Welche Arten von DMARC-Richtlinien gibt es?

DMARC bietet drei Richtlinienstufen: keine (überwachen), Quarantäne (verdächtig markieren) oder zurückweisen (unauthentifizierte E-Mails blockieren). Wählen Sie je nach gewünschtem Maß an E-Mail-Sicherheit.

Welche DMARC-Richtlinie sollten Sie verwenden und warum?

Die DMARC-Richtlinie, die Sie verwenden, hängt von dem gewünschten Durchsetzungsgrad und dem Zweck ab, dem Ihre Richtlinie dienen soll. Im Folgenden finden Sie einige Möglichkeiten, wie Sie Ihre DMARC-Richtlinie und ihre späteren Verwendungen nutzen können:

Was ist eine DMARC-Richtlinie: (Keine, Quarantäne, Ablehnung)

Da E-Mails weiterhin ein wichtiger Kommunikationskanal sind, wird die DMARC-Richtlinie für Unternehmen und Privatpersonen gleichermaßen immer wichtiger werden. DMARC steht für Domain-based Message Authentication, Reporting, and Conformance. Es stellt einen bedeutenden Fortschritt in der E-Mail-Sicherheit dar.

DMARC bietet den Inhabern von E-Mail-Domänen einen Rahmen für die Veröffentlichung von Richtlinien zur Authentifizierung ihrer E-Mails und trägt so zur Schaffung eines vertrauenswürdigeren E-Mail-Ökosystems bei. Die Implementierung von DMARC bedeutet, dass Unternehmen ihre Marke, Mitarbeiter und Kunden proaktiv vor E-Mail-basierten Bedrohungen schützen können.

DMARC ist zwar kein Allheilmittel für alle E-Mail-Sicherheitsprobleme, aber ein wichtiges Instrument im Kampf gegen Phishing- und E-Mail-Spoofing-Angriffe. In diesem Artikel erläutern wir die DMARC-Richtlinie, wie sie implementiert wird, die Herausforderungen und Vorteile und warum Sie sich für unsere gehostete DMARC-Lösung zur Implementierung der Richtlinie entscheiden sollten.

Wichtigste Erkenntnisse

DMARC ist ein wichtiges E-Mail-Authentifizierungsprotokoll, das zum Schutz von Domains vor Phishing und Spoofing beiträgt.
Zu den drei DMARC-Richtlinienoptionen gehören Keine, Quarantäne und Ablehnen, die jeweils unterschiedliche Grade der Durchsetzung bieten.
Die Implementierung von DMARC kann das Risiko von Phishing-Angriffen, die einen wesentlichen Beitrag zu Datenschutzverletzungen leisten, erheblich verringern.
Die DNS-Konfiguration für DMARC kann komplex sein und erfordert unter Umständen technisches Fachwissen für eine effektive Implementierung.
Der Einsatz automatisierter Lösungen wie PowerDMARC kann den DMARC-Einrichtungsprozess rationalisieren und die Überwachungs- und Berichtsfunktionen verbessern.

Was ist eine DMARC-Richtlinie?

Die DMARC-Richtlinie ist ein E-Mail-Validierungssystem, das das Domain Name System (DNS) verwendet, um den empfangenden E-Mail-Servern mitzuteilen, wie sie mit E-Mails umgehen sollen, die vorgeben, von Ihrer eigenen Domain zu stammen, aber die Authentifizierungsprüfung nicht bestehen. Sie wird durch das "p"-Tag im DMARC-Datensatz gekennzeichnet, das angibt, welche Maßnahmen Mailserver ergreifen sollen, wenn eine E-Mail die DMARC-Validierung nicht besteht.

Eine richtig umgesetzte Richtlinie kann Ihnen dabei helfen, festzulegen, wie streng Sie mit E-Mails umgehen wollen, die versuchen, sich als Ihre Marke auszugeben. Betrachten Sie es als einen Wachmann für Ihren Unternehmensbereich. Abhängig von Ihrer ID entscheidet der Wachmann, ob er Sie in das Gebäude (in diesem Fall den Posteingang Ihres Empfängers) einlässt. Er kann Sie daran hindern, das Gebäude zu betreten (abweisen), er kann Sie zur weiteren Überprüfung an einen speziellen Ort schicken (Quarantäne) oder er kann Sie einfach hineinlassen (keine).

