DMARC (Domain-based Message Authentication)

Was ist DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) ist ein E-Mail-Authentifizierungs-Protokoll, das auf SPF und DKIM aufbaut. Es erlaubt Domain-Besitzern, eine Richtlinie zu veröffentlichen, die angibt, wie empfangende Server Nachrichten behandeln sollten, die Authentifizierung fehlschlagen, und bietet Reporting-Mechanismen zur Überwachung von E-Mail-Authentifizierung.

Warum DMARC essentiell ist

SPF und DKIM allein haben eine kritische Lücke: sie sagen Empfängern nicht, was mit fehlgeschlagenen Nachrichten zu tun ist. Ein Angreifer kann gefälschte E-Mail ohne SPF/DKIM senden, und Empfänger haben keine Anleitung.

DMARC löst dies, indem es:

• Richtlinie definiert: Ablehnen, Quarantäne oder fehlgeschlagene Nachrichten erlauben
• Ausrichtung erfordert: Von-Header muss SPF/DKIM-Domains entsprechen
• Berichte aktiviert: Aggregate und Forensik-Berichte zeigen Authentifizierungs-Ergebnisse

Wie DMARC funktioniert

1. Sender veröffentlicht DMARC-Richtlinie in DNS (TXT-Eintrag bei _dmarc.domain.com)

2. E-Mail wird gesendet mit From: user@domain.com

3. Receiver überprüft SPF und DKIM

4. Receiver überprüft Ausrichtung: Entspricht authentifizierter Domain From-Header?

5. Richtlinie wird angewendet: Basierend auf DMARC-Eintrag (none, quarantine, reject)

6. Berichte werden gesendet: Aggregate-Berichte zu angegebenen Adressen

DMARC Ausrichtung

DMARC erfordert "Ausrichtung" – der Domain im From-Header muss mit einer angepasst werden:

• SPF Ausrichtung: Der Envelope-Sender (MAIL FROM) Domain
• DKIM Ausrichtung: Der d= Domain in der DKIM-Signatur

Ohne Ausrichtung passieren SPF/DKIM aber DMARC schlägt fehl.

DMARC Record Format

DMARC-Einträge sind TXT-Einträge bei _dmarc.yourdomain.com:

_dmarc.example.com.    IN    TXT    "v=DMARC1; p=reject; rua=mailto:dmarc@example.com"

DMARC Tags

DMARC Richtlinien

v=DMARC1; p=none; rua=mailto:dmarc@example.com

v=DMARC1; p=quarantine; rua=mailto:dmarc@example.com

v=DMARC1; p=reject; rua=mailto:dmarc@example.com

DMARC Implementierungs-Weg

Phase 1: Überwachen (p=none)

Beginnen Sie mit Überwachung um Ihr E-Mail-Ökosystem zu verstehen:

v=DMARC1; p=none; rua=mailto:dmarc-reports@example.com

Analysieren Sie Berichte für 2-4 Wochen um zu identifizieren:

• Legitime Sending-Services ohne SPF/DKIM
• Nicht autorisierte Sender (Spoofing)
• Ausrichtungs-Probleme

Phase 2: Quarantäne (p=quarantine)

Sobald legitime Quellen authentifiziert sind:

v=DMARC1; p=quarantine; pct=10; rua=mailto:dmarc-reports@example.com

Verwenden Sie pct=10 um initially nur 10% zu quarantänen, erhöhen Sie schrittweise.

Phase 3: Ablehnen (p=reject)

Voller Schutz:

v=DMARC1; p=reject; rua=mailto:dmarc-reports@example.com

DMARC Berichte

Aggregate Reports (rua)

Tägliche XML-Berichte, die Authentifizierungs-Ergebnisse über alle Ihre E-Mail zeigen:

• E-Mail-Volumen
• Pass/Fail-Raten für SPF, DKIM, DMARC
• Sending-IP-Adressen
• Empfänger-Organisationen

Forensik Reports (ruf)

Einzeln-Fehler-Berichte (nicht alle Receiver senden diese aufgrund von Datenschutz):

• Vollständige Nachrichten-Header
• Authentifizierungs-Fehler-Details

Report-Verarbeitung

Rohe DMARC-Berichte sind XML und schwer zu lesen. Verwenden Sie Services wie:

• DMARC Analyzer
• Dmarcian
• Valimail
• Postmark DMARC

DMARC überprüfen

dig _dmarc.example.com TXT

curl "https://domscan.net/v1/health?domain=example.com"
# Gibt hasDMARC Status zurück

Allgemeine DMARC Probleme

DMARC ist das Schlussstein der E-Mail-Authentifizierung – implementieren Sie es nachdem SPF und DKIM ordnungsgemäß funktionieren.