Beiträge

Bevor wir uns mit der Frage "Wie richtet man DMARC ein?" beschäftigen, sollten wir einen Schritt zurückgehen und das Konzept von DMARC verstehen und wie es sich in den letzten Jahren als die am weitesten verbreitete Lösung in der Welt der Informations- und E-Mail-Sicherheit entwickelt hat. Organisationen können als riesige E-Mail-Austauscher mit einem großen Zustrom von E-Mails zwischen ihren Kunden, Geschäftspartnern und Mitarbeitern betrachtet werden.

Bei der Durchführung Ihrer E-Mail-Marketing-Kampagnen ist es jedoch schwierig zu überwachen, ob alle E-Mails, die von Ihrer Domain gesendet werden, legitim sind. Alle 14 Sekunden wird eine Unternehmensdomäne von einem Angreifer gefälscht, um Phishing-E-Mails an Empfänger zu senden, die ihnen vertrauen. Aus diesem Grund ist die E-Mail-Authentifizierung eine zwingende Ergänzung Ihrer Sicherheit.

Warum wird DMARC in der aktuellen Situation benötigt?

Das Internet Crime Complaint Center des FBI aus dem Jahr 2020(FBI IC3 Report 2020) berichtet, dass in den USA 28.500 Beschwerden über E-Mail-basierte Angriffe eingegangen sind. Das FBI untersuchte E-Mail-Betrugsangriffe, die sich auf den Coronavirus Aid, Relief, and Economic Security Act (CARES Act) bezogen, der kleine Unternehmen während der Pandemie unterstützen sollte. Diese Angriffe zielten speziell auf die Arbeitslosenversicherung, Paycheck Protection Program (PPP) Darlehen und Small Business Economic Injury Disaster Loans ab.

Wussten Sie schon?

  • 75 % der Organisationsdomänen aus der ganzen Welt wurden im Jahr 2020 gefälscht, um Phishing-E-Mails an Opfer zu senden
  • 74 % dieser Phishing-Kampagnen waren erfolgreich
  • Die Häufigkeit von BEC ist seit letztem Jahr um 15% gestiegen
  • IBM berichtet, dass jedes fünfte Unternehmen im letzten Jahr Datenverletzungen durch bösartige E-Mails erlitten hat

Überprüfen Sie jetzt Ihre Domain, um zu sehen, wie gut Sie gegen E-Mail-Betrug geschützt sind!

Wie kann ich DMARC manuell einrichten?

Um zu lernen, wie man DMARC einrichtet, müssen Sie zunächst einen DMARC-Eintrag erstellen. So kompliziert es auch klingen mag, der Prozess ist vergleichsweise viel einfacher! DMARC ist ein DNS-TXT-Eintrag (Text), der in Ihrem DNS veröffentlicht werden kann, um das Protokoll für Ihre Domain zu konfigurieren.

Beispiel für einen DMARC-Datensatz:

v=DMARC1; p=ablehnen; adkim=s; aspf=s; rua=mailto:[email protected]; ruf=mailto:[email protected]; pct=100; fo=0;

Hinweis: Zu Beginn Ihrer E-Mail-Authentifizierung können Sie Ihre DMARC-Richtlinie (p) auf "none" (keine) statt " reject" (zurückweisen) belassen, um Ihren E-Mail-Verkehr zu überwachen und Probleme zu beheben, bevor Sie zu einer strengen Richtlinie wechseln.

Erfahren Sie , wie Sie einen DMARC-Datensatz veröffentlichen

So richten Sie DMARC einfach mit PowerDMARC ein

Mit PowerDMARC müssen Sie die Mechanismen nicht in der Tiefe verstehen, um Ihren DMARC-Datensatz manuell zu erstellen, da wir dies automatisch auf unserer Plattform tun. Alles, was Sie tun müssen, ist unser kostenloses DMARC-Record-Generator-Tool zu verwenden und die gewünschten Kriterien einzugeben. Klicken Sie auf "Record generieren" und erstellen Sie sofort einen fehlerfreien DMARC-Record zur Veröffentlichung in Ihrem DNS:

Nachdem Sie Ihren Eintrag erstellt haben, öffnen Sie einfach Ihre DNS-Verwaltungskonsole, navigieren zu Ihrer gewünschten Domain und fügen den TXT-Eintrag ein. Speichern Sie die Änderungen am Prozess und Sie sind fertig!

