DMARC – Der ultimative Leitfaden | EasyDMARC

DMARC – Der ultimative Leitfaden

14 Min Lesezeit
EasyDMARC logo on a dark-blue background

E-Mail-Sicherheitsverletzungen kosten jedes Jahr Milliarden von Dollar, von 50.000 Dollar pro Angriff für kleine Unternehmen bis zu 3,86 Millionen Dollar pro Phishing-Angriff für mittlere Unternehmen. Da die Zahl der Sicherheitsverletzungen jedes Jahr um 11% zunimmt, nutzen Unternehmen DMARC (Domain-based Message Authentication, Reporting & Conformance), um die Flut einzudämmen. Aber wie können Sie damit beginnen, Ihrem Unternehmen Geld zu sparen und das Vertrauen Ihrer Kunden zu stärken? In diesem ultimativen Leitfaden erfahren Sie alles, was Sie über DMARC wissen müssen: was es ist, wie es Ihnen hilft, Ihr Unternehmen und Ihre Kunden zu schützen, und wie Sie DMARC implementieren können.

Was ist DMARC?

Einfach ausgedrückt ist DMARC eine Strategie zur E-Mail-Authentifizierung, die betrügerische E-Mails eindämmt. DMARC hebt die Richtlinien SPF (Sender Policy Framework) und DKIM (Domain Keys Identified Mail) auf die nächste Stufe, indem es sicherstellt, dass E-Mails diese Standards erfüllen, bevor sie durchgelassen werden. Dadurch werden legitime E-Mails durchgelassen, während betrügerische E-Mails oder E-Mails, die scheinbar von Ihrer Domain stammen, aber in Wirklichkeit von einer skrupellosen Person stammen, blockiert werden.

DMARC stellt in erster Linie sicher, dass das „From“-Feld (Absenderadresse) in der Kopfzeile auf zwei Arten konsistent ist.

Erstens verwendet es SPF, um sicherzustellen, dass die Domain sowohl im „header from“ als auch im „Return-Path“ übereinstimmt.  

Zweitens wird sichergestellt, dass die im „header from“ genannte Domain mit dem „d=domain name“ in der DKIM-Signatur übereinstimmt.

Wenn beide nicht übereinstimmen, werden die E-Mails nicht für den Posteingang freigeschaltet. Darüber hinaus können Sie eine robuste DMARC-Richtlinie einrichten, die den empfangenden E-Mail-Anbietern mitteilt, wie sie Ihre E-Mails behandeln sollen. Letztlich gibt es drei Optionen:

  • Alle E-Mails annehmen, unabhängig davon, ob die DMARC-Prüfung bestanden oder fehlgeschlagen ist
  • Fehlgeschlagene E-Mails an Spam weiterleiten
  • Fehlgeschlagene E-Mails komplett ablehnen

DMARC deployment

Welche Probleme werden durch DMARC gelöst?

Letztendlich reduziert DMARC die Menge an Spam oder betrügerischen E-Mails, die in den Postfächern IHRER KUNDEN ankommen und aussehen, als kämen sie von Ihnen.

Durch den Schutz Ihrer Domain mit DMARC schützen Sie also im Wesentlichen die Marke und den Ruf Ihres Unternehmens.

Welche Probleme werden durch DMARC nicht gelöst?

Der häufigste Irrglaube über DMARC ist, dass es die Menge an Spam, die Sie in Ihrem Postfach erhalten, reduzieren wird. Das ist nicht ganz richtig.

Tatsächlich wird DMARC die Menge an gefälschten/betrügerischen Mails, die in Ihrem Namen gesendet werden, reduzieren, die Ihre Kunden erhalten können.

Um die Anzahl an Spam-E-Mails zu reduzieren, die Sie selbst empfangen, müssen Sie hingegen ein gutes und richtig konfiguriertes Spam-Erkennungssystem haben.

DMARC kann nicht alle Arten von Phishing-Angriffen abwehren, so dass die Benutzer bei Anfragen nach personenbezogenen Daten immer vorsichtig sein müssen. Die meisten seriösen Unternehmen werden sich nicht per E-Mail an Sie wenden, um nach Kreditkartendaten, Bankinformationen, Passwörtern oder Sozialversicherungsnummern zu fragen. Und ein DMARC-Protokoll verhindert das Spoofing von Domains, denen Sie vertrauen, wie z. B. „mybank.com“.

