Beiträge

DMARC Mit der Subdomain-Delegation können Domaininhaber Subdomains oder eine Top-Level-Domain DMARC-konform an einen Dritten delegieren. Dies kann dazu beitragen, dass der Domänenname des Eigentümers in der Absenderadresse erscheint.

Wenn Sie Subdomänen an einen DNS-Anbieter delegieren, wird die delegierte Organisation für alle DNS-Anfragen im Zusammenhang mit diesen Subdomänen verantwortlich. Die delegierte Organisation hat auch Zugriff auf die MX-Einträge und TXT-Einträge der Subdomäne, obwohl sie diese Einstellungen nicht sehen kann, es sei denn, sie sind speziell dafür konfiguriert.

Was ist die Delegation von DNS-Zonen?

DNS-Delegation ist der Prozess, bei dem ein DNS-Server einen anderen DNS-Server ermächtigt, autorisierende Aktionen im Namen dieses Servers durchzuführen. Dies ermöglicht eine effizientere Ressourcennutzung, insbesondere bei groß angelegten Einsätzen.

Wenn Ihr Unternehmen beispielsweise über Hunderte von Servern an vielen verschiedenen Standorten verfügt, möchten Sie vielleicht die Befugnisse für diese Server delegieren, so dass nur ein Server für alle Datensätze in einer Zone zuständig ist. Das bedeutet, dass bei einem Ausfall eines Standorts die anderen Standorte immer noch in der Lage sind, ihre Nameserver aufzulösen und problemlos auf ihre Daten zuzugreifen.

Warum ist die Zonendelegation wichtig oder nützlich?

Die Delegation von DNS-Zonen ist ein wichtiger Bestandteil Ihrer DNS-Infrastruktur.

Die DNS-Zone oder Domäne ist eine Sammlung von einem oder mehreren DNS-Servern, die für eine bestimmte Domäne maßgebend sind. Wenn Sie einen einzigen DNS-Server haben, wird dieser als primärer DNS-Server bezeichnet. Wenn Sie mehrere DNS-Server haben, werden sie alle als sekundäre Server bezeichnet.

Mit der Zonendelegation können Sie einen oder mehrere Nameserver als sekundäre Server für die Zone bestimmen. Das Hauptziel der Zonendelegation, auf das Microsoft zu Recht in seinem Dokument zur Zonendelegationhervorgehoben hat, besteht darin, Redundanz in Ihrer DNS-Umgebung zu schaffen und es Ihnen zu ermöglichen, neue Nameserver hinzuzufügen oder deren Konfiguration zu ändern, ohne den Rest Ihres Netzwerks zu beeinträchtigen.

Was bedeutet Subdomain-Delegation?

Die Subdomain-Delegation ist eine gute Möglichkeit, die Kontrolle über Ihre Domain an eine andere Person oder Einrichtung zu delegieren. Sie wird auch als Subdomain-Transfer, Subdomain-Verwaltung und Subdomain-Proxy bezeichnet und kann für viele verschiedene Zwecke eingesetzt werden.

Was bedeutet die Subdomain-Delegation für Sie?

Wenn Sie Ihre Domain delegieren, erteilen Sie einer anderen Person die Erlaubnis, Ihre Domain in Ihrem Namen zu verwalten. Das bedeutet, dass die Person, die Ihre Domain erhält, damit machen kann, was sie will - sei es das Hinzufügen zusätzlicher Domains oder das Ändern von DNS-Einstellungen oder sogar das Löschen der gesamten Domain. Es ist ihre Entscheidung!

Wie funktioniert die Subdomain-Delegation?

Subdomains sind genau wie normale Domains: Sie haben Namen und eine IP-Adresse. Der Unterschied zwischen einer Domäne und einer Subdomäne besteht darin, dass Subdomänen unter einem anderen Domänennamen stehen (z. B. "beispiel.com"). Um sie effektiv nutzen zu können, benötigen Sie drei Dinge: einen Hostnamen, der mit dem ursprünglichen Domänennamen übereinstimmt, eine IP-Adresse, die mit der bei der Einrichtung der ursprünglichen Domäne zugewiesenen Adresse übereinstimmt (die mit der aktuellen Adresse übereinstimmen kann, aber nicht muss), und Zugriffsrechte, die von demjenigen erteilt werden, der die Domäne kontrolliert. 

Macht die DMARC-Subdomain-Delegation Ihr Leben einfacher?

