DMARC ist ein Akronym für Domain-based Message, Authentication, Reporting, and Conformance. Aber was ist DMARC in der Praxis?
Es handelt sich um ein offenes E-Mail-Authentifizierungsprotokoll, das die E-Mail-Domain Ihres Unternehmens vor E-Mail-Spoofing und Betrug schützt.
Durch die Implementierung von DMARC wird Ihre Domain vor Cyberangriffen wie Business Email Compromise, Phishing und anderen E-Mail-Betrügereien geschützt.
Das Domain-based Message, Authentication, Reporting and Conformance-Protokoll arbeitet mit den E-Mail-Protokollen SPF (Sender Policy Framework) und DKIM (Domain Keys Identified Mail) zusammen.
DMARC besteht aus zwei Teilen: Berichterstattung und Konformität. Domain-Inhaber können die Authentifizierung ihrer E-Mails überwachen. Gleichzeitig gibt DMARC an, was ISPs mit nicht authentifizierten E-Mails tun sollen.
Wozu dient DMARC? Dieses Protokoll ermöglicht es Unternehmen, zu überwachen und zu kontrollieren, wer E-Mails im Namen ihrer Domain senden kann. Als Geschäftsinhaber möchten Sie sicher sein, dass Ihre Kunden nur legitime E-Mails von Ihnen erhalten. Aus diesem Grund muss jedes Unternehmen eine DMARC-Richtlinie einführen.
Wenn Sie DMARC-E-Mail-Sicherheit verwenden, können Sie den Empfängern mitteilen, dass Ihre E-Mails durch SPF und DKIM geschützt sind, und sie darüber informieren, was zu tun ist, wenn ein Authentifizierungsprozess fehlschlägt.
In einem Beispiel für einen DMARC-Eintrag sehen Sie drei Richtlinien:: None, reject und quarantine.
Da das Wissen über die Funktionsweise von DMARC von entscheidender Bedeutung ist, werden wir in diesem Artikel ein wenig in die Geschichte von DMARC eintauchen – wie es entstanden ist und wie es sich durchgesetzt hat.
Die Grundlage von DMARC: SPF und DKIM
DMARC wurde entwickelt, um zwei bestehende E-Mail-Authentifizierungsprotokolle zu erweitern – SPF (Sender Policy Framework) und DKIM (Domain Keys Identified Mail). DMARC verwendet diese Protokolle, um die Authentizität einer Nachricht zu bestimmen.
Die Bemühungen um einen angemessenen E-Mail-Schutz haben eine lange Geschichte. Sie begannen mit der S/MIME-Verschlüsselung (Secure/Multipurpose Internet Mail Extension) und dem beliebten Standard für digitale Signaturen in den 90er Jahren.
In den frühen 2000er Jahren wurden neue Standards für die E-Mail-Authentifizierung entwickelt. Unter diesen Standards lösten SPF und DKIM verwandte E-Mail-Sicherheitsprobleme. Schauen wir uns diese kurz an.
SPF
SPF oder Sender Policy Framework ist eines der ersten E-Mail-Authentifizierungsprotokolle, das in den frühen 2000er Jahren eingeführt wurde. Die Idee entstand, als E-Mail-Experten feststellten, dass das SMTP (Simple Mail Transfer Protocol) die Benutzer nicht vor E-Mail-Spoofing schützen konnte, so dass die Notwendigkeit eines Sicherheitsmechanismus entstand.
SPF wurde zunächst als Sender Permitted Form oder SMTP+SPF bezeichnet. Der Name wurde in Sender Policy Framework geändert und von der IETF im Jahr 2014 als vorgeschlagener Standard veröffentlicht.
Es handelt sich um eine Authentifizierungsmethode, die dazu dient, E-Mail-Angriffe wie Phishing zu verhindern und die Domain-Reputation zu verbessern. Der Standard ermöglicht es E-Mail-Servern, die IP-Adressen von eingehenden Nachrichten zu überprüfen und zu authentifizieren.
