Überprüfen Sie den Status, die Syntax und die Tags Ihres DMARC-Datensatzes, um eventuelle Fehler aufzudecken
Häufige DMARC-Datensatz-Fehler
| Status | Was es bedeutet | Was können Sie tun? |
|---|---|---|
| Gültig | Ihr DMARC-Datensatz ist korrekt und frei von Fehlern | Nichts tun |
| Ungültig | Ihr DMARC-Datensatz ist fehlerhaft. Dies kann auf eine unvollständige oder fehlerhafte Syntax zurückzuführen sein. | Überprüfen Sie Ihre Syntax, lesen Sie unseren vollständigen Leitfaden zu DMARC-Tags, oder wenden Sie sich an uns, wenn Sie Hilfe von Experten benötigen. |
| Kein Datensatz gefunden | In Ihrem DNS war kein DMARC-Eintrag vorhanden. | Erstellen Sie einen DMARC-Eintrag für Ihre Domäne und veröffentlichen Sie ihn in Ihrem DNS. |
Sobald Sie Fehler in Ihrem Eintrag entdecken, müssen Sie die notwendigen Änderungen an Ihrem DNS vornehmen und die Änderungen speichern. Sie können Ihren Eintrag erneut überprüfen, sobald die Änderungen verarbeitet sind.
DMARC-Eintrag für nicht sendende Domains
Die meisten Menschen beschränken sich auf die Sicherung ihrer aktiven Domänen, aber sie wissen nicht, dass Angreifer auch Ihre nicht sendenden Domänen fälschen können, um in Ihrem Namen gefälschte E-Mails zu versenden! Um dies zu verhindern, sollten Sie folgende Schritte durchführen DMARC für Ihre nicht sendenden Domains:
- Veröffentlichen Sie einen nicht-permissiven DMARC-Eintrag: Beginnen Sie mit der Veröffentlichung eines DMARC-Eintrags für die inaktive Domäne mit einer erzwungenen Richtlinie wie p=reject.
- Berichte ignorieren: Da die Domäne keine E-Mails versendet, ist es nicht notwendig, RUA- oder RUF-Berichte für sie einzurichten.
- Veröffentlichen Sie einen restriktiven SPF-Eintrag: Stellen Sie v=spf1 -all ein, um den E-Mail-Versand zu verhindern.
- Deaktivieren Sie integrierte E-Mail-Dienste: Wenn die Domain noch mit externen E-Mail-Servern verbunden ist, kann es sinnvoll sein, diese einzuschränken, wenn die Domain nicht mehr genutzt wird.
Konsequenzen der Nichtabsicherung Ihrer inaktiven Domains
Wenn Sie DMARC für Ihre nicht sendenden Domänen nicht implementieren, kann dies verschiedene Folgen haben, z. B:
- Erhöhtes Risiko von Spoofing- und Phishing-Angriffen
- Schädigung des Rufs der Marke und der Domäne
- Domain-Missbrauch, der über einen längeren Zeitraum unbemerkt bleibt
Ein DMARC-Eintrag pro Domäne
Bei der Konfiguration Ihres DMARC-Datensatzes ist es wichtig, einen einzigen Eintrag pro Domain zu veröffentlichen. Mehrere DMARC-Einträge für eine einzige Domäne können zu Konflikten und ungerechtfertigten Authentifizierungsfehlern führen!
Warum mehrere DMARC-Datensätze ein Problem sind
- Fehler bei der E-Mail-Authentifizierung: E-Mail-Empfänger wissen möglicherweise nicht, welchem DMARC-Eintrag sie folgen sollen.
- Fehlkonfigurationen und Inkonsistenzen: Widersprüchliche Richtlinien (z. B. ein Datensatz mit p=none und ein anderer mit p=reject) führen zu einer unvorhersehbaren Durchsetzung.
- Ungenaue Berichterstattung: DMARC-Berichte können unvollständig oder unzuverlässig sein.
Best Practices für die korrekte DMARC-Implementierung
Um eine korrekte Konfiguration des DMARC-Datensatzes zu gewährleisten, sind hier die besten Praktiken für die Implementierung aufgeführt:
- Veröffentlichen Sie einen einzigen DMARC-Eintrag pro Domäne.
- Vermeiden Sie die Konfiguration der DMARC sp Tag, es sei denn, Sie möchten, dass für Ihre Subdomänen eine andere Richtlinie gilt.
- Verwenden Sie ein DMARC-Überprüfungstool um Ihren Datensatz nach der Veröffentlichung zu validieren.
- Überwachen Sie Ihre DMARC-Berichte regelmäßig, um sicherzustellen, dass verdächtige Aktivitäten nicht unbemerkt bleiben.
Nächste Schritte nach der Veröffentlichung eines DMARC-Datensatzes
Nachdem Sie Ihren DMARC-Eintrag veröffentlicht haben, sollten Sie sich im nächsten Schritt darauf konzentrieren, Ihre Domäne vor Betrügern und Nachahmern zu schützen. Das ist Ihre Hauptaufgabe, wenn Sie Sicherheitsprotokolle und E-Mail-Authentifizierungsdienste implementieren.
