Beiträge

Wenn Sie immer wieder auf die Aufforderung " DMARC-Richtlinie nicht aktiviert" für Ihre Domain stoßen, bedeutet dies, dass Ihre Domain nicht mit DMARC-E-Mail-Authentifizierung gegen Spoofing und Impersonation geschützt ist. Diese Meldung erscheint oft, wenn Sie Reverse-DNS-Lookups für Ihre Domain durchführen. Es gibt jedoch oft eine einfache Lösung dafür. In diesem Artikel werden wir Sie durch die verschiedenen Schritte führen, die Sie zur Konfiguration von DMARC und zur Einrichtung der richtigen Richtlinie für Ihre Domain durchführen müssen, damit Sie nie wieder auf die Aufforderung "DMARC-Richtlinie ist nicht aktiviert" stoßen müssen!

Konfigurieren von DMARC zum Schutz vor Spoofing 

DMARC, die Abkürzung für Domain-based Message Authentication, Reporting and Conformance, ist ein Standard für die Authentifizierung von ausgehenden E-Mail-Nachrichten, um sicherzustellen, dass Ihre Domain ausreichend gegen BEC und Direct-Domain-Spoofing-Versuche geschützt ist. DMARC funktioniert durch den Abgleich der Return-Path-Domain(Bounce-Adresse), der DKIM-Signatur-Domain und der From:-Domain, um nach einer Übereinstimmung zu suchen. Dies hilft, die Authentizität der sendenden Quelle zu überprüfen und verhindert, dass nicht autorisierte Quellen E-Mails senden, die scheinbar von Ihnen stammen.

Ihre Unternehmensdomain ist Ihr digitales Schaufenster, das für Ihre digitale Identität verantwortlich ist. Unternehmen jeder Größe nutzen E-Mail-Marketing, um Reichweite zu gewinnen und ihre Kunden zu binden. Wenn Ihre Domain jedoch gefälscht wird und Angreifer Phishing-E-Mails an Ihre Kunden verschicken, hat das nicht nur drastische Auswirkungen auf Ihre E-Mail-Marketing-Kampagnen, sondern auch auf den Ruf und die Glaubwürdigkeit Ihres Unternehmens. Aus diesem Grund ist die Einführung von DMARC für den Schutz Ihrer Identität unabdingbar.

Um mit der Implementierung von DMARC für Ihre Domain zu beginnen:

  • Öffnen Sie Ihre DNS-Verwaltungskonsole
  • Navigieren Sie zum Abschnitt "Datensätze
  • Veröffentlichen Sie Ihren DMARC-Datensatz, den Sie ganz einfach mit unserem kostenlosen DMARC-Datensatz-Generator-Tool erstellen können, und geben Sie eine DMARC-Richtlinie an, um ihn für Ihre Domain zu aktivieren (diese Richtlinie legt fest, wie der empfangende MTA auf Nachrichten reagiert, die die Authentifizierungsprüfung nicht bestehen)
  • Es kann 24-48 Stunden dauern, bis Ihr DNS diese Änderungen verarbeitet hat, und Sie sind fertig!
  • Sie können die Korrektheit Ihres Datensatzes mit unserem kostenlosen DMARC-Datensatz-Lookup-Tool überprüfen, nachdem Sie ihn für Ihre Domain konfiguriert haben

So beheben Sie "DMARC Quarantäne-/Ablehnungsrichtlinie nicht aktiviert"

Wenn Sie die Warnung "DMARC Quarantine/Reject policy not enabled" oder manchmal auch nur "DMARC policy not enabled" oder "No DMARC protection" erhalten, bedeutet das einfach, dass Ihre Domain mit einer DMARC-Policy of none konfiguriert ist, die nur die Überwachung erlaubt.

Wenn Sie gerade erst mit der E-Mail-Authentifizierung beginnen und Ihre Domains und den E-Mail-Verkehr überwachen möchten, um eine reibungslose E-Mail-Zustellung zu gewährleisten, dann empfehlen wir Ihnen, mit einer DMARC-Richtlinie von "none" zu beginnen. Allerdings bietet eine "none"-Richtlinie keinen Schutz gegen Spoofing, und daher werden Sie häufig auf die Aufforderung stoßen: "DMARC-Richtlinie nicht aktiviert", wo Sie daran erinnert werden, dass Ihre Domain nicht ausreichend gegen Missbrauch und Impersonation geschützt ist.

