Beiträge

Mehrere DMARC-Einträge auf Ihrer Domain zu haben, ist ein absolutes No-No, und hier ist der Grund dafür! Wir wissen, dass die Implementierung von E-Mail-Authentifizierungsprotokollen wie DMARC für die Reputation und die Datensicherheit eines Unternehmens unerlässlich ist, und dazu müssen Domainbesitzer einen TXT-Eintrag in ihrem DNS veröffentlichen. Aber eine Frage, die in der Community immer wieder auftaucht, ist: "Kann ich mehrere DMARC-Einträge auf meiner Domain haben?" Die Antwort lautet: Nein. Mehrere DMARC-Datensätze auf derselben Domain können Ihren Datensatz ungültig machen, sodass die für Ihre Domain festgelegte DMARC-Authentifizierungsrichtlinie nicht mehr funktioniert.

Wie wird ein DMARC-Datensatz von MTAs verarbeitet?

Ein DMARC-Eintrag, der im DNS Ihrer Domain veröffentlicht wird, sieht etwa so aus:

TXT mydomain.com v=DMARC1; p=reject; rua=mailto:[email protected]

Wenn also eine Domain, für die DMARC konfiguriert ist, eine E-Mail sendet, holt der E-Mail-empfangende MTA alle TXT-Records ab, die mit v=DMARC1 beginnen. Der MTA fragt den DNS der sendenden Domain ab und kann dabei auf folgende Szenarien stoßen:

  1. Es findet einen einzelnen gültigen DMARC-Eintrag im DNS der Quelldomäne und verarbeitet die E-Mail gemäß den DMARC-Richtlinienvorgaben
  2. Es wird kein DMARC-Eintrag für die sendende Domain gefunden und die DMARC-Verarbeitung wird automatisch eingestellt, die E-Mail wird ohne Überprüfung der Quelle zugestellt
  3. Es werden mehrere DMARC-Datensätze auf derselben Domäne gefunden. In diesem Fall wird die DMARC-Verarbeitung ebenfalls abgebrochen und die angewendete Richtlinie kann nicht ausgeführt werden

Mehrere DMARC-Einträge: Wie kann man das beheben?

Wenn Sie DMARC für Ihre Domain konfigurieren und eine Richtlinie festlegen, möchten Sie, dass MTAs auf Ihre E-Mails in einer Weise antworten, die Ihren Absichten entspricht. Auf diese Weise kann DMARC Ihre Domain vor Impersonation und Spoofing schützen. Damit das konfigurierte Protokoll effektiv funktionieren kann, empfehlen wir die folgenden Schritte:

  • Stellen Sie sicher, dass Sie nicht mehrere DMARC-Einträge für Ihre Domain veröffentlicht haben
  • Stellen Sie sicher, dass Ihr DMARC-Datensatz keine Syntaxfehler enthält
  • Anstatt Ihren DMARC-Datensatz manuell zu erstellen, verwenden Sie zuverlässige Tools wie unserenkostenlosen DMARC-Datensatz-Generator, der diese Aufgabe für Sie übernimmt
  • Aktivieren Sie DMARC-Berichte für Ihre Domain, um den E-Mail-Verkehr und die Authentifizierungsergebnisse von Zeit zu Zeit zu überwachen, so dass Sie Zustellungsprobleme verfolgen und Maßnahmen gegen böswillige Sendequellen ergreifen können
  • Stellen Sie sicher, dass Sie unter dem SPF 10-Lookup-Limit bleiben, um ein fehlerhaftes Ergebnis zu vermeiden

Eine Alternative zu den verschiedenen Schritten, die Sie unternehmen können, um DMARC korrekt für Ihre Domain zu implementieren und mehrere DMARC-Einträge zu vermeiden, wäre, sich einfach bei unserem DMARC-Analysator anzumelden.

