Beiträge

Die E-Mail-Authentifizierung ist ein wichtiger Aspekt der Arbeit eines E-Mail-Providers. E-Mail-Authentifizierung, auch bekannt als SPF und DKIM, überprüft die Identität eines E-Mail-Anbieters. DMARC ergänzt den Prozess der Verifizierung einer E-Mail, indem es prüft, ob eine E-Mail von einer legitimen Domain durch Abgleich gesendet wurde, und den empfangenden Servern vorgibt, wie auf Nachrichten zu reagieren ist, die die Authentifizierungsprüfung nicht bestehen. Heute werden wir die verschiedenen Szenarien besprechen, die Ihre Frage beantworten würden, warum DMARC fehlschlägt.

DMARC ist eine wichtige Aktivität in Ihrer E-Mail-Authentifizierungsrichtlinie, um zu verhindern, dass gefälschte "Spoofed"-E-Mails transaktionale Spam-Filter passieren. Aber es ist nur eine Säule eines umfassenden Anti-Spam-Programms und nicht alle DMARC-Berichte sind gleich. Einige geben Aufschluss über die genaue Aktion, die der Empfänger einer Nachricht durchgeführt hat, während andere nur angeben, ob eine Nachricht erfolgreich war oder nicht. Zu verstehen, warum eine Nachricht fehlgeschlagen ist, ist genauso wichtig wie zu wissen, ob sie es war. Der folgende Artikel erläutert die Gründe, aus denen Nachrichten die DMARC-Authentifizierungsprüfung nicht bestehen. Dies sind die häufigsten Gründe (von denen einige leicht behoben werden können), aus denen Nachrichten die DMARC-Authentifizierungsprüfungen nicht bestehen können.

Häufige Gründe, warum Nachrichten an DMARC scheitern können

Die Identifizierung, warum DMARC fehlschlägt, kann kompliziert sein. Ich werde jedoch einige typische Gründe und die Faktoren, die dazu beitragen, erläutern, damit Sie als Domain-Besitzer auf eine schnellere Behebung des Problems hinarbeiten können.

Fehler bei der DMARC-Ausrichtung

DMARC nutzt den Domain-Abgleich, um Ihre E-Mails zu authentifizieren. Das bedeutet, dass DMARC prüft, ob die in der Absenderadresse (im sichtbaren Header) genannte Domäne authentisch ist, indem sie mit der im verborgenen Return-path-Header (für SPF) und DKIM-Signatur-Header (für DKIM) genannten Domäne abgeglichen wird. Wenn beides übereinstimmt, besteht die E-Mail DMARC, andernfalls schlägt DMARC fehl.

Wenn Ihre E-Mails DMARC nicht bestehen, kann es sich also um einen Domain-Fehlalarm handeln. Das heißt, dass weder SPF- noch DKIM-Kennungen übereinstimmen und die E-Mail von einer nicht autorisierten Quelle zu stammen scheint. Dies ist jedoch nur einer der Gründe, warum DMARC fehlschlägt.

DMARC-Ausrichtungsmodus 

Ihr Protokollausrichtungsmodus spielt ebenfalls eine große Rolle dabei, ob Ihre Nachrichten DMARC passieren oder nicht. Sie können zwischen den folgenden Ausrichtungsmodi für die SPF-Authentifizierung wählen:

  • Entspannt: Dies bedeutet, dass wenn die Domain im Return-path-Header und die Domain im From-Header einfach organisatorisch übereinstimmen, auch dann SPF passieren wird.
  • Streng: Dies bedeutet, dass SPF nur dann erfolgreich ist, wenn die Domain im Return-path-Header und die Domain im From-Header exakt übereinstimmen.

Sie können zwischen den folgenden Ausrichtungsmodi für die DKIM-Authentifizierung wählen:

  • Entspannt: Dies bedeutet, dass, wenn die Domäne in der DKIM-Signatur und die Domäne im Absender-Header einfach organisatorisch übereinstimmen, auch dann DKIM passieren wird.
  • Streng: Dies bedeutet, dass DKIM nur dann erfolgreich ist, wenn die Domäne in der DKIM-Signatur und die Domäne im Von-Header exakt übereinstimmen.

Beachten Sie, dass für E-Mails, die die DMARC-Authentifizierung passieren, entweder SPF oder DKIM übereinstimmen müssen.  

