3 DMARC-Richtlinientypen: Keine, Quarantäne und Ablehnung
Die E-Mail-Authentifizierung ist aufgrund der zunehmenden Bedrohung durch die Nachahmung legitimer und bekannter Organisationen zu einer wichtigen Praxis im Bereich der Cybersicherheit geworden. Eine DMARC-Richtlinie, die im DNS des Absenders in einem einfachen TXT-Eintrag definiert ist, kann diese Bedenken erfolgreich ausräumen und die Zustellungsraten des Absenders verbessern.
Die DMARC-Richtlinie einer Domäne enthält Anweisungen für E-Mail-Empfänger, wie Nachrichten zu behandeln sind, die die Authentifizierungsprüfung nicht bestehen. Diese Richtlinie kann drei mögliche Aktionen festlegen:
- DMARC keine
- DMARC-Quarantäne
- DMARC ablehnen
Die DMARC-Richtlinie auf "Ablehnen" minimiert das Risiko von Domain-Missbrauch, Markenimitation, Phishing- und Spoofing-Angriffen erheblich.
DMARC für E-Mail-Authentifizierung und Schutz vor Spoofing
DMARC oder Domain-based Message Authentication, Reporting and Conformance, ist ein Protokoll zur Authentifizierung von E-Mails mit Hilfe von zwei anderen Protokollen, nämlich SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail). Domäneninhaber können DMARC mit einem dieser Protokolle oder mit beiden konfigurieren, um sich besser gegen Cyberangriffe zu schützen.
Um den Einrichtungsprozess zu starten, müssen Sie einige DNS-Änderungen vornehmen und DNS-Einträge für die Protokolle einfügen. Nach der Aktivierung überprüft Ihr DMARC-Richtlinieneintrag dann jede von Ihrem Domänennamen gesendete Nachricht anhand von SPF und DKIM, um festzustellen, ob sie von einer echten Quelle stammt, und entscheidet, was zu tun ist, wenn dies nicht der Fall ist.
Was ist eine DMARC-Richtlinie?
Eine DMARC-Richtlinie ist eine TXT-Anweisung, die durch das "p"-Tag im DMARC-Datensatz gekennzeichnet ist und den empfangenden E-Mail-Servern vorschreibt, welche Maßnahmen sie ergreifen sollen, wenn eine E-Mail die DMARC-Validierung nicht besteht. Ein Absender kann sich für verschiedene Richtlinien entscheiden, je nachdem, wie streng er möchte, dass die Empfänger nicht konforme E-Mails behandeln. Eine erzwungene DMARC-Richtlinie wie p=reject ist beispielsweise ein wirksames Mittel, um Bedrohungen wie Phishing, Spoofing und Domainnamen-Impersonation zu verringern, während p=none keine Wirkung hat.
3 Arten von DMARC-Richtlinien: p=Ablehnen, p=Keine, p=Quarantäne
Je nach dem Grad der Durchsetzung, den Domänenbesitzer einrichten wollen, gibt es 3 primäre DMARC-Richtlinientypen - keine, Quarantäne und Zurückweisung. Der Hauptunterschied zwischen diesen Richtlinienoptionen wird durch die Maßnahmen bestimmt, die der empfangende Mail-Transfer-Agent ergreift, wenn er sich an die vom Mail-Absender in seinem DNS-Eintrag definierte Richtlinie hält.
. Hier ist p der Parameter, der die DMARC-Richtlinie angibt:
- DMARC Keine: Eine "reine Überwachungsrichtlinie", die keinen Schutz bietet - gut für die Anfangsphase Ihres Einsatzes.
- DMARC Quarantäne: Markiert oder isoliert nicht autorisierte E-Mails.
- DMARC ablehnen: Sperrt den Zugang zum Posteingang für nicht autorisierte E-Mails
1. DMARC Keine Richtlinie
Die DMARC-Richtlinie none (p=none) ist eine entspannte DMARC-Richtlinie, die in der Anfangsphase der DMARC-Implementierung zur Überwachung von E-Mail-Aktivitäten eingesetzt wird und sich am besten für Unternehmen eignet, die gerade erst mit der Authentifizierung beginnen. Sie bietet keinen Schutz vor Cyberangriffen.