PowerDMARC übernimmt die meisten komplexen Aufgaben im Hintergrund, um Ihre E-Mail-Authentifizierung zu automatisieren und Konfigurationsfehler zu vermeiden, die zu Problemen bei der E-Mail-Zustellung führen können.

In diesem Artikel werden wir die 6 wichtigsten Gründe für das Scheitern von DMARC sorgfältig entlarven und zeigen, wie Sie diese für eine verbesserte Zustellbarkeit entschärfen können. DMARC-Fehler für Ihre Nachrichten sind ein Grund zur Besorgnis, wenn Sie ein Unternehmen sind, das sowohl für die externe als auch für die interne Kommunikation stark auf E-Mails angewiesen ist. Es gibt sowohl Methoden als auch Tools, die Sie online (kostenlos) verwenden können, um DMARC-Fehler für Ihre E-Mails zu verhindern.

Bevor wir zu den Gründen für das Scheitern von DMARC kommen, wollen wir uns ansehen, was DMARC ist und wie es Ihnen hilft:

DMARC ist eine Schlüsselaktivität in Ihrer E-Mail-Authentifizierungspolitik, um zu verhindern, dass gefälschte "Spoofed"-E-Mails transaktionale Spamfilter passieren. Aber es ist nur eine Säule eines umfassenden Anti-Spam-Programms, und nicht alle DMARC-Berichte sind gleich. Einige geben Aufschluss über die genaue Aktion, die der Empfänger einer Nachricht durchgeführt hat, während andere nur angeben, ob eine Nachricht erfolgreich war oder nicht. Zu verstehen, warum eine Nachricht fehlgeschlagen ist, ist ebenso wichtig wie zu wissen, ob sie erfolgreich war.

Häufige Gründe, die zum Scheitern von DMARC führen können

Die Identifizierung, warum DMARC fehlschlägt, kann kompliziert sein. Ich werde jedoch einige typische Gründe und die Faktoren, die dazu beitragen, erläutern, damit Sie als Domain-Besitzer auf eine schnellere Behebung des Problems hinarbeiten können.

Fehler bei der DMARC-Ausrichtung

DMARC nutzt den Domänenabgleich, um Ihre E-Mails zu authentifizieren. Das bedeutet, dass DMARC überprüft, ob die in der Absenderadresse (im sichtbaren Header) genannte Domäne authentisch ist, indem sie mit der im verborgenen Return-path-Header (für SPF) und DKIM-Signatur-Header (für DKIM) genannten Domäne abgeglichen wird. Wenn beides übereinstimmt, besteht die E-Mail DMARC, andernfalls schlägt DMARC fehl.

Wenn Ihre E-Mails DMARC nicht bestehen, kann es sich also um einen Domain-Fehlalarm handeln. Das heißt, dass weder SPF- noch DKIM-Kennungen übereinstimmen und die E-Mail von einer nicht autorisierten Quelle zu stammen scheint. Dies ist jedoch nur einer der Gründe, warum DMARC fehlschlägt.

DMARC-Ausrichtungsmodus 

Ihr Protokollausrichtungsmodus spielt ebenfalls eine große Rolle dabei, ob Ihre Nachrichten DMARC passieren oder nicht. Sie können zwischen den folgenden Ausrichtungsmodi für die SPF-Authentifizierung wählen:

  • Entspannt: Dies bedeutet, dass wenn die Domain im Return-path-Header und die Domain im From-Header einfach organisatorisch übereinstimmen, auch dann SPF passieren wird.
  • Streng: Dies bedeutet, dass SPF nur dann erfolgreich ist, wenn die Domain im Return-path-Header und die Domain im From-Header exakt übereinstimmen.

Sie können zwischen den folgenden Ausrichtungsmodi für die DKIM-Authentifizierung wählen:

  • Entspannt: Dies bedeutet, dass DKIM auch dann akzeptiert wird, wenn die Domäne in der DKIM-Signatur und die Domäne in der Absenderkopfzeile einfach organisatorisch übereinstimmen.
  • Streng: Dies bedeutet, dass DKIM nur dann erfolgreich ist, wenn die Domäne in der DKIM-Signatur und die Domäne im Von-Header exakt übereinstimmen.

