Absenderreputation und E-Mail-Sicherheit – Teil 4: Domain-based Message Authentication, Reporting and Conformance (DMARC)

Mit SPF und DKIM können Sie die Authentizität und Integrität von E-Mails sicherstellen und sich und Ihr Unternehmen vor Phishing-Angriffen und Spam schützen. Wie aber gehen Sie mit nicht-authentifizierten E-Mails um? Und wie können Sie sicher sein, dass niemand im Namen Ihrer Domäne gefälschte E-Mails an Ihre Kunden und Partner schreibt?

Im vierten Teil unserer Artikelserie zur Absenderreputation zeigen wir Ihnen, wie Sie mit Hilfe von Domain-based Message Authentication, Reporting and Conformance (DMARC) festlegen können, wie der empfangende Server die Authentifizierung Ihrer E-Mails durchführen und was er bei fehlgeschlagener Authentifizierung tun soll. Außerdem erklären wir, wie Sie mit Hilfe von DMARC schnell über den Missbrauch Ihrer Domäne informiert werden und so die Reputation Ihrer Domäne schützen können.

In den vorangegangenen Artikeln dieser Serie haben wir unterschiedliche Technologien beleuchtet, mit denen Sie sich und Ihr Unternehmen vor Angriffen aus dem Internet schützen können:

  • Sender Policy Framework (SPF)

    Sender Policy Framework (SPF) erlaubt es Ihnen, alle IP-Adressen der Mail Transfer Agents (MTAs) – also der Server – anzugeben, die im Namen der eigenen Domain E-Mails versenden dürfen.

  • DomainKeys Identified Mail (DKIM)

    DomainKeys Identified Mail (DKIM) erlaubt es Ihnen, ausgehende E-Mails kryptographisch abzusichern und so die Authentizität und Integrität dieser E-Mails überprüfbar zu machen.

Mit SPF und DKIM können Sie also die Authentizität und Integrität von E-Mails sicherstellen. Allerdings geben weder SPF noch DKIM dem empfangenden Server klare Anweisungen, was mit E-Mails passieren soll, die die SPF- und DKIM-Prüfungen nicht erfolgreich bestanden haben. Diese Lücke schließt Domain-based Message Authentication, Reporting and Conformance (DMARC).

Was ist Domain-based Message Authentication, Reporting and Conformance (DMARC)?

DMARC ist ein offizieller IETF-Standard, der auf SPF und DKIM aufsetzt und Bedrohungen durch Phishing-E-Mails und Spam verringert. Er beantwortet die folgenden Fragen:

  • Wie soll der empfangende Server die Authentifizierung vornehmen?

  • Was soll im Falle einer fehlgeschlagenen Überprüfung passieren?

  • Wen soll der empfangende Server über die durchgeführten Authentifizierungsmaßnahmen und das Ergebnis informieren?

In anderen Worten erlaubt es DMARC einem E-Mail-Absender, zusätzliche Informationen zur Verarbeitung von gesendeten E-Mails mitzugeben. Er teilt dem Empfänger mit,

  • wie von ihm gesendete E-Mails authentifiziert werden sollen,
  • was mit nicht-authentifizierten E-Mails passieren soll und
  • an wen und wie oft Berichte zurück an den Absender gesendet werden sollen.

Wie funktioniert DMARC?

Um DMARC zu aktivieren, hinterlegt der Inhaber einer Domäne eine DMARC-Richtlinie in seiner DNS-Zone. Wie bei SPF und DKIM auch wird die DMARC-Richtlinie in einem RFC-normierten TXT-Eintrag gespeichert.

Die Richtlinie beinhaltet Information dazu, welche Prüfungen vom Empfänger gemacht werden müssen – also SPF und/oder DKIM. Zusätzlich legt sie fest, was der Empfänger tun soll, wenn die Prüfungen fehlschlagen: trotzdem annehmen, in Quarantäne legen oder abweisen.

Des Weiteren werden in der DMARC-Richtlinie E-Mail-Adressen hinterlegt, an die Berichte geschickt werden sollen – das R in DMARC steht für Reporting. Diese Berichte werden von allen Servern im Internet erstellt, die DMARC beim E-Mail-Empfang unterstützen und E-Mails von der jeweiligen Domain erhalten haben. Um zu verhindern, dass die durch die Berichte erzeugte Menge an Daten zu groß wird, kann in der DMARC-Richtlinie außerdem der Prozentsatz an E-Mails bestimmt werden, für die ein Bericht generiert wird. Des Weiteren werden die Berichte gesammelt und standardmäßig nur einmal am Tag an die jeweilige Reporting-Adresse geschickt.

Wie sieht ein DMARC-Eintrag aus?

