Beiträge

Mehrere DMARC-Einträge auf Ihrer Domain zu haben, ist ein absolutes No-No, und hier ist der Grund dafür! Wir wissen, dass die Implementierung von E-Mail-Authentifizierungsprotokollen wie DMARC für die Reputation und die Datensicherheit eines Unternehmens unerlässlich ist, und dazu müssen Domainbesitzer einen TXT-Eintrag in ihrem DNS veröffentlichen. Aber eine Frage, die in der Community immer wieder auftaucht, ist: "Kann ich mehrere DMARC-Einträge auf meiner Domain haben?" Die Antwort lautet: Nein. Mehrere DMARC-Datensätze auf derselben Domain können Ihren Datensatz ungültig machen, sodass die für Ihre Domain festgelegte DMARC-Authentifizierungsrichtlinie nicht mehr funktioniert.

Wie wird ein DMARC-Datensatz von MTAs verarbeitet?

Ein DMARC-Eintrag, der im DNS Ihrer Domain veröffentlicht wird, sieht etwa so aus:

TXT mydomain.com v=DMARC1; p=reject; rua=mailto:[email protected]

Wenn also eine Domain, für die DMARC konfiguriert ist, eine E-Mail sendet, holt der E-Mail-empfangende MTA alle TXT-Records ab, die mit v=DMARC1 beginnen. Der MTA fragt den DNS der sendenden Domain ab und kann dabei auf folgende Szenarien stoßen:

  1. Es findet einen einzelnen gültigen DMARC-Eintrag im DNS der Quelldomäne und verarbeitet die E-Mail gemäß den DMARC-Richtlinienvorgaben
  2. Es wird kein DMARC-Eintrag für die sendende Domain gefunden und die DMARC-Verarbeitung wird automatisch eingestellt, die E-Mail wird ohne Überprüfung der Quelle zugestellt
  3. Es werden mehrere DMARC-Datensätze auf derselben Domäne gefunden. In diesem Fall wird die DMARC-Verarbeitung ebenfalls abgebrochen und die angewendete Richtlinie kann nicht ausgeführt werden

Mehrere DMARC-Einträge: Wie kann man das beheben?

Wenn Sie DMARC für Ihre Domain konfigurieren und eine Richtlinie festlegen, möchten Sie, dass MTAs auf Ihre E-Mails in einer Weise antworten, die Ihren Absichten entspricht. Auf diese Weise kann DMARC Ihre Domain vor Impersonation und Spoofing schützen. Damit das konfigurierte Protokoll effektiv funktionieren kann, empfehlen wir die folgenden Schritte:

  • Stellen Sie sicher, dass Sie nicht mehrere DMARC-Einträge für Ihre Domain veröffentlicht haben
  • Stellen Sie sicher, dass Ihr DMARC-Datensatz keine Syntaxfehler enthält
  • Anstatt Ihren DMARC-Datensatz manuell zu erstellen, verwenden Sie zuverlässige Tools wie unserenkostenlosen DMARC-Datensatz-Generator, der diese Aufgabe für Sie übernimmt
  • Aktivieren Sie DMARC-Berichte für Ihre Domain, um den E-Mail-Verkehr und die Authentifizierungsergebnisse von Zeit zu Zeit zu überwachen, so dass Sie Zustellungsprobleme verfolgen und Maßnahmen gegen böswillige Sendequellen ergreifen können
  • Stellen Sie sicher, dass Sie unter dem SPF 10-Lookup-Limit bleiben, um ein fehlerhaftes Ergebnis zu vermeiden

Eine Alternative zu den verschiedenen Schritten, die Sie unternehmen können, um DMARC korrekt für Ihre Domain zu implementieren und mehrere DMARC-Einträge zu vermeiden, wäre, sich einfach bei unserem DMARC-Analysator anzumelden.

PowerDMARC übernimmt die meisten komplexen Aufgaben im Hintergrund, um Ihre E-Mail-Authentifizierung zu automatisieren und Konfigurationsfehler zu vermeiden, die zu Problemen bei der E-Mail-Zustellung führen können.

Die E-Mail-Authentifizierung ist ein wichtiger Aspekt der Arbeit eines E-Mail-Providers. E-Mail-Authentifizierung, auch bekannt als SPF und DKIM, überprüft die Identität eines E-Mail-Anbieters. DMARC ergänzt den Prozess der Verifizierung einer E-Mail, indem es prüft, ob eine E-Mail von einer legitimen Domain durch Abgleich gesendet wurde, und den empfangenden Servern vorgibt, wie auf Nachrichten zu reagieren ist, die die Authentifizierungsprüfung nicht bestehen. Heute werden wir die verschiedenen Szenarien besprechen, die Ihre Frage beantworten würden, warum DMARC fehlschlägt.

