DMARC steht für „Domain-based Message Authentification, Reporting and Conformance“ und ist ein optionaler „TXT“ DNS Record. Es ist wie DKIM und SPF ein weitere Baustein im Kampf gegen E-Mail-Missbrauch und erhöht die Reputation einer Domain im Kampf gegen SPAM.
DMARC stellt dabei das Bindeglied zwischen SPF (Sender Policy Framework) und DKIM (Domain Keys Identified Mail) dar.
SPF regelt vereinfacht gesagt, wer eine E-Mail von einer Domain versenden darf.
DKIM sichert die Authentizität des Absender einer E-Mail gegen Manipulation ab.
Und DMARC Beschreibt wie mit einer E-Mail umgegangen werden soll, die in einem oder beiden Fällen nicht den Anforderungen entspricht.
Ein DMARC-Record wird als TXT-Record zu einer Domain hinzugefügt. Dieser wird mit der Subdomain _dmarc angelegt (z. B. _dmarc.example.net).
Der Aufbau des TXT-Records erfolgt mit Tags, die mithilfe von Semikolons getrennt werden.
Beispiel DMARC-Record:
v=DMARC1;p=quarantine;pct=100;ruf=mailto:dmarc-return@example.net
Übersicht der DMARC Tags
Folgend eine Tabelle mit den üblichen DMARC Tags, ihrer Funktion und den von uns bevorzugten Standard Werten:
Tag | Funktion | Beispiel-Wert |
v | DMARC Protokollversion. Dieser Tag ist verpflichtend und muss im Moment DMARC1 lauten. | v=DMARC1 |
pct [Optional] | Prozentsatz der zu filternden E-Mails. Der Wert muss zwischen 1 und 100 liegen. Mit einem Wert <100 kann eine Stichprobenartige Überprüfung gemacht werden und E-Mail Server entlastet werden. | pct=100 |
ruf [Optional] | E-Mail Adresse an die ein Forensicher Bericht mit DMARC Verstößen geschickt werden soll. | ruf=dmarc-return@example.net |
rua [Optional] | E-Mail Adresse an die ein zusammengefasster Bericht mit DMARC Verstößen geschickt werden soll. | rua=dmarc-return@example.net |
p | Der vermutlich wichtigste Tag! Er beschreibt wie mit einer E-Mail von der Hauptdomain bei einem festgestellten Verstoß umgegangen werden soll. | p=quarantine |
none: Es wird nur eine Report geschickt, die E-Mail soll zugestellt werden | ||
quarantine: Die Nachricht wird als verdächtig eingestuft bzw. als SPAM markiert, soll aber trotzdem zugestellt werden. | ||
reject: Die E-Mail soll nicht zugestellt bzw. soll abgelehnt werden. | ||
sp [Optional] | Gleich Funktion und Werte wie „p“ aber nur gültig für Sub-Domains. | sp=quarantine |
adkim [Optional] | Definiert den DKIM Abgleichmodus. Hier ist besondere Vorsicht geboten, da man hier sehr leicht für viele False-Positiv Ablehnungen sorgen kann. | adkim=r |
r: Relaxed – es wird jede gültige Sub-Domain im E-Mail Header akzeptiert. | ||
s: Strict – Die (Sub-)Domain im E-Mail Header muss exakt mit dem Wert „d=name“ im DKIM-Record übereinstimmen. | ||
aspf [Optional] | Definiert den SPF Abgleichmodus. Die Funktion ist ähnlich zu adkim und bestimmt die wie genau die SPF-Signaturen übereinstimmen müssen. | aspf=r |
r: Relaxed – es wird jede gültige Sub-Domain im E-Mail Header akzeptiert. | ||
s: Strict – Die (Sub-)Domain im E-Mail Header muss genau mit dem Domain-Namen im Befehl „SMTP Mail FROM“ übereinstimmen. |
Best Practice Empfehlung
Generell ist der Einsatz von DMARC, genau so wie DKIM und SPF, mit Vor- und Nachteilen verbunden. Jeder der es verwendet sollte, zumindest die Grundlagen verstanden haben und genau Wissen welches Webformular oder Programm E-Mails mit der eigenen Domain verschickt. Ansonsten kommen E-Mails sehr schnell nicht mehr wie gewünscht beim Empfänger an.
Wir empfehlen unseren Kunden eine der beiden nachfolgenden Varianten zu verwenden, wenn Sie den Einsatz von DMARC erwägen.
Variante 1: Reporting & Relax
v=DMARC1;p=quarantine;pct=100;rua=mailto:dmarc-return@example.net
Hier werden keine E-Mails abgewiesen, aber mit einem „SPAM-Verdacht“ versehen. Zudem wird ein aggregierter Statusbericht an die angegebene E-Mail Adresse verschickt.
Variante 2: Reporting & Reject
v=DMARC1;p=reject;pct=100;rua=mailto:dmarc-return@example.net
Diese Kombination weist Empfänger an, E-Mails die keine korrekte SPF und DKIM Signatur aufweisen, abzulehnen. Zudem wird ein aggregierter Statusbericht an die angegebene E-Mail Adresse verschickt.
DMARC-Record im LiveConfig anlegen
Gehen Sie in der LiveConfig Navigation auf den Punkt Domains und erstellen dort eine neue Sub-Domain mit dem Namen „_dmarc“.
Deaktivieren Sie den Webspace und wechseln in den Tab „Eigene DNS-Einträge“.
Hier erstellen Sie einen neuen DNS Eintrag der Art „TXT“.
Das Feld TTL (Time-To-Live) wird mit 3600 Sekunden befüllt und bei Wert tragen sie den String mit den DMARC Tags ein.