Wie man DMARC zum Verhindern von Domain-Spoofing nutzt

Wenn Sie DMARC konfigurieren, um Ihre Domain vor Spoofing zu schützen und Phishing- und BEC-Angriffe abzuwehren, empfehlen wir Ihnen, bei der Erstellung Ihres DMARC-Datensatzes mit unserem DMARC-Datensatz-Generator-Tool das folgende Kriterium auszuwählen:

Setzen Sie Ihre DMARC-Richtlinie auf p=reject

Wenn Sie sich für die DMARC-Durchsetzung in Ihrem Unternehmen entscheiden, indem Sie eine Ablehnungsrichtlinie wählen, bedeutet dies, dass immer dann, wenn eine von Ihrer Domain gesendete E-Mail die DMARC-Authentifizierungsprüfung nicht besteht, die bösartige E-Mail sofort vom empfangenden MTA abgelehnt wird, anstatt im Posteingang des Empfängers zu landen.

Ein weiterer Faktor, den Sie in Betracht ziehen sollten, ist die Transparenz Ihres E-Mail-Verkehrs und die Überwachung von E-Mails, die die Authentifizierung passieren oder nicht bestehen. Das DMARC-Reporting stellt sicher, dass Ihnen keine bösartige Aktivität auf Ihrer Domain entgeht und Sie jederzeit informiert bleiben. Um die Vorteile der E-Mail-Authentifizierung zu genießen und DMARC so einzurichten, dass Ihre Domain effektiv geschützt wird, melden Sie sich noch heute bei DMARC analyzer an!

Erfahren Sie, wie Sie einen DMARC-Eintrag veröffentlichen

Bevor wir zur Veröffentlichung eines DMARC-Eintrags übergehen, ist es wichtig zu verstehen, was ein DMARC-Eintrag ist. Ein DMARC-Eintrag ist nichts anderes als ein DNS-TXT-Eintrag, der im DNS (Domain Naming System) Ihrer Domain veröffentlicht werden kann, um Domain-Based Message Authentication, Reporting, and Conformance oder DMARC für Ihre Domain zu konfigurieren. Durch die Konfiguration von DMARC für Ihre Domain haben Sie als Domaininhaber nun die Möglichkeit, empfangenden Servern mitzuteilen, wie sie auf E-Mails reagieren sollen, die von nicht autorisierten oder illegitimen Quellen gesendet werden.

Anweisungen zum Erzeugen Ihres DMARC-Datensatzes

Der Prozess zur Generierung Ihres DMARC-DNS-Records ist extrem einfach, wenn Sie unser kostenloses DMARC-Record-Generator-Tool für diesen Zweck verwenden. Alles, was Sie tun müssen, ist, die folgenden Kriterien auszufüllen:

  • Wählen Sie den Modus Ihrer DMARC-Richtlinie (wenn Sie gerade erst mit der E-Mail-Authentifizierung beginnen, empfehlen wir Ihnen für den Anfang die Richtlinie p=none, damit Sie Ihren E-Mail-Fluss überwachen können)
  • Wählen Sie den DMARC-Richtlinienmodus für Ihre Subdomains (wir empfehlen Ihnen, dieses Kriterium nur zu aktivieren, wenn Sie eine andere Richtlinie für Ihre Subdomains wählen möchten, ansonsten wird standardmäßig die gleiche Richtlinie wie für Ihre Hauptdomain übernommen)
  • Geben Sie die gewünschten E-Mail-Adressen ein, an die Ihre DMARC-RUA- (aggregiert) und RUF- (forensisch) Berichte zugestellt werden sollen
  • Wählen Sie Ihren DKIM-Ausrichtungsmodus (bei der strikten Ausrichtung muss die DKIM-Signatur im E-Mail-Header genau mit der im From-Header gefundenen Domain übereinstimmen. Für den entspannten Abgleich müssen die beiden Domänen nur die gleiche Organisationsdomäne haben)
  • Wählen Sie den SPF-Ausrichtungsmodus (bei der strikten Ausrichtung muss die Domäne im Return-path-Header genau mit der Domäne im from-Header übereinstimmen. Für die entspannte Ausrichtung müssen die beiden Domänen nur die gleiche organisatorische Domäne haben)
  • Wählen Sie Ihre forensischen Optionen (dies stellt dar, unter welchen Umständen Sie Ihre forensischen Berichte erhalten möchten)