Beispiel: v=DMARC1; p=none; rua= mailto:(E-Mail Adresse);
Die wichtigsten Erkenntnisse:
- Das Hauptziel von Domäneninhabern, die sich für die Option "keine" entscheiden, sollte darin bestehen, Informationen über die sendenden Quellen zu sammeln und deren Kommunikation und Zustellbarkeit zu überwachen, ohne dass sie zu einer strengen Authentifizierung neigen. Dies kann daran liegen, dass sie noch nicht bereit sind, sich zur Durchsetzung zu verpflichten, und sich Zeit nehmen, die aktuelle Situation zu analysieren.
- Die empfangenden E-Mail-Systeme behandeln Nachrichten, die von Domänen gesendet werden, die mit dieser Richtlinie konfiguriert sind, als "no-action", d. h., selbst wenn diese Nachrichten DMARC nicht bestehen, werden keine Maßnahmen ergriffen, um sie zu verwerfen oder in Quarantäne zu stellen. Diese Nachrichten werden Ihre Kunden erfolgreich erreichen.
- DMARC-Berichte werden auch dann erstellt, wenn Sie "p=none" eingestellt haben. Die Empfänger übermitteln aggregierte Berichte an die Domänenbesitzer, die detaillierte Informationen zum Authentifizierungsstatus der Nachrichten enthalten, die von ihrer Domäne zu stammen scheinen.
2. DMARC-Quarantäne-Richtlinie
p=quarantine bietet ein gewisses Maß an Schutz, da der Domaininhaber den Empfänger auffordern kann, E-Mails in den Spam-Ordner zurückzuschieben, um sie später zu überprüfen, falls DMARC-Fehler.
Beispiel: v=DMARC1; p=quarantine; rua=mailto:(E-Mail Adresse);
Anstatt nicht authentifizierte E-Mails komplett zu verwerfen, bietet die "Quarantäne"-Richtlinie den Domaininhabern die Möglichkeit, die Sicherheit aufrechtzuerhalten und gleichzeitig die Option zu bieten, E-Mails zu überprüfen, bevor sie akzeptiert werden - nach dem Prinzip "erst prüfen, dann vertrauen".
Dadurch wird sichergestellt, dass legitime Nachrichten, die die DMARC-Authentifizierung nicht bestehen, nicht verloren gehen, bevor Sie sie genau geprüft haben. Dieser Ansatz kann in Bezug auf die Durchsetzung als Zwischenstufe betrachtet werden und erleichtert einen reibungslosen Übergang zu p=reject, bei dem die Domäneninhaber a) die Auswirkungen von DMARC auf Ihre E-Mail-Nachrichten bewerten und b) fundierte Entscheidungen darüber treffen können, ob sie die gekennzeichneten E-Mails verwerfen sollten oder nicht.
3. DMARC-Abweisungsrichtlinie
Die DMARC-Ablehnungsrichtlinie (p=reject) schließlich ist eine Durchsetzungsrichtlinie, die sicherstellt, dass Nachrichten, die die DMARC-Authentifizierung nicht bestehen, vom E-Mail-Server des Empfängers abgelehnt und verworfen werden, wodurch eine maximale Durchsetzung gewährleistet wird.
Beispiel: v=DMARC1; p=reject; rua= mailto:(E-Mail Adresse);
DMARC-Reject kann Phishing-Angriffe, Direct Domain Spoofing und andere betrügerische E-Mails verhindern, indem verdächtig erscheinende Nachrichten blockiert werden. Wenn Sie sich sicher sind, dass Sie unautorisierten E-Mails keinen Spielraum geben, indem Sie sie zur Überprüfung in einen separaten Ordner umleiten, ist die Richtlinie "Zurückweisen" für Sie geeignet.
Beachten Sie jedoch folgende Punkte:
- Testen und planen Sie gründlich, bevor Sie DMARC ablehnen
- Stellen Sie sicher, dass die Berichterstellung für Ihre Domäne aktiviert ist
- Idealerweise entscheiden Sie sich für eine gehostete DMARC-Lösung, um bei der DMARC-Implementierung und während der gesamten Durchsetzung Unterstützung von Experten zu erhalten.
