Tag Archiv für: DMARC-Ausfall

Warum funktioniert DMARC nicht? Behebung von DMARC-Fehlern im Jahr 2023

Ein DMARC-Fail tritt auf, wenn eine eingehende E-Mail die DMARC-Authentifizierungsprüfungen nicht besteht. Das bedeutet, dass die E-Mail nicht den vom Domänenbesitzer festgelegten Richtlinien entspricht, was auf einen möglichen Spoofing- oder Phishing-Versuch hindeutet. Bei einem DMARC-Fehler kann der E-Mail-Server des Empfängers auf der Grundlage der vom Domänenbesitzer festgelegten Richtlinien verschiedene Maßnahmen ergreifen, z. B. die E-Mail als Spam markieren, sie zurückweisen oder unter Quarantäne stellen. Ein DMARC-Fehler kann sich auf Ihre E-Mail-Marketingbemühungen auswirken und die Zustellbarkeitsrate Ihrer E-Mails erheblich verringern. 

Grundlegende Konzepte im Zusammenhang mit dem DMARC-Protokoll

DMARC fehlgeschlagen

DMARC steht für Domain-based Message Authentication, Reporting, and Conformance. Es ist ein E-Mail-Authentifizierungsprotokoll, das eine zusätzliche Sicherheitsebene bietet, indem es hilft, E-Mail-Spoofing und Phishing-Angriffe zu verhindern. DMARC ermöglicht es Domänenbesitzern, in ihren DNS-Einträgen Richtlinien zu veröffentlichen, die den empfangenden E-Mail-Servern vorschreiben, wie sie mit E-Mails umgehen sollen, die vorgeben, von ihrer Domäne zu stammen.

Mit DMARC können Domänenbesitzer festlegen, ob nicht autorisierte E-Mails zurückgewiesen oder unter Quarantäne gestellt werden sollen, was eine bessere Kontrolle der E-Mail-Zustellung ermöglicht. DMARC generiert auch Berichte, die wertvolle Einblicke in E-Mail-Authentifizierungsfehler liefern und es Unternehmen ermöglichen, ihre E-Mail-Sicherheitsmaßnahmen zu überwachen und zu verbessern. 

Insgesamt trägt DMARC zur Verbesserung der E-Mail-Sicherheit bei, indem es Authentifizierungsprüfungen durchsetzt und Unternehmen in die Lage versetzt, den Ruf ihrer Marke und ihre Benutzer vor E-Mail-basierten Bedrohungen zu schützen.

Verstehen, warum DMARC scheitert

DMARC kann aus verschiedenen Gründen fehlschlagen, einschließlich SPF- und DKIM-Authentifizierungsfehlern, falscher Zuordnung zwischen der "Von"-Domäne, SPFund DKIM, Probleme bei der Weiterleitung oder bei Diensten von Drittanbietern, die E-Mail-Signaturen ändern, falsch konfigurierte DMARC-Richtlinien und Versuche von böswilligen Akteuren, legitime Domänen zu fälschen.

DMARC-Fehler können zu Problemen bei der E-Mail-Authentifizierung, potenziellen Zustellungsproblemen und einem erhöhten Risiko von Phishing-Angriffen führen. Das Verständnis dieser Ursachen und die Implementierung geeigneter Konfigurationen und Authentifizierungsmaßnahmen können dazu beitragen, die DMARC-Konformität zu verbessern und die E-Mail-Sicherheit.

Häufige Gründe für das Scheitern von DMARC

Häufige Gründe für ein Scheitern von DMARC können Ausrichtungsfehler, eine falsche Ausrichtung der Sendequelle, Probleme mit Ihrer DKIM-Signatur, weitergeleitete E-Mails usw. sein. Lassen Sie uns jeden dieser Punkte im Detail untersuchen: 

1. Fehler bei der DMARC-Ausrichtung

Fehler bei der DMARC-Ausrichtung

DMARC nutzt den Domänenabgleich, um Ihre E-Mails zu authentifizieren. Das bedeutet, dass DMARC überprüft, ob die in der Absenderadresse (im sichtbaren Header) genannte Domäne authentisch ist, indem sie mit der im verborgenen Return-path-Header (für SPF) und DKIM-Signatur-Header (für DKIM) genannten Domäne abgeglichen wird. Stimmt beides überein, wird die E-Mail von DMARC akzeptiert, andernfalls wird DMARC abgelehnt. 

