DMARC verstehen und einrichten

Was ist DMARC

DMARC (Domain-based Message Authentication Reporting and Conformance) ist eine Methode zur Authentifizierung von E-Mail-Nachrichten. Eine DMARC-Richtlinie gibt dem empfangenden E-Mail-Server Anweisungen, wie er nach der Überprüfung der Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM) Einträge einer Domain verfahren soll – es handelt sich dabei um zusätzliche E-Mail-Authentifizierungsverfahren.

Mit DMARC können Sie festlegen, wie ein Empfänger-Server bei Verstößen gegen SPF und DKIM mit einer E-Mail umgehen soll, und zusätzlich können Sie Benachrichtigungen über solche Verstöße erhalten.

Anleitung:

Melden Sie sich im Suleitec Accountlogin  (technische Verwaltung) an und navigieren Sie zu Tools -> DNS-Einstellungen.

Wählen Sie die Domain aus, für die Sie DNS-Änderungen vornehmen möchten, und klicken Sie dann auf „Neuen DNS-Eintrag erstellen“.

DNS Tool

Als Name geben Sie „_dmarc“ an. Der DNS-Eintrag für DMARC hat den Typ „TXT“. Eine PRIO gibt es nicht. Der Eintrag bei Data kann z.b. so aussehen:

v=DMARC1; p=reject; rua=mailto:mail@ihre-domain.de; ruf=mailto:mail@ihre-domain.de; adkim=s; aspf=r

Parameter und Wert werden mit einem Gleichheitszeichen (=) ohne Leerzeichen dazwischen angegeben und mit einem Semikolon (;) abgeschlossen.

erforderliche Parameter:

v = DMARC-Version, muss den Wert „DMARC1“ enthalten und an erster Stelle stehen

p = Richtlinie für die Domain, wie ein Empfänger-Server bei Verstößen gegen SPF und DKIM mit einer E-Mail verfahren soll, es gibt folgende mögliche Werte:

none – keine Massnahmen
quarantine – betreffende E-Mail als suspekt behandeln und z. B. entsprechend markieren oder in den Spam Ordner verschieben
reject – betreffende E-Mail ablehnen

optionale Parameter:

sp = Richtlinie für die Subdomains

pct = die Anzahl der E-Mail-Nachrichten in Prozent, auf die die DMARC-Richtlinie angewendet werden soll, Standard sind 100 Prozent

rua = durch Komma getrennte Liste der E-Mail-Adressen, an die der Gesamtbericht gesendet werden soll

ri = max. Interval in Sekunden, der zwischen dem Versand der einzelnen Gesamtberichte bestehen darf, Standard sind „86400“ Sekunden = 24 Stunden

ruf = durch Komma getrennte Liste der E-Mail-Adressen, an die ein detaillierter Bericht zu den E-Mail-Nachrichten, die die DMARC-Auswertung nicht bestanden haben, gesendet werden soll

rf = Format für detaillierten Bericht, Standard und aktuell einziges unterstütztes Format ist „afrf“

fo = Optionen für den detaillierten Bericht, Optionen sind „0“, „1“, „d“ und „s“, mehrere Optionen werden durch Doppelpunkt getrennt,
z. B. „fo=0:s“, Standard ist „fo=0“

fo=0 – es wird ein Bericht erstellt, wenn gegen SPF und DKIM verstoßen wird
fo=1 – es wird ein Bericht erstellt, wenn gegen SPF oder DKIM verstoßen wird
fo=d – es wird ein Bericht erstellt, wenn gegen DKIM verstoßen wird
fo=s – es wird ein Bericht erstellt, wenn gegen SPF verstoßen wird

adkim = Abgleichmodus DKIM, Standard ist „r“

s (strict mode) – Domain aus DKIM Signatur und die Domain aus dem FROM des E-Mail-Headers müssen übereinstimmen
r (relaxed mode) – es kann auch eine Subdomain verwendet werden

aspf = Abgleichmodus SPF, Standard ist „r“

s (strict mode) – Domains aus dem FROM des E-Mail-Headers und des sogenannten SMTP-Umschlags müssen übereinstimmen
r (relaxed mode) – es kann auch eine Subdomain verwendet werden

zusätzlicher Hinweis zu „rua“ und „ruf“:

Wenn die E-Mail-Adressen für die Berichte zu einer anderen Domain gehören, dann benötigt diese andere Domain einen DNS-Eintrag als Einverständnis.

Der DMARC-Eintrag ist z. B. für die Domain example.com und die E-Mail-Adressen gehören zu ihre-domain.de, dann muss folgender DNS-Eintrag bei ihre-domain.de vorgenommen werden:

example.com._report._dmarc.ihre-domain.de    TXT    „v=DMARC1“

[kkratings]