Wenn Ihre DMARC-Richtlinie auf p=reject eingestellt ist, können Sie Spoofing, Phishing und den Missbrauch von Domänennamen verhindern, da sie wie ein Verbotsschild für böswillige Akteure wirkt, die versuchen, sich als Ihre Marke auszugeben.

Die 3 DMARC-Richtlinienoptionen: Keine, Quarantäne und Ablehnen

Es gibt drei Arten von DMARC-Richtlinien:

1. DMARC Keine:

Eine "Nur-Überwachungs"-Politik, die keinen Schutz bietet. Sie eignet sich für die Anfangsphase der Bereitstellung. E-Mails werden zugestellt, aber es werden Berichte für nicht authentifizierte Nachrichten erstellt. Im DMARC-Eintrag wird dies durch "p=none" gekennzeichnet.

2. DMARC-Quarantäne:

Verdächtige E-Mails werden gekennzeichnet und zur Überprüfung in den Spam-Ordner des Empfängers verschoben. Im DMARC-Datensatz wird dies durch "p=quarantine" gekennzeichnet.

3. DMARC ablehnen:

Die strengste Option weist die Empfangsserver an, nicht authentifizierte E-Mails vollständig zurückzuweisen. Im DMARC-Eintrag wird dies durch "p=reject" gekennzeichnet.

Which one you use depends on the level of enforcement email domain owners want to establish. The main difference between these policy options is determined by the action taken by the receiving mail transfer agent when adhering to the specified policy defined by the mail sender in their DNS records.
<

Vereinfachen Sie die DMARC-Richtlinie mit PowerDMARC!

15-Tage-Test Demo buchen

h2>1. DMARC-Richtlinie: Keine

Die DMARC-Richtlinie none (p=none) ist ein entspannter Modus, der auf der Empfängerseite keine Aktion auslöst. Diese Richtlinie kann zur Überwachung von E-Mail-Aktivitäten verwendet werden und wird in der Regel während der anfänglichen DMARC-Implementierungsphase zur Überwachung und Datensammlung eingesetzt.

Sie bietet keinen Schutz vor Cyberangriffen und ermöglicht die Zustellung aller Nachrichten, unabhängig von den Authentifizierungsergebnissen. Diese Option wird im DMARC-Datensatz mit dem Tag "p=none" angegeben.

Beispiel: v=DMARC1; p=none; rua= mailto:(E-Mail-Adresse);

Keine Richtlinienimplementierung Use Cases

Das Hauptziel von Domäneninhabern, die sich für die Option "keine" entscheiden, sollte darin bestehen, Informationen über die sendenden Quellen zu sammeln und deren Kommunikation und Zustellbarkeit zu überwachen, ohne dass sie zu einer strengen Authentifizierung neigen. Dies kann daran liegen, dass sie noch nicht bereit sind, sich zur Durchsetzung zu verpflichten, und sich Zeit nehmen, die aktuelle Situation zu analysieren.
Die empfangenden E-Mail-Systeme behandeln Nachrichten, die von Domänen gesendet werden, die mit dieser Richtlinie konfiguriert sind, als "no-action", d. h., selbst wenn diese Nachrichten die DMARC-Richtlinie nicht erfüllen, werden keine Maßnahmen ergriffen, um sie zu verwerfen oder in Quarantäne zu stellen. Diese Nachrichten werden Ihre Kunden erfolgreich erreichen.
DMARC-Berichte werden auch dann erstellt, wenn Sie "p=none" eingestellt haben. Der MTA des Empfängers sendet aggregierte Berichte an den Eigentümer der Organisationsdomäne, die detaillierte Informationen zum E-Mail-Authentifizierungsstatus für die Nachrichten enthalten, die von ihrer Domäne zu stammen scheinen.

2. DMARC-Richtlinie: Quarantäne

Diese Option wird im DMARC-Datensatz mit dem Tag "p=quarantine" angegeben. p=quarantine bietet einen gewissen Schutz, da der Domänenbesitzer den Empfänger auffordern kann, E-Mails in den Spam- oder Quarantäneordner zurückzuschieben, um sie später zu überprüfen, fallsDMARC fehlschlägt.

Diese Richtlinie weist den empfangenden E-Mail-Server an, Nachrichten, die die DMARC-Authentifizierung nicht bestehen, mit Misstrauen zu behandeln. Sie wird oft als Zwischenschritt zwischen "keine" und "ablehnen" implementiert.