Wenn Ihre E-Mails DMARC nicht bestehen, kann es sich also um eine falsche Domänenzuordnung handeln. Das heißt, dass weder SPF- noch DKIM-Kennungen übereinstimmen und die E-Mail von einer nicht autorisierten Quelle zu stammen scheint. Dies ist jedoch nur einer der Gründe für das Scheitern von DMARC. 

DMARC-Ausrichtungsmodus 

Ihr Protokollausrichtungsmodus kann auch dazu führen, dass DMARC fehlschlägt. Sie können zwischen den folgenden Ausrichtungsmodi für die SPF-Authentifizierung wählen:

  • Entspannt: Dies bedeutet, dass SPF auch dann funktioniert, wenn die Domäne im Return-path-Header und die Domäne im From-Header einfach organisatorisch übereinstimmen.
  • Streng: Dies bedeutet, dass SPF nur dann erfolgreich ist, wenn die Domäne im Return-path-Header und die Domäne im From-Header exakt übereinstimmen.

SPF-Ausrichtung

Sie können zwischen den folgenden Ausrichtungsmodi für die DKIM-Authentifizierung wählen:

  • Entspannt: Dies bedeutet, dass, wenn die Domäne in der DKIM-Signatur und die Domäne in der Absenderkopfzeile einfach organisatorisch übereinstimmen, DKIM auch dann akzeptiert wird.
  • Streng: Dies bedeutet, dass DKIM nur dann erfolgreich ist, wenn die Domäne in der DKIM-Signatur und die Domäne in der Absenderkopfzeile genau übereinstimmen.

DKIM-Ausrichtung

Damit E-Mails die DMARC-Authentifizierung bestehen, muss entweder SPF oder DKIM übereinstimmen.  

2. Nicht-Einrichtung Ihrer DKIM-Signatur 

DMARC fehlgeschlagen

Ein sehr häufiger Fall, in dem Ihr DMARC fehlschlägt, ist, dass Sie keine DKIM-Signatur für Ihre Domäne angegeben haben. In solchen Fällen weist Ihr E-Mail-Austauschdienstanbieter eine Standard DKIM-Signatur für Ihre ausgehenden E-Mails zu, die nicht mit der Domäne in Ihrer Absenderkopfzeile übereinstimmt. Der empfangende MTA kann die beiden Domänen nicht abgleichen, so dass DKIM und DMARC für Ihre Nachricht fehlschlagen (wenn Ihre Nachrichten sowohl mit SPF als auch mit DKIM abgeglichen sind).

3. Nicht Hinzufügen von Sendequellen zu Ihrem DNS 

Es ist wichtig zu beachten, dass bei der Einrichtung von DMARC für Ihre Domäne die empfangenden MTAs DNS-Abfragen durchführen, um Ihre Sendequellen zu autorisieren. Wenn Sie also nicht alle autorisierten Sendequellen im DNS Ihrer Domäne aufgelistet haben, werden Ihre E-Mails für die nicht aufgelisteten Quellen DMARC nicht bestehen, da der Empfänger sie nicht in Ihrem DNS finden kann. 

Um sicherzustellen, dass Ihre legitimen E-Mails immer zugestellt werden, sollten Sie daher alle autorisierten Drittanbieter, die berechtigt sind, E-Mails im Namen Ihrer Domain zu versenden, in Ihrem DNS eintragen.

4. Im Falle einer E-Mail-Weiterleitung

DMARC fehlgeschlagen

Bei der E-Mail-Weiterleitung durchläuft die E-Mail einen Zwischenserver, bevor sie schließlich an den Empfangsserver zugestellt wird. Die SPF-Prüfung schlägt fehl, da die IP-Adresse des Zwischenservers nicht mit der des sendenden Servers übereinstimmt und diese neue IP-Adresse normalerweise nicht in den SPF-Eintrag des ursprünglichen Servers aufgenommen wird. 