Viele Phishing-Angriffe sind jedoch mit „ähnlich aussehenden“ Domains erfolgreich. Im obigen Beispiel wird die E-Mail vielleicht nicht von „mybank.com“, sondern von „mybank.us“ oder „mybanks.com“ oder anderen Domains gesendet, die der Domain, von der Sie die E-Mail erwarten, sehr ähnlich sehen. Spammer sind oft raffiniert und fälschen die normalen Nachrichtensignaturen, so dass die E-Mail fast identisch aussieht wie eine von dem echten Unternehmen.

Eine weitere gängige Praxis bei diesen betrügerischen E-Mails besteht darin, Sie auf einen Link zu einer gefälschten Website zu leiten. Auf der „scheinbaren“ Domain können Sie eine betrügerische Rechnung bezahlen, ein Passwort eingeben oder andere personenbezogene Daten angeben.

Daher müssen die Verbraucher immer auf potenziell problematische E-Mails achten. Und anstatt auf die E-Mail zu antworten, um die Legitimität zu bestätigen, sollten sie die echte Telefonnummer online nachschlagen und den Ansprechpartner direkt anrufen.

Warum Sie DMARC brauchen

Wenn betrügerische E-Mails in den Posteingang von Kunden gelangen, birgt dies alle möglichen Gefahren, vom Identitätsdiebstahl bis hin zum Diebstahl von Geld oder anderen Informationen. Dies ist besonders beunruhigend, wenn die E-Mails scheinbar von einer vertrauenswürdigen Person stammen, sei es Ihre Bank, das Finanzamt oder sogar ein Geschäftspartner.

Die wichtigsten Vorteile sind folgende:

  • Marken können jeden wissen lassen, dass sie gute E-Mail-Authentifizierungspraktiken anwenden, was das Vertrauen Ihrer Kunden stärkt, aber auch ein Warnsignal für potenzielle Betrüger ist, dass Ihre Marke schwieriger zu fälschen ist und sie sich leichteren Zielen zuwenden sollten.
  • Domain-Inhaber können Rückmeldungen über Adressen erhalten, die ihre Domain zum Versenden von E-Mails nutzen.
  • Marken können Richtlinien festlegen, was mit E-Mails geschehen soll, die nicht den Anforderungen entsprechen.
  • Die Verbraucher können darauf vertrauen, dass die Person, die die E-Mail von Ihrer Marke versendet, auch wirklich diejenige ist, die sie vorgibt zu sein.

Im Grunde können Sie DMARC als den ultimativen Verkehrspolizisten für die Posteingänge Ihrer Kunden betrachten. Das Hauptziel von DMARC ist es, sicherzustellen, dass Ihre Regeln befolgt werden.

Mythen über DMARC

Nachdem wir nun dargelegt haben, was DMARC ist und warum Sie es brauchen, ist es an der Zeit, einige der wichtigsten DMARC-Mythen auszuräumen.

Mythos Nr. 1: DMARC blockiert alle E-Mail-Angriffe

Obwohl wir dies im obigen Abschnitt „Welche Probleme werden durch DMARC nicht gelöst?“ kurz erläutert haben, können wir hier näher auf die Einzelheiten eingehen. Ein gut konfiguriertes DMARC-Protokoll stellt sicher, dass E-Mail-Empfänger erkennen können, ob eine E-Mail von der tatsächlichen Person in Ihrer Domain stammt, die sie versendet hat, oder ob sie von jemandem mit bösen Absichten gesendet wurde.

Wichtig sind hier die Worte „in Ihrer Domain“. Es hilft, die Verbraucher vor gefälschten E-Mails zu schützen. Mit anderen Worten: Deren E-Mail-Dienstleister kann erkennen, dass die E-Mails gefälscht wurden und, obwohl sie von Ihrer Domain zu stammen scheinen, betrügerisch sind.

DMARC schützt jedoch nicht vor „gleich aussehenden“ Phishing-Angriffen. Hier gibt es einen großen Unterschied. Wenn eine E-Mail von [email protected] von einem Betrüger gesendet wird und Sie ein ordnungsgemäß konfiguriertes DMARC-Protokoll eingerichtet haben, wird der E-Mail-Dienstanbieter diese E-Mail entweder in Quarantäne stellen oder zurückweisen. Wenn die E-Mail jedoch von [email protected] kommt, kann der E-Mail-Anbieter nicht feststellen, ob die E-Mail von einer legitimen Quelle stammt oder nicht.