Es gibt mehrere Gründe, warum Sie Ihre Subdomains an einen Drittanbieter delegieren sollten. Nachfolgend sind einige von ihnen aufgeführt: 

  • Sie möchten, dass die Identität und der Name Ihrer Domäne in den E-Mails erscheint, die Dritte über ihre Nameserver versenden.
  • Ihre E-Mails sind DMARC-konform, da sie von Ihrer Domain zu stammen scheinen, und da Sie die volle Kontrolle über die Subdomain haben, können Sie DNS-Änderungen nach Belieben vornehmen.
  • Alle E-Mails, die von Nameservern mit Ihren delegierten Subdomains stammen, passieren SPF Autorisierung und somit DMARC
  • Dadurch wird eine reibungslose und ununterbrochene E-Mail-Zustellung gewährleistet. 

Wie delegiert man eine Subdomain an einen Drittanbieter?

Hinweis: Für die Delegation einer Subdomain benötigen Sie eine Subdomain, die bei Ihrem derzeitigen DNS-Anbieter registriert ist, sowie die Nameserver-Informationen des Dritten.

  • Melden Sie sich beim Kontrollpanel Ihrer DNS-Registrierungsstelle an 
  • Erstellen Sie in Ihrer DNS-Zonendatei einen neuen NS-Eintrag (Nameserver) 
  • Geben Sie in das Feld Name den Namen Ihrer Subdomain ein, in das Feld Wert Ihre Nameserver-Informationen, gefolgt von einem Punkt (.), und eine TTL von 1800 oder 3600 
  • Speichern Sie die Änderungen an Ihrem Eintrag und warten Sie, bis Ihr DNS die Änderungen aktualisiert hat.

Auf die gleiche Weise können Sie die Subdomain an alle Nameserver Ihres Drittanbieters delegieren. 

Um die Delegation der Subdomain abzuschließen, müssen Sie Ihre Subdomain zur DNS-Zonendatei Ihres Drittanbieters hinzufügen - fertig! 

DMARC-Konformität und Ihre Drittanbieter 

Indem Sie Ihre Drittanbieter DMARC-kompatibel machen, können Sie sicherstellen, dass Sie keine falsch-negativen E-Mails erhalten. Oftmals wird eine legitime E-Mail auf der Empfängerseite nicht zugestellt und als Spam markiert, weil die Drittanbieter-Quellen für das DMARC-Protokoll falsch konfiguriert sind. 

Wir haben einen ganzen Blog darüber geschrieben wie Sie Ihre Drittanbieter DMARC-konform machen.

Für weitere Informationen, kontaktieren Sie uns und vereinbaren Sie noch heute einen kostenlosen Beratungstermin mit einem DMARC-Experten!

Die DKIM-Schlüsselrotation ist der Prozess der Aktualisierung Ihrer DKIM-Schlüssel. Sie sollten Ihre Schlüssel in regelmäßigen Abständen erneuern - der genaue Zeitraum ist nicht wichtig, wohl aber der Vorgang selbst. Warum sollten Sie das tun? Die Schlüsselrotation bezieht sich auf die Erstellung neuer Schlüssel und die Aktualisierung von DNS-Einträgen mit diesen neuen Schlüsseln. Der Zweck des Wechselns Ihrer DKIM-Schlüssel ist ähnlich dem, warum Sie Ihre Passwörter regelmäßig ändern: Es ist eine Sicherheitsmaßnahme, die Angreifer daran hindert, sich als Ihre Domäne auszugeben und Spam- oder Phishing-E-Mails zu versenden.

Werfen wir einen Blick darauf, warum Sie überhaupt DKIM-Schlüssel verwenden.

Warum verwenden Sie DKIM-Schlüssel?

DKIM steht für DomainKeys Identified Mail. Es ist eine Möglichkeit, eine zusätzliche Sicherheitsebene zu Ihrem E-Mail-Server hinzuzufügen, damit Ihre E-Mails nicht als Spam gekennzeichnet werden und in Spam-Ordnern landen. Am besten stellen Sie sich DKIM als eine verschlüsselte Kennung vor, die an Ihre Nachrichten angehängt wird, damit die Empfänger überprüfen können, ob die Nachricht tatsächlich von Ihnen, der Person, von der sie zu stammen vorgibt, gesendet wurde. Diese Kennung oder dieser Schlüssel ermöglicht es ihnen, dies zu überprüfen.

Wie funktioniert DKIM?