Um dies zu beheben, müssen Sie lediglich den Richtlinienmechanismus (p) in Ihrem DMARC-Datensatz von p=none auf p=reject/quarantine ändern und damit auf DMARC-Enforcement umstellen. Wenn Ihr DMARC-Eintrag vorher war:

v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected];

Ihr optimierter DMARC-Eintrag wird sein:

v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected];

Oder, v=DMARC1; p=Quarantäne; rua=mailto:[email protected]; ruf=mailto:[email protected];

Ich habe "DMARC-Richtlinie nicht aktiviert" behoben, was nun?

Nach der Behebung der Aufforderung "DMARC-Richtlinie nicht aktiviert" sollte die Überwachung von Domains ein kontinuierlicher Prozess sein, um sicherzustellen, dass die DMARC-Einführung die Zustellbarkeit Ihrer E-Mails nicht beeinträchtigt, sondern verbessert. DMARC-Berichte können Ihnen dabei helfen, einen Überblick über alle Ihre E-Mail-Kanäle zu erhalten, so dass Sie nie etwas übersehen. Nachdem Sie sich für eine DMARC-Durchsetzungsrichtlinie entschieden haben, hilft Ihnen PowerDMARC dabei, Ihre E-Mail-Authentifizierungsergebnisse in DMARC-Gesamtberichten mit leicht lesbaren Formaten, die jeder verstehen kann, anzuzeigen. Damit können Sie Ihre E-Mail-Zustellbarkeitsrate im Laufe der Zeit vielleicht um 10 % steigern.

Außerdem müssen Sie sicherstellen, dass Ihr SPF nicht durch zu viele DNS-Lookups unterbrochen wird. Dies kann zu SPF-Fehlern führen und die E-Mail-Zustellung beeinträchtigen. Dynamisches SPF ist eine einfache Lösung, um unter dem SPF-Hardlimit zu bleiben und immer auf dem neuesten Stand zu sein, wenn Ihr ESP Änderungen vornimmt.

Machen Sie Ihren DMARC-Bereitstellungsprozess so nahtlos wie möglich, indem Sie sich noch heute bei unserem kostenlosen DMARC-Analysator anmelden!

Erfahren Sie, wie Sie einen DMARC-Eintrag veröffentlichen

Bevor wir zur Veröffentlichung eines DMARC-Eintrags übergehen, ist es wichtig zu verstehen, was ein DMARC-Eintrag ist. Ein DMARC-Eintrag ist nichts anderes als ein DNS-TXT-Eintrag, der im DNS (Domain Naming System) Ihrer Domain veröffentlicht werden kann, um Domain-Based Message Authentication, Reporting, and Conformance oder DMARC für Ihre Domain zu konfigurieren. Durch die Konfiguration von DMARC für Ihre Domain haben Sie als Domaininhaber nun die Möglichkeit, empfangenden Servern mitzuteilen, wie sie auf E-Mails reagieren sollen, die von nicht autorisierten oder illegitimen Quellen gesendet werden.

Anweisungen zum Erzeugen Ihres DMARC-Datensatzes

Der Prozess zur Generierung Ihres DMARC-DNS-Records ist extrem einfach, wenn Sie unser kostenloses DMARC-Record-Generator-Tool für diesen Zweck verwenden. Alles, was Sie tun müssen, ist, die folgenden Kriterien auszufüllen:

  • Wählen Sie den Modus Ihrer DMARC-Richtlinie (wenn Sie gerade erst mit der E-Mail-Authentifizierung beginnen, empfehlen wir Ihnen für den Anfang die Richtlinie p=none, damit Sie Ihren E-Mail-Fluss überwachen können)
  • Wählen Sie den DMARC-Richtlinienmodus für Ihre Subdomains (wir empfehlen Ihnen, dieses Kriterium nur zu aktivieren, wenn Sie eine andere Richtlinie für Ihre Subdomains wählen möchten, ansonsten wird standardmäßig die gleiche Richtlinie wie für Ihre Hauptdomain übernommen)
  • Geben Sie die gewünschten E-Mail-Adressen ein, an die Ihre DMARC-RUA- (aggregiert) und RUF- (forensisch) Berichte zugestellt werden sollen
  • Wählen Sie Ihren DKIM-Ausrichtungsmodus (bei der strikten Ausrichtung muss die DKIM-Signatur im E-Mail-Header genau mit der im From-Header gefundenen Domain übereinstimmen. Für den entspannten Abgleich müssen die beiden Domänen nur die gleiche Organisationsdomäne haben)
  • Wählen Sie den SPF-Ausrichtungsmodus (bei der strikten Ausrichtung muss die Domäne im Return-path-Header genau mit der Domäne im from-Header übereinstimmen. Für die entspannte Ausrichtung müssen die beiden Domänen nur die gleiche organisatorische Domäne haben)
  • Wählen Sie Ihre forensischen Optionen (dies stellt dar, unter welchen Umständen Sie Ihre forensischen Berichte erhalten möchten)

