Domänenbesitzer machen oft den Fehler, anzunehmen, dass ihre E-Mail-Authentifizierung mit der Durchsetzung endet. Was sie nicht wissen, ist, dass das Leben nach p=reject eine wichtige Phase ist, die die Gesamtstärke der E-Mail-Sicherheitslage ihrer Domain bestimmt. Für einen kontinuierlichen Schutz vor Spoofing- und Phishing-Angriffen ist es unerlässlich, eine E-Mail-Sicherheitsstrategie zu formulieren, die erst nach dem Erreichen der Durchsetzung beginnt.
Was bedeutet P=Ablehnen?
Die DMARC-Richtlinie hat 3 definitive Durchsetzungsmodi, die man einsetzen kann, und zwar
- p=keine (keine Aktion)
- p=quarantine (stellt E-Mails, die DMARC nicht bestehen, unter Quarantäne)
- p=reject (weist E-Mails im Falle eines DMARC-Fehler)
Ablehnen ist die maximale Durchsetzungsrichtlinie für DMARC und hilft Domäneninhabern, gefälschte oder Phishing-E-Mails zu blockieren, bevor sie den Posteingang des Kunden erreichen. Diejenigen, die DMARC nutzen möchten, um ihre Domains gegen E-Mail-basierte Angriffsvektoren zu schützen, könnten p=reject als geeigneten Richtlinienmodus betrachten.
Wie erreicht man den Modus P=Ablehnen?
Häufig versuchen Domäneninhaber, ihre Protokolle im Eiltempo einzuführen, und erwarten, dass sie so schnell wie möglich durchgesetzt werden können. Dies ist jedoch nicht empfehlenswert. Lassen Sie uns erklären, warum:
Risiken im Zusammenhang mit DMARC bei Ablehnung
- Eine sehr schnelle Umstellung auf die Durchsetzung kann zu Problemen bei der Zustellbarkeit von E-Mails führen
- Es kann zum Verlust von legitimen E-Mail-Nachrichten führen
- Es kann zu DMARC-Fehlern bei E-Mails führen, die außerhalb Ihrer eigenen Domäne gesendet werden.
Was ist die empfohlene Vorgehensweise?
Auch wenn die Ablehnungsrichtlinie eine Reihe von Warnungen und Haftungsausschlüssen mit sich bringt, ist ihre Wirksamkeit bei der Verhinderung einer Vielzahl von E-Mail-Betrugsangriffen unbestreitbar. Lassen Sie uns nun erkunden, wie Sie sicher zur Ablehnung übergehen können:
- Start mit p=none
Anstatt mit einer erzwungenen Richtlinie zu beginnen, wird dringend empfohlen, mit etwas zu beginnen, das mehr Flexibilität und Freiheit bietet: und genau das tut p=none. Diese Richtlinie bietet zwar nicht viel Schutz, kann aber als hervorragendes Überwachungsinstrument bei der Umsetzung helfen.
- DMARC-Berichterstattung aktivieren
Die Überwachung Ihrer E-Mail-Kanäle kann Ihnen helfen, unerwünschte Zustellungsfehler aufgrund falsch konfigurierter Protokolle zu vermeiden. So können Sie Fehler visualisieren und erkennen und sie schneller beheben.
DMARC-Berichte können Ihnen dabei helfen, die Wirksamkeit Ihrer E-Mail-Authentifizierungsrichtlinie zu ermitteln.
Auch wenn die E-Mail-Authentifizierung kein Allheilmittel ist, kann sie doch ein wirksames Instrument in Ihrem Sicherheitsarsenal sein. Anhand der DMARC-Berichterstattung können Sie erkennen, ob Ihre Bemühungen erfolgreich sind und wo Sie Ihre Strategie möglicherweise anpassen müssen.
Es gibt 2 Arten von Berichten:
- Aggregate (RUA) wurde entwickelt, um Ihnen zu helfen, Ihre E-Mail-Versandquellen, die IP-Adressen der Absender, die Organisationsdomänen und die geografischen Standorte zu verfolgen.
- Forensic (RUF) ist so konzipiert, dass es bei einem forensischen Ereignis (z. B. Spoofing) als Vorfallwarnbericht funktioniert.
- Konfigurieren Sie sowohl SPF als auch DKIM zusammen mit DMARC
Zu viele Köche verderben nicht den Brei, wenn es um die Implementierung von DMARC geht. Sicherheitsexperten empfehlen vielmehr, DMARC mit SPF und DKIM zu kombinieren, um den Schutz zu verbessern und die Möglichkeit von Fehlalarmen zu vermeiden. Dies kann auch unerwünschte DMARC-Fehlschläge verhindern.
DMARC benötigt entweder SPF oder DKIM um die Authentifizierung zu bestehen.
Dies spielt eine entscheidende Rolle bei der sicheren Implementierung einer Ablehnungsrichtlinie, die sicherstellt, dass selbst wenn SPF fehlschlägt und DKIM angenommen wird oder umgekehrt, MARC für die beabsichtigte Nachricht angenommen wird.
- Geben Sie alle Ihre Sendequellen an
Das Fehlen von Sendequellen in Ihrem SPF-Eintrag kann besonders schädlich sein, wenn Sie versuchen, unerwünschte DMARC-Fehler zu vermeiden. Es ist wichtig, eine Liste all Ihrer E-Mail-Sendequellen zu erstellen (dazu gehören auch E-Mail-Drittanbieter und Dienstleister wie Gmail, Microsoft O365, Yahoo Mail, Zoho usw.)
Dies ist besonders wichtig, wenn Sie SPF nur in Kombination mit DMARC verwenden. Jedes Mal, wenn Sie eine Sendequelle hinzufügen oder entfernen, muss Ihr SPF-Eintrag die gleichen Änderungen widerspiegeln.
Ihr Leben nach p=reject zusammenfassen
Die Überwachung Ihrer E-Mail-Authentifizierungsprotokolle ist ein wesentlicher Bestandteil des Lebens nach p=reject. Sie stellt nicht nur sicher, dass die Wirksamkeit Ihrer Sicherheitsmaßnahmen aufrechterhalten wird, sondern gibt Ihnen auch einen tieferen Einblick in deren Funktionen, um festzustellen, was für Sie am besten funktioniert. A DMARC-Analysator hilft Ihnen, den Übergang von p=none zu reject reibungsloser zu gestalten, Zustellbarkeitsprobleme zu vermeiden, Ihre E-Mail-Kanäle zu überwachen, Protokollrichtlinien zu aktualisieren und Probleme auf einer einzigen Plattform zu beheben, und zwar ganz einfach.