Dennoch hat SPF seine Schwächen. So wird beispielsweise bei weitergeleiteten Nachrichten die Authentifizierung nicht durchgeführt, SPF-Einträge sind schwierig zu pflegen, und Hacker können den Return-Path/mailfrom immer noch ausnutzen, da die meisten Leute dies nicht überprüfen.
SPF allein reicht nicht aus, um Ihre E-Mail Domain zu sichern. Deshalb ist es wichtig zu wissen, wie man einen DMARC-Eintrag in DNS hinzufügt und eine DMARC-Richtlinie implementiert.
DKIM
DKIM oder DomainKeys Identified Mail wurde 2014 als Kombination aus zwei bestehenden E-Mail-Standards entwickelt. Der erste Standard ist der von Yahoo! entwickelte Enhanced DomainKey, der die Integrität einer E-Mail-Nachricht durch die Authentifizierung der DNS-Quelldomain bestätigt.
Der zweite Standard ist der von Cisco entwickelte Identified Internet Email, der die Integrität ausgehender E-Mails durch digitale Signaturen bestätigt.
Ursprünglich waren Gmail, Fastmail, AOL und Yahoo! die ersten, die diesen Standard übernommen haben. Heute hat sich DKIM weltweit durchgesetzt und wird für alle E-Mail-Anbieter empfohlen.
Wie SPF hilft auch DKIM, Ihre Domain vor unbefugter Nutzung zu schützen. Das Protokoll stellt sicher, dass E-Mails während der Übertragung zwischen Absender- und Empfängerserver unverändert bleiben.
Dennoch können Hacker DKIM-Signaturen mit böswilligen Taktiken ausnutzen. Noch einmal: DKIM allein bietet keine ausreichende E-Mail-Sicherheit. Daher ist der DMARC-Schutz unerlässlich.
Die Anfänge (2010-2012)
Auch wenn SPF und DKIM ein gewisses Maß an E-Mail-Sicherheit bieten, können sie keine vollständige Lösung für die E-Mail-Authentifizierung bieten. Dies führte zur Entwicklung von Domain-based Message Authentication, Reporting and Conformance.
Die Entwicklung von DMARC begann im Jahr 2010, als sich fünfzehn führende Unternehmen, darunter PayPal, Microsoft, Google und Yahoo, zusammenschlossen, um ein Protokoll zum Schutz vor betrügerischen E-Mails im Internet zu entwickeln.
Eines der Ziele der Zusammenarbeit war es, sicherzustellen, dass E-Mail-Empfänger den versendenden Servern ein authentifiziertes Feedback zu ihren Nachrichten geben können, um ihren Authentifizierungsmechanismus zu verbessern. Die erste Veröffentlichung der DMARC-Spezifikation erfolgte am 30. Januar 2012.
Die langsame Einführung (2012-2017)
Der DMARC-Schutz wurde zwar 2010 entwickelt, aber erst 2015 im Rahmen des Trusted Domain Project in Angriff genommen. Die Einführung des DMARC-Protokolls verlief unglaublich langsam. Viele Organisationen sind sich des DMARC-Protokolls und seiner Vorteile noch immer nicht bewusst.
Einer der Gründe für die langsame Einführung des DMARC-Protokolls ist seine technische Komplexität. Um die E-Mail-Authentifizierung zu verstehen, ist ein gewisses Maß an technischem Wissen erforderlich, und es ist nichts, was Unternehmen oder Vermarkter auf eigene Faust implementieren können.
Zumindest war das früher so. Mit Lösungen wie EasyDMARC ist die Implementierung von DMARC-Einträgen und -Richtlinien bis hin zu DMARC-Tags und -Berichten ganz einfach.
In den Anfängen von DMARC fehlte kleinen Unternehmen jedoch die Erfahrung, um SPF und DKIM zu implementieren. Natürlich benötigen Sie diese beiden Standards, bevor Sie DMARC effektiv in Ihrem DNS installieren können.
In den Jahren 2015 und 2016 haben Google und Yahoo! strenge Richtlinien für DMARC erlassen und darauf hingewiesen, dass Unternehmen, die sich dem DMARC-Trend verweigern, in naher Zukunft darunter leiden werden.