Beispiel: v=DMARC1; p=quarantine; rua=mailto:(E-Mail Adresse);

Anwendungsfälle für die Implementierung von Quarantänerichtlinien

Anstatt nicht authentifizierte E-Mails komplett zu verwerfen, bietet die "Quarantäne"-Richtlinie den Domaininhabern die Möglichkeit, die Sicherheit aufrechtzuerhalten und gleichzeitig die Option zu bieten, E-Mails zu überprüfen, bevor sie akzeptiert werden - nach dem Prinzip "erst prüfen, dann vertrauen".
Wenn Sie Ihre DMARC-Richtlinie in DMARC-Quarantäne ändern, wird sichergestellt, dass legitime Nachrichten, die die DMARC-Authentifizierung nicht bestehen, nicht verloren gehen, bevor Sie sie genau geprüft haben.
Dieser Ansatz kann in Bezug auf die Durchsetzung als Zwischenstufe betrachtet werden und erleichtert einen reibungslosen Übergang zu p=reject, bei dem die Domäneninhaber die Möglichkeit haben:
a) die Auswirkungen von DMARC auf ihre E-Mail-Nachrichten beurteilen können
b) fundierte Entscheidungen darüber treffen können, ob sie die gekennzeichneten E-Mails verwerfen sollen oder nicht.
Die Quarantäne-Richtlinie trägt auch dazu bei, den Posteingang zu entlasten, indem sie dafür sorgt, dass Ihr Posteingang nicht mit Nachrichten im Spam-Ordner überfüllt wird.

3. DMARC-Richtlinie: Ablehnen

Diese Option wird im DMARC-Eintrag mit "p=reject" angegeben. Dies ist die strengste Richtlinie, die den Empfängern vorschreibt, nicht authentifizierte Nachrichten zurückzuweisen.

Die Ablehnung der DMARC-Richtlinie sorgt für maximale Durchsetzung und stellt sicher, dass Nachrichten, die die DMARC-Prüfungen nicht bestehen, überhaupt nicht zugestellt werden. Die Richtlinie wird implementiert, wenn die Domäneneigentümer von ihrer E-Mail-Authentifizierungseinrichtung überzeugt sind.

Beispiel: v=DMARC1; p=reject; rua= mailto:(E-Mail Adresse);

Anwendungsfälle für die Implementierung von Ablehnungsrichtlinien

Die Zurückweisung der DMARC-Richtlinie erhöht die Sicherheit Ihrer E-Mails. Sie kann Angreifer daran hindern, Phishing-Angriffe oder direktes Domain-Spoofing zu starten. Die DMARC-Abweisungsrichtlinie verhindert betrügerische E-Mails, indem sie verdächtig erscheinende Nachrichten blockiert.
Wenn Sie sich sicher sind, dass Sie verdächtige Nachrichten nicht in Quarantäne stellen wollen, ist die Richtlinie "Ablehnen" für Sie geeignet.
Es ist wichtig, gründlich zu testen und zu planen, bevor man sich für die Ablehnung von DMARC entscheidet.
Vergewissern Sie sich, dass die DMARC-Berichterstattung für Ihre Domäne aktiviert ist, wenn Sie DMARC ablehnen.
Beginnen Sie bei der Durchsetzung mit p=none und gehen Sie dann langsam zu reject über, während Sie Ihre täglichen Berichte überwachen.

Andere DMARC-Richtlinien

DMARC bietet zusätzliche Richtlinienparameter zur Feinabstimmung der Implementierung.

Der Parameter percentage (pct=) ermöglicht eine schrittweise Einführung der Richtlinie, indem er den Anteil der Nachrichten angibt, die DMARC unterliegen.
Zum Beispiel: pct=50 wendet die Richtlinie auf 50 % der Nachrichten an.
Die Subdomain-Richtlinie (sp=) ist ein Richtliniendatensatz, der separate Regeln für Subdomains festlegt. Er ist nützlich, wenn Subdomains unterschiedlich behandelt werden müssen.
Zum Beispiel: v=DMARC1; p=reject; sp=quarantine; rua=mailto:[email protected]`

DMARC-Richtlinie richtig einrichten mit PowerDMARC!

