Was ist eine DMARC-Richtlinie? Keine, Quarantäne und Zurückweisung

Da E-Mails weiterhin ein wichtiger Kommunikationskanal sind, wird die DMARC-Richtlinie für Unternehmen und Privatpersonen gleichermaßen immer wichtiger werden. DMARC steht für Domain-based Message Authentication, Reporting, and Conformance. Es stellt einen bedeutenden Fortschritt in der E-Mail-Sicherheit dar.

DMARC bietet den Inhabern von E-Mail-Domänen einen Rahmen für die Veröffentlichung von Richtlinien zur Authentifizierung ihrer E-Mails und trägt so zur Schaffung eines vertrauenswürdigeren E-Mail-Ökosystems bei. Die Implementierung von DMARC bedeutet, dass Unternehmen ihre Marke, Mitarbeiter und Kunden proaktiv vor E-Mail-basierten Bedrohungen schützen können.

DMARC ist zwar kein Allheilmittel für alle E-Mail-Sicherheitsprobleme, aber ein wichtiges Instrument im Kampf gegen Phishing- und E-Mail-Spoofing-Angriffe. In diesem Artikel erläutern wir die DMARC-Richtlinie, wie sie implementiert wird, die Herausforderungen und Vorteile und warum Sie sich für unsere gehostete DMARC-Lösung zur Implementierung der Richtlinie entscheiden sollten.

Was ist eine DMARC-Richtlinie?

Die DMARC-Richtlinie ist ein E-Mail-Validierungssystem, das das Domain Name System (DNS) verwendet, um den empfangenden E-Mail-Servern mitzuteilen, wie sie mit E-Mails umgehen sollen, die vorgeben, von Ihrer eigenen Domain zu stammen, aber die Authentifizierungsprüfung nicht bestehen. Sie wird durch das "p"-Tag im DMARC-Datensatz gekennzeichnet, das angibt, welche Maßnahmen Mailserver ergreifen sollen, wenn eine E-Mail die DMARC-Validierung nicht besteht.

Eine richtig umgesetzte Richtlinie kann Ihnen dabei helfen, festzulegen, wie streng Sie mit E-Mails umgehen wollen, die versuchen, sich als Ihre Marke auszugeben. Betrachten Sie es als einen Wachmann für Ihren Unternehmensbereich. Abhängig von Ihrer ID entscheidet der Wachmann, ob er Sie in das Gebäude (in diesem Fall den Posteingang Ihres Empfängers) einlässt. Er kann Sie daran hindern, das Gebäude zu betreten (abweisen), er kann Sie zur weiteren Überprüfung an einen speziellen Ort schicken (Quarantäne) oder er kann Sie einfach hineinlassen (keine).

Wenn Ihre DMARC-Richtlinie auf p=reject eingestellt ist, können Sie Spoofing, Phishing und den Missbrauch von Domänennamen verhindern, da sie wie ein Verbotsschild für böswillige Akteure wirkt, die versuchen, sich als Ihre Marke auszugeben.

Die 3 DMARC-Richtlinienoptionen: Keine, Quarantäne und Ablehnen

Es gibt drei Arten von DMARC-Richtlinien:

1. DMARC Keine:

Eine "Nur-Überwachungs"-Politik, die keinen Schutz bietet. Sie eignet sich für die Anfangsphase der Bereitstellung. E-Mails werden zugestellt, aber es werden Berichte für nicht authentifizierte Nachrichten erstellt. Im DMARC-Eintrag wird dies durch "p=none" gekennzeichnet.

2. DMARC-Quarantäne:

Verdächtige E-Mails werden gekennzeichnet und zur Überprüfung in den Spam-Ordner des Empfängers verschoben. Im DMARC-Datensatz wird dies durch "p=quarantine" gekennzeichnet.

3. DMARC ablehnen:

Die strengste Option weist die Empfangsserver an, nicht authentifizierte E-Mails vollständig zurückzuweisen. Im DMARC-Eintrag wird dies durch "p=reject" gekennzeichnet.

Welche Sie verwenden, hängt davon ab, welchen Grad der Durchsetzung Sie als Inhaber einer E-Mail-Domäne erreichen wollen. Der Hauptunterschied zwischen diesen Richtlinienoptionen wird durch die Maßnahmen bestimmt, die der empfangende Mail-Transfer-Agent ergreift, wenn er sich an die vom Mail-Absender in seinen DNS-Einträgen definierte Richtlinie hält.

Vereinfachen Sie die DMARC-Richtlinie mit PowerDMARC!