Ähnlich verhält es sich, wenn ein Passwort missbraucht wird und sich jemand in Ihren eigentlichen E-Mail-Server einhackt: DMARC allein löst das Phishing-Problem nicht.

Mythos Nr. 2: Die Einrichtung von DMARC schützt Sie automatisch

DMARC ist eines der weltweit anerkanntesten E-Mail-Sicherheitsprotokolle mit Milliarden von E-Mail-Adressen, die es unterstützen. Wenn Sie also einen DMARC-Eintrag einrichten, ist das nicht nur eine allgemein anerkannte Strategie, sondern sollte Sie auch schützen, oder?

Die Wahrheit ist, dass das Einrichten eines DMARC-Eintrags nur ein Teil der Gleichung ist. Zwar erhalten die E-Mail-Empfänger damit die Informationen, die sie benötigen, um Ihre Domain zu verifizieren, aber das reicht nicht aus. Um den Schutz einer DMARC-Strategie zu erhalten, müssen Sie festlegen, was Sie mit den E-Mails machen wollen, die nicht den Anforderungen entsprechen. Wenn Sie also möchten, dass fragwürdige E-Mails unter Quarantäne gestellt oder zurückgewiesen werden, müssen Sie sicherstellen, dass Ihr Eintrag dies angibt. Die überwältigende Mehrheit der Unternehmen, die DMARC verwenden, legen keine Richtlinie fest, was mit diesen E-Mails geschehen soll. Sie sind also nicht so gut geschützt, wie sie es durch die Aktualisierung dieser Einstellung sein könnten.

Mythos Nr. 3: Sie brauchen DMARC nur, wenn Sie E-Mails von Ihrer Domain aus versenden

Es ist leicht zu verstehen, warum Sie das denken. Wenn Sie keine E-Mails von einer Domain aus versenden, brauchen Sie sich ja auch keine Gedanken darüber zu machen, ob Sie imitiert werden, oder?

Die harte Wahrheit ist, dass Hacker jede Domain fälschen können, unabhängig davon, ob sie zum Versenden von E-Mails verwendet wird. Um Ihre Marke also wirklich zu schützen, müssen Sie DMARC für alle Ihre Domains einrichten. Falls Sie jemals E-Mails von einer bestimmten Domain versenden möchten, sollten Sie außerdem sicherstellen, dass Sie sich nicht von einer schlechten Domain-Reputation zurückkämpfen müssen.

Mythos Nr. 4: DMARC ist eine großartige Lösung für E-Mail-Sicherheit, die man einfach einstellen und vergessen kann

Sie haben Ihre SPF- und DKIM-Richtlinien konfiguriert, und Ihre DMARC-Protokolle sind eingerichtet. Zeit, sich zurückzulehnen und sich um Ihre E-Mail-Sicherheit keine Sorgen mehr zu machen, oder?

Nicht ganz. Realistisch betrachtet ist das nur der erste Schritt. Langfristig müssen Sie sicherstellen, dass Sie Ihre E-Mail-Sicherheit und die IP-Adressen, die Ihre SaaS-Apps von Drittanbietern verwenden, im Auge behalten. Jedes Mal, wenn Sie Ihren E-Mail-Marketing-Dienst ändern oder eine neue Domain registrieren, müssen zumindest Ihre DMARC-Richtlinien überprüft werden. Wahrscheinlicher ist jedoch, dass sie aktualisiert werden müssen. Und wie werden Sie die Daten aus Ihren DMARC-Berichten überwachen und sich gegen Betrüger wehren, die versuchen, Ihre Domain zu fälschen? Hier ist ein DMARC-Managed-Service wie EasyDMARC eine ideale Lösung für Ihr Unternehmen.

Mythos Nr. 5: DMARC ist einfach zu implementieren

Alles, was Sie tun müssen, um DMARC einzurichten, ist, einen Eintrag zu den DNS-Einstellungen Ihrer Domain hinzuzufügen und dann eine E-Mail zu bestimmen, an die die Einträge gesendet werden, richtig? Nun, so ungefähr. Das ist zwar richtig, aber leider ist es in Wirklichkeit nicht so einfach, es sei denn, Sie wissen wirklich, was Sie tun.