DKIM funktioniert durch Hinzufügen dieser Kennung zu jeder versandten E-Mail. Wenn jemand eine dieser E-Mails erhält, kann er in der Kopf- oder Fußzeile der Nachricht eine Zahlen- und Buchstabenfolge finden, bei der es sich um den verschlüsselten Bezeichner oder DKIM-Schlüssel handelt. Bevor eine E-Mail an den Empfänger gesendet wird, signiert der E-Mail-Server des Absenders jede E-Mail mit einer digitalen Signatur, die dann vom empfangenden E-Mail-Server überprüft wird. Dieser Vorgang beweist, dass die E-Mail in keiner Weise manipuliert oder verändert worden ist. 

Wenn Sie Ihre E-Mail senden, wird die Signatur als Kopfzeile am Ende der Nachricht angehängt. Die Empfängerserver verwenden öffentliche Schlüssel (die von den Domänenbesitzern über DNS-Einträge bereitgestellt werden), um diese Signaturen zu entschlüsseln und zu überprüfen.

Warum ist die DKIM-Schlüsselrotation wichtig für die Sicherheit Ihrer Domain?

DKIM-Schlüsselrotation bedeutet, dass Sie ein neues privates/öffentliches Schlüsselpaar zum Signieren und Authentifizieren Ihrer Nachricht verwenden und dann das alte private/öffentliche Schlüsselpaar nicht mehr verwenden.

Warum ist das wichtig? Wenn jemand in der Lage wäre, sich Zugang zu Ihrem privaten Schlüssel zu verschaffen, könnte er ihn nutzen, um betrügerische E-Mails zu versenden, die scheinbar von Ihnen stammen! Um diese Art von bösartigen Aktivitäten zu verhindern, sollten Sie Ihre Schlüssel alle paar Monate austauschen.

Um die Bedeutung der DKIM-Schlüsselrotation besser zu verstehen, sehen wir uns dieses Beispiel an: 

Nehmen wir an, Sie versenden eine E-Mail-Kampagne für einen Weihnachtsverkauf in Ihrem Geschäft. Sie verwenden Ihre DKIM-Schlüssel, um Ihre E-Mails zu signieren. Wenn Sie jedoch im Laufe der Zeit genügend E-Mails mit demselben Schlüsselpaar versenden, können böswillige Akteure irgendwann eine dieser E-Mails abfangen und entschlüsseln, da jede Nachricht denselben kryptografischen Hash-Algorithmus verwendet. Sobald sie in den Besitz Ihres öffentlichen Schlüssels gelangt sind, können sie ihre Phishing-E-Mails damit signieren, ohne dass Sie es merken! Aus diesem Grund ist die regelmäßige Rotation des DKIM-Schlüssels für die Sicherheit Ihrer Domain von entscheidender Bedeutung.

Wie können Sie Ihre DKIM-Schlüssel rotieren?

1. Manuelle DKIM-Schlüsselrotation

Sie können Ihre DKIM-Schlüssel von Zeit zu Zeit manuell erneuern, indem Sie neue Schlüssel für Ihre Domain erstellen. Führen Sie dazu die folgenden Schritte aus: 

  • Besuchen Sie unseren kostenlosen DKIM-Datensatz-Generator Werkzeug
  • Geben Sie die Informationen zu Ihrer Domain ein und tragen Sie den gewünschten DKIM-Selektor Ihrer Wahl ein 
  • Klicken Sie auf die Schaltfläche "Erzeugen". 
  • Kopieren Sie Ihr brandneues DKIM-Schlüsselpaar 
  • Der öffentliche Schlüssel wird in Ihrem DNS veröffentlicht und ersetzt Ihren bisherigen Eintrag
  • Der private Schlüssel muss entweder an Ihren E-Mail-Anbieter weitergegeben werden (wenn Sie Ihre E-Mails auslagern) oder auf Ihren E-Mail-Server hochgeladen werden (wenn Sie die E-Mail-Übertragung vor Ort durchführen). 

2. DKIM-Schlüsseldelegation für Unterdomänen

Domänenbesitzer können die DKIM-Schlüsselrotation auslagern, indem sie einen Dritten damit beauftragen. In diesem Fall delegiert der Inhaber der Domäne eine spezielle Subdomäne an einen E-Mail-Anbieter und bittet ihn, in seinem Namen ein DKIM-Schlüsselpaar zu erzeugen. Auf diese Weise können die Eigentümer den Aufwand für die DKIM-Schlüsselrotation umgehen, indem sie die Verantwortung an eine dritte Partei auslagern. 