Keine DKIM-Signatur einrichten 

Ein sehr häufiger Fall, in dem Ihr DMARC fehlschlägt, ist, dass Sie keine DKIM-Signatur für Ihre Domain angegeben haben. In solchen Fällen weist Ihr E-Mail-Austauschdienstanbieter Ihren ausgehenden E-Mails eine Standard-DKIM-Signatur zu, die nicht mit der Domäne in Ihrem Von-Header übereinstimmt. Der empfangende MTA kann die beiden Domänen nicht abgleichen und daher schlägt DKIM und DMARC für Ihre Nachricht fehl (wenn Ihre Nachrichten sowohl mit SPF als auch mit DKIM abgeglichen sind).

Keine Sendequellen zu Ihrem DNS hinzufügen 

Es ist wichtig zu beachten, dass, wenn Sie DMARC für Ihre Domain einrichten, die empfangenden MTAs DNS-Abfragen durchführen, um Ihre Sendequellen zu autorisieren. Das bedeutet, dass, wenn Sie nicht alle autorisierten Sendequellen im DNS Ihrer Domain aufgelistet haben, Ihre E-Mails DMARC für die Quellen, die nicht aufgelistet sind, nicht zustellen, da der Empfänger sie nicht in Ihrem DNS finden kann. Um sicherzustellen, dass Ihre legitimen E-Mails immer zugestellt werden, sollten Sie daher alle autorisierten E-Mail-Drittanbieter, die berechtigt sind, E-Mails im Namen Ihrer Domain zu versenden, in Ihrem DNS eintragen.

Im Falle einer E-Mail-Weiterleitung

Bei der E-Mail-Weiterleitung durchläuft die E-Mail einen Zwischenserver, bevor sie schließlich an den Empfangsserver zugestellt wird. Bei der E-Mail-Weiterleitung schlägt die SPF-Prüfung fehl, da die IP-Adresse des zwischengeschalteten Servers nicht mit der des sendenden Servers übereinstimmt, und diese neue IP-Adresse wird normalerweise nicht in den SPF-Eintrag des ursprünglichen Servers aufgenommen. Im Gegensatz dazu hat die Weiterleitung von E-Mails in der Regel keinen Einfluss auf die DKIM-E-Mail-Authentifizierung, es sei denn, der zwischengeschaltete Server oder die weiterleitende Instanz nimmt bestimmte Änderungen am Inhalt der Nachricht vor.

Da wir wissen, dass SPF bei der E-Mail-Weiterleitung unweigerlich versagt, wird die weitergeleitete E-Mail bei der DMARC-Authentifizierung als illegitim eingestuft, wenn die sendende Quelle DKIM-neutral ist und sich ausschließlich auf SPF zur Validierung verlässt. Um dieses Problem zu lösen, sollten Sie sich sofort für eine vollständige DMARC-Compliance in Ihrem Unternehmen entscheiden, indem Sie alle ausgehenden Nachrichten sowohl mit SPF als auch mit DKIM abgleichen und authentifizieren, denn damit eine E-Mail die DMARC-Authentifizierung besteht, muss die E-Mail entweder die SPF- oder die DKIM-Authentifizierung und den Abgleich bestehen.

Ihre Domain wird gespoofed

Wenn Sie Ihre DMARC-, SPF- und DKIM-Protokolle ordnungsgemäß für Ihre Domain konfiguriert haben, Ihre Richtlinien durchgesetzt sind und gültige fehlerfreie Datensätze vorliegen, und das Problem keiner der oben genannten Fälle ist, dann ist der wahrscheinlichste Grund, warum Ihre E-Mails DMARC nicht bestehen, dass Ihre Domain gespoofed oder gefälscht wird. Dies ist der Fall, wenn Imitatoren und Bedrohungsakteure versuchen, E-Mails zu versenden, die scheinbar von Ihrer Domain kommen, indem sie eine bösartige IP-Adresse verwenden.

Aktuelle E-Mail-Betrugsstatistiken haben ergeben, dass E-Mail-Spoofing-Fälle inletzter Zeit zunehmen und eine sehr große Bedrohung für den Ruf Ihres Unternehmens darstellen. In solchen Fällen, wenn Sie DMARC auf einer Ablehnungsrichtlinie implementiert haben, wird diese fehlschlagen und die gefälschte E-Mail wird nicht in den Posteingang des Empfängers zugestellt. Daher kann Domain-Spoofing die Antwort darauf sein, warum DMARC in den meisten Fällen fehlschlägt.