Und genau das ist das Schöne an einem verwalteten DMARC-Dienst wie EasyDMARC. Wir machen es den Marken leicht, weil wir Ihnen die Kopfschmerzen abnehmen. Schließlich sind die Berichte nicht nur schwer zu verstehen, sondern es ist auch nicht immer einfach, IP-Adressen mit den Personen zu vergleichen, die legitime E-Mails von Ihrer Domain aus versenden. Wahrscheinlich ist Ihnen gar nicht bewusst, wie kompliziert Ihr E-Mail-System ist. Vor allem, wenn Sie mehrere Domains und SaaS-Integrationen und möglicherweise mehr als einen E-Mail-Dienstanbieter haben.

Außerdem müssen Sie bei der Einrichtung Ihrer SPF- und DKIM-Protokolle alle diese Informationen sowie die zugehörigen IP-Adressen berücksichtigen, um alles erfolgreich zu implementieren.

DMARC hinzufügen – Schritt für Schritt

Schritt 1: Konfigurieren Sie Ihr SPF

DMARC erfordert SPF und DKIM, um zu funktionieren. Daher sollten Sie als Erstes Ihr SPF einrichten. Bevor Sie beginnen, sollten Sie sich vergewissern, dass Sie Ihre IP-Adresse kennen.

Öffnen Sie dann Ihre DNS-Einstellungen und erstellen Sie einen neuen txt-Eintrag:

v=spf1 a mx ip4:xxx.xxx.xxx.xxx -all

Speichern Sie die Einstellungen. Es kann eine Stunde dauern, bis die Einstellungen wirksam werden.

Danach sollten Sie Ihren SPF-Eintrag in Ihrem DNS überprüfen, um sicherzustellen, dass er korrekt eingerichtet ist.

Schritt 2: Konfigurieren Sie Ihr DKIM

Wenn Sie einen externen E-Mail-Dienst nutzen, bietet dieser möglicherweise eine Funktion, die Ihnen bei der Einrichtung von DKIM hilft. Befolgen Sie die dortigen Schritte, und als Teil des Domain-Authentifizierungsprotokolls erhalten Sie möglicherweise einige zusätzliche DNS-Einträge. Fügen Sie, wie bei der Einrichtung von SPF, einen neuen txt-Eintrag für jeden Schlüssel hinzu, den Sie erhalten, und veröffentlichen Sie diese nach den Anweisungen des Anbieters. Dies müssen Sie für jede dritte Partei tun, die Sie zum Senden von E-Mails verwenden.

Auch hier kann es eine Stunde dauern, bis die Änderungen wirksam werden. Überprüfen Sie daher, ob die Einträge richtig eingerichtet sind, bevor Sie fortfahren.

Schritt 3: Veröffentlichen Sie Ihren DMARC-Eintrag

Da Sie SPF und DKIM bereits eingerichtet haben, können Sie nun DMARC konfigurieren. Gehen Sie zurück zu Ihren DNS-Einstellungen und erstellen Sie einen neuen txt-Eintrag.

Als Wert sollten Sie Folgendes verwenden:

v=DMARC1; p=none; rua=mailto:[email protected]

Der Wert für v wird sich nie ändern; er sollte immer DMARC1 sein.

Der Wert für p gibt an, was E-Mail-Server mit E-Mails tun sollen, die Ihr DMARC-Protokoll nicht bestehen.

  • p=none: keine Aktion zu ergreifen
  • p=quarantine: Quarantäne (oder an Spam senden)
  • p=reject: vollständig ablehnen

Um Ihre Domain vollständig zu schützen, sollten Sie entweder q oder r einstellen. Wenn Sie jedoch gerade erst anfangen, ist es vielleicht besser, none zu wählen, bis Sie überprüft haben, ob alles richtig funktioniert.

Der Wert für RUA ist die E-Mail-Adresse, an die Sie Berichte über Ihre E-Mail-Leistung erhalten möchten.

Sobald Sie den Eintrag erstellt haben, klicken Sie auf Veröffentlichen. Auch hier müssen Sie möglicherweise eine Stunde warten, bis die Einstellungen wirksam werden.

