Mein VariomediaHier können Sie sich im Kundenmenü einloggen. |
Weitere Logins |
DMARC (Domain-based Message Authentication, Reporting and Conformance) ist ein Authentifizierungsverfahren für E-Mails, das auf SPF und DKIM basiert. DMARC erweitert diese beiden Verfahren um einen zusätzlichen Abgleich der Domains der Absenderadressen einer E-Mail sowie der DKIM-Domain. Dadurch werden die größten Probleme von SPF und DKIM behoben.
Mittels SPF kann der Inhaber einer Domain festlegen, über welche IP-Addressen E-Mails von dieser Domain gesendet werden dürfen. Das SPF-Verfahren weist jedoch eine Lücke auf, da nur die äußere Absenderadresse einer E-Mail geprüft wird: Eine E-Mail hat ähnlich wie ein Papierbrief eine äußere Absenderadresse (auf dem Briefumschlag) und eine innere Absenderadresse (auf dem Brief selbst). Die äußere Absenderadresse (Envelope-From) wird hauptsächlich genutzt, um den Absender im Falle von Problemen bei der Zustellung zu informieren, sie wird in E-Mail-Programmen nicht angezeigt. Die innere Absenderadresse (Header-From) wird von E-Mail-Programmen als Absenderadresse angezeigt. In den meisten Fällen sind diese beiden Adressen identisch, es ist jedoch auch zulässig, unterschiedliche Adressen zu verwenden. Dies kann ausgenutzt werden, um Spam oder Phishing-Mails von vertrauenswürdigen Domains in der in E-Mail-Programmen angezeigten Header-From-Absenderadresse zu versenden.
Beim DKIM-Verfahren fügt ein Absender-Server E-Mails automatisch eine elektronische Signatur hinzu, mit der Empfänger-Server prüfen können, ob eine E-Mail auf dem Transportweg unzulässigerweise verändert wurde. Das DKIM-Verfahren weist jedoch ebenfalls einige Lücken auf, da nicht festgelegt ist, was mit E-Mails passieren soll, bei denen die Signaturprüfung fehlschlägt, oder die gar keine Signatur enthalten. Es gibt auch keinen Abgleich zwischen der Domain der DKIM-Signatur und der Domain der Header-From-Absenderadresse einer E-Mail, so dass E-Mails mit beliebigen Absenderadressen erfolgreich signiert werden können.
DMARC erweitert die SPF-Prüfung auf einen Abgleich der Domains der Envelope-From und From-Absenderadresse. Sie müssen entweder exakt übereinstimmen (Strict Alignment), oder auf die gleiche Hauptdomain verweisen (Relaxed Alignment).
Bei DKIM wird ebenfalls geprüft, ob die Domain der Header-From-Absenderadresse mit der DKIM-Domain übereinstimmt (Strict Alignment) oder ob beide Domains auf die gleiche Hauptdomain verweisen (Relaxed Alignment).
Eine DMARC-Prüfung ist erfolgreich, wenn die SPF-Prüfung oder die DKIM-Prüfung erfolgreich war. Für eine möglichst restriktive Umsetzung einer DMARC-Richtline kann es unter Umständen sinnvoll sein, SPF-Einträge zu entfernen, um ausschließlich DKIM zu verwenden.
Das DMARC-Verfahren kann über eine im DNS per TXT-Eintrag festgelegte DMARC-Richtlinie aktiviert werden. Ein DMARC TXT-Eintrag hat als Namen _dmarc, der Datenwert beginnt mit v=DMARC1;. In den meisten Fällen genügt es, eine minimalen DMARC Eintrag zu erstellen, der nur festlegt, was mit E-Mails passieren soll, deren Prüfung fehlgeschlagen ist. Sie können dabei zwischen nichts (p=none), ablehnen (p=reject) und Spam-Ordner (p=quarantine) wählen, z.B.:
Domain | Typ | Daten |
---|---|---|
_dmarc.meine-domain.de | TXT | v=DMARC1; p=quarantine; |
Eine ausführliche Dokumentation zu den möglichen Optionen in einer DMARC-Richtlinie finden Sie im verlinkten Wikipedia-Artikel.
Hinweis: Eine DMARC-Richtlinie wird an untergeordnete Subdomains vererbt, sofern sie nicht nicht auf Subdomain-Ebene wieder überschrieben wird.