Dies kann jedoch bei DMARC-Einträgen zu Problemen mit der Überschreibung von Richtlinien führen. Es wird empfohlen, dass rotierende Schlüssel von Domänencontrollern überwacht und überprüft werden, um eine reibungslose und fehlerfreie Bereitstellung zu gewährleisten. 

3. DKIM CNAME-Schlüsseldelegation

CNAME steht für canonical name und ist ein DNS-Eintrag, der auf Daten einer externen Domäne verweist. Die CNAME-Delegation ermöglicht es Domänenbesitzern, auf DKIM-Datensätze zu verweisen, die von einem externen Dritten verwaltet werden. Dies ähnelt der Delegation von Subdomains, da der Domänenbesitzer nur einige CNAME-Einträge in seinem DNS veröffentlichen muss, während die DKIM-Infrastruktur und die DKIM-Schlüsselrotation von der Drittpartei übernommen werden, auf die der Eintrag zeigt. 

Zum Beispiel, 

"domain.com" ist die Domäne, von der aus die E-Mails signiert werden sollen, und "third-party.com" ist der Anbieter, der die Signierung vornimmt. 

s1._domainkey.domain.com CNAME s1.domain.com.third-party.com

Der oben erwähnte CNAME-Eintrag muss im DNS des Domäneninhabers veröffentlicht werden. 

Jetzt hat s1.domain.com.third-party.com bereits einen DKIM-Eintrag in seinem DNS veröffentlicht, der wie folgt lauten kann: s1.domain.com.third-party.com TXT "v=DKIM1; p=MIG89hdg599...."

Diese Informationen werden verwendet, um E-Mails zu signieren, die von domain.com stammen. 

Hinweis: Sie müssen Folgendes veröffentlichen mehrere DKIM-Einträge (empfohlen: mindestens 3 CNAME-Einträge) mit verschiedenen Selektoren in Ihrem DNS veröffentlichen, um die DKIM-Schlüsselrotation zu ermöglichen. Dies ermöglicht es Ihrem Anbieter, während der Unterzeichnung zwischen den Schlüsseln zu wechseln und ihm alternative Optionen zu bieten.

4. Automatische DKIM-Schlüsselrotation

Die meisten E-Mail-Anbieter und Drittanbieter von E-Mail-Diensten ermöglichen die automatische DKIM-Schlüsselrotation für Kunden. Wenn Sie beispielsweise Office 365 für die Weiterleitung Ihrer E-Mails verwenden, wird es Sie freuen zu erfahren, dass Microsoft die automatische DKIM-Schlüsselrotation für seine Office 365-Nutzer unterstützt. 

Wir haben ein vollständiges Dokument zur Aktivierung der DKIM-Schlüsselrotation für Ihre Office 365-E-Mails in unserer Wissensdatenbank bereitgestellt. 

Vorteile der automatischen Rotation Ihrer DKIM-Schlüssel

  • Wenn Ihr Anbieter die automatische Rotation von DKIM-Schlüsseln zulässt, müssen Sie selbst nichts tun. Alles wird von ihm verwaltet. 
  • Manuelle Konfigurationen sind anfällig für menschliche Fehler.
  • Die automatische Schlüsseldrehung ist schnell und effektiv und erfordert keinen Eingriff Ihrerseits. 
  • Das DKIM-Verwaltungssystem ist vollständig ausgelagert und wird von einer Drittpartei verwaltet.

Einsatz einer DKIM-Schlüsselrotationsstrategie

Wir nennen es die "3 Ds der DKIM-Schlüsselrotation":

  • Diskutieren Sie 
  • Entscheiden Sie
  • Bereitstellung von 

Dies ist die Zusammenfassung einer effektiven DKIM-Schlüsselrotationsstrategie für Ihre Domänen. Wenn Sie einen Dienst eines Drittanbieters für Ihre E-Mails in Anspruch nehmen und Ihr Anbieter die Schlüsselrotation für Sie übernimmt, stellen Sie sicher, dass Sie eine offene und transparente Diskussion darüber führen, wann und wie häufig Sie Ihre Schlüssel rotieren wollen. Sie sollten ein Mitspracherecht bei den Zeitplänen und der Größe Ihres Selektorschlüssels haben (ob Sie 1024 Bit oder 2048 Bit für mehr Sicherheit verwenden wollen). 

Sobald die Diskussionsphase vorüber ist, müssen Sie und Ihr Anbieter gemeinsam entscheiden, welche Strategie Sie verfolgen wollen, und diese schließlich umsetzen.