So erfüllst du die neuen Richtlinien von Gmail & Co.
Hintergrund: Ab 2024 geben die großen Anbieter von E-Mail Diensten neue Richtlinien zur Verschlüsselung und dem SPAM-Schutz von E-Mails vor. Wenn in deinem System DMARC, SPF und DKIM nicht oder nicht richtig eingerichtet sind, nimmt die Zustellbarkeit deiner E-Mails ab. Außerdem sind die Mechanismen auch wichtig, um deine E-Mails und deine Domain vor Missbrauch zu schützen. In unserer Schritt für Schritt Anleitung zeigen wir dir, wie du DMARC einrichten kannst.
Was passiert wenn ich DMARC nicht eigerichtet habe bzw. nichts unternehme?
Im Wesentlichen ermöglicht DMARC Unternehmen und Organisationen aber auch Privatpersonen die bessere Kontrolle über die Verwendung ihrer Domain für E-Mail-Kommunikation. Es hilft dabei, gefälschte oder betrügerische E-Mails zu identifizieren und zu blockieren, indem es die Authentizität der Absenderdomäne überprüft und detaillierte Berichtsinformationen über die E-Mail-Zustellung bereitstellt.
Was sind die Hauptkomponenten von DMARC?
- Domain-based: DMARC basiert auf der Domain des Absenders (desjenigen, der die E-Mails sendet).
- Message Authentication: DMARC nutzt bestehende Authentifizierungstechniken wie SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail), um die Authentizität einer E-Mail zu überprüfen.
- Reporting: DMARC bietet detaillierte Berichte über den Zustellstatus der E-Mails, einschließlich Informationen darüber, ob E-Mails aufgrund von DMARC-Richtlinien abgelehnt oder akzeptiert wurden.
- Conformance: DMARC ermöglicht es einem E-Mail-Empfänger, eine Richtlinie festzulegen, was mit E-Mails geschehen soll, die nicht den DMARC-Anforderungen entsprechen (z. B. blockieren, in den Spam-Ordner verschieben oder akzeptieren).
Das klingt kompliziert, wie geht es jetzt weiter?
Keine Sorge, mit unserer Schritt-für-Schritt Anleitung zur DMARC Einrichtung führen wir dich durch die benötigten Einstellungen und prüfen anschließend, ob die vorgenommenen Maßnahmen funktionieren.
Schritt 1: SPF und DKIM einrichten
Du denkst dir jetzt sicher: “Warum soll ich jetzt die anderen Mechanismen einrichten?“ – ganz einfach, ohne SPF und DKIM funktioniert DMARC nicht effizient. Die Anleitung für beide Techniken findet du hier: DKIM einrichten, SPF einrichten.
Schritt 2: Entscheiden, welche Aktionen durchgeführt werden sollen
Beispiel: v=DMARC1; p=none; rua=mailto:reports@example.com; ruf=mailto:forensics@example.com; sp=reject
v=DMARC1
: Version des DMARC-Protokolls.p=none
: Anfangsrichtlinie, um Berichte zu sammeln, ohne E-Mails zu blockieren.rua=mailto:reports@example.com
: Empfängeradresse für Aggregate Reports (Berichte über DMARC-Aktivität).ruf=mailto:forensics@example.com
: Empfängeradresse für Forensic Reports (detaillierte Berichte über gescheiterte DMARC-Prüfungen).sp=reject
: Wenn Sie sicher sind, dass alle legitimen E-Mails Ihrer Domain SPF und DKIM bestanden haben, können Sie aufreject
umstellen, um E-Mails abzulehnen, die DMARC nicht bestehen.
Welche Einstellmöglichkeiten habe ich?