Wir empfehlen Ihnen, sich bei unserem kostenlosen DMARC Analyzer anzumelden und mit dem DMARC Reporting und Monitoring zu beginnen.

  • Mit einer "none"-Richtlinie können Sie Ihre Domain mit DMARC (RUA) Aggregate Reports überwachen und Ihre ein- und ausgehenden E-Mails genau im Auge behalten, was Ihnen hilft, auf unerwünschte Zustellungsprobleme zu reagieren
  • Danach helfen wir Ihnen bei der Umstellung auf eine durchgesetzte Richtlinie, die Ihnen letztendlich dabei hilft, Immunität gegen Domain-Spoofing und Phishing-Angriffe zu erlangen
  • Mit Hilfe unserer Threat Intelligence-Engine können Sie bösartige IP-Adressen notieren und direkt von der PowerDMARC-Plattform aus melden, um zukünftigen Impersonation-Angriffen zu entgehen
  • Die DMARC (RUF) Forensic Reports von PowerDMARC helfen Ihnen, detaillierte Informationen über Fälle zu erhalten, in denen Ihre E-Mails DMARC nicht bestanden haben, so dass Sie dem Problem auf den Grund gehen und es beheben können

Verhindern Sie Domain-Spoofing und überwachen Sie Ihren E-Mail-Verkehr mit PowerDMARC, noch heute!

Wenn eine E-Mail vom sendenden Server direkt an den empfangenden Server gesendet wird, authentifizieren SPF und DKIM (wenn sie korrekt eingerichtet sind) die E-Mail normalerweise und validieren sie in der Regel effektiv als legitim oder nicht autorisiert. Das ist jedoch nicht der Fall, wenn die E-Mail einen zwischengeschalteten Mailserver durchläuft, bevor sie an den Empfänger zugestellt wird, wie z. B. im Fall von weitergeleiteten Nachrichten. In diesem Blog möchten wir Ihnen die Auswirkungen von E-Mail-Weiterleitungen auf die DMARC-Authentifizierungsergebnisse erläutern.

Wie wir bereits wissen, nutzt DMARC zwei Standard-E-Mail-Authentifizierungsprotokolle, nämlich SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail), um eingehende Nachrichten zu validieren. Lassen Sie uns diese kurz besprechen, um ein besseres Verständnis für ihre Funktionsweise zu bekommen, bevor wir uns damit beschäftigen, wie Weiterleitungen sie beeinflussen können.

Rahmen der Senderichtlinie

SPF ist in Ihrem DNS als TXT-Eintrag vorhanden und zeigt alle gültigen Quellen an, die berechtigt sind, E-Mails von Ihrer Domain zu versenden. Jede E-Mail, die Ihre Domain verlässt, hat eine IP-Adresse, die Ihren Server und den von Ihrer Domain verwendeten E-Mail-Dienstanbieter identifiziert, der in Ihrem DNS als SPF-Eintrag eingetragen ist. Der Mailserver des Empfängers validiert die E-Mail anhand Ihres SPF-Eintrags, um sie zu authentifizieren, und markiert die E-Mail entsprechend als SPF pass oder fail.

DomainKeys Identifizierte Mail

DKIM ist ein Standard-E-Mail-Authentifizierungsprotokoll, das eine kryptografische Signatur, die mit einem privaten Schlüssel erstellt wird, zur Validierung von E-Mails im Empfangsserver zuweist, wobei der Empfänger den öffentlichen Schlüssel aus dem DNS des Absenders abrufen kann, um die Nachrichten zu authentifizieren. Ähnlich wie SPF existiert auch der öffentliche Schlüssel von DKIM als TXT-Eintrag im DNS des Domaininhabers.

Der Einfluss der E-Mail-Weiterleitung auf Ihre DMARC-Authentifizierungsergebnisse

Bei der E-Mail-Weiterleitung durchläuft die E-Mail einen Zwischenserver, bevor sie schließlich an den Empfangsserver zugestellt wird. Zunächst ist es wichtig zu wissen, dass die E-Mail-Weiterleitung auf zwei Arten erfolgen kann - entweder können E-Mails manuell weitergeleitet werden, was keinen Einfluss auf die Authentifizierungsergebnisse hat, oder sie können automatisch weitergeleitet werden, wobei das Authentifizierungsverfahren einen Schlag erleidet, wenn die Domain den Eintrag für die zwischengeschaltete Sendequelle nicht in ihrem SPF hat.