1. DMARC-Richtlinie: Keine

Die DMARC-Richtlinie none (p=none) ist ein entspannter Modus, der auf der Empfängerseite keine Aktion auslöst. Diese Richtlinie kann zur Überwachung von E-Mail-Aktivitäten verwendet werden und wird in der Regel während der anfänglichen DMARC-Implementierungsphase zur Überwachung und Datensammlung eingesetzt.

Sie bietet keinen Schutz vor Cyberangriffen und ermöglicht die Zustellung aller Nachrichten, unabhängig von den Authentifizierungsergebnissen. Diese Option wird im DMARC-Datensatz mit dem Tag "p=none" angegeben.

Beispiel: v=DMARC1; p=none; rua= mailto:(E-Mail-Adresse);

Keine Richtlinienimplementierung Use Cases

• Das Hauptziel von Domäneninhabern, die sich für die Option "keine" entscheiden, sollte darin bestehen, Informationen über die sendenden Quellen zu sammeln und deren Kommunikation und Zustellbarkeit zu überwachen, ohne dass sie zu einer strengen Authentifizierung neigen. Dies kann daran liegen, dass sie noch nicht bereit sind, sich zur Durchsetzung zu verpflichten, und sich Zeit nehmen, die aktuelle Situation zu analysieren.
• Die empfangenden E-Mail-Systeme behandeln Nachrichten, die von Domänen gesendet werden, die mit dieser Richtlinie konfiguriert sind, als "no-action", d. h., selbst wenn diese Nachrichten die DMARC-Richtlinie nicht erfüllen, werden keine Maßnahmen ergriffen, um sie zu verwerfen oder in Quarantäne zu stellen. Diese Nachrichten werden Ihre Kunden erfolgreich erreichen.
• DMARC-Berichte werden auch dann erstellt, wenn Sie "p=none" eingestellt haben. Der MTA des Empfängers sendet aggregierte Berichte an den Eigentümer der Organisationsdomäne, die detaillierte Informationen zum E-Mail-Authentifizierungsstatus für die Nachrichten enthalten, die von ihrer Domain zu stammen scheinen.

2. DMARC-Richtlinie: Quarantäne

Diese Option wird im DMARC-Datensatz mit dem Tag "p=quarantine" angegeben. p=quarantine bietet einen gewissen Schutz, da der Domänenbesitzer den Empfänger auffordern kann, E-Mails in den Spam- oder Quarantäneordner zurückzuschieben, um sie später zu überprüfen, fallsDMARC fehlschlägt.

Diese Richtlinie weist den empfangenden E-Mail-Server an, Nachrichten, die die DMARC-Authentifizierung nicht bestehen, mit Misstrauen zu behandeln. Sie wird oft als Zwischenschritt zwischen "keine" und "ablehnen" implementiert.

Beispiel: v=DMARC1; p=quarantine; rua=mailto:(E-Mail Adresse);

Anwendungsfälle für die Implementierung von Quarantänerichtlinien

• Anstatt nicht authentifizierte E-Mails komplett zu verwerfen, bietet die "Quarantäne"-Richtlinie den Domaininhabern die Möglichkeit, die Sicherheit aufrechtzuerhalten und gleichzeitig die Option zu bieten, E-Mails zu überprüfen, bevor sie akzeptiert werden - nach dem Prinzip "erst prüfen, dann vertrauen".
• Wenn Sie Ihre DMARC-Richtlinie in DMARC-Quarantäne ändern, wird sichergestellt, dass legitime Nachrichten, die die DMARC-Authentifizierung nicht bestehen, nicht verloren gehen, bevor Sie sie genau geprüft haben.
• Dieser Ansatz kann in Bezug auf die Durchsetzung als Zwischenstufe betrachtet werden und erleichtert einen reibungslosen Übergang zu p=reject, bei dem die Domäneninhaber die Möglichkeit haben:
  a) die Auswirkungen von DMARC auf ihre E-Mail-Nachrichten beurteilen zu können
  b) fundierte Entscheidungen darüber treffen zu können, ob sie die gekennzeichneten E-Mails verwerfen sollen oder nicht.
• Die Quarantäne-Richtlinie trägt auch dazu bei, den Posteingang zu entlasten, indem sie dafür sorgt, dass Ihr Posteingang nicht mit Nachrichten im Spam-Ordner überfüllt wird.

3. DMARC-Richtlinie: Ablehnen

Diese Option wird im DMARC-Eintrag mit "p=reject" angegeben. Dies ist die strengste Richtlinie, die den Empfängern vorschreibt, nicht authentifizierte Nachrichten zurückzuweisen.

