Was ist ein DNS DMARC-Eintrag?

DMARC ist ein wichtiger Bestandteil der E-Mail-Sicherheit. DMARC-Richtlinien werden in DNS-TXT-Einträgen gespeichert.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Erklären, warum DMARC verwendet wird
  • Eine DMARC-Richtlinie beschreiben
  • Verstehen, wie DNS-TXT-Einträge für DMARC verwendet werden

Ähnliche Inhalte


Möchten Sie noch mehr erfahren?

Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!

Lesen Sie die Cloudflare Datenschutzrichtlinie, um zu erfahren, wie wir Ihre persönlichen Daten sammeln und verarbeiten.

Link zum Artikel kopieren

Kostenloses DNS – inkl. in jedem Cloudflare-Tarif

Was ist DMARC?

Domain-based Message Authentication Reporting and Conformance (DMARC) ist eine Methode zur Authentifizierung von E-Mail-Nachrichten. Eine DMARC-Richtlinie sagt einem empfangenden E-Mail-Server, was er tun soll, nachdem er die Einträge Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM) einer Domain überprüft hat – es handelt sich um zusätzliche E-Mail-Authentifizierungsmethoden.

DMARC und andere E-Mail-Authentifizierungsmethoden sind notwendig, um E-Mail-Spoofing zu verhindern. Jede E-Mail-Adresse hat eine Domain. Das ist der Teil der Adresse nach dem „@“-Symbol. Böswillige Akteure und Spammer versuchen manchmal, E-Mails von einer Domain zu senden, zu deren Verwendung sie nicht berechtigt sind – wie jemand, der eine falsche Absenderadresse auf einen Brief schreibt. Sie tun dies unter anderem, um Nutzer zu täuschen (wie bei einem Phishing-Angriff).

Zusammen funktionieren DMARC, DKIM und SPF wie eine Hintergrundprüfung von E-Mail-Absendern. Sie stellen sicher, dass sie wirklich diejenigen sind, für die sie sich ausgeben.

Schauen wir uns ein Beispiel an: Ein Spammer sendet eine E-Mail von der Adresse „trustworthy@example.com“, obwohl er nicht berechtigt ist, E-Mails von der Domain „example.com“ zu senden. Dafür würde der Spammer den Absender-Header in der E-Mail durch „trustworthy@example.com“ ersetzen – er würde keine E-Mail von dem tatsächlichen „example.com“-E-Mail-Server senden. E-Mail-Server, die diese E-Mail erhalten, können mithilfe von DMARC, SPF und DKIM erkennen, dass es sich um eine nicht autorisierte E-Mail handelt, und sie können die E-Mail-Nachricht als Spam markieren oder ihre Zustellung ganz verweigern.

Was ist eine DMARC-Richtlinie?

Eine DMARC-Richtlinie bestimmt, was mit einer E-Mail geschieht, nachdem sie mit SPF- und DKIM-Einträgen abgeglichen wurde. Eine E-Mail besteht entweder SPF und DKIM oder sie besteht sie nicht. Die DMARC-Richtlinie bestimmt, ob die E-Mail als Spam markiert, blockiert oder an den vorgesehenen Empfänger zugestellt wird. (E-Mail-Server können E-Mails immer noch als Spam markieren, wenn es keinen DMARC-Eintrag gibt, aber DMARC gibt dafür klarere Anweisungen).

Die Domainpolitik von example.com könnte lauten:

„Wenn eine E-Mail die DKIM- und SPF-Tests nicht besteht, wird sie als Spam markiert.“

Diese Richtlinien werden nicht in Form von menschenlesbaren Sätzen aufgezeichnet, sondern als maschinenlesbare Befehle. E-Mail-Dienste können sie dann automatisch interpretieren. Diese DMARC-Richtlinie würde eigentlich wie folgt aussehen:

v=DMARC1; p=quarantine; adkim=s; aspf=s;

Was bedeutet dies?