Damit E-Mails die DMARC-Authentifizierung bestehen, muss entweder SPF oder DKIM übereinstimmen.  

Keine DKIM-Signatur einrichten 

Ein sehr häufiger Fall, in dem Ihr DMARC fehlschlägt, ist, dass Sie keine DKIM-Signatur für Ihre Domäne angegeben haben. In solchen Fällen weist Ihr E-Mail-Austauschdienstanbieter Ihren ausgehenden E-Mails eine Standard-DKIM-Signatur zu, die nicht mit der Domäne in Ihrer Absenderkopfzeile übereinstimmt. Der empfangende MTA kann die beiden Domänen nicht abgleichen, so dass DKIM und DMARC für Ihre Nachricht fehlschlagen (wenn Ihre Nachrichten sowohl mit SPF als auch mit DKIM abgeglichen sind).

Keine Sendequellen zu Ihrem DNS hinzufügen 

Es ist wichtig zu beachten, dass bei der Einrichtung von DMARC für Ihre Domäne die empfangenden MTAs DNS-Abfragen durchführen, um Ihre Sendequellen zu autorisieren. Das bedeutet, dass, wenn Sie nicht alle autorisierten Absender im DNS Ihrer Domäne aufgeführt haben, Ihre E-Mails DMARC für die nicht aufgeführten Absender nicht bestehen, da der Empfänger sie nicht in Ihrem DNS finden kann. Um sicherzustellen, dass Ihre legitimen E-Mails immer zugestellt werden, sollten Sie daher alle autorisierten Drittanbieter, die berechtigt sind, E-Mails im Namen Ihrer Domain zu versenden, in Ihrem DNS eintragen lassen.

Im Falle einer E-Mail-Weiterleitung

Bei der E-Mail-Weiterleitung durchläuft die E-Mail einen Zwischenserver, bevor sie schließlich an den Empfangsserver zugestellt wird. Bei der E-Mail-Weiterleitung schlägt die SPF-Prüfung fehl, da die IP-Adresse des Zwischenservers nicht mit der des sendenden Servers übereinstimmt und diese neue IP-Adresse normalerweise nicht in den SPF-Eintrag des ursprünglichen Servers aufgenommen wird. Im Gegensatz dazu hat die Weiterleitung von E-Mails in der Regel keine Auswirkungen auf die DKIM-E-Mail-Authentifizierung, es sei denn, der zwischengeschaltete Server oder die weiterleitende Stelle nimmt bestimmte Änderungen am Inhalt der Nachricht vor.

Da wir wissen, dass SPF bei der E-Mail-Weiterleitung unweigerlich versagt, wird die weitergeleitete E-Mail bei der DMARC-Authentifizierung als illegitim eingestuft, wenn die sendende Quelle DKIM-neutral ist und sich ausschließlich auf SPF zur Validierung verlässt. Um dieses Problem zu lösen, sollten Sie sich sofort für eine vollständige DMARC-Compliance in Ihrem Unternehmen entscheiden, indem Sie alle ausgehenden Nachrichten sowohl mit SPF als auch mit DKIM abgleichen und authentifizieren, denn damit eine E-Mail die DMARC-Authentifizierung besteht, muss die E-Mail entweder die SPF- oder die DKIM-Authentifizierung und den Abgleich bestehen.

