Da Phishing und E-Mail-basierte Angriffe immer beliebter werden, müssen Sie Ihre DMARC-Einstellungen konfigurieren, um Ihre Verteidigung gegen drohende Cyberangriffe zu stärken. Die Einrichtung des DMARC-Protokolls (Domain-based Message Authentication Reporting and Conformance) ist der erste Schritt, um die Konformität Ihrer E-Mails zu erreichen. Am schnellsten erreichen Sie dies, indem Sie einen DNS-Eintrag erstellen und ihn mit Hilfe Ihres Hosting-Anbieters veröffentlichen lassen.
So konfigurieren Sie DMARCzu konfigurieren, müssen Sie zunächst einen DMARC-Eintrag erstellen. So kompliziert es auch klingen mag, die Einrichtung von DMARC ist vergleichsweise einfach!
DMARC-Einrichtung erklärt
Eine DMARC-Einrichtung ist ein E-Mail-Authentifizierungsverfahren, das Unternehmen bei der Bekämpfung von E-Mail-Spoofing, Phishing und E-Mail-Betrug unterstützt. Um die Authentizität der E-Mail-Kommunikation zu überprüfen, arbeiten DMARC-Einstellungen mit anderen E-Mail-Authentifizierungssystemen wie SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail) zusammen.
Warum sollten Sie DMARC konfigurieren?
90 % der Phishing-Angriffe erfolgen über E-Mail, so dass eine E-Mail-Authentifizierung unerlässlich ist. Der Bericht des Internet Crime Complaint Center des FBI von 2020 (FBI IC3-Bericht 2020) berichtet, dass in den USA 28.500 Beschwerden über E-Mail-Angriffe eingegangen sind. Dies rückt DMARC sofort in den Vordergrund.
Wussten Sie schon?
- 75 % der Domains von Unternehmen aus aller Welt wurden im Jahr 2020 gefälscht, um Phishing-E-Mails an Opfer
- 74 % dieser Phishing-Kampagnen waren erfolgreich
- Die Häufigkeit von BEC ist seit letztem Jahr um 15% gestiegen
- IBM berichtet, dass jedes fünfte Unternehmen im letzten Jahr Datenverletzungen durch bösartige E-Mails erlitten hat
Prüfen Sie Ihre Domain gleich jetzt, um zu sehen, wie gut Sie gegen E-Mail-Betrug geschützt sind!
Anforderungen für eine DMARC-Einrichtung
Wenn Sie einen DMARC-Datensatz einrichten und sich dafür entscheiden, gibt es bestimmte Voraussetzungen, die Sie erfüllen müssen, bevor Sie mit der Implementierung beginnen.
- Sie benötigen Zugang zu Ihrer DNS-Verwaltungskonsole
- Stellen Sie sicher, dass Sie alle autorisierten E-Mail-Absender kennen
- Veröffentlichter SPF- und/oder DKIM-Eintrag in Ihrem DNS
Grundlegende Elemente für Ihre DMARC-Einrichtung: SPF- und DKIM-Abgleich
So konfigurieren Sie Ihre DMARC-Richtlinie zu konfigurieren, müssen Sie entweder Sender Policy Framework (SPF) oder DomainKeys Identified Mail (DKIM) oder beides implementieren.
SPF teilt Mailservern mit, welche IP-Adressen oder Sendequellen ausgehende Post von Ihrer Domäne senden dürfen. DKIM fügt ausgehenden E-Mails eine digitale Signatur hinzu, um Änderungen an den Nachrichten zu verhindern. Dadurch wird verhindert, dass Spam-Nachrichten und betrügerische E-Mails Ihre E-Mail-Clients erreichen, die sich bei Phishing-Betrügereien als Ihre Marke ausgeben.
Sie können Ihre Domänenausrichtung so konfigurieren, dass sie partielle Übereinstimmungen für Ihre SPF- und DKIM-Header-Felder mit der From: Domäne zulässt, oder Sie können sich für eine strengere Authentifizierung entscheiden, indem Sie stattdessen eine exakte Übereinstimmung wählen.