Ein typischer fehlerfreier DMARC-Datensatz sieht etwa so aus:

v=DMARC1; p=kein; sp=kein; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1;

Der generierte Eintrag soll nun im DNS Ihrer Domain auf der Subdomain veröffentlicht werden: _dmarc.IHREDOMAIN.com

Wie wird Ihr DMARC-Datensatz veröffentlicht? 

Um Ihren generierten DMARC-Eintrag zu veröffentlichen, müssen Sie sich in Ihrer DNS-Konsole anmelden und zu der spezifischen Domain navigieren, für die Sie DMARC konfigurieren möchten.

Nachdem Sie in Ihrer DNS-Verwaltungskonsole zu der Domain navigiert haben, müssen Sie den Hostnamen und den Ressourcentyp angeben. Da DMARC in Ihrer Domäne als DNS-TXT-Eintrag existiert, ist der Ressourcentyp für ihn TXTund der anzugebende Hostname ist in diesem Fall : _dmarc

Zum Schluss müssen Sie den Wert Ihres DMARC-Datensatzes hinzufügen (den Datensatz, den Sie zuvor erzeugt haben): v=DMARC1; p=keine; sp=keine; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1;

Speichern Sie den gesamten Vorgang und Sie haben DMARC für Ihre Domain erfolgreich konfiguriert!

Was sollten meine nächsten Schritte sein?

Nachdem Sie Ihren DMARC-Eintrag veröffentlicht haben, sollten Sie sich im nächsten Schritt darauf konzentrieren, Ihre Domain vor Betrügern und Impersonatoren zu schützen. Das ist ohnehin Ihre Hauptaufgabe, wenn Sie Sicherheitsprotokolle und E-Mail-Authentifizierungsdienste implementieren. Das einfache Veröffentlichen eines DMARC-Eintrags mit einer p=none-Richtlinie bietet keinen Schutz vor Domain-Spoofing-Angriffen und E-Mail-Betrug. Dafür müssen Sie zur DMARC-Durchsetzung übergehen.

Was ist DMARC Enforcement?

Sie können DMARC-Durchsetzung erreichen, wenn Sie einen DMARC-Richtlinienmodus von p=reject oder p=quarantine implementieren. Für maximalen Schutz vor Domain-Spoofing-Angriffen und BEC empfehlen wir den Richtlinienmodus "Ablehnen". Der Prozess zum Erreichen der DMARC-Durchsetzung ist jedoch nicht so einfach, wie das Ändern des Richtlinienmodus von Überwachung zu Durchsetzung. Um Immunität gegen Imitationsangriffe zu erlangen und gleichzeitig sicherzustellen, dass die Zustellbarkeit Ihrer E-Mails nicht beeinträchtigt wird, müssen Sie Folgendes tun:

  • Melden Sie sich bei PowerDMARC an und aktivieren Sie das DMARC-Reporting für Ihre Domain
  • Erhalten Sie tägliche DMARC-RUA-Berichte über die Ergebnisse der E-Mail-Authentifizierung, die in einer Reihe von Ansichtsoptionen für ein einfaches Verständnis verfügbar sind
  • Forensische Berichtsaktualisierungen auf dem Dashboard erhalten, wenn die Authentifizierung von E-Mails fehlschlägt
  • Bleiben Sie unter dem SPF-Hardlimit, um sicherzustellen, dass Ihr SPF-Eintrag nie ungültig wird

Mit DMARC-Aggregat- und Forensik-Berichten wird der Übergang von der Überwachung zur Durchsetzung für Domain-Besitzer zum Kinderspiel, da Sie Ihren E-Mail-Fluss visuell überwachen und Zustellbarkeitsprobleme sofort von der PowerDMARC-Plattform aus verfolgen und darauf reagieren können. Melden Sie sich noch heute für die kostenlose Testversion des DMARC-Analyzers an!