Vorteile der Durchsetzung Ihrer DMARC-Richtlinie
Lassen Sie uns die Vorteile einer strengen DMARC-Richtlinie für Ihre Domäne näher betrachten:
1. Direkter Schutz vor Phishing und BEC
Wenn Sie DMARC abweisen, werden E-Mails aus nicht authentifizierten Quellen automatisch aussortiert, bevor sie in den Posteingang Ihres Empfängers gelangen - ein direkter Schutz gegen Phishing-Angriffe, die Gefährdung von Geschäfts-E-Mails und CEO-Betrug.
2. Die erste Verteidigungslinie gegen Ransomware und Malware
Ransomware und Malware werden oft über gefälschte E-Mails verbreitet, die von gefälschten Domänennamen versandt werden und Ihr Betriebssystem infiltrieren und vollständig übernehmen können. Eine DMARC-Richtlinie bei der Ablehnung stellt sicher, dass gefälschte E-Mails aus dem Posteingang Ihrer Kunden blockiert werden, bevor sie die Chance haben, auf schädliche Anhänge zu klicken und unwissentlich Ransomware oder Malware in ihr System herunterzuladen - und fungiert somit als elementare Verteidigungslinie gegen diese Angriffe.
Bester DMARC-Richtlinientyp
DMARC-Reject ist die beste DMARC-Richtlinie, wenn Sie Ihre Bemühungen um E-Mail-Sicherheit maximieren wollen. Denn bei p=reject blockieren die Domäneninhaber aktiv nicht autorisierte Nachrichten aus den Posteingängen ihrer Kunden. Dies bietet ein hohes Maß an Schutz gegen Direct-Domain-Spoofing, Phishing und andere Formen der Identitätsverschleierung und ist somit ein wirksamer Schutz vor Phishing.
- So überwachen Sie Ihre E-Mail-Kanäle: Wenn Sie lediglich Ihre Nachrichtentransaktionen und Sendequellen überwachen wollen, reicht ein DMARC mit p=none aus. Dies wird Sie jedoch nicht vor Cyberangriffen schützen.
- Zum Schutz vor Phishing- und Spoofing-Angriffen: Wenn Sie Ihre Domain vor Phishing-Angriffen und Direct-Domain-Spoofing schützen wollen, ist DMARC p=reject unerlässlich. Es bietet die höchste Stufe der DMARC-Durchsetzung und minimiert effektiv Impersonationsangriffe.
- Um verdächtige E-Mails zu überprüfen, bevor sie zugestellt werden: Wenn Sie unautorisierte E-Mails nicht vollständig blockieren möchten, können Sie Ihren Empfängern stattdessen erlauben, sie in ihrem Quarantäneordner zu überprüfen Ordner unter Verwendung einer DMARC-Quarantäne als Ihre beste Lösung.
Entlarvung gängiger DMARC-Richtlinien-Mythen
Es gibt einige weit verbreitete Missverständnisse über DMARC-Richtlinien, von denen einige schreckliche Folgen für Ihre Postzustellung haben können. Erfahren Sie, welche das sind und was die Wahrheit dahinter ist:
1. DMARC none kann Spoofing verhindern: DMARC none ist eine "no-action"-Richtlinie und kann Ihre Domain nicht vor Cyberangriffen schützen.
Welche DMARC-Richtlinie verhindert Spoofing?
Eine DMARC p=reject ist die einzige DMARC-Richtlinie, die Spoofing-Angriffe wirksam verhindert. Das liegt daran, dass DMARC-Reject nicht autorisierte E-Mails davon abhält, den Posteingang Ihres Empfängers zu erreichen, und ihn so daran hindert, schlechte E-Mails anzunehmen, zu öffnen und zu lesen.
2. Bei p=none erhalten Sie keine DMARC-Berichte: Auch bei p=none können Sie weiterhin tägliche DMARC-Berichte erhalten, indem Sie einfach eine gültige E-Mail-Adresse für den Absender angeben.
3. DMARC "Quarantäne" ist nicht wichtig: Oft wird übersehen, dass die Quarantäne-Richtlinie in DMARC für Domänenbesitzer, die einen reibungslosen Übergang vom Nichthandeln zur maximalen Durchsetzung anstreben, äußerst nützlich ist.
4. DMARC-Ablehnung wirkt sich auf die Zustellbarkeit aus: Selbst wenn DMARC abgelehnt wird, können Sie sicherstellen, dass Ihre Nachrichten problemlos zugestellt werden, indem Sie die Aktivitäten Ihrer Absender überwachen und analysieren und die Authentifizierungsergebnisse überprüfen.