Im Gegenteil, die Weiterleitung von E-Mails hat in der Regel keine Auswirkungen auf die DKIM-E-Mail-Authentifizierung, es sei denn, der Zwischenserver oder die weiterleitende Stelle nimmt bestimmte Änderungen am Inhalt der Nachricht vor.

Um dieses Problem zu lösen, sollten Sie sich sofort für eine vollständige DMARC-Konformität in Ihrem Unternehmen entscheiden, indem Sie alle ausgehenden Nachrichten mit SPF und DKIM abgleichen und authentifizieren. Damit eine E-Mail die DMARC-Authentifizierung besteht, muss sie entweder die SPF- oder DKIM-Authentifizierung und den Abgleich bestehen.

Verwandtes lesen: E-Mail-Weiterleitung und DMARC

5. Ihre Domain wird gespoofed

Ihre Domain wird gespoofed

Wenn auf der Implementierungsseite alles in Ordnung ist, kann es sein, dass Ihre E-Mails aufgrund eines Spoofing-Angriffs nicht mit DMARC kompatibel sind. Dies ist der Fall, wenn Imitatoren und Bedrohungsakteure versuchen, über eine bösartige IP-Adresse E-Mails zu versenden, die scheinbar von Ihrer Domäne stammen.

Jüngste Statistiken über E-Mail-Betrug haben ergeben, dass Fälle von E-Mail-Spoofing zunehmen und eine große Gefahr für den Ruf Ihres Unternehmens darstellen. Wenn Sie DMARC in einer Ablehnungsrichtlinie implementiert haben, schlägt es in solchen Fällen fehl, und die gefälschte E-Mail wird nicht in den Posteingang des Empfängers zugestellt. Daher kann Domain-Spoofing die Antwort auf die Frage sein, warum DMARC in den meisten Fällen fehlschlägt.

Warum versagt DMARC bei Drittanbietern von Postfächern?

Wenn Sie externe Mailbox-Anbieter nutzen, um in Ihrem Namen E-Mails zu versenden, müssen Sie DMARC, SPF und/oder DKIM für sie aktivieren. Dazu können Sie sich entweder an den Anbieter wenden und ihn bitten, die Implementierung für Sie zu übernehmen, oder Sie können die Sache selbst in die Hand nehmen und die Protokolle manuell aktivieren. Dazu müssen Sie Zugang zu Ihrem Kontoportal haben, das auf jeder dieser Plattformen gehostet wird (als Administrator).

Wenn Sie diese Protokolle für Ihren externen Mailbox-Anbieter nicht aktivieren, kann DMARC fehlschlagen.

Falls DMARC für Ihre Gmail-Nachrichten fehlschlägt, gehen Sie zum SPF-Eintrag Ihrer Domäne und überprüfen Sie, ob Sie Folgendes angegeben haben _spf.google.com enthalten. Falls nicht, kann dies ein Grund dafür sein, dass empfangende Server Gmail nicht als Ihre autorisierte Absenderquelle identifizieren können. Das Gleiche gilt für Ihre E-Mails, die Sie von MailChimp, SendGrid und anderen Anbietern versenden.

Wie kann man Nachrichten erkennen, die DMARC nicht bestehen? 

DMARC-Fehler für Nachrichten können leicht erkannt werden, wenn Sie die Berichterstellung für Ihre DMARC-Berichte aktiviert haben. Alternativ können Sie eine E-Mail-Header-Analyse durchführen oder die E-Mail-Protokollsuche von Google Mail verwenden. Lassen Sie uns herausfinden, wie:

1. Aktivieren Sie DMARC-Berichte für Ihre Domains 

Nutzen Sie diese praktische Funktion Ihres DMARC-Protokolls, um DMARC-Fehler zu erkennen. Sie können Berichte mit Ihren DMARC-Daten von ESPs erhalten, indem Sie einfach ein "rua"-Tag in Ihrem DMARC-DNS-Eintrag definieren. Ihre Syntax könnte folgendermaßen aussehen: 

v=DMARC1; ptc=100; p=ablehnen; rua=mailto:[email protected]

Der rua-Tag sollte die E-Mail-Adresse enthalten, an die Sie Ihre Berichte erhalten möchten. 