Natürlich schlägt die SPF-Prüfung bei einer E-Mail-Weiterleitung in der Regel fehl, da die IP-Adresse des zwischengeschalteten Servers nicht mit der des sendenden Servers übereinstimmt und diese neue IP-Adresse normalerweise nicht im SPF-Eintrag des ursprünglichen Servers enthalten ist. Im Gegenteil, die Weiterleitung von E-Mails hat normalerweise keinen Einfluss auf die DKIM-E-Mail-Authentifizierung, es sei denn, der zwischengeschaltete Server oder die weiterleitende Instanz nimmt bestimmte Änderungen am Inhalt der Nachricht vor.

Beachten Sie, dass eine E-Mail, um die DMARC-Authentifizierung zu bestehen, entweder die SPF- oder DKIM-Authentifizierung und den Abgleich bestehen muss. Da wir wissen, dass SPF bei der E-Mail-Weiterleitung unweigerlich versagt, wird die weitergeleitete E-Mail bei der DMARC-Authentifizierung als illegitim eingestuft, wenn die sendende Quelle DKIM-neutral ist und sich ausschließlich auf SPF zur Validierung verlässt.

Die Lösung? Ganz einfach. Sie sollten sich sofort für eine vollständige DMARC-Compliance in Ihrem Unternehmen entscheiden, indem Sie alle eingehenden Nachrichten sowohl mit SPF als auch DKIM abgleichen und authentifizieren!

Erreichen der DMARC-Konformität mit PowerDMARC

Es ist wichtig zu beachten, dass zur Erreichung der DMARC-Konformität E-Mails entweder gegen SPF oder DKIM oder beides authentifiziert werden müssen. Wenn die weitergeleiteten Nachrichten jedoch nicht gegen DKIM validiert werden und sich nur auf SPF zur Authentifizierung verlassen, wird DMARC unweigerlich scheitern, wie in unserem vorherigen Abschnitt beschrieben. Aus diesem Grund hilft Ihnen PowerDMARC dabei, eine vollständige DMARC-Konformität zu erreichen, indem es E-Mails sowohl gegen SPF- als auch gegen DKIM-Authentifizierungsprotokolle effektiv abgleicht und authentifiziert. Selbst wenn authentische weitergeleitete Nachrichten SPF nicht bestehen, kann die DKIM-Signatur verwendet werden, um sie als legitim zu validieren, und die E-Mail besteht die DMARC-Authentifizierung und landet anschließend im Posteingang des Empfängers.

Außergewöhnliche Fälle: DKIM-Fehler und wie man ihn behebt?

In bestimmten Fällen kann die weiterleitende Instanz den E-Mail-Body verändern, indem sie Anpassungen an den MIME-Grenzen vornimmt, Anti-Virus-Programme implementiert oder die Nachricht neu kodiert. In solchen Fällen schlägt sowohl die SPF- als auch die DKIM-Authentifizierung fehl und die legitimen E-Mails werden nicht zugestellt.

Falls sowohl SPF als auch DKIM fehlschlagen, kann PowerDMARC dies identifizieren und in unseren detaillierten Aggregatansichten anzeigen. Protokolle wie Authenticated Received Chain können von Mailservern genutzt werden, um solche E-Mails zu authentifizieren. In ARC kann der Authentication-Results-Header an den nächsten "Hop" in der Kette der Nachrichtenzustellung weitergegeben werden, um Authentifizierungsprobleme bei der E-Mail-Weiterleitung effektiv zu entschärfen.

Wenn der E-Mail-Server des Empfängers eine Nachricht empfängt, deren DMARC-Authentifizierung fehlgeschlagen ist, versucht er im Falle einer weitergeleiteten Nachricht, die E-Mail ein zweites Mal anhand der bereitgestellten Authenticated Received Chain für die E-Mail zu validieren, indem er die ARC-Authentifizierungsergebnisse des ersten Sprungs extrahiert, um zu prüfen, ob sie als legitim validiert wurde, bevor der Vermittlungsserver sie an den empfangenden Server weitergeleitet hat.

Melden Sie sich also noch heute bei PowerDMARC an und erreichen Sie DMARC-Compliance in Ihrem Unternehmen!