15-Tage-Test Demo buchen

Warum DMARC wichtig ist

E-Mails können leicht gefälscht werden, so dass es schwierig ist, die echte von einer gefährlichen Fälschung zu unterscheiden. An dieser Stelle kommt DMARC ins Spiel. DMARC ist wie ein E-Mail-Sicherheitskontrollpunkt, der die Identität des Absenders überprüft, bevor er die Nachrichten durchlässt.

Forbes schätzt, dass die mit der Internetkriminalität verbundenen Kosten bis 2025 jährlich 10,5 Billionen Dollar erreichen werden . Verizon berichtet, dass mehr als 30 % aller Datenkompromittierungen auf Phishing-Angriffe zurückzuführen sind, was die Notwendigkeit eines leistungsstarken Schutzes wie DMARC unterstreicht.

Gemäß RFC 7489 der IETF hat DMARC die einzigartige Fähigkeit, E-Mail-Versendern die Möglichkeit zu geben, Präferenzen für die Authentifizierung festzulegen. Wenn Sie es aktivieren, können Sie auch Berichte über die E-Mail-Behandlung und potenziellen Domänenmissbrauch erhalten. Dadurch hebt sich DMARC in Bezug auf die Domänenvalidierung ab.

Wie unsere neuesten DMARC-Statistiken zeigen, ist eine beträchtliche Anzahl von Domains immer noch anfällig für Phishing-Angriffe, weil DMARC nicht implementiert ist.

Um den Einrichtungsprozess für DMARC zu starten, muss ein ordnungsgemäßer DNS geändert und DNS-TXT-Einträge für die Protokolle hinzugefügt werden. Die manuelle Implementierung des DMARC-Protokolls kann jedoch für technisch nicht versierte Benutzer recht komplex sein. Es kann sogar recht kostspielig werden, wenn Sie einen externen CISO mit der Verwaltung des Protokolls für Ihr Unternehmen beauftragen. Der DMARC-Analyzer von PowerDMARC ist daher eine einfache Alternative. Mit unserem DMARC-Analyzer automatisieren wir die Einrichtung Ihrer DMARC-Richtlinien und sparen Ihnen so Zeit und Geld.

DMARC-Berichtsoptionen

Zu den Berichtsoptionen für DMARC gehören:

Aggregierte Berichte (rua=) für hochrangige Daten über Authentifizierungsergebnisse und Sendequellen.
Forensische Berichte (ruf=) für detaillierte Informationen über Authentifizierungsfehler.

Diese Parameter ermöglichen es Unternehmen, wertvolle Erkenntnisse über die Ergebnisse der DMARC-Authentifizierung zu gewinnen, indem sie Aufschluss über die Anzahl der E-Mails geben, die die DMARC-Authentifizierung nicht bestehen oder bestehen. Ein DMARC-Bericht ist ebenfalls hilfreich:

Identifizierung potenzieller Probleme und Missbrauchsmuster
Erkennen von Fehlkonfigurationen in ihrer E-Mail-Einrichtung
Gewinnen Sie Einblicke in das E-Mail-Verhalten und den Postverkehr
Überprüfen Sie die Authentifizierungsergebnisse für SPF- und DKIM-Protokolle

Gemeinsame Vorteile und Herausforderungen bei der DMARC-Implementierung

Während DMARC erhebliche Vorteile für die E-Mail-Sicherheit bietetbietet, stehen Unternehmen bei der Implementierung oft vor verschiedenen Herausforderungen. Das ist der Grund, warum sich die meisten Menschen für unser Gehostetes DMARC-einen Service, der Sie bei der Konfiguration, Überwachung und Aktualisierung Ihrer DMARC-Lösung einfach auf einer Cloud-Plattform zu konfigurieren.

Die Implementierung von DMARC-Richtlinien in einem realen Szenario erfolgt in der Regel nach einem stufenweisen Ansatz. Diese Methode ermöglicht es Unternehmen, ihre E-Mail-Sicherheit schrittweise zu erhöhen und gleichzeitig das Risiko zu minimieren, den legitimen E-Mail-Verkehr zu unterbrechen.

Sie können unserer Anleitung folgen wie man DMARC implementiert als DIY-Richtlinie durchsetzen. Idealerweise sollten Sie sich jedoch für unsere gehostete DMARC-Lösung entscheiden, um Unterstützung von Experten zu erhalten. Unsere Experten begleiten Sie bei der DMARC-Implementierung und während der gesamten Durchsetzung.