Die Ablehnung der DMARC-Richtlinie sorgt für maximale Durchsetzung und stellt sicher, dass Nachrichten, die die DMARC-Prüfungen nicht bestehen, überhaupt nicht zugestellt werden. Die Richtlinie wird implementiert, wenn die Domäneneigentümer von ihrer E-Mail-Authentifizierungseinrichtung überzeugt sind.

Beispiel: v=DMARC1; p=reject; rua= mailto:(E-Mail Adresse);

Anwendungsfälle für die Implementierung von Ablehnungsrichtlinien

• Die Zurückweisung der DMARC-Richtlinie erhöht die Sicherheit Ihrer E-Mails. Sie kann Angreifer daran hindern, Phishing-Angriffe oder direktes Domain-Spoofing zu starten. Die DMARC-Abweisungsrichtlinie verhindert betrügerische E-Mails, indem sie verdächtig erscheinende Nachrichten blockiert.
• Wenn Sie sich sicher sind, dass Sie verdächtige Nachrichten nicht in Quarantäne stellen wollen, ist die Richtlinie "Ablehnen" für Sie geeignet.
• Es ist wichtig, gründlich zu testen und zu planen, bevor man sich für die Ablehnung von DMARC entscheidet.
• Vergewissern Sie sich, dass die DMARC-Berichterstattung für Ihre Domain aktiviert ist, wenn Sie DMARC ablehnen.
• Beginnen Sie bei der Durchsetzung mit p=none und gehen Sie dann langsam zu reject über, während Sie Ihre täglichen Berichte überwachen.

Andere DMARC-Richtlinien

DMARC bietet zusätzliche Richtlinienparameter zur Feinabstimmung der Implementierung.

1. Der Parameter percentage (pct=) ermöglicht eine schrittweise Einführung der Richtlinie, indem er den Anteil der Nachrichten angibt, die DMARC unterliegen.
   Zum Beispiel: pct=50 wendet die Richtlinie auf 50 % der Nachrichten an.
2. Die Subdomain-Richtlinie (sp=) ist ein Richtliniendatensatz, der separate Regeln für Subdomains festlegt. Er ist nützlich, wenn Subdomains unterschiedlich behandelt werden müssen.
   Zum Beispiel: v=DMARC1; p=reject; sp=quarantine; rua=mailto:[email protected]`

DMARC-Richtlinie richtig einrichten mit PowerDMARC!

Warum DMARC wichtig ist

E-Mails können leicht gefälscht werden, so dass es schwierig ist, die echte von einer gefährlichen Fälschung zu unterscheiden. An dieser Stelle kommt DMARC ins Spiel. DMARC ist wie ein E-Mail-Sicherheitskontrollpunkt, der die Identität des Absenders überprüft, bevor er die Nachrichten durchlässt. DMARC spielt eine entscheidende Rolle bei der Einhaltung von Vorschriften wie GDPR, HIPAA und PCI-DSS.

Forbes schätzt, dass die mit der Internetkriminalität verbundenen Kosten bis 2025 jährlich 10,5 Billionen Dollar erreichen werden . Verizon berichtet, dass mehr als 30 % aller Datenkompromittierungen auf Phishing-Angriffe zurückzuführen sind, was die Notwendigkeit eines leistungsstarken Schutzes wie DMARC unterstreicht.

Gemäß RFC 7489 der IETF hat DMARC die einzigartige Fähigkeit, E-Mail-Versendern die Möglichkeit zu geben, Präferenzen für die Authentifizierung festzulegen. Wenn Sie es aktivieren, können Sie auch Berichte über die E-Mail-Behandlung und potenziellen Domänenmissbrauch erhalten. Dadurch hebt sich DMARC in Bezug auf die Domänenvalidierung ab.

Wie unsere neuesten DMARC-Statistiken zeigen, ist eine beträchtliche Anzahl von Domains immer noch anfällig für Phishing-Angriffe, weil DMARC nicht implementiert ist.

Um den Einrichtungsprozess für DMARC zu starten, muss ein ordnungsgemäßer DNS geändert und DNS-TXT-Einträge für die Protokolle hinzugefügt werden. Die manuelle Implementierung des DMARC-Protokolls kann jedoch für technisch nicht versierte Benutzer recht komplex sein. Es kann sogar recht kostspielig werden, wenn Sie einen externen CISO mit der Verwaltung des Protokolls für Ihr Unternehmen beauftragen. Der DMARC-Analyzer von PowerDMARC ist daher eine einfache Alternative. Mit unserem DMARC-Analyzer automatisieren wir die Einrichtung Ihrer DMARC-Richtlinien und sparen Ihnen so Zeit und Geld.