Die einfache Veröffentlichung eines DMARC-Eintrags mit einer p=none-Richtlinie bietet keinen Schutz vor Domain-Spoofing-Angriffen und E-Mail-Betrug. Hierfür müssen Sie auf DMARC-Durchsetzung.
Bei der Umstellung auf die DMARC-Durchsetzung ist ein schrittweises Vorgehen die beste Lösung, um optimale Ergebnisse ohne negative Auswirkungen auf Ihre Zustellbarkeit zu erzielen. Hier ist ein schrittweiser Prozess, dem Sie folgen können:
- Beginnen Sie mit einer p=none-Richtlinie, die Ihren Überwachungsmodus darstellt.
- Aktivieren Sie die DMARC-Berichterstellung für Ihre Domain, um Ihren E-Mail-Verkehr und die Zustellbarkeit zu analysieren.
- Gehen Sie in Quarantäne, halten Sie pct (percentage) bei 10 und erhöhen Sie es schrittweise auf 100% über einen Zeitraum von einigen Wochen.
- Sobald Sie mit Ihrer Einrichtung zufrieden sind, gehen Sie zu p=reject über, wobei Sie pct auf dem niedrigsten Prozentsatz belassen und dann schrittweise bis zur vollen Durchsetzung für 100 % Ihres Postvolumens erhöhen.
Wie PowerDMARC die DMARC-Datensatzverwaltung vereinfacht
Für Unternehmen, die mehrere Domains betreiben, oder einfach nur diejenigen, die sich nicht mit der mühsamen manuellen Konfiguration und Pflege von DMARC-Datensätzen herumschlagen wollen, gibt es PowerDMARC. Eine einfache und kundenfreundliche Lösung, die die Verwaltung von DMARC-Datensätzen unter einem einzigen Dach automatisiert. PowerDMARC basiert auf KI-gesteuerter Threat Intelligence-Technologie und detaillierten Berichten und hat bereits über 2000 Kunden auf der ganzen Welt geholfen, ihre DMARC-Reise zu vereinfachen.
Um loszulegen, nehmen Sie eine kostenlose 15-Tage-Testversion der Plattform noch heute!
DMARC-Datensatz-FAQs
1. Warum brauche ich einen DMARC-Eintrag?
DMARC-Datensätze tragen dazu bei, Domänen-Impersonationen zu verhindern und damit das Risiko verschiedener E-Mail-basierter Bedrohungen wie Phishing, Spoofing und Ransomware-Angriffe zu verringern. Ohne einen DMARC-Eintrag ist Ihre Domain einem höheren Risiko ausgesetzt, von Bedrohungsakteuren gefährdet oder missbraucht zu werden.
2. Was sind häufige DMARC-Datensatzfehler?
Einige häufige DMARC-Fehlkonfigurationen sind:
- Mehrere DMARC-Einträge zu haben, da eine Domäne nur einen DMARC-Eintrag haben kann.
- Syntaxfehler wie falsche Formatierung (z. B. fehlende Semikolons oder Leerzeichen).
- Ungültige Richtlinienwerte wie die Verwendung falscher Tags wie p=rejected statt p=reject.
- Fehlerhafte E-Mail-Berichtsadressen, wie z. B. falsche rua- oder ruf-E-Mail-Adressen, führen zu nicht zugestellten Berichten.
3. Kann ich mehrere DMARC-Einträge für eine einzige Domäne haben?
Nein, eine Domäne kann nur einen DMARC-Eintrag haben. Wenn mehrere Einträge vorhanden sind, können E-Mail-Anbieter die Konfiguration ignorieren, was zu Authentifizierungsfehlern und Sicherheitslücken führt.
4. Wie lange dauert es, bis sich ein DMARC-Eintrag verbreitet?
Die Verbreitungszeit von DMARC-Einträgen variiert je nach DNS-Caching und TTL (Time-to-Live)-Einstellungen zwischen einigen Minuten und bis zu 48 Stunden.
5. Was passiert, wenn mein DMARC-Eintrag ungültig ist?
Ein ungültiger DMARC-Datensatz kann zu einer Reihe von Problemen führen, z. B. zu fehlgeschlagenen Authentifizierungsversuchen oder -prüfungen und zu Problemen bei der Zustellbarkeit von E-Mails.
6. Was passiert, wenn die Domäne keinen DMARC-Eintrag veröffentlicht hat?
Wenn Sie ein Massenversender mit einem unveröffentlichten DMARC-Eintrag sind, werden Sie beim Senden von Nachrichten an Google und Yahoo Posteingänge. Außerdem kann Ihre Domäne zu einem Hauptziel für Angreifer werden, da es keine Einschränkungen für das Spoofing gibt.
- Erstellen und Veröffentlichen eines DMARC-Datensatzes - 3. März 2025
- Behebung von "Kein SPF-Eintrag gefunden" im Jahr 2025 - 21. Januar 2025
- Wie man einen DMARC-Bericht liest - 19. Januar 2025