DMARC ist eine wichtige Aktivität in Ihrer E-Mail-Authentifizierungsrichtlinie, um zu verhindern, dass gefälschte "Spoofed"-E-Mails transaktionale Spam-Filter passieren. Aber es ist nur eine Säule eines umfassenden Anti-Spam-Programms und nicht alle DMARC-Berichte sind gleich. Einige geben Aufschluss über die genaue Aktion, die der Empfänger einer Nachricht durchgeführt hat, während andere nur angeben, ob eine Nachricht erfolgreich war oder nicht. Zu verstehen, warum eine Nachricht fehlgeschlagen ist, ist genauso wichtig wie zu wissen, ob sie es war. Der folgende Artikel erläutert die Gründe, aus denen Nachrichten die DMARC-Authentifizierungsprüfung nicht bestehen. Dies sind die häufigsten Gründe (von denen einige leicht behoben werden können), aus denen Nachrichten die DMARC-Authentifizierungsprüfungen nicht bestehen können.

Häufige Gründe, warum Nachrichten an DMARC scheitern können

Die Identifizierung, warum DMARC fehlschlägt, kann kompliziert sein. Ich werde jedoch einige typische Gründe und die Faktoren, die dazu beitragen, erläutern, damit Sie als Domain-Besitzer auf eine schnellere Behebung des Problems hinarbeiten können.

Fehler bei der DMARC-Ausrichtung

DMARC nutzt den Domain-Abgleich, um Ihre E-Mails zu authentifizieren. Das bedeutet, dass DMARC prüft, ob die in der Absenderadresse (im sichtbaren Header) genannte Domäne authentisch ist, indem sie mit der im verborgenen Return-path-Header (für SPF) und DKIM-Signatur-Header (für DKIM) genannten Domäne abgeglichen wird. Wenn beides übereinstimmt, besteht die E-Mail DMARC, andernfalls schlägt DMARC fehl.

Wenn Ihre E-Mails DMARC nicht bestehen, kann es sich also um einen Domain-Fehlalarm handeln. Das heißt, dass weder SPF- noch DKIM-Kennungen übereinstimmen und die E-Mail von einer nicht autorisierten Quelle zu stammen scheint. Dies ist jedoch nur einer der Gründe, warum DMARC fehlschlägt.

DMARC-Ausrichtungsmodus 

Ihr Protokollausrichtungsmodus spielt ebenfalls eine große Rolle dabei, ob Ihre Nachrichten DMARC passieren oder nicht. Sie können zwischen den folgenden Ausrichtungsmodi für die SPF-Authentifizierung wählen:

  • Entspannt: Dies bedeutet, dass wenn die Domain im Return-path-Header und die Domain im From-Header einfach organisatorisch übereinstimmen, auch dann SPF passieren wird.
  • Streng: Dies bedeutet, dass SPF nur dann erfolgreich ist, wenn die Domain im Return-path-Header und die Domain im From-Header exakt übereinstimmen.

Sie können zwischen den folgenden Ausrichtungsmodi für die DKIM-Authentifizierung wählen:

  • Entspannt: Dies bedeutet, dass, wenn die Domäne in der DKIM-Signatur und die Domäne im Absender-Header einfach organisatorisch übereinstimmen, auch dann DKIM passieren wird.
  • Streng: Dies bedeutet, dass DKIM nur dann erfolgreich ist, wenn die Domäne in der DKIM-Signatur und die Domäne im Von-Header exakt übereinstimmen.

Beachten Sie, dass für E-Mails, die die DMARC-Authentifizierung passieren, entweder SPF oder DKIM übereinstimmen müssen.  

Keine DKIM-Signatur einrichten 

Ein sehr häufiger Fall, in dem Ihr DMARC fehlschlägt, ist, dass Sie keine DKIM-Signatur für Ihre Domain angegeben haben. In solchen Fällen weist Ihr E-Mail-Austauschdienstanbieter Ihren ausgehenden E-Mails eine Standard-DKIM-Signatur zu, die nicht mit der Domäne in Ihrem Von-Header übereinstimmt. Der empfangende MTA kann die beiden Domänen nicht abgleichen und daher schlägt DKIM und DMARC für Ihre Nachricht fehl (wenn Ihre Nachrichten sowohl mit SPF als auch mit DKIM abgeglichen sind).