PowerDMARC bietet vereinfachte und leicht lesbare Berichte, mit denen Sie DMARC-Fehler leicht erkennen und schneller beheben können: 

DMARC fehlgeschlagen

2. Analysieren Sie E-Mail-Kopfzeilen manuell oder setzen Sie Analysetools ein.

Das Scheitern von DMARC kann auch durch die Analyse der E-Mail-Kopfzeilen festgestellt werden.

a. Manuelle Methode 

Sie können die Kopfzeilen entweder manuell analysieren, wie unten gezeigt

Wenn Sie Gmail zum Senden von E-Mails verwenden, können Sie auf eine Nachricht klicken, dann auf "mehr" (die 3 Punkte in der oberen rechten Ecke) und dann auf "Original anzeigen": 

DMARC fehlgeschlagen

Sie können Ihre DMARC-Authentifizierungsergebnisse jetzt überprüfen: 

DMARC fehlgeschlagen

b. Automatisierte Analysewerkzeuge

PowerDMARCs E-Mail-Header-Analysator ist ein hervorragendes Tool zur sofortigen Erkennung von DMARC-Fehlern und zur Entschärfung des DMARC-Fehlerproblems.

Mit uns erhalten Sie eine umfassende Analyse des DMARC-Status für Ihre E-Mails, Anpassungen und andere Konformitäten wie unten dargestellt: 

DMARC fehlgeschlagen

3. Verwenden Sie die E-Mail-Protokollsuche von Google 

Sie können zusätzliche Informationen über eine bestimmte Nachricht, die DMARC nicht erfüllt, mit der Google E-Mail-Protokollsuche finden. Dadurch werden Details zur Nachricht, Details zur Nachricht nach der Zustellung und Details zum Empfänger aufgedeckt. Die Ergebnisse werden in einem tabellarischen Format dargestellt, wie unten gezeigt: Nicht-einstellen-deiner-DKIM-Signatur 

Bildquelle

Wie kann man DMARC-Fehler beheben?

Um DMARC-Fehler zu beheben, empfehlen wir, dass Sie sich bei unserem DMARC-Analysator anzumelden und mit der DMARC-Berichterstattung und -Überwachung zu beginnen.

Schritt 1: Beginnen Sie bei Null

Mit einer "none"-Richtlinie können Sie damit beginnen, Ihre Domäne zu überwachen mit DMARC (RUA)-Aggregatberichte und Ihre ein- und ausgehenden E-Mails genau im Auge behalten, damit Sie auf unerwünschte Zustellungsprobleme reagieren können.

Schritt 2: Umstellung auf Durchsetzung

Danach helfen wir Ihnen bei der Umstellung auf eine durchgesetzte Richtlinie, die Sie letztlich gegen Domain-Spoofing und Phishing-Angriffe immun macht.

Schritt 3: Nutzen Sie unsere KI-gestützte Bedrohungserkennung

Erkennen Sie bösartige IP-Adressen und melden Sie sie direkt von der PowerDMARC-Plattform aus, um zukünftigen Imitationsangriffen mit Hilfe unserer Threat Intelligence Engine zu entgehen.

Schritt 4: Kontinuierliche Überwachung

Aktivieren Sie DMARC (RUF) Forensische Berichte, um detaillierte Informationen über Fälle zu erhalten, in denen Ihre E-Mails DMARC nicht bestanden haben, so dass Sie das Problem an der Wurzel packen und es schneller beheben können.

Wie geht man mit Nachrichten um, die DMARC nicht bestehen?

Um mit Nachrichten umzugehen, die DMARC nicht bestehen, können Sie sich für eine lockere DMARC-Richtlinieund kombinieren Sie Ihre DMARC-Implementierungen mit DKIM und SPF, um ein Maximum an Sicherheit zu erreichen und das Risiko falsch negativer Ergebnisse zu verringern.