Als Domain-Besitzer müssen Sie immer auf Bedrohungsakteure achten, die Domain-Spoofing- und Phishing-Angriffe starten, um Ihre Domain oder Ihren Markennamen für bösartige Aktivitäten zu nutzen. Unabhängig davon, welche E-Mail-Austauschlösung Sie verwenden, ist der Schutz Ihrer Domain vor Spoofing und Impersonation unerlässlich, um die Glaubwürdigkeit Ihrer Marke zu gewährleisten und das Vertrauen Ihrer geschätzten Kundenbasis zu erhalten. Dieser Blog führt Sie durch den Prozess der Einrichtung Ihres DMARC-Eintrags für Office 365-Benutzer.

In jüngster Zeit ist die Mehrheit der Unternehmen dazu übergegangen, effektive und robuste Cloud-basierte Plattformen und gehostete E-Mail-Austauschlösungen wie Office 365 zu nutzen. In der Folge haben auch Cyberkriminelle ihre bösartigen Techniken zur Durchführung von E-Mail-Betrug verbessert, indem sie die in die Plattform integrierten Sicherheitslösungen ausmanövrieren. Aus diesem Grund hat Microsoft die Unterstützung für E-Mail-Authentifizierungsprotokolle wie DMARC auf alle seine E-Mail-Plattformen ausgeweitet. Sie sollten jedoch wissen, wie Sie DMARC für Office 365 richtig implementieren, um dessen Vorteile voll auszuschöpfen.

Warum DMARC?

Die erste Frage, die sich stellen könnte, ist, dass mit Anti-Spam-Lösungen und E-Mail-Sicherheits-Gateways, die bereits in die Office 365-Suite integriert sind, um gefälschte E-Mails zu blockieren, warum sollten Sie DMARC für die Authentifizierung benötigen? Denn während diese Lösungen speziell vor eingehenden Phishing-E-Mails schützen, die an Ihre Domain gesendet werden, gibt das DMARC-Authentifizierungsprotokoll den Domain-Besitzern die Möglichkeit, den empfangenden E-Mail-Servern vorzugeben, wie sie auf E-Mails reagieren sollen, die von Ihrer Domain gesendet werden und die Authentifizierungsprüfungen nicht bestehen.

DMARC nutzt zwei Standard-Authentifizierungsverfahren, nämlich SPF und DKIM, um E-Mails auf ihre Echtheit zu überprüfen. Mit einer auf Durchsetzung eingestellten Richtlinie kann DMARC ein hohes Maß an Schutz gegen Impersonationsangriffe und Direct-Domain-Spoofing bieten.

Brauchen Sie DMARC wirklich, wenn Sie Office 365 nutzen?

Es ist ein weit verbreiteter Irrglaube unter Unternehmen, dass der Einsatz einer Office 365-Lösung Sicherheit vor Spam und Phishing-Angriffen gewährleistet. Im Mai 2020 führte jedoch eine Reihe von Phishing-Angriffen auf mehrere Versicherungsunternehmen im Nahen Osten, die Office 365 nutzen, zu erheblichen Datenverlusten und einer beispiellosen Anzahl von Sicherheitsverletzungen. Aus diesem Grund kann es ein großer Fehler sein, sich einfach auf die integrierten Sicherheitslösungen von Microsoft zu verlassen und keine externen Maßnahmen zum Schutz Ihrer Domain zu implementieren!

Während die integrierten Sicherheitslösungen von Office 365 Schutz vor eingehenden Sicherheitsbedrohungen und Phishing-Versuchen bieten können, müssen Sie dennoch sicherstellen, dass ausgehende Nachrichten, die von Ihrer eigenen Domäne gesendet werden, effektiv authentifiziert werden, bevor sie in den Posteingängen Ihrer Kunden und Partner landen. An dieser Stelle kommt DMARC ins Spiel.

