Die Erstellung dieser spezifischen DNS-Einträge hilft, Domains, die keine E-Mails versenden, vor Domain-Spoofing-Angriffen zu schützen.
Nach Lektüre dieses Artikels können Sie Folgendes:
Link zum Artikel kopieren
Domains, die keine E-Mails versenden, können immer noch für E-Mail-Spoofing- oder Phishing-Angriffe verwendet werden, aber es gibt bestimmte Arten von DNS-Text (TXT)-Einträgen, mit denen sich Angreifer abwehren lassen. Jeder dieser Einträge legt Regeln fest, wie nicht autorisierte E-Mails von Mail-Servern behandelt werden sollen, sodass es für Angreifer schwieriger wird, diese Domains zu manipulieren.
Ein DNS-TXT-Eintrag ermöglicht es Domain-Administratoren, Text in das Domain Name System (DNS) einzugeben. DNS-TXT-Einträge werden für Prozesse wie E-Mail-Authentifizierung verwendet, da sie wichtige Informationen speichern können, anhand derer Server bestätigen, ob eine Domain einen E-Mail-Absender autorisiert hat, Nachrichten in ihrem Namen zu versenden oder nicht.
Beispiele für Domains, die keine E-Mails versenden, sind Domains, die zum Schutz eines Markennamens oder für ein zukünftiges Unternehmen gekauft wurden. Auch veraltete Domains haben keinen Grund, E-Mails zu versenden, und könnten von dieser Art von Einträgen profitieren.
Es gibt drei Haupttypen von DNS-TXT-Einträgen, die für E-Mail-Authentifizierung verwendet werden. Jeder von ihnen unterscheidet sich leicht in seiner Funktionsweise:
Da diese DNS-Einträge alle etwas anders funktionieren, ist jede ihrer Komponenten einzigartig.
SPF
SPF-Einträge können so formatiert werden, dass Domains vor versuchten Phishing-Angriffen geschützt werden, indem alle von der Domain gesendeten E-Mails zurückgewiesen werden. Zu diesem Zweck muss ein SPF-Eintrag das folgende Format verwenden:
v=spf1 -all
*Beachten Sie, dass SPF-Einträge direkt auf der Domain selbst eingestellt werden, d. h. sie benötigen keine spezielle Subdomain.
Hier sehen Sie, was die einzelnen Komponenten dieses Eintrags
v=spf1
teilt dem Server mit, dass der Eintrag eine SPF-Richtlinie enthält. Alle SPF-Einträge müssen mit dieser Komponente beginnen. -all
teilt dem Server mit, was er mit nicht konformen E-Mails oder Absendern, die nicht explizit im SPF-Eintrag aufgeführt sind, tun soll. Bei dieser Art von SPF-Eintrag sind keine IP-Adressen oder Domains erlaubt, sodass -all
besagt, dass alle nicht konformen E-Mails zurückgewiesen werden. Bei dieser Art von Eintrag werden alle E-Mails als nicht konform betrachtet, da es keine akzeptierten IP-Adressen oder Domains gibt. DKIM
DKIM-Einträge schützen Domains, indem sie sicherstellen, dass E-Mails tatsächlich vom Absender mit einem öffentlichen und einem privaten Schlüssel autorisiert wurden. DKIM-Einträge speichern den öffentlichen Schlüssel, den der E-Mail-Server dann verwendet, um zu authentifizieren, dass die E-Mail-Signatur vom Absender autorisiert wurde. Für Domains, die keine E-Mails versenden, sollte der DKIM-Eintrag ohne einen zugehörigen öffentlichen Schlüssel konfiguriert werden. Unten sehen Sie ein Beispiel:
Name | Typ | Inhalt |
---|---|---|
*._domainkey.example.com |
TXT |
v=DKIM1; p= |
*._domainkey.example.com
ist der spezielle Name für den DKIM-Eintrag (wobei „example.com“ durch Ihre Domain ersetzt werden sollte). In diesem Beispiel wird das Sternchen (Wildcard genannt) als Selektor verwendet. Dabei handelt es sich um einen speziellen Wert, den der Provider des E-Mail-Dienstes generiert und für die Domain verwendet. Der Selektor ist Teil des DKIM-Headers und der E-Mail-Server verwendet ihn, um die DKIM-Suche im DNS durchzuführen. Der Platzhalter deckt alle möglichen Werte für den Selektor ab. TXT
gibt den Typ des DNS-Eintrags an.v=DKIM1 legt
die Versionsnummer fest und teilt dem Server mit, dass dieser Eintrag auf eine DKIM-Richtlinie verweist. p
hilft bei der Authentifizierung von E-Mails, indem er eine Signatur mit ihrem öffentlichen Schlüssel verknüpft. In diesem DKIM-Eintrag sollte der Wert p
leer bleiben, da es keine Signatur/keinen öffentlichen Schlüssel gibt, auf den zurückgegriffen werden kann. DMARC
DMARC-Richtlinien können auch zum Schutz von Domains beitragen, die keine E-Mails versenden, indem sie alle E-Mails zurückweisen, die SPF und DKIM nicht bestehen. In diesem Fall würden alle E-Mails, die von einer nicht für den E-Mail-Versand konfigurierten Domain gesendet werden, die SPF- und DKIM-Prüfungen nicht bestehen. Nachfolgend finden Sie ein Beispiel dafür, wie Sie eine Richtlinie auf diese Weise formatieren können:
Name | Typ | Inhalt |
---|---|---|
_dmarc.example.com |
TXT |
v=DMARC1;p=reject;sp=reject;adkim=s;aspf=s |
_dmarc.example.com
angelegt wird, die für DMARC-Richtlinien erforderlich ist.TXT
gibt den Typ des DNS-Eintrags an.v=DMARC1
teilt dem Server mit, dass dieser DNS-Eintrag eine DMARC-Richtlinie enthält. p=reject
gibt an, dass E-Mail-Server E-Mails zurückweisen sollen, die DKIM- und SPF-Prüfungen nicht bestehen. adkim=s
steht für einen so genannten Ausrichtungsmodus. In diesem Fall ist der Ausrichtungsmodus auf „s“ für strict eingestellt. Ein strikter Ausrichtungsmodus bedeutet, dass der Server der E-Mail-Domain, die den DMARC-Eintrag enthält, genau mit der Domain in der Von
-Kopfzeile der E-Mail übereinstimmen muss. Wenn dies nicht der Fall ist, schlägt die DKIM-Prüfung fehl. aspf=s
dient dem gleichen Zweck wie adkim=s
, jedoch für die SPF-Ausrichtung. Mit dem DNS-Assistenten von Cloudflare Email Security können Sie ganz einfach die korrekten DNS-TXT-Einträge einrichten und Spammer von der Nutzung einer Domain abhalten. Lesen Sie hier mehr über den Assistenten.