Der für eine DMARC-Richtlinie eingesetzte TXT-Eintrag kann die folgenden Felder enthalten:

FeldBedeutungBeispiele
vVersion des DMARC-Eintragsv=DMARC1
pPolicy, wie E-Mails der Hauptdomäne behandelt werden sollen, deren Authentifizierung fehlschlägtp=none: nichts unternehmen
p=quarantine: in Quarantäne legen
p=reject: abweisen
spPolicy, wie E-Mails der Subdomäne behandelt werden sollen, deren Authentifizierung fehlschlägtp=none: nichts unternehmen
p=quarantine: in Quarantäne legen
p=reject: abweisen
pctProzentsatz an E-Mails, die gemäß der DMARC-Richtlinie reportet werden sollenpct=100 (Standard)
ruaLegt fest, ob und an welche E-Mail-Adresse ein summarischer Bericht („aggregated report“) über die empfangenen E-Mails gesendet werden soll. rua=mailto:report@example.com
rufLegt fest, ob und an welche E-Mail-Adresse ein forensischer Bericht über die empfangenen E-Mails gesendet werden soll. Dieser enthält alle Details zu den jeweiligen E-Mails. Datenschutz beachten!ruf=mailto:report@example.com
foFailure Reporting Options. Detaileinstellung, wann E-Mails gemeldet werden sollen. Gilt nur in Verbindung mit “ruf”. fo=0: SPF und DKIM sind fehlgeschlagen (Standard)
fo=1: SPF oder DKIM sind fehlgeschlagen
fo=d: DKIM gilt als fehlgeschlagen, wenn die Signatur nicht stimmt – auch dann, wenn der Schlüssel übereinstimmt.
fo=s: SPF gilt als fehlgeschlagen, wenn die SPF-Evaluation aus irgendeinem Grund scheitert, auch dann, wenn die SPF-Einträge in Kopfzeile und DNS-Eintrag übereinstimmen.
rfReporting Format. Das Dateiformat für die Berichte. Gilt nur in Verbindung mit “ruf”.rf=afrf: Authentication Failure Reporting Format (Standard)
rf=iodef: Incident Object Description Exchange Format
riReporting Interval. Häufigkeit in Sekunden, in der Berichte gesendet werden.ri=86400, also einmal täglich (Standard)
aspfAbgleichmodus für die Prüfung von SPFs=strict, also streng. Die ‘MAIL FROM’-Adresse muss exakt mit der Header-From-Adresse übereinstimmen. Beispiel: info@example.com
r=relaxed, also locker. Es darf sich auch um eine Subdomäne handeln. Beispiel: info@newsletter.example.com
Weitere Informationen finden Sie bei mxtoolbox.
adkimAbgleichmodus für die Prüfung von DKIMs.o.

Beispiele für DMARC-Einträge

dhl.com
v=DMARC1; p=reject; fo=0; rua=mailto:dmarc-reports@dhl.com, mailto:dmarc_agg@vali.email

Hier werden alle nicht-authentifizierten E-Mails abgewiesen, wenn SPF- und DKIM-Prüfungen fehlgeschlagen sind (fo=0). Außerdem werden summarische Berichte an die angegebenen Adressen geschickt.

gmail.com
v=DMARC1; p=none; sp=quarantine; rua=mailto:mailauth-reports@google.com
Bei nicht-authentifizierten E-Mails an die Hauptdomäne wird hier nichts unternommen, nicht-authentifizierte E-Mails an die Subdomäne werden in Quarantäne gelegt. Da fo=0 die Standardeinstellung ist, gelten diese Regelungen, wenn SPF- und DKIM-Prüfungen fehlgeschlagen sind – auch wenn es nicht explizit angegeben ist.

DMARC mit SPF und DKIM

DMARC-Prüfung

Die unterschiedlichen Möglichkeiten bei der DMARC-Prüfung mit SPF und DKIM (stark vereinfacht). Eine vollständige Übersicht finden Sie hier.

Was kann ohne DMARC passieren? Ein Beispiel.

Stellen Sie sich vor, unter Benutzung Ihrer Domäne werden Ihre Partner und Kunden angeschrieben und angewiesen, ab sofort eine neue (falsche) Bankverbindung für das Begleichen von Rechnungen zu benutzen. Da die gefälschte E-Mail mit Hilfe von Schadsoftware wie Emotet auf einen vorangegangenen Kommunikationsverlauf aufsetzen kann und die Domäne Ihres Unternehmens nutzt, fällt der Betrug zunächst nicht auf – Zahlungen werden auf das Konto der Kriminellen ausgeführt.