Wie richtet man DMARC ein? Eine Schritt-für-Schritt-Anleitung
Um mit der Einrichtung von DMARC DNS zu beginnen, folgen Sie den unten aufgeführten Schritten:
Schritt 1: Erstellen des DMARC-Eintrags
Sie beginnen mit der Erstellung eines DNS-Eintrags, der Ihre Richtlinie definiert und die Implementierung festlegt.
Um einen kostenlosen Datensatz zu erstellen, verwenden Sie unseren DMARC-Generator wie im Screenshot oben gezeigt. Sobald Sie den Bildschirm des Tools öffnen, müssen Sie einige Pflichtkriterien ausfüllen.
Schritt 2: Wählen Sie eine geeignete DMARC-Richtlinie für Ihre E-Mails
Das p= policy-Tag ist ein obligatorisches Tag, das in Ihrer DMARC-Einrichtung konfiguriert werden muss. Wenn Sie dies weglassen, wird Ihr Datensatz ungültig.
Das p= policy-Tag ist ein obligatorisches Tag, das in Ihrer DMARC-Einrichtung konfiguriert werden muss. Wenn Sie dies weglassen, wird Ihr Datensatz ungültig.
Um zu verhindern, dass Ihre E-Mails gefälscht werden, müssen Sie eine DMARC-Richtlinie von p=Quarantäne oder höher konfigurieren. Sie können jedoch auch eine "none"-Richtlinie wählen, wenn Sie Ihre E-Mails überwachen möchten, bevor Sie sich für eine vollständige Durchsetzung entscheiden.
Schritt 3: Aktivieren Sie die Berichterstattung und klicken Sie auf "Generieren".
Die übrigen Kriterien sind nicht obligatorisch. Wenn Sie jedoch Ausrichtungsflexibilitäten für DKIM und SPF einrichten oder DMARC-Berichte aktivieren möchten, können Sie dies tun. RUA- und RUF-Berichte können Ihnen dabei helfen, Ihren E-Mail-Verkehr und die Authentifizierungsergebnisse zu verfolgen, um Unstimmigkeiten schnell zu erkennen.
Klicken Sie abschließend auf die Schaltfläche "Generieren", um Ihre DMARC-Einstellungen abzuschließen und den Prozess der Erstellung Ihres Datensatzes zu beenden.
Schritt 4: Veröffentlichen und Validieren der Datensatzeinrichtung
Sobald Sie den TXT-Eintrag erstellt haben, verwenden Sie die Schaltfläche "Kopieren", um die Syntax direkt zu kopieren, und gehen Sie dann zu Ihrer DNS-Verwaltungskonsole. Fügen Sie den Eintrag in Ihr DNS ein, um Ihre DMARC-Einrichtung abzuschließen.
Lesen Sie unsere detaillierte Anleitung zur Veröffentlichung eines DMARC-Eintrag in Ihrem DNS zu veröffentlichen, um mehr zu erfahren.
Beispiel für die DMARC-Einrichtung
Hier ist ein Beispiel für eine typische DMARC-Einrichtung:
v=DMARC1; p=ablehnen; adkim=s; aspf=s; rua=mailto:mymail@domain.com; ruf=mailto:mymail@domain.com; pct=100; fo=0;
Hinweis: Zu Beginn Ihrer E-Mail-Authentifizierung können Sie Ihre DMARC-Richtlinie (p) auf "none" (keine) statt auf "reject" (zurückweisen) setzen, um Ihren E-Mail-Verkehr zu überwachen und Probleme zu lösen, bevor Sie zu einer strengen Richtlinie übergehen.