DMARC-Berichtsoptionen

Zu den Berichtsoptionen für DMARC gehören:

• Aggregierte Berichte (rua=) für hochrangige Daten über Authentifizierungsergebnisse und Sendequellen.
• Forensische Berichte (ruf=) für detaillierte Informationen über Authentifizierungsfehler.

Diese Parameter ermöglichen es Unternehmen, wertvolle Erkenntnisse über die Ergebnisse der DMARC-Authentifizierung zu gewinnen, indem sie Aufschluss über die Anzahl der E-Mails geben, die die DMARC-Authentifizierung nicht bestehen oder bestehen. Ein DMARC-Bericht ist ebenfalls hilfreich:

1. für die Identifizierung potenzieller Probleme und Missbrauchsmuster
2. für das Erkennen von Fehlkonfigurationen in ihrer E-Mail-Einrichtung
3. um Einblicke in das E-Mail-Verhalten und den Postverkehr zu gewinnen
4. Überprüfen Sie die Authentifizierungsergebnisse für SPF- und DKIM-Protokolle

Gemeinsame Vorteile und Herausforderungen bei der DMARC-Implementierung

Während DMARC erhebliche Vorteile für die E-Mail-Sicherheit bietetbietet, stehen Unternehmen bei der Implementierung oft vor verschiedenen Herausforderungen. Aus diesem Grund entscheiden sich die meisten Kunden für unseren Hosted DMARC – einen Service, mit dem Sie Ihre DMARC-Lösung auf einer Cloud-Plattform einfach konfigurieren, überwachen und aktualisieren können.

Die Implementierung von DMARC-Richtlinien in einem realen Szenario erfolgt in der Regel nach einem stufenweisen Ansatz. Diese Methode ermöglicht es Unternehmen, ihre E-Mail-Sicherheit schrittweise zu erhöhen und gleichzeitig das Risiko zu minimieren, den legitimen E-Mail-Verkehr zu unterbrechen.

Sie können unserer Anleitung zur Implementierung von DMARC  als DIY-Richtlinie befolgen. Idealerweise sollten Sie sich jedoch für unsere gehostete DMARC-Lösung entscheiden, um Unterstützung von Experten zu erhalten. Unsere Experten begleiten Sie bei der DMARC-Implementierung und während der gesamten Durchsetzung.

Fehler in der DMARC-Richtlinie beheben

Bei der Verwendung von DMARC kann eine Fehlermeldung auftreten. Nachfolgend sind einige häufige DMARC-Richtlinienfehler aufgeführt:

• Syntax-Fehler: Achten Sie beim Einrichten Ihres Datensatzes auf Syntaxfehler, um sicherzustellen, dass Ihr Protokoll korrekt funktioniert.
• Fehler bei der Konfiguration: Fehler bei der Konfiguration der DMARC-Richtlinie sind keine Seltenheit und können durch die Verwendung eines DMARC-Prüfwerkzeugs vermieden werden.
• DMARC sp-Richtlinie: Wenn Sie eine DMARC-Ablehnungsrichtlinie konfigurieren, aber Ihre Subdomänenrichtlinien auf "keine" einstellen, können Sie die Konformität nicht erreichen. Dies liegt an einer Richtlinienüberschreibung für Ihre ausgehenden E-Mails.
• Fehler "DMARC-Richtlinie nicht aktiviert": Wenn Ihre Domäne diesen Fehler meldet, deutet dies auf eine fehlende DMARC-Domänenrichtlinie in Ihrem DNS oder eine, die auf "none" eingestellt ist. Bearbeiten Sie Ihren Eintrag so, dass er p=reject/quarantine enthält, und das Problem sollte behoben sein.

DMARC-Richtlinien-Durchsetzung mit PowerDMARC

Die DMARC-Analyseplattform von PowerDMARC hilft Ihnen, das DMARC-Protokoll mühelos einzurichten. Nutzen Sie unsere Cloud-native Schnittstelle zur Überwachung und Optimierung Ihrer Datensätze mit nur wenigen Mausklicks. Wenden Sie sich noch heute an uns, um eine DMARC-Richtlinie zu implementieren und Ihre Ergebnisse einfach zu überwachen!

DMARC-Richtlinie FAQs

Woher weiß ich, ob meine E-Mails DMARC-konform sind?

