Beiträge

Im Rahmen von DMARC gibt es eine Quarantäne-Richtlinie mit der Kennzeichnung p=quarantine, was bedeutet, dass E-Mails als Spam gekennzeichnet und dann zur Überprüfung an den Eigentümer der betreffenden Domäne weitergeleitet werden. Auf diese Weise werden die meisten Spoofing-Domains bereits im Vorfeld abgefangen. Dieser Leitfaden soll Ihnen helfen zu verstehen, was DMARC-Quarantäne ist und wie DMARC mit der p=Quarantäne-Richtlinie funktioniert.

Was ist die DMARC-Quarantäne?

DMARC-Quarantäne ist eine der drei DMARC-Richtlinien (die anderen beiden sind p=none und p=reject) die den E-Mail-Empfangsserver anweist, alle E-Mails, die die DMARC-Authentifizierung nicht bestehen, in den Spam-/Junk-Ordner des Empfängers zu verschieben.

Wenn Sie eine DMARC-Richtlinie auf p=quarantinefestlegen, teilen Sie den E-Mail-Servern mit, dass eine E-Mail, die die DMARC-Authentifizierung nicht besteht, vom Server unter Quarantäne gestellt werden soll. "Eine E-Mail in Quarantäne zu stellen bedeutet, dass sie weiterhin an den Posteingang des Empfängers zugestellt wird, aber als verdächtig gekennzeichnet und an den Spam-Ordner (oder "Junk-Mail") des Empfängers statt an den Posteingang gesendet wird.

Hier erfahren Sie, wie Sie Ihren Spam-Ordner in GMAIL finden können.

Ein DMARC-Datensatz mit der Quarantäne-Richtlinie kann wie folgt aussehen:

v=DMARC1; p=Quarantäne; rua=mailto:[email protected];

Wie wird die DMARC-Quarantäne-Richtlinie ausgeführt?

Eine Quarantäne-Richtlinie bedeutet, dass E-Mail-Anbieter, die Nachrichten von Ihrer Seite erhalten, mit DMARC prüfen, ob die Nachricht die DKIM- oder SPF-Authentifizierung bestanden hat, und sie prüfen auch, ob die in der Adresse gefundene Domäne mit den Domänen übereinstimmt, die entweder im SPF- oder DKIM-Kennungsabgleich gefunden wurden. Wenn die Kriterien erfüllt sind, stellt der E-Mail-Anbieter Ihre Nachricht an den Posteingang des Benutzers zu. Sind diese Kriterien jedoch nicht erfüllt, legt der E-Mail-Anbieter Ihre Nachricht im Spam-Ordner ab oder lehnt sie ganz ab.

Eine schrittweise Analyse der Funktionsweise der DMARC-Quarantäne-Richtlinie

1. Wenn eine E-Mail gesendet wird, prüft der Empfänger, ob ein DMARC-Eintrag vorhanden ist.

2. Wenn die Nachricht SPF oder DKIM nicht besteht, wird sie auf der Grundlage der Parameter für die Domänenausrichtung im DMARC-Datensatz bewertet, die mit der DMARC-Prüfung übermittelt werden. Die Domänenausrichtung bezieht sich darauf, ob die Domäne in einer Absenderadresse mit der Domäne in einem SPF-Datensatz übereinstimmt oder nicht.

3. Die durch eine DMARC-Richtlinie definierten Behandlungsoptionen basieren darauf, wie eng die Nachricht mit einer sendenden Domäne verbunden ist.

4. Wenn der Absender die Authentifizierung besteht, wird die Nachricht wie üblich zugestellt.

5. Im Gegenteil, wenn sie nicht genau übereinstimmt, wird die angewandte DMARC-Richtlinie (in unserem Fall p=quarantine) ausgeführt.

6. Die DMARC p=Quarantäne-Richtlinie weist den empfangenden Server an, E-Mails, die die DMARC-Authentifizierung nicht bestehen, als verdächtig zu behandeln; sie werden nicht direkt in den Posteingang des Benutzers zugestellt, aber auch nicht vollständig verworfen. Sie werden in einem Spam- oder Junk-Ordner abgelegt oder auf irgendeine Weise gekennzeichnet, damit der Benutzer weiß, dass die E-Mail nicht authentisch ist.

Bedeutung der DMARC-Quarantäne-Richtlinie

DMARC ist ein wirksames Mittel, um E-Mail-Spoofing zu verhindern, und die Quarantäne-Richtlinie ist eine gute Möglichkeit, Ihren Posteingang zu schützen, ohne dass Sie Ihr System großartig verändern müssen.

Verwendung von p=quarantine teilt Ihrem empfangenden Mailserver mit, dass alle E-Mails, die nicht Ihren Domänennamen im Feld "Von" (oder einem anderen festgelegten Kriterium) enthalten, standardmäßig unter Quarantäne gestellt werden sollen.

Zum Beispiel:

Wenn ein Spammer versucht, eine E-Mail von "[email protected]" zu senden, aber nicht über die notwendigen Informationen verfügt, um sie mit DKIM oder SPF zu signieren, wird die E-Mail unter Quarantäne gestellt und nicht zugestellt. Dies schützt Ihren Posteingang vor einer Vielzahl unerwünschter Nachrichten.

Die Quarantäne-Richtlinie ist auch deshalb so nützlich, weil sie die Zahl der Fehlalarme reduziert. Da Sie den empfangenden E-Mail-Server lediglich anweisen, alle E-Mails in Quarantäne zu stellen, die nicht den festgelegten Kriterien entsprechen, müssen Sie sich keine Gedanken darüber machen, welche E-Mails bösartig sind und welche aus legitimen Quellen stammen.