1. Überprüfen Sie Ihren DMARC-Eintrag

Überprüfen Sie Ihren DMARC-Datensatz

Verwenden Sie einen DMARC-Prüfer um syntaktische oder andere formative Fehler in Ihrem Eintrag zu finden, wie z. B. zusätzliche Leerzeichen, Rechtschreibfehler usw.

2. Wählen Sie eine weichere Politik 

Weichere Politik

Sie können jederzeit eine weniger strenge DMARC-Richtlinie wie "keine" wählen. Dadurch können Ihre Nachrichten die Empfänger auch dann erreichen, wenn DMARC bei ihnen versagt. Dies macht Sie jedoch anfällig für Phishing- und Spoofing-Angriffe. 

3. Verwenden Sie sowohl SPF als auch DKIM Alignment 

Die gleichzeitige Verwendung von DKIM und SPF bietet einen mehrschichtigen Ansatz zur E-Mail-Authentifizierung. DKIM prüft die Integrität der Nachricht und stellt sicher, dass sie nicht manipuliert wurde, während SPF die Identität des sendenden Servers überprüft. Zusammen tragen sie dazu bei, Vertrauen in die Quelle der E-Mail zu schaffen und das Risiko von Spoofing, Phishing und nicht autorisierten E-Mail-Aktivitäten zu verringern.

DMARC-Fehler mit PowerDMARC beheben

Fix-DMARC-Fail-with-PowerDMARC

PowerDMARC entschärft DMARC-Fehler, indem es eine Reihe umfassender Merkmale und Funktionen bietet. Erstens unterstützt es Unternehmen bei der korrekten Implementierung von DMARC, indem es eine schrittweise Anleitung und Automatisierungstools bereitstellt. Dadurch wird sichergestellt, dass DMARC-Datensätze, SPF- und DKIM-Authentifizierung richtig konfiguriert werden, was die Chancen auf eine erfolgreiche DMARC-Implementierung erhöht.

Sobald DMARC eingerichtet ist, überwacht PowerDMARC kontinuierlich den E-Mail-Verkehr und erstellt Echtzeitberichte und Warnmeldungen zu DMARC-Fehlern. Dank dieser Transparenz können Unternehmen Authentifizierungsprobleme, wie SPF- oder DKIM-Fehler, schnell erkennen und entsprechende Maßnahmen ergreifen.

Neben der Überwachung integriert PowerDMARC auch KI-Bedrohungsdatenfunktionen. Es nutzt globale Bedrohungsdaten, um Quellen von Phishing-Angriffen und Spoofing-Versuchen zu identifizieren und zu analysieren. Durch die Bereitstellung von Einblicken in verdächtige E-Mail-Aktivitäten können Unternehmen proaktiv potenzielle Bedrohungen erkennen und die notwendigen Maßnahmen zur Risikominderung ergreifen.

Kontaktieren Sie uns um anzufangen!

Schlussfolgerung: E-Mail-Sicherheit auf die richtige Weise fördern

Durch die Einführung eines mehrschichtigen Ansatzes für die E-Mail-Sicherheit können Unternehmen und Einzelpersonen ihren Schutz vor sich entwickelnden Cyber-Bedrohungen erheblich verbessern. Dazu gehören die Implementierung robuster Authentifizierungsmechanismen, der Einsatz von Verschlüsselungstechnologien, die Aufklärung der Benutzer über Phishing-Angriffe und die regelmäßige Aktualisierung von Sicherheitsprotokollen. 

Darüber hinaus ist die Integration von KI-Tools zur Verbesserung Ihrer E-Mail-Sicherheitspraktiken der beste Weg, um vor ausgeklügelten, von Cyberkriminellen organisierten Angriffen gewappnet zu sein. 

Um DMARC-Fehler zu vermeiden und andere DMARC-Fehler zu beheben, anmelden und nehmen Sie noch heute Kontakt mit unseren DMARC-Experten auf!

DMARC fehlgeschlagen

/von

Kann ich mehrere DMARC-Einträge auf meiner Domain haben?