Schritte zur Einrichtung Ihrer DMARC-Richtlinie
Schritt 1: Aktivieren Sie SPF oder DKIM für Ihre Domain, indem Sie Ihren freien Eintrag erstellen.
Schritt 2: Erstellen Sie einen DMARC-Eintrag mit unserem DMARC-Generator Werkzeug. Stellen Sie sicher, dass Sie den Parameter DMARC p= ausfüllen, um Ihre DMARC-Richtlinie wie im folgenden Beispiel zu definieren:
v=DMARC1; pct=100; p=ablehnen; rua=mailto:[email protected];
Schritt 3: Veröffentlichen Sie diesen Eintrag in Ihrem DNS
Fehler in der DMARC-Richtlinie beheben
Syntax-Fehler
Achten Sie beim Einrichten Ihres Datensatzes auf Syntaxfehler, um sicherzustellen, dass Ihr Protokoll korrekt funktioniert.
Fehler in der Konfiguration
Fehler bei der Konfiguration der DMARC-Richtlinie sind häufig und können durch die Verwendung eines DMARC-Prüfer Werkzeug.
DMARC sp-Richtlinie
Wenn Sie eine DMARC-Abweisungsrichtlinie konfigurieren, aber Ihre Subdomain-Richtlinien auf "keine" einstellen, können Sie die Konformität aufgrund einer Richtlinienüberschreibung für Ihre ausgehenden E-Mails nicht erreichen.
Fehler "DMARC-Richtlinie nicht aktiviert".
Wenn Sie diese Fehlermeldung in Ihren Berichten finden, deutet dies auf eine fehlende DMARC-Domänenrichtlinie in Ihrem DNS hin oder eine, die auf "none" eingestellt ist. Bearbeiten Sie Ihren Eintrag so, dass er p=reject/quarantine enthält, und das Problem sollte behoben sein.
Ein sicherer Weg zur Aktualisierung, Durchsetzung und Optimierung Ihrer DMARC-Richtlinie
PowerDMARCs DMARC-Analysator Plattform wurde entwickelt, um Sie bei der mühelosen Einrichtung des DMARC-Protokolls zu unterstützen und gleichzeitig eine Cloud-native Schnittstelle bereitzustellen, mit der Sie Ihren Datensatz mit wenigen Mausklicks überwachen und optimieren können. Lassen Sie uns die wichtigsten Vorteile erkunden:
Ein fließender Übergang von p=kein zu p=ablehnen
Der umfangreiche Berichtsmechanismus von PowerDMARC bietet 7 Ansichten und Filtermechanismen für Ihre DMARC-Aggregate-Berichte auf dem DMARC-Analyzer-Dashboard, um Ihre E-Mail-Flüsse effektiv zu überwachen, während Sie auf DMARC none.
Aktualisieren und ändern Sie Ihre DMARC-Richtlinienmodi
Mit unserer gehosteten DMARC-Funktion können Sie Ihre DMARC-Richtlinienmodi aktualisieren, auf p=reject umstellen und Ihr Protokoll effektiv und in Echtzeit überwachen, ohne Ihre DNS-Verwaltungskonsole zu betreten.
Unterstützung mit weißer Hand
Unser rund um die Uhr aktives Support-Team hilft Ihnen, einen reibungslosen Übergang von einer lockeren zu einer erzwungenen DMARC-Richtlinie zu organisieren, um Ihre Sicherheit zu maximieren und gleichzeitig die Zustellbarkeit zu gewährleisten.
Benutzerdefinierte Alarme
Richten Sie benutzerdefinierte E-Mail-Warnungen ein, um bösartige Aktivitäten zu erkennen und schneller gegen Bedrohungen vorzugehen.
Kontaktieren Sie uns um eine DMARC-Richtlinie zu implementieren und Ihre Ergebnisse einfach zu überwachen!
- Web-Sicherheit 101 - Best Practices und Lösungen - November 29, 2023
- Was ist E-Mail-Verschlüsselung und welche Arten gibt es? - 29. November 2023
- Was ist MTA-STS? Richten Sie die richtige MTA-STS-Richtlinie ein - 25. November 2023