Ihre Domain wird gespoofed

Wenn Ihre DMARC-, SPF- und DKIM-Protokolle für Ihre Domäne ordnungsgemäß konfiguriert sind, Ihre Richtlinien durchgesetzt werden und gültige, fehlerfreie Datensätze vorliegen und das Problem nicht auf einen der oben genannten Fälle zurückzuführen ist, liegt der wahrscheinlichste Grund für das Nichtbestehen von DMARC darin, dass Ihre Domäne gespoofed oder gefälscht wird. Dies ist der Fall, wenn Imitatoren und Bedrohungsakteure versuchen, über eine bösartige IP-Adresse E-Mails zu versenden, die scheinbar von Ihrer Domäne stammen.

Jüngste Statistiken zum E-Mail-Betrug haben ergeben, dass Fälle von E-Mail-Spoofing in letzter Zeit zunehmen und eine große Gefahr für den Ruf Ihres Unternehmens darstellen. In solchen Fällen schlägt DMARC fehl, wenn Sie eine Ablehnungsrichtlinie implementiert haben, und die gefälschte E-Mail wird nicht in den Posteingang des Empfängers zugestellt. Daher kann Domain-Spoofing die Antwort auf die Frage sein, warum DMARC in den meisten Fällen fehlschlägt.

Warum schlägt DMARC bei Mailbox-Anbietern von Drittanbietern fehl? (Gmail, Mailchimp, Sendgrid, etc.)

Wenn Sie externe Mailbox-Anbieter nutzen, um in Ihrem Namen E-Mails zu versenden, müssen Sie DMARC, SPF und/oder DKIM für sie aktivieren. Dazu können Sie sich entweder an den Anbieter wenden und ihn bitten, die Implementierung für Sie zu übernehmen, oder Sie können die Sache selbst in die Hand nehmen und die Protokolle manuell aktivieren. Dazu müssen Sie Zugang zu Ihrem Kontoportal haben, das auf jeder dieser Plattformen gehostet wird (als Administrator).

Wenn Ihre Gmail-Nachrichten DMARC nicht bestehen, gehen Sie zum SPF-Eintrag Ihrer Domäne und überprüfen Sie, ob Sie _spf.google.com in den Eintrag aufgenommen haben. Falls nicht, kann dies ein Grund dafür sein, dass die empfangenden Server Gmail nicht als Ihre autorisierte Sendequelle identifizieren können. Das Gleiche gilt für Ihre E-Mails, die Sie von Mailchimp, Sendgrid und anderen Anbietern versenden.

Wie kann man DMARC-Fehler beheben?

Um DMARC-Fehler zu beheben, empfehlen wir Ihnen, sich bei unserem kostenlosen DMARC-Analyzer anzumelden und mit der DMARC-Berichterstattung und -Überwachung zu beginnen.

#Schritt 1: Mit einer Nicht-Richtlinie können Sie damit beginnen, Ihre Domäne mit DMARC (RUA) Aggregate Reports zu überwachen und Ihre ein- und ausgehenden E-Mails genau im Auge zu behalten, damit Sie auf unerwünschte Zustellungsprobleme reagieren können

#Schritt 2: Danach helfen wir Ihnen bei der Umstellung auf eine durchgesetzte Richtlinie, die Sie letztendlich gegen Domain-Spoofing und Phishing-Angriffe immun macht.

#Schritt 3: Erkennen Sie bösartige IP-Adressen und melden Sie sie direkt von der PowerDMARC-Plattform aus, um zukünftigen Imitationsangriffen zu entgehen, und zwar mit Hilfe unserer Threat Intelligence Engine.

#Schritt 4: Aktivieren Sie DMARC (RUF) Forensic Reports, um detaillierte Informationen über Fälle zu erhalten, in denen Ihre E-Mails DMARC nicht bestanden haben, so dass Sie das Problem an der Wurzel packen und schneller beheben können.

Wir hoffen, dass wir die Frage klären konnten, warum DMARC für Ihre Domain nicht funktioniert, und dass wir Ihnen eine Lösung anbieten können, wie Sie das Problem leicht beheben können. Verhindern Sie Domain-Spoofing und überwachen Sie Ihren E-Mail-Verkehr mit PowerDMARC, noch heute!