DMARC heute und in Zukunft (2018 bis heute)
Die DMARC-Nutzungsstatistiken zeigen, dass DMARC schnell an Bedeutung gewinnt und viele Organisationen diesen Authentifizierungsstandard übernehmen, um E-Mail-Spoofing zu verhindern. Im Jahr 2018 verpflichtete das Department of Homeland Security (DHS) alle Bundesbehörden zur Einführung von DMARC, was sich positiv auf die Einführungsrate auswirkte.
Im Dezember 2018 stieg die DMARC-Anwendungsrate bei den Bundesbehörden auf 47%. In dieser Zeit wies das DHS die Behörden nur an, DMARC auf der Ebene p=none zu implementieren, was die Domain immer noch Phishing- und Spoofing-Angriffen aussetzt.
Laut Agari haben etwa 53% der Bundesbehörden keine DMARC-Richtlinie. Selbst bei denjenigen, die eine haben, verwendet die Mehrheit die Richtlinie p=none, wodurch ihre Domain nicht vor Spoofing geschützt ist.
Alexandra Garcia-Tobar, CEO von Valimain, sagte, dass der Einsatz von DMARC für Unternehmen, die in den Vereinigten Staaten und Europa tätig sind, aufgrund der dortigen Datenschutzgesetze unerlässlich ist.
Statistiken zeigen auch, dass Domains ohne DMARC-Einsatz 4,75 mal häufiger Opfer von Spoofing werden. Im Jahr 2021 hatten 43,4% der Domains die DMARC-Richtlinie durchgesetzt, ein Anstieg von 2% gegenüber 2020 und 3,5% gegenüber 2019.
Diese Statistiken zeigen, dass die Einführung des DMARC-Protokolls zunimmt. DMARC wurde von mehreren großen E-Mail-Anbietern wie Microsoft, Google und Yahoo! weithin akzeptiert und deckt mehr als 85% der Posteingänge von Nutzern weltweit ab.
Heute ist das DMARC-Protokoll unter E-Mail-Vermarktern als wesentlicher Aspekt der Zustellbarkeit anerkannt. Selbst die M3AAWG empfiehlt die Durchsetzung von DMARC als Best Practice für die Zustellbarkeit von E-Mails. Eine DMARC-Richtlinie bietet eine E-Mail-Authentifizierung, die in Zukunft von entscheidender Bedeutung sein wird.
Früher oder später werden die E-Mail-Anbieter zur Richtlinie „No Auth, No Entry“ übergehen. Das bedeutet, dass Ihre Nachricht nicht zugestellt wird, wenn sie die DMARC-Anforderungen nicht erfüllt.
Wenn Sie also wollen, dass Ihre Nachricht in den Posteingang Ihrer Kunden gelangt, müssen Sie in Ihrer Domain eine DMARC-Richtlinie durchsetzen. Dies ist zwar noch nicht der Fall, steht aber kurz bevor, da die Einführung von DMARC weltweit weiter zunimmt.
Fazit
Es ist keine Neuigkeit, dass einige gefährliche Cyberangriffe, wie BEC und Phishing, per E-Mail übertragen werden. Daher müssen Unternehmen DMARC implementieren, um die Auswirkungen von Cyberkriminalität wie Phishing, Spoofing, Markenmissbrauch und Malware-Angriffen abzuschwächen.
Für die meisten Unternehmen ist es jedoch schwierig, die DMARC-Richtlinie durchzusetzen. Dies mag zwar wie eine gewaltige Aufgabe erscheinen, ist aber durchaus machbar. Wenn Sie den Status Ihres DMARC-Eintrags nicht kennen, können Sie mit unserem DMARC-Eintrag-Generator eine DMARC-Eintrag-Suche durchführen.
Mit der All-in-One-Lösung von EasyDMARC können Sie Ihre E-Mail-Domain schützen und jeden Bereich Ihrer E-Mail-Authentifizierung erfolgreich überwachen, um einen robusten und effektiven Schutz gegen Phishing, Spoofing und andere E-Mail-Angriffe durchzusetzen.