Schritt 4: Überprüfen Sie die Berichte, um die Einstellungen zu bestätigen

Warten Sie nun auf die DMARC-Berichte und prüfen Sie diese, um Ihre E-Mail-Leistung zu beurteilen.

Wie wir bereits erwähnt haben, ist es nicht immer einfach, die Berichte zu verstehen. In diesem Fall kann es hilfreich sein, einen verwalteten DMARC-Dienst wie EasyDMARC als Erweiterung Ihres Teams einzusetzen. Wir werden den hochtechnischen Bericht in ein Format bringen, das Sie leicht verstehen können. Wir kümmern uns auch um all die komplizierten Details, so dass die Arbeit für Sie wirklich mühelos ist!

Schritt 5: Überwachen Sie Ihre E-Mails

Stellen Sie sicher, dass alle Ihre E-Mails authentisch sind und die Empfänger erreichen. Vergewissern Sie sich, dass Ihre SPF- und DKIM-Einstellungen korrekt sind. Wenn Sie Fehler finden, gehen Sie zurück und stellen Sie sicher, dass sie in Ihrem DNS richtig konfiguriert sind.

Wenn Sie glauben, dass Sie dabei Hilfe benötigen, empfiehlt es sich, von Anfang an mit einer verwalteten Lösung wie EasyDMARC zu arbeiten. Wir helfen Ihnen dabei, herauszufinden, was korrigiert und angepasst werden muss. Tatsächlich können wir Ihren E-Mail-Schutz in weniger als 20 Minuten in den starken Bereich bringen.

Sobald Ihre E-Mail-Einstellungen einige Monate lang korrekt zu funktionieren scheinen, ist es an der Zeit, Ihren DMARC-Eintrag auf die Quarantäne-Einstellung („q“) zu aktualisieren. Und nachdem dies wiederum einige Monate lang korrekt funktioniert hat, können Sie diese Einstellung auf Ablehnung („r“) aktualisieren.

Der Grund, warum Sie diese Einstellung stufenweise anpassen sollten, ist, dass Sie sicherstellen wollen, dass keine E-Mails fälschlicherweise als legitim markiert werden und umgekehrt.

Schritt 6: Fortgesetzte Überwachung

Auch wenn die Einrichtung abgeschlossen ist, ist DMARC keine Lösung, mit der man sich zufrieden gibt. Es ist wichtig, dass Sie Ihre E-Mails und Ihre Berichte ständig überwachen, um sicherzustellen, dass alles ordnungsgemäß funktioniert. Wenn Ihr Unternehmen wächst und sich verändert oder mit neuen E-Mail-Anbietern zusammenarbeitet, müssen Sie Ihre Einstellungen überarbeiten, um eine optimale E-Mail-Zustellung zu gewährleisten.

Andere Überlegungen, die Sie in Bezug auf DMARC anstellen sollten

Genauso wie Sie bei der Konfiguration Ihrer SPF- und DKIM-Einträge DNS-Einträge einrichten müssen, benötigen Sie auch Reverse-DNS-Einträge. Dadurch können E-Mail-Anbieter Ihre IP-Adresse mit Ihrem Host-Namen vergleichen, was wiederum die Wahrscheinlichkeit verringert, dass sie Ihre E-Mails blockieren.

Fazit

Der Einsatz von DMARC-Protokollen ist ein absolutes Muss, wenn man als Marke heute die Nase vorn haben will. Darüber hinaus ist es absolut entscheidend, dass Sie sich die Zeit nehmen, es richtig zu machen. Alles andere bedeutet potenziell weniger Vertrauen der Verbraucher, weniger zugestellte E-Mails und schlimmstenfalls eine gefälschte Domain, die Ihrer Marke und der Sicherheit Ihrer Kunden schadet.

Doch so beschäftigt Sie und Ihr Team auch sind, es kann schwer sein, noch eine weitere Aufgabe auf Ihre Liste zu setzen. Wenn Sie also einen Weg finden müssen, um Berichte zu verstehen, die nicht in einfachem Englisch verfasst sind. Wenn dies auf Sie zutrifft, dann ist die Zusammenarbeit mit einem Dienst wie EasyDMARC die perfekte Lösung, um Phishing und Betrug zu verhindern und gleichzeitig das Vertrauen Ihrer Kunden und den Ruf Ihrer Marke zu wahren.

Check Your Domain