Absicherung von Office 365 gegen Spoofing und Impersonation mit DMARC

Sicherheitslösungen, die mit der Office 365-Suite geliefert werden, fungieren als Spam-Filter, die Ihre Domain nicht vor Impersonation schützen können, was die Notwendigkeit von DMARC unterstreicht. DMARC existiert als DNS-TXT-Eintrag im DNS Ihrer Domain. Um DMARC für Ihre Domain zu konfigurieren, müssen Sie Folgendes tun:

Schritt 1: Identifizieren Sie gültige E-Mail-Quellen für Ihre Domain
Schritt 2: SPF für Ihre Domain einrichten
Schritt 3: Richten Sie DKIM für Ihre Domain ein
Schritt 4: Veröffentlichen Sie einen DMARC-TXT-Eintrag im DNS Ihrer Domain

Sie können den kostenlosen DMARC-Datensatz-Generator von PowerDMARC verwenden, um sofort einen Datensatz mit der korrekten Syntax zu erzeugen, den Sie in Ihrem DNS veröffentlichen und DMARC für Ihre Domain konfigurieren können. Beachten Sie jedoch, dass nur eine Durchsetzungsrichtlinie von "Ablehnen" Ihnen effektiv dabei helfen kann, Impersonationsangriffe und Domain-Missbrauch einzudämmen.

Aber ist die Veröffentlichung eines DMARC-Datensatzes genug? Die Antwort ist nein. Dies führt uns zu unserem letzten und abschließenden Segment, dem DMARC-Reporting und -Überwachung.

5 Gründe, warum Sie PowerDMARC bei der Verwendung von Microsoft Office365 benötigen

Microsoft Office 365 bietet Anwendern eine Vielzahl von Cloud-basierten Diensten und Lösungen zusammen mit integrierten Anti-Spam-Filtern. Doch trotz der verschiedenen Vorteile, sind dies die Nachteile, die Sie bei der Verwendung aus einer Sicherheitsperspektive sehen könnten:

  • Keine Lösung für die Validierung ausgehender Nachrichten, die von Ihrer Domain aus gesendet werden
  • Kein Berichtsmechanismus für E-Mails, die die Authentifizierungsprüfung nicht bestehen
  • Kein Einblick in Ihr E-Mail-Ökosystem
  • Kein Dashboard zur Verwaltung und Überwachung Ihres ein- und ausgehenden E-Mail-Flusses
  • Kein Mechanismus, der sicherstellt, dass Ihr SPF-Eintrag immer unter dem Limit von 10 Suchvorgängen liegt

DMARC-Berichterstattung und -Überwachung mit PowerDMARC

PowerDMARC lässt sich nahtlos in Office 365 integrieren und bietet Domain-Besitzern fortschrittliche Authentifizierungslösungen, die vor ausgeklügelten Social Engineering-Angriffen wie BEC und Direct-Domain-Spoofing schützen. Wenn Sie sich bei PowerDMARC anmelden, melden Sie sich für eine mandantenfähige SaaS-Plattform an, die nicht nur alle Best Practices für die E-Mail-Authentifizierung (SPF, DKIM, DMARC, MTA-STS, TLS-RPT und BIMI) vereint, sondern auch einen umfangreichen und detaillierten DMARC-Berichtsmechanismus bietet, der einen vollständigen Einblick in Ihr E-Mail-Ökosystem ermöglicht. DMARC-Berichte auf dem PowerDMARC-Dashboard werden in zwei Formaten erstellt:

  • Aggregierte Berichte
  • Forensische Berichte

Wir haben uns bemüht, die Authentifizierungserfahrung für Sie zu verbessern, indem wir verschiedene Branchenprobleme gelöst haben. Wir stellen die Verschlüsselung Ihrer DMARC-Forensikberichte sicher und zeigen aggregierte Berichte in 7 verschiedenen Ansichten an, um die Benutzerfreundlichkeit und Übersichtlichkeit zu verbessern. PowerDMARC hilft Ihnen, den E-Mail-Verkehr und Authentifizierungsfehler zu überwachen und bösartige IP-Adressen aus der ganzen Welt auf eine schwarze Liste zu setzen. Unser DMARC-Analysetool hilft Ihnen dabei, DMARC für Ihre Domain richtig zu konfigurieren und im Handumdrehen von der Überwachung zur Durchsetzung zu wechseln!