Fehler in der DMARC-Richtlinie beheben

Bei der Verwendung von DMARC kann eine Fehlermeldung auftreten. Nachfolgend sind einige häufige DMARC-Richtlinienfehler aufgeführt:

Syntax-Fehler: Achten Sie beim Einrichten Ihres Datensatzes auf Syntaxfehler, um sicherzustellen, dass Ihr Protokoll korrekt funktioniert.
Fehler bei der Konfiguration: Fehler bei der Konfiguration der DMARC-Richtlinie sind keine Seltenheit und können durch die Verwendung eines DMARC-Prüfwerkzeugs vermieden werden.
DMARC sp-Richtlinie: Wenn Sie eine DMARC-Ablehnungsrichtlinie konfigurieren, aber Ihre Subdomänenrichtlinien auf "keine" einstellen, können Sie die Konformität nicht erreichen. Dies liegt an einer Richtlinienüberschreibung für Ihre ausgehenden E-Mails.
Fehler "DMARC-Richtlinie nicht aktiviert": Wenn Ihre Domäne diesen Fehler meldet, deutet dies auf eine fehlende DMARC-Domänenrichtlinie in Ihrem DNS oder eine, die auf "none" eingestellt ist. Bearbeiten Sie Ihren Eintrag so, dass er p=reject/quarantine enthält, und das Problem sollte behoben sein.

DMARC-Richtlinien-Durchsetzung mit PowerDMARC

Die DMARC-Analyseplattform von PowerDMARC hilft Ihnen, das DMARC-Protokoll mühelos einzurichten. Nutzen Sie unsere Cloud-native Schnittstelle zur Überwachung und Optimierung Ihrer Datensätze mit nur wenigen Mausklicks. Wenden Sie sich noch heute an uns, um eine DMARC-Richtlinie zu implementieren und Ihre Ergebnisse einfach zu überwachen!

DMARC-Richtlinie FAQs

Woher weiß ich, ob meine E-Mails DMARC-konform sind?

PowerDMARC-Kunden können ihre Konformität leicht beurteilen, indem sie die Dashboard-Zusammenfassung überprüfen. Sie können auch ihre aktuelle Sicherheitslage mit Hilfe von PowerAnalyzer analysieren.

Wie kann ich meine DMARC-Richtlinie ändern?

Sie können Ihre Richtlinie manuell ändern, indem Sie Ihre DNS-Verwaltung aufrufen. Dort müssen Sie Ihren DMARC-TXT-Eintrag bearbeiten. Eine einfachere Lösung ist die Verwendung unserer gehosteten Lösung, mit der Sie Änderungen an Ihrer Richtlinie mit einem einzigen Klick vornehmen können.

Was ist die Standard-DMARC-Richtlinie?

Wenn Sie unser DMARC-Generator-Tool verwenden, um Ihre Richtlinie hinzuzufügen, weisen wir "none" als Standardmodus zu. Bei der manuellen Implementierung müssen Sie Ihre Richtlinie im Feld "p=" definieren. Andernfalls wird Ihr Eintrag als ungültig betrachtet.

Unser Prozess der Inhalts- und Faktenüberprüfung

Dieser Beitrag wurde von einem Experten für Cybersicherheit verfasst. Er wurde von unserem internen Sicherheitsteam sorgfältig geprüft, um technische Genauigkeit und Relevanz zu gewährleisten. Alle Fakten wurden anhand der offiziellen IETF-Dokumentation überprüft. Verweise auf Berichte und Statistiken, die die Informationen untermauern, werden ebenfalls erwähnt.

Über
Neueste Beiträge

Maitham Al Lawati

Cybersecurity-Experte, CEO bei PowerDMARC

Maitham ist ein Tech-Unternehmer, Cybersecurity-Experte, CEO und Gründer von PowerDMARC mit mehr als 15 Jahren Branchenerfahrung. Maitham hat einen Global MBA von der University of Manchester und verschiedene berufliche Zertifizierungen, darunter CISSP, CISM, CRISC und ISC2 CCSP.

Neueste Beiträge von Maitham Al Lawati (alle anzeigen)

Erstellen und Veröffentlichen eines DMARC-Datensatzes - 3. März 2025
Behebung von "Kein SPF-Eintrag gefunden" im Jahr 2025 - 21. Januar 2025
Wie man einen DMARC-Bericht liest - 19. Januar 2025

Was ist eine DMARC-Richtlinie? Keine, Quarantäne und Zurückweisung