Erst, nachdem das Zahlungsziel nicht erreicht wurde, nehmen Sie Kontakt mit einem Kunden auf. Im dann folgenden Gespräch wird klar, dass das Geld zwar bereits vor Wochen überwiesen wurde, aber leider auf das falsche Konto.

DMARC hätte dies mit einer Abweisen-Richtlinie verhindern können, denn dann wäre die nicht-authentifizierte E-Mail abgewiesen worden. Empfangende Server, die DMARC-Berichte senden, hätten Sie im Rahmen der Berichtsfunktion zudem zeitnah über die fehlgeschlagenen SPF- und DKIM-Prüfungen informiert. Wichtig ist hierbei zu erwähnen, dass diese Schutzmechanismen nur greifen, wenn auch der Empfänger DMARC implementiert hat.

Mit DMARC schützen Sie auch die Reputation Ihrer Domäne

DMARC schützt also vor Phishing-Angriffen und den daraus folgenden finanziellen Schäden – aber zusätzlich verhindern Sie, dass Kriminelle Ihre E-Mail-Domains nutzen, um massenweise Spam- oder Phishing-E-Mails zu versenden und so die Domänen-Reputation zerstören.

Dieser Missbrauch Ihrer Domäne führt nämlich in vielen Fällen dazu, dass die IP-Adressen von sendenden E-Mail-Servern auf Blocklisten landen und künftig von empfangenden E-Mail-Servern abgewiesen wird. Dies bedeutet nicht nur eine Gefahr für den Kommunikationsfluss zwischen Ihnen und Ihren Kunden und Partnern, sondern vor allem auch ein großes Risiko für die Reputation Ihrer Domäne.

DMARC-Eintrag prüfen

Mit Hilfe von Tools wie mxtoolbox können Sie schnell und einfach prüfen, ob für Ihre Domain ein DMARC-Eintrag vorliegt.

DMARC-Eintrag erstellen

Best Practices für Einführung von DMARC

Wir empfehlen, die Implementierung von DMARC in mehreren Schritten vorzunehmen. Fangen Sie bei einer reinen Überwachung Ihrer Domäne an und erweitern Sie die Richtlinie nach und nach bis zum Abweisen aller E-Mails, die die DMARC-Prüfung nicht bestehen (p=reject).

Überwachen

Beginnen Sie mit einer reinen Überwachung einer Unterdomäne und/oder Hauptdomäne und fordern Sie die regelmäßigen Berichte an. Für diesen Schritt ist die Nutzung von SPF und DKIM noch nicht erforderlich. Der entsprechende DMARC-Eintrag könnte folgendermaßen aussehen:
“v=DMARC1; p=none; sp=none; rua=mailto:report@example.com”

Quarantänerichtlinie einrichten

Bevor Sie diesen Schitt durchführen, müssen Sie SPF und DKIM vollständig implementiert haben. Haben Sie dies erledigt, implementieren Sie eine DMARC-Quarantänerichtlinie. Diese weist empfangende Server an, E-Mails von Ihrer Domäne, die die DMARC-Prüfung nicht bestehen, in den Spam-Ordner zu legen. Der entsprechende DMARC-Eintrag könnte folgendermaßen aussehen:
“v=DMARC1; p=quarantine; sp=quarantine; rua=mailto:report@example.com”

Abweisen aller nicht-authentifizierten E-Mails

Im letzten Schritt weisen Sie empfangende Server an, E-Mails von Ihrer Domäne, die die DMARC-Prüfung nicht bestehen, abzuweisen. Der entsprechende DMARC-Eintrag könnte folgendermaßen aussehen:
“v=DMARC1; p=reject; sp=reject; rua=mailto:report@example.com”

DMARC einrichten und E-Mail-Sicherheit verbessern

Domänen-Inhaber haben mit Hilfe von DMARC eine verbesserte Kontrolle über die elektronische Kommunikation ihres Unternehmens und verbessern die Sicherheit ihrer IT-Infrastruktur. Erhebungen haben auch gezeigt, dass die Verwendung von Domäne als Absende-Adresse in Spam-Mails deutlich nachlässt, sobald die Domain DMARC-geschützt ist.

Die Nutzung von DMARC als Einflussgröße für die Senderreputation ist ein Meilenstein für die Sicherheit und Effizienz in der E-Mail-Kommunikation. Sie bedeutet gleichzeitig, dass man im Vergleich zu Spam-Versendern nicht ins Hintertreffen gerät, da sich auch dort herumgesprochen hat, welchen Vorteil DMARC-geschützte Domänen bieten. Die Bewertung der Reputation des Absenders ist ein äußerst verlässliches Instrument im Kampf gegen stetig steigende Mengen an Spam und immer perfider werdende Angriffsszenarien mit Malware.