Entlarvung der Record-Syntax
Die Syntax Ihrer DMARC-Einrichtung ist der wichtigste Teil Ihrer Implementierung, da sie bestimmt, wie Ihre E-Mails authentifiziert werden und welche Maßnahmen nach der Verifizierung ergriffen werden. Lassen Sie uns einige der wichtigsten Mechanismen untersuchen:
- Das Feld "v" bestimmt die Protokollversion von DMARC, d.h. DMARC1
- Das Feld "p" ist das obligatorische DMARC-Richtlinienfeld, das auf "keine", "ablehnen" oder "unter Quarantäne stellen" gesetzt werden kann.
- Die Felder "rua" (aggregiertes Feedback) und "ruf" (forensische Berichte) sind DMARC-Berichtsoptionen, die den empfangenden ESPs dabei helfen, Feedback zu den an Ihre Empfänger gesendeten E-Mails zu geben, die an Ihre definierte E-Mail-Adresse oder Ihr spezielles Postfach gesendet werden.
Dies sind nur einige wenige Beispiele, weitere finden Sie in unserem ausführlichen Blog über DMARC-Tags.
Überprüfen Ihrer DMARC-Einrichtung
Nachdem Sie DMARC eingerichtet haben, müssen Sie Ihre Konfigurationen überprüfen, um sicherzustellen, dass das Protokoll gemäß Ihren Anforderungen funktioniert. Ohne angemessene Kontrollen und Überwachung kann die Authentifizierung Ihrer E-Mails sehr schwierig werden und zu falsch positiven Ergebnissen oder Fehlern führen, die sich auf die Leistung Ihrer E-Mail-Zustellung auswirken.
Um Ihre Einrichtung zu überprüfen, können Sie das DMARC-Checker-Tool von PowerDMARC kostenlos nutzen. Es ist ein sofortiges und effektives Tool zur Validierung Ihres DNS-TXT-Eintrags, das nicht nur den Status der Gültigkeit Ihres Eintrags anzeigt, sondern auch Fehler hervorhebt und Verbesserungen vorschlägt, um die Konformität schneller zu erreichen!
Zur Verwendung:
- Geben Sie Ihren Domänennamen in das Zielfeld ein (d. h. wenn die URL Ihrer Website https://company.com lautet Ihr Domänenname unternehmen.com)
- Klicken Sie auf die Schaltfläche "Nachschlagen".
- Sehen Sie sich Ihre Ergebnisse auf dem Bildschirm an
Wir empfehlen diese Verifizierungsmethode als Alternative zur manuellen Verifizierung, da sie schneller, genauer und unkomplizierter ist.
Können Sie DMARC ohne DKIM oder SPF einrichten?
Nein. Sie müssen eine der beiden Möglichkeiten konfigurieren, um sicherzustellen, dass Ihre E-Mails authentifiziert sind. Sie können auch beide einrichten, was für maximale Sicherheit empfohlen wird, aber das ist völlig optional.
Wir haben beide Ansätze in unserer Wissensdatenbank ausführlich behandelt.
Vorteile und Einsatzmöglichkeiten einer DMARC-Einrichtung
Eine DMARC-Einrichtung kann in den folgenden Situationen nützlich sein:
- So stellen Sie sicher, dass nur autorisierte Absender E-Mails im Namen Ihrer E-Mail-Domäne versenden dürfen
- So verhindern Sie E-Mail-Phishing- und Direct-Domain-Spoofing-Angriffe
- So sehen Sie die IP-Adressen oder Quellen, die E-Mails in Ihrem Namen versenden
- So verhindern Sie, dass Spam-Nachrichten Ihre Empfänger erreichen
- Verbesserung der E-Mail-Zustellbarkeit von legitimem E-Mail-Verkehr
Welche sind die besten DMARC-Einstellungen?
Die beste DMARC-Einstellung, wenn Sie einen maximalen Schutz gegen Angriffe per E-Mail wünschen, ist p=reject (wobei p der Mechanismus ist, mit dem Sie Ihre Aufzeichnungsrichtlinie festlegen). Die geeignete DMARC-Einstellung hängt von der gewünschten Durchsetzung ab (wie strikt die Empfänger E-Mails behandeln sollen, die DMARC nicht bestehen).