Mehrere DMARC-Einträge auf Ihrer Domain sind ein absolutes No-No, und hier ist der Grund dafür! Wir wissen, dass die Implementierung von E-Mail-Authentifizierungsprotokollen wie DMARC für den Ruf und die Datensicherheit eines Unternehmens von entscheidender Bedeutung ist, und dazu müssen Domaininhaber einen TXT-Eintrag in ihrem DNS veröffentlichen. Aber eine Frage, die in der Community immer wieder auftaucht, lautet: "Kann ich mehrere DMARC-Einträge auf meiner Domain haben?" Die Antwort ist nein. Mehrere DMARC-Einträge auf derselben Domäne können Ihren Eintrag ungültig machen, so dass die für Ihre Domäne festgelegte DMARC-Authentifizierungsrichtlinie nicht mehr funktioniert.

Wie wird ein DMARC-Datensatz von MTAs verarbeitet?

Ein DMARC-Eintrag, der im DNS Ihrer Domäne veröffentlicht wird, sieht etwa so aus:

TXT mydomain.com v=DMARC1; p=reject; rua=mailto:[email protected]

Wenn also eine Domain, für die DMARC konfiguriert ist, eine E-Mail sendet, holt der E-Mail-empfangende MTA alle TXT-Records ab, die mit v=DMARC1 beginnen. Der MTA fragt den DNS der sendenden Domain ab und kann dabei auf folgende Szenarien stoßen:

  1. Es findet einen einzigen gültigen DMARC-Eintrag im DNS der Quelldomäne und verarbeitet die E-Mail gemäß den DMARC-Richtlinienspezifikationen
  2. Es wird kein DMARC-Eintrag für die sendende Domain gefunden und die DMARC-Verarbeitung wird automatisch eingestellt, die E-Mail wird ohne Überprüfung der Quelle zugestellt
  3. Es werden mehrere DMARC-Datensätze auf derselben Domäne gefunden. In diesem Fall wird die DMARC-Verarbeitung ebenfalls abgebrochen und die angewendete Richtlinie kann nicht ausgeführt werden

Mehrere DMARC-Einträge: Wie kann man das beheben?

Wenn Sie DMARC für Ihre Domain konfigurieren und eine Richtlinie festlegen, möchten Sie, dass MTAs auf Ihre E-Mails in einer Weise antworten, die Ihren Absichten entspricht. Auf diese Weise kann DMARC Ihre Domain vor Impersonation und Spoofing schützen. Damit das konfigurierte Protokoll effektiv funktionieren kann, empfehlen wir die folgenden Schritte:

  • Stellen Sie sicher, dass Sie nicht mehrere DMARC-Einträge für Ihre Domain veröffentlicht haben
  • Stellen Sie sicher, dass Ihr DMARC-Datensatz keine Syntaxfehler enthält
  • Anstatt Ihren DMARC-Datensatz manuell zu erstellen, verwenden Sie zuverlässige Tools wie unserenkostenlosen DMARC-Datensatz-Generator, der diese Aufgabe für Sie übernimmt
  • Aktivieren Sie DMARC-Berichte für Ihre Domain, um den E-Mail-Verkehr und die Authentifizierungsergebnisse von Zeit zu Zeit zu überwachen, so dass Sie Zustellungsprobleme verfolgen und Maßnahmen gegen böswillige Sendequellen ergreifen können
  • Stellen Sie sicher, dass Sie unter dem SPF 10-Lookup-Limit bleiben, um ein fehlerhaftes Ergebnis zu vermeiden

Eine Alternative zu den verschiedenen Schritten, die Sie unternehmen können, um DMARC korrekt für Ihre Domain zu implementieren und mehrere DMARC-Einträge zu vermeiden, wäre, sich einfach bei unserem DMARC-Analysator anzumelden.

PowerDMARC übernimmt die meisten komplexen Aufgaben im Hintergrund, um Ihre E-Mail-Authentifizierung zu automatisieren und Konfigurationsfehler zu vermeiden, die zu Problemen bei der E-Mail-Zustellung führen können.

DMARC fehlgeschlagen

/von