Keine Sendequellen zu Ihrem DNS hinzufügen 

Es ist wichtig zu beachten, dass, wenn Sie DMARC für Ihre Domain einrichten, die empfangenden MTAs DNS-Abfragen durchführen, um Ihre Sendequellen zu autorisieren. Das bedeutet, dass, wenn Sie nicht alle autorisierten Sendequellen im DNS Ihrer Domain aufgelistet haben, Ihre E-Mails DMARC für die Quellen, die nicht aufgelistet sind, nicht zustellen, da der Empfänger sie nicht in Ihrem DNS finden kann. Um sicherzustellen, dass Ihre legitimen E-Mails immer zugestellt werden, sollten Sie daher alle autorisierten E-Mail-Drittanbieter, die berechtigt sind, E-Mails im Namen Ihrer Domain zu versenden, in Ihrem DNS eintragen.

Im Falle einer E-Mail-Weiterleitung

Bei der E-Mail-Weiterleitung durchläuft die E-Mail einen Zwischenserver, bevor sie schließlich an den Empfangsserver zugestellt wird. Bei der E-Mail-Weiterleitung schlägt die SPF-Prüfung fehl, da die IP-Adresse des zwischengeschalteten Servers nicht mit der des sendenden Servers übereinstimmt, und diese neue IP-Adresse wird normalerweise nicht in den SPF-Eintrag des ursprünglichen Servers aufgenommen. Im Gegensatz dazu hat die Weiterleitung von E-Mails in der Regel keinen Einfluss auf die DKIM-E-Mail-Authentifizierung, es sei denn, der zwischengeschaltete Server oder die weiterleitende Instanz nimmt bestimmte Änderungen am Inhalt der Nachricht vor.

Da wir wissen, dass SPF bei der E-Mail-Weiterleitung unweigerlich versagt, wird die weitergeleitete E-Mail bei der DMARC-Authentifizierung als illegitim eingestuft, wenn die sendende Quelle DKIM-neutral ist und sich ausschließlich auf SPF zur Validierung verlässt. Um dieses Problem zu lösen, sollten Sie sich sofort für eine vollständige DMARC-Compliance in Ihrem Unternehmen entscheiden, indem Sie alle ausgehenden Nachrichten sowohl mit SPF als auch mit DKIM abgleichen und authentifizieren, denn damit eine E-Mail die DMARC-Authentifizierung besteht, muss die E-Mail entweder die SPF- oder die DKIM-Authentifizierung und den Abgleich bestehen.

Ihre Domain wird gespoofed

Wenn Sie Ihre DMARC-, SPF- und DKIM-Protokolle ordnungsgemäß für Ihre Domain konfiguriert haben, Ihre Richtlinien durchgesetzt sind und gültige fehlerfreie Datensätze vorliegen, und das Problem keiner der oben genannten Fälle ist, dann ist der wahrscheinlichste Grund, warum Ihre E-Mails DMARC nicht bestehen, dass Ihre Domain gespoofed oder gefälscht wird. Dies ist der Fall, wenn Imitatoren und Bedrohungsakteure versuchen, E-Mails zu versenden, die scheinbar von Ihrer Domain kommen, indem sie eine bösartige IP-Adresse verwenden.

Aktuelle E-Mail-Betrugsstatistiken haben ergeben, dass E-Mail-Spoofing-Fälle inletzter Zeit zunehmen und eine sehr große Bedrohung für den Ruf Ihres Unternehmens darstellen. In solchen Fällen, wenn Sie DMARC auf einer Ablehnungsrichtlinie implementiert haben, wird diese fehlschlagen und die gefälschte E-Mail wird nicht in den Posteingang des Empfängers zugestellt. Daher kann Domain-Spoofing die Antwort darauf sein, warum DMARC in den meisten Fällen fehlschlägt.

Wir empfehlen Ihnen, sich bei unserem kostenlosen DMARC Analyzer anzumelden und mit dem DMARC Reporting und Monitoring zu beginnen.

  • Mit einer "none"-Richtlinie können Sie Ihre Domain mit DMARC (RUA) Aggregate Reports überwachen und Ihre ein- und ausgehenden E-Mails genau im Auge behalten, was Ihnen hilft, auf unerwünschte Zustellungsprobleme zu reagieren
  • Danach helfen wir Ihnen bei der Umstellung auf eine durchgesetzte Richtlinie, die Ihnen letztendlich dabei hilft, Immunität gegen Domain-Spoofing und Phishing-Angriffe zu erlangen
  • Mit Hilfe unserer Threat Intelligence-Engine können Sie bösartige IP-Adressen notieren und direkt von der PowerDMARC-Plattform aus melden, um zukünftigen Impersonation-Angriffen zu entgehen
  • Die DMARC (RUF) Forensic Reports von PowerDMARC helfen Ihnen, detaillierte Informationen über Fälle zu erhalten, in denen Ihre E-Mails DMARC nicht bestanden haben, so dass Sie dem Problem auf den Grund gehen und es beheben können

Verhindern Sie Domain-Spoofing und überwachen Sie Ihren E-Mail-Verkehr mit PowerDMARC, noch heute!