Mein Variomedia

Hier können Sie sich im Kundenmenü einloggen.




Passwort vergessen?

Weitere Logins

Sie befinden sich hier: variomedia.de > Support > Häufige Fragen (FAQ) > E-Mails, Konfiguration, Spamschutz > Versand von E-Mails über unsere Server (SMTP)

Fragen und Antworten

Wie erstelle ich eine DMARC-Richtlinie?

DMARC (Domain-based Message Authentication, Reporting and Conformance) ist ein Authentifizierungsverfahren für E-Mails, das auf SPF und DKIM basiert. DMARC erweitert diese beiden Verfahren um einen zusätzlichen Abgleich der Domains der Absenderadressen einer E-Mail sowie der DKIM-Domain. Dadurch werden die größten Probleme von SPF und DKIM behoben.

Probleme mit SPF

Mittels SPF kann der Inhaber einer Domain festlegen, über welche IP-Addressen E-Mails von dieser Domain gesendet werden dürfen. Das SPF-Verfahren weist jedoch eine Lücke auf, da nur die äußere Absenderadresse einer E-Mail geprüft wird: Eine E-Mail hat ähnlich wie ein Papierbrief eine äußere Absenderadresse (auf dem Briefumschlag) und eine innere Absenderadresse (auf dem Brief selbst). Die äußere Absenderadresse (Envelope-From) wird hauptsächlich genutzt, um den Absender im Falle von Problemen bei der Zustellung zu informieren, sie wird in E-Mail-Programmen nicht angezeigt. Die innere Absenderadresse (Header-From) wird von E-Mail-Programmen als Absenderadresse angezeigt. In den meisten Fällen sind diese beiden Adressen identisch, es ist jedoch auch zulässig, unterschiedliche Adressen zu verwenden. Dies kann ausgenutzt werden, um Spam oder Phishing-Mails von vertrauenswürdigen Domains in der in E-Mail-Programmen angezeigten Header-From-Absenderadresse zu versenden.

Probleme mit DKIM

Beim DKIM-Verfahren fügt ein Absender-Server E-Mails automatisch eine elektronische Signatur hinzu, mit der Empfänger-Server prüfen können, ob eine E-Mail auf dem Transportweg unzulässigerweise verändert wurde. Das DKIM-Verfahren weist jedoch ebenfalls einige Lücken auf, da nicht festgelegt ist, was mit E-Mails passieren soll, bei denen die Signaturprüfung fehlschlägt, oder die gar keine Signatur enthalten. Es gibt auch keinen Abgleich zwischen der Domain der DKIM-Signatur und der Domain der Header-From-Absenderadresse einer E-Mail, so dass E-Mails mit beliebigen Absenderadressen erfolgreich signiert werden können.

DMARC

DMARC erweitert die SPF-Prüfung auf einen Abgleich der Domains der Envelope-From und From-Absenderadresse. Sie müssen entweder exakt übereinstimmen (Strict Alignment), oder auf die gleiche Hauptdomain verweisen (Relaxed Alignment).

Bei DKIM wird ebenfalls geprüft, ob die Domain der Header-From-Absenderadresse mit der DKIM-Domain übereinstimmt (Strict Alignment) oder ob beide Domains auf die gleiche Hauptdomain verweisen (Relaxed Alignment).

Eine DMARC-Prüfung ist erfolgreich, wenn die SPF-Prüfung oder die DKIM-Prüfung erfolgreich war. Für eine möglichst restriktive Umsetzung einer DMARC-Richtline kann es unter Umständen sinnvoll sein, SPF-Einträge zu entfernen, um ausschließlich DKIM zu verwenden.

DMARC Richtlinie erstellen

Das DMARC-Verfahren kann über eine im DNS per TXT-Eintrag festgelegte DMARC-Richtlinie aktiviert werden. Ein DMARC TXT-Eintrag hat als Namen _dmarc, der Datenwert beginnt mit v=DMARC1;. In den meisten Fällen genügt es, eine minimalen DMARC Eintrag zu erstellen, der nur festlegt, was mit E-Mails passieren soll, deren Prüfung fehlgeschlagen ist. Sie können dabei zwischen nichts (p=none), ablehnen (p=reject) und Spam-Ordner (p=quarantine) wählen, z.B.:

Domain Typ Daten
_dmarc.meine-domain.de TXT v=DMARC1; p=quarantine;

Eine ausführliche Dokumentation zu den möglichen Optionen in einer DMARC-Richtlinie finden Sie im verlinkten Wikipedia-Artikel.

Hinweis: Eine DMARC-Richtlinie wird an untergeordnete Subdomains vererbt, sofern sie nicht nicht auf Subdomain-Ebene wieder überschrieben wird.

Links


DKIM
DMARC
SMTP
SPF