Ein typischer fehlerfreier DMARC-Datensatz sieht etwa so aus:

v=DMARC1; p=kein; sp=kein; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1;

Der generierte Eintrag soll nun im DNS Ihrer Domain auf der Subdomain veröffentlicht werden: _dmarc.IHREDOMAIN.com

Wie wird Ihr DMARC-Datensatz veröffentlicht? 

Um Ihren generierten DMARC-Eintrag zu veröffentlichen, müssen Sie sich in Ihrer DNS-Konsole anmelden und zu der spezifischen Domain navigieren, für die Sie DMARC konfigurieren möchten.

Nachdem Sie in Ihrer DNS-Verwaltungskonsole zu der Domain navigiert haben, müssen Sie den Hostnamen und den Ressourcentyp angeben. Da DMARC in Ihrer Domäne als DNS-TXT-Eintrag existiert, ist der Ressourcentyp für ihn TXTund der anzugebende Hostname ist in diesem Fall : _dmarc

Zum Schluss müssen Sie den Wert Ihres DMARC-Datensatzes hinzufügen (den Datensatz, den Sie zuvor erzeugt haben): v=DMARC1; p=keine; sp=keine; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1;

Speichern Sie den gesamten Vorgang und Sie haben DMARC für Ihre Domain erfolgreich konfiguriert!

Was sollten meine nächsten Schritte sein?

Nachdem Sie Ihren DMARC-Eintrag veröffentlicht haben, sollten Sie sich im nächsten Schritt darauf konzentrieren, Ihre Domain vor Betrügern und Impersonatoren zu schützen. Das ist ohnehin Ihre Hauptaufgabe, wenn Sie Sicherheitsprotokolle und E-Mail-Authentifizierungsdienste implementieren. Das einfache Veröffentlichen eines DMARC-Eintrags mit einer p=none-Richtlinie bietet keinen Schutz vor Domain-Spoofing-Angriffen und E-Mail-Betrug. Dafür müssen Sie zur DMARC-Durchsetzung übergehen.

Was ist DMARC Enforcement?

Sie können DMARC-Durchsetzung erreichen, wenn Sie einen DMARC-Richtlinienmodus von p=reject oder p=quarantine implementieren. Für maximalen Schutz vor Domain-Spoofing-Angriffen und BEC empfehlen wir den Richtlinienmodus "Ablehnen". Der Prozess zum Erreichen der DMARC-Durchsetzung ist jedoch nicht so einfach, wie das Ändern des Richtlinienmodus von Überwachung zu Durchsetzung. Um Immunität gegen Imitationsangriffe zu erlangen und gleichzeitig sicherzustellen, dass die Zustellbarkeit Ihrer E-Mails nicht beeinträchtigt wird, müssen Sie Folgendes tun:

  • Melden Sie sich bei PowerDMARC an und aktivieren Sie das DMARC-Reporting für Ihre Domain
  • Erhalten Sie tägliche DMARC-RUA-Berichte über die Ergebnisse der E-Mail-Authentifizierung, die in einer Reihe von Ansichtsoptionen für ein einfaches Verständnis verfügbar sind
  • Forensische Berichtsaktualisierungen auf dem Dashboard erhalten, wenn die Authentifizierung von E-Mails fehlschlägt
  • Bleiben Sie unter dem SPF-Hardlimit, um sicherzustellen, dass Ihr SPF-Eintrag nie ungültig wird

Mit DMARC-Aggregat- und Forensik-Berichten wird der Übergang von der Überwachung zur Durchsetzung für Domain-Besitzer zum Kinderspiel, da Sie Ihren E-Mail-Fluss visuell überwachen und Zustellbarkeitsprobleme sofort von der PowerDMARC-Plattform aus verfolgen und darauf reagieren können. Melden Sie sich noch heute für die kostenlose Testversion des DMARC-Analyzers an!