DMARC Quarantäne Bedeutung erklärt mit einem Beispiel

Nehmen wir an, Sie sind Personalreferent in einem Unternehmen namens Akme. Eines Tages schickt Ihnen Ihr Chef eine E-Mail, in der er Sie bittet, 1.000 Dollar auf das Bankkonto eines Lieferanten namens Dynamic Corp. zu überweisen.

Sie haben noch nie von diesem Anbieter gehört. Sie glauben nicht einmal, dass Ihr Unternehmen mit Anbietern zusammenarbeitet!

Da die Nachricht aber von der E-Mail-Adresse Ihres Chefs und nicht von einem beliebigen Konto stammt, gehen Sie davon aus, dass sie echt ist. Also überweisen Sie das Geld.

Am nächsten Tag fragt Ihr Chef, warum Sie DynamicCorp 1.000 Dollar geschickt haben. Sie sagen ihm, dass Sie dachten, er hätte Sie darum gebeten. Er sagt Ihnen, dass die fragliche E-Mail von jemandem geschickt wurde, der sich als er ausgab, und dass er Sie nie um diese Zahlung gebeten hat!

Mit der DMARC-Quarantäne-Richtlinie passiert das nicht. Wenn Akme eine DMARC-Quarantäne-Richtlinie über das DMARC-Protokoll eingerichtet hat (durch Veröffentlichung eines DMARC-TXT-Eintrags), wird, wenn jemand die Akme-Domäne fälscht und eine E-Mail wie diese sendet, die vorgibt, von Akme HR zu stammen, der Posteingang des Empfängers die Nachricht als Spam oder Junk-Mail kennzeichnen und das Problem verhindern, bevor es überhaupt beginnen kann.

Empfohlener Prozentsatz der unter Quarantäne gestellten Nachrichten im DMARC-Datensatz

Wenn Sie Ihren DMARC-Eintrag einrichten, sollten Sie daran denken, dass durch die Quarantäne-Aktion einige gute E-Mails verloren gehen können. Hier kommt der Prozentwert ins Spiel - er teilt den empfangenden Mailservern mit, welcher Prozentsatz der E-Mails als Spam behandelt werden soll. Das bedeutet, dass von 100 E-Mails nur [x] unter Quarantäne gestellt werden.

Für kleine Unternehmen empfehlen wir einen Wert von 10 %. Das heißt, wenn Ihnen jemand eine E-Mail schickt, die die DMARC-Prüfung nicht besteht, besteht nur eine Wahrscheinlichkeit von 1:10, dass sie als Spam unter Quarantäne gestellt wird. Auf diese Weise verringern Sie das Risiko, legitime Nachrichten zu verlieren, und können gleichzeitig Ihre DMARC-Einrichtung an echten E-Mails testen.

Für große Organisationen empfehlen wir einen viel niedrigeren Prozentsatz - etwa 1 %. Für große Unternehmen bedeutet dies, dass eine E-Mail, die eine DMARC-Authentifizierung nicht besteht, mit einer Wahrscheinlichkeit von 1:100 als Spam unter Quarantäne gestellt wird. Wenn Sie eine große Organisation leiten, müssen Sie möglicherweise bestimmten Absendern allein aufgrund ihrer IP-Adresse oder ihres Domänennamens vertrauen, z. B. wenn sich Ihr Bürogebäude in einem Gemeinschaftsraum befindet und eine einzige IP-Adresse für alle Mieter hat.

Ein Beispiel für einen DMARC-Datensatz mit dem Prozent-Tag:

 

v=DMARC1; p=Quarantäne; pct=10%; adkim=r; aspf=r; rua=mailto:[email protected];

pct= steht für den Prozentsatz der E-Mails, die in die Stichprobe aufgenommen werden sollen. Wenn Sie also ein pct-Tag mit der Angabe 100 verwenden, wird jede E-Mail in die Stichprobe aufgenommen. Wenn Sie ein pct-Tag mit der Angabe 10 verwenden, wird 1 von 10 E-Mails erfasst.

p=keine VS p=Quarantäne VS p=ablehnen

  • p=none bedeutet einfach, dass Ihre Empfängerserver E-Mails überwachen, die von Ihrer Domäne kommen, aber keine Nachrichten blockieren, die möglicherweise betrügerisch sind. Dies ist eine gute Möglichkeit, um mit der Überwachung auf Betrug zu beginnen, aber es trägt nicht so viel dazu bei, ihn zu verhindern. 
  • Mit p=quarantine teilen Sie den Empfängerservern mit, dass sie alle von Ihrer Domäne gesendeten E-Mails, die die SPF- oder DKIM-Prüfungen nicht bestehen, in den Spam-Ordner ihres Posteingangs verschieben sollen, statt in ihren normalen Posteingang. 
  • p=reject geht noch einen Schritt weiter und weist den Empfängerserver an, alle von Ihrer Domäne gesendeten E-Mails, die die SPF- oder DKIM-Prüfungen nicht bestehen, abzulehnen. Das bedeutet, dass diese E-Mails niemals den Posteingang (oder sogar den Spam-Ordner) des Benutzers, der sie erhält, erreichen werden.

Wir hoffen, Sie haben verstanden, was DMARC-Quarantäne ist und wie sie funktioniert. Wenn Sie mehr über DMARC erfahren möchten, bietet PowerDMARC eine Reihe von Tools, die Ihnen dabei helfen. Diese umfassen einen DMARC-Bericht-Analysator der Ihren aktuellen DMARC-Datensatz zusammenfasst und bestehende Probleme aufdeckt, sowie einen SPF-Generator mit dem Sie kostenlos Ihre eigenen SPF-Einträge für Ihre Domain erstellen können.