Für die reine Überwachung können Sie DMARC mit einer "Keine"-Richtlinie einrichten, während Sie "Quarantäne" konfigurieren können, wenn Sie nicht autorisierte E-Mails in Ihrem Quarantäne- oder Spam-Ordner überprüfen möchten, bevor Sie sie verwerfen oder akzeptieren.
Einsatz von DMARC zur Verhinderung von Domain-Spoofing
Wenn Sie DMARC konfigurieren möchten, um zu verhindern, dass Ihre Domain gefälscht wird, und um Phishing- und BEC-Angriffe abzuwehren, empfehlen wir Ihnen, bei der Erstellung Ihres DMARC-Eintrags das folgende Kriterium auszuwählen:
Setzen Sie Ihre DMARC-Richtlinie auf p=ablehnen
Was bedeutet das?
Wenn Sie die DMARC-Erzwingung in Ihrem Unternehmen konfigurieren, indem Sie die DMARC-Einstellungen "ablehnen" wählen, bedeutet dies, dass eine von Ihrer Domäne gesendete E-Mail, die die DMARC-Authentifizierung nicht bestanden hat, sofort vom empfangenden E-Mail-Server abgelehnt wird, anstatt im Posteingang des Empfängers zu landen.
Wie schaltet man DMARC aus?
Es ist wichtig zu bedenken, dass die Deaktivierung der E-Mail-Authentifizierung für Ihre Domänen nicht empfohlen oder empfohlen wird, da sie Ihre Domänen für eine Vielzahl von Cyberangriffen anfällig macht und Cyberkriminellen einen offenen Zugang bietet, um sich als Ihre Domäne auszugeben. Wenn Sie das Protokoll dennoch deaktivieren möchten, können Sie die folgenden Schritte ausführen:
- Zugriff auf die Verwaltungskonsole Ihrer DNS-Registrierungsstelle
- Navigieren Sie zum erweiterten DNS-Editor, um Ihre DNS-Einstellungen zu bearbeiten
- Suchen Sie die Domäne, für die Sie DMARC deaktivieren möchten
- Löschen des DMARC-TXT-Datensatzes
- Speichern Sie die Änderungen und warten Sie einige Zeit, bis die Änderungen übernommen werden.
Falls Sie keinen Zugang zur Konsole haben, können Sie sich auch an Ihre Domänenregistrierungsstelle wenden, die Ihnen beim Löschen des Eintrags hilft.
Wenn Sie den DNS-Eintrag für DMARC löschen, wird das Protokoll automatisch für die betreffende Domäne deaktiviert. Wenn Sie jedoch mehrere Domänen mit aktiviertem DMARC haben, müssen Sie die DNS-Einträge für die genannten Domänen manuell löschen, um sie für Ihr Unternehmen zu deaktivieren.
Einfaches Einrichten von DMARC mit PowerDMARC
Wenn Sie ein Konto erstellen auf PowerDMARC erstellen, übernehmen wir die Implementierung und Einrichtung des Protokolls für Sie. Außerdem verwalten und überwachen wir den Zustand Ihrer Domain und Ihrer E-Mails, analysieren Ihre aggregierten Berichte und organisieren Ihre Authentifizierungsergebnisse in einem speziellen Dashboard.
Wenn Sie sich die mühsame manuelle Einrichtung ersparen möchten, können Sie den Prozess automatisieren, indem Sie eine kostenlose 15-tägige Testversion bei uns anfordern. Um die Vorteile der E-Mail-Authentifizierung zu nutzen und DMARC so einzurichten, dass Ihre Domain effektiv geschützt wird, melden Sie sich bei DMARC-Analysator noch heute!
- SPF-Perror beheben: Überwindung der SPF-Grenze für zu viele DNS-Lookups - April 26, 2024
- Wie veröffentlicht man einen DMARC-Datensatz in 3 Schritten? - 2. April 2024
- Warum funktioniert DMARC nicht? Behebung von DMARC-Fehlern im Jahr 2024 - 2. April 2024