Einstellung | Beschreibung | Beispiel |
---|---|---|
v |
DMARC-Version | v=DMARC1 |
p |
Aktion für nicht bestandene DMARC-Tests (none , quarantine , reject ) |
p=reject |
sp |
Richtlinie für Subdomain SPF (none , reject , quarantine , allow ) |
sp=reject |
adkim |
Alignment-Modus für DKIM (r für relaxed, s für strict) |
adkim=r |
aspf |
Alignment-Modus für SPF (r für relaxed, s für strict) |
aspf=s |
pct |
Prozentsatz der E-Mails, die der DMARC-Richtlinie entsprechen müssen | pct=50 |
rf |
E-Mail-Adresse für Forensic Reports (detaillierte Berichte über gescheiterte DMARC-Prüfungen) | rf=mailto:forensics@example.com |
ri |
Intervall für die Generierung von Forensic Reports in Sekunden | ri=86400 |
rua |
E-Mail-Adresse für Aggregate Reports (Berichte über DMARC-Aktivität) | rua=mailto:reports@example.com |
ruf |
E-Mail-Adresse für Forensic Reports (detaillierte Berichte über gescheiterte DMARC-Prüfungen) | ruf=mailto:forensics@example.com |
Die Einstellmöglichkeiten im Detail:
- Zuerst wird die DMARC-Version festgelegt: v=DMARC1.
- Danach legen wir fest, was passieren soll, wenn der DMARC-Test nicht bestanden wird: none, quaratine oder reject. Wenn ihr DMARC das erste mal für die Domain einrichtet, empfehlen wir zunächst “none“ zu verwenden und mit dem Reports zu überwachen wie sich die Zustellbarkeit verhält,
- Soll DMARC auch auf die Subdomains angewandt werden, sollte der SP-Tag hinzugefügt werden. Wenn das passieren soll, empfehlen wir, zunächst auch einen SPF und DKIM Eintrag für die Subdomain zu erstellen.
- Wie soll sich DMARC verhalten, wenn SPF oder DKIM nicht bestanden werden: adkim=r oder adkim=s bzw. aspf=s oder aspf=r. S bedeutet dabei “strict“, R bedeutet „relaxed“. Standard ist “relaxed“ das empfehlen wir hier auch für die Ersteinrichtung.
- Mit pct legen wir den Prozentsatz fest, mit geprüft werden soll, also z.B. pct=10 => 10% der Mails werden geprüft.
- Mit rf, ri, rua und ruf können wir das Verhalten des Reportings konfigurieren. Damit erhalten wir Reports von Mailanbietern mit Informationen zum Verhalten der empfangenen E-Mail.
Nun kombinieren wir aus unseren Anforderungen den DMARC-Eintrag:
v=DMARC1; p=none; rua=mailto:reports@example.com; ruf=mailto:forensics@example.com; sp=reject
Für den Anfang wählen wir ein nicht sehr striktes Setup um das Verhalten durch die Reports zu überwachen. Danach verstärken wir den Schutz immer weiter.
Schritt 3: Hinterlegen des DMARC-Eintrag im Panel der Domain
Melde dich im Kundenportal deines Providers z.B. IONOS, AUTODNS, STRATO usw.
Navigiere zu den DNS-Einstellungen:
Hinterlege nun deinen erstellten DMARC-Record:
Perfekt: du hast es geschafft. Dein DMARC Eintrag ist hinterlegt.
Lass uns jetzt überprüfen ob die Einrichtung geklappt hat: Easydmarc bietet ein gutes Tool an um deine DKIM Einrichtung zu prüfen:
Öffne das Tool: DMARC-Check
Und trage deine Daten ein:
Die Analyse sollte jetzt deinen eingetragenen Record als Ergebnis wiedergeben und zusätzlich eventuelle Fehler oder Sicherheitslücken aufdecken.
Für den Anfangen empfehlen wir ja, noch kein „Reject“ zu verwenden. In dem Fall wird dir das Tool den Hinweis anzeigen, dass noch Sicherheitslücken vorhanden sind. Lass dich davon nicht verunsichern, nach der Testphase kann die Einstellung „Reject“ gesetzt werden.
Es gibt Anwendungsfälle an denen „Reject“ vor Allem bei Subdomains nicht angewendet werden kann. z.B. wenn ein angebundenes Tool oder ein System auf der Subdomain kein SPF unterstützt. Bitte beachte das in deiner Testphase.
Damit deine Mails alle Anforderungen erfüllen, solltest du auch SPF und DMARC einrichten, DKIM alleine ist nicht empfehlenswert. Hier findest du unsere Anleitungen dazu: SPF einrichten, DMARC einrichten
Hat die DMARC Einrichtung bei dir geklappt? Verwende unseren Kontaktbereich, wenn du Hilfe benötigst oder hinterlasse ein Kommentar unter diesem Beitrag – wir freuen uns über dein Feedback.