  • v=DMARC1 zeigt an, dass dieser TXT-Eintrag eine DMARC-Richtlinie enthält und von E-Mail-Servern als solche interpretiert werden sollte.
  • p=quarantine gibt an, dass E-Mail-Server „E-Mails, die DKIM und SPF nicht bestehen, unter Quarantäne stellen sollen“ und sie als potenziellen Spam betrachten. Andere mögliche Einstellungen hierfür sind p=none, was E-Mails, die nicht bestanden haben, trotzdem passieren lässt, und p=reject, was E-Mail-Server anweist, E-Mails, die nicht bestanden haben, zu blockieren.
  • adkim=s bedeutet, dass die DKIM-Prüfungen „strict“ sind. Dies kann auch auf „relaxed“ gesetzt werden, indem das s in ein r geändert wird, wie adkim=r.
  • aspf=s ist das Gleiche wie adkim=s, aber für SPF.
  • Beachten Sie, dass aspf und adkim optionale Einstellungen sind. Das Attribut p= gibt an, was E-Mail-Server mit E-Mails tun sollen, die SPF und DKIM nicht bestehen.

Möchte der example.com-Administrator diese Richtlinie noch strenger gestalten und den E-Mail-Servern stärker signalisieren, dass sie nicht autorisierte Nachrichten als Spam betrachten sollten, würde er das Attribut „p=“ wie folgt anpassen:

v=DMARC1; p=reject; adkim=s; aspf=s;

Im Wesentlichen heißt das: „Wenn eine E-Mail die DKIM- und SPF-Tests nicht besteht, darf sie nicht zugestellt werden.“

Was ist ein DMARC-Bericht?

DMARC-Richtlinien können Anweisungen zum Senden von Berichten erhalten. Die Berichte geben einen Überblick über E-Mails, die DKIM oder SPF bestanden oder nicht bestanden haben. In der Regel richten die Administratoren Berichte ein, die an einen Drittanbieterdienst gesendet werden. Er wandelt sie dann in eine verständlichere Form um, damit die Administratoren nicht mit Informationen überflutet werden. DMARC-Berichte sind äußerst wichtig, da Administratoren mithilfe dieser Informationen entscheiden, wie sie ihre DMARC-Richtlinien anpassen können – zum Beispiel, wenn ihre legitimen E-Mails SPF und DKIM nicht bestehen oder wenn ein Spammer versucht, illegale E-Mails zu versenden.

Der example.com-Administrator würde den rua-Teil dieser Richtlinie hinzufügen, um seine DMARC-Berichte an einen Drittanbieterdienst zu senden (mit einer E-Mail-Adresse „example@third-party-example.com“):

v=DMARC1; p=reject; adkim=s; aspf=s; rua=mailto:example@third-party-example.com;

Was ist ein DMARC-Eintrag?

Ein DMARC-Eintrag speichert die DMARC-Richtlinie einer Domain. DMARC-Einträge werden im Domain Name System (DNS) als DNS-TXT-Einträge gespeichert. Ein DNS-TXT-Eintrag kann fast jeden Text enthalten, den ein Domainadministrator mit seiner Domain verknüpfen möchte. DNS-TXT-Einträge werden u. a. zum Speichern von DMARC-Richtlinien verwendet.

(Beachten Sie: EIn DMARC-Eintrag ist ein DNS-TXT-Eintrag, der eine DMARC-Richtlinie enthält und ist keine spezielle Art von DNS-Eintrag.)

Die DMARC-Richtlinie von example.com könnte wie folgt aussehen:

Name Typ Inhalt TTL
_dmarc.example.com TXT v=DMARC1; p=quarantine; adkim=r; aspf=r; rua=mailto:example@third-party-example.com; 32600

In diesem TXT-Eintrag ist die DMARC-Richtlinie im Feld „Content“ enthalten.

Was ist mit Domains, die keine E-Mails versenden?

Domains, die keine E-Mails versenden, sollten dennoch einen DMARC-Eintrag haben, um Spammer von der Nutzung der Domain abzuhalten. Der DMARC-Eintrag sollte eine DMARC-Richtlinie enthalten, die alle E-Mails ablehnt, die SPF und DKIM nicht bestehen – also alle E-Mails, die von dieser Domain gesendet werden.

Mit anderen Worten: Wenn example.com nicht für den E-Mail-Versand konfiguriert wäre, würden keine der E-Mails SPF und DKIM bestehen und alle würden zurückgewiesen werden.

Der DNS-Assistent von Cloudflare Email Security macht es einfach, die korrekten DNS-TXT-Einträge einzurichten und Spammer davon abzuhalten, eine Domain zu benutzen. Lesen Sie hier darüber.

Erfahren Sie mehr über DNS-Einträge für E-Mail:

DMARC wird in RFC 7489 näher beschrieben.