PowerDMARC-Kunden können ihre Konformität leicht beurteilen, indem sie die Dashboard-Zusammenfassung überprüfen. Sie können auch ihre aktuelle Sicherheitslage mit Hilfe von PowerAnalyzer analysieren.

Wie kann ich meine DMARC-Richtlinie ändern?

Sie können Ihre Richtlinie manuell ändern, indem Sie Ihre DNS-Verwaltung aufrufen. Dort müssen Sie Ihren DMARC-TXT-Eintrag bearbeiten. Eine einfachere Lösung ist die Verwendung unserer gehosteten Lösung, mit der Sie Änderungen an Ihrer Richtlinie mit einem einzigen Klick vornehmen können.

Was ist die Standard-DMARC-Richtlinie?

Wenn Sie unser DMARC-Generator-Tool verwenden, um Ihre Richtlinie hinzuzufügen, weisen wir "none" als Standardmodus zu. Bei der manuellen Implementierung müssen Sie Ihre Richtlinie im Feld "p=" definieren. Andernfalls wird Ihr Eintrag als ungültig betrachtet.

Welche DMARC-Richtlinie würden Sie verwenden, um eine E-Mail nicht anzunehmen, wenn die Nachricht die DMARC-Prüfung nicht besteht?

Um eine E-Mail abzulehnen, die die DMARC-Prüfung nicht besteht, würden Sie die Richtlinie p=reject verwenden.

Diese Richtlinie weist die empfangenden E-Mail-Server ausdrücklich an, alle Nachrichten, die die DMARC-Authentifizierung nicht bestehen, vollständig zu blockieren und die Zustellung zu verweigern. Die E-Mail wird nicht im Posteingang des Empfängers oder gar in seinem Spam-Ordner erscheinen. Wenn Sie die E-Mail dennoch an den Spam- oder Junk-Ordner senden möchten, können Sie p=quarantine verwenden.

Welcher DMARC-Datensatz

Ein DMARC-Eintrag ist ein einfacher Texteintrag (TXT) im DNS Ihrer Domäne. Er hilft bei der Festlegung Ihrer E-Mail-Authentifizierungsrichtlinie.

Er weist die empfangenden Mailserver an, E-Mails, die SPF- und DKIM-Prüfungen nicht bestehen, in Quarantäne zu stellen (Junk) oder zurückzuweisen. Der Eintrag teilt den Servern auch mit, wohin sie Sicherheitsberichte senden sollen.Beispiel: v=DMARC1; p=reject; rua=mailto:[email protected];

Welche DMARC-Richtlinie ist die beste?

Die beste Richtlinie für maximale Sicherheit ist p=reject, da sie alle nicht autorisierten E-Mails blockiert.

Die beste Strategie ist jedoch eine schrittweise Umsetzung:

1. Beginnen Sie mit p=none, um Berichte zu überwachen, ohne die Zustellbarkeit zu beeinträchtigen.
2. Wechseln Sie zu p=quarantine, um fehlgeschlagene E-Mails an Spam zu senden.
3. Beenden Sie den Vorgang mit p=reject erst, wenn Sie bereit sind (d. h. erst, wenn Sie sicher sind, dass alle legitimen E-Mails korrekt konfiguriert sind).

Unser Prozess der Inhalts- und Faktenüberprüfung

Dieser Beitrag wurde von einem Experten für Cybersicherheit verfasst. Er wurde von unserem internen Sicherheitsteam sorgfältig geprüft, um technische Genauigkeit und Relevanz zu gewährleisten. Alle Fakten wurden anhand der offiziellen IETF-Dokumentation überprüft. Verweise auf Berichte und Statistiken, die die Informationen untermauern, werden ebenfalls erwähnt.

• Über
• Neueste Beiträge

Maitham Al Lawati

Cybersecurity-Experte, CEO bei PowerDMARC

Maitham ist ein Tech-Unternehmer, Cybersecurity-Experte, CEO und Gründer von PowerDMARC mit mehr als 15 Jahren Branchenerfahrung. Maitham hat einen Global MBA von der University of Manchester und verschiedene berufliche Zertifizierungen, darunter CISSP, CISM, CRISC und ISC2 CCSP.

Neueste Beiträge von Maitham Al Lawati (alle anzeigen)

• SPF-Fehler: Was es bedeutet und wie man es behebt - 29. September 2025
• Richtlinie zur akzeptablen Nutzung: Schlüsselelemente und Beispiele - September 9, 2025
• Was ist CASB? Cloud Access Security Broker erklärt - 8. September 2025