{"id":20988,"date":"2020-01-28T21:41:20","date_gmt":"2020-01-28T21:41:20","guid":{"rendered":"https:\/\/easydmarc.com\/blog\/?p=20988"},"modified":"2023-06-19T08:35:44","modified_gmt":"2023-06-19T08:35:44","slug":"warum-scheitert-dmarc","status":"publish","type":"post","link":"https:\/\/easydmarc.com\/blog\/de\/warum-scheitert-dmarc\/","title":{"rendered":"Warum scheitert DMARC?"},"content":{"rendered":"
In diesem Artikel gehen wir auf die Gr\u00fcnde ein, warum DMARC scheitert, und was Sie tun sollten, um dieses Problem zu untersuchen und zu l\u00f6sen.<\/span><\/p>\n Bevor wir ins Detail gehen, sollten wir mehr \u00fcber den Schl\u00fcsselwert von DMARC sprechen, n\u00e4mlich die <\/span>Domain-Abgleich<\/b>.<\/span><\/p>\n Was ist Domain-Abgleich? Der Domain-Abgleich ist das Kernkonzept von DMARC, d. h. die \u00dcberpr\u00fcfung, ob die E-Mail-Adresse in der From:-Headerzeile der tats\u00e4chliche Absender der Nachricht ist. In der Praxis bedeutet dies, dass die SPF-Pr\u00fcfung der Domain (die auf der From: oder Return-Path-Adresse des Umschlags basiert) und die DKIM-Signaturdomain (d=example.net) mit der From: Adresse der Nachricht <\/span>\u00fcbereinstimmen<\/b>.<\/span><\/p>\n Siehe nachstehender Screenshot:<\/span><\/p>\n Lassen Sie uns nun auf DMARC-Fehler zur\u00fcckkommen und verschiedene F\u00e4lle besprechen, die zu diesem Szenario f\u00fchren k\u00f6nnen, wie Sie es untersuchen, erkennen und eine L\u00f6sung finden sollten.<\/span><\/p>\n Fall 1: <\/b>Wenn Sie keine DKIM-Signatur einrichten, signieren ESPs wie GSuite und Office365 alle Ihre ausgehenden E-Mails mit ihrem Standard-DKIM-Signaturschl\u00fcssel. (z.B. d=domain.gappssmtp.com f\u00fcr Google & d=domain.onmicrosoft.com f\u00fcr Office365) \u2013 Die Standardsignatur ist NICHT Ihre Domain. Das ist nur m\u00f6glich, wenn Sie die richtigen Konfigurationen und Eintr\u00e4ge in Ihrem DNS-Provider (wie GoDaddy, Rackspace, Cloudflare) vornehmen. Wenn also jemand eine E-Mail von example.com erh\u00e4lt, die aber mit example.gappssmtp.com oder example.onmicrosoft.com signiert ist, scheitert DMARC aufgrund der <\/span>falschen Zuordnung<\/b>.<\/span><\/p>\n Sie finden hier Beispiele f\u00fcr diesen Fall mit aktuellen Screenshots aus dem EasyDMARC-Dashboard.<\/span><\/p>\n DMARC scheitert, weil GSuite die Standard-DKIM-Signatur verwendet und im SPF-Eintrag nicht autorisiert ist.<\/span><\/i><\/p>\n DMARC scheitert, weil Office365 die Standard-DKIM-Signatur verwendet und im SPF-Eintrag nicht autorisiert ist.<\/span><\/i><\/p>\n Fall 2: <\/b>Wenn Sie Drittanbieter (wie MailChimp, SendGrid, HubSpot, ZenDesk) f\u00fcr Ihre Marketing-, Transaktions- und Helpdesk-E-Mails verwenden, m\u00fcssen Sie ihnen erlauben, E-Mails im Namen Ihrer Domain zu versenden.<\/span><\/p>\n Dies wird erreicht, indem Sie DNS-Eintr\u00e4ge (SPF & DKIM) von Ihrem DNS-Provider (wie GoDaddy, Cloudflare oder Rackspace) an die angegebenen Server weiterleiten, um sie zu autorisieren und auf die \u201eWhitelist\u201c zu setzen.<\/span><\/p>\n Diese Anbieter signieren Ihre E-Mails standardm\u00e4\u00dfig mit ihrem Domain-Namen, und Ihre Empf\u00e4nger sehen in der Regel die Nachricht \u201evia sendgrid.net\u201c, \u201evia thirdpartyprovider.com\u201c auf Ihren E-Mails, was zu einem <\/span>Fehler <\/b>beim DMARC-Abgleich und zum <\/span>Scheitern <\/b>f\u00fchrt.<\/span><\/p>\n Unten sehen Sie die Beispiele f\u00fcr diesen Fall mit Screenshots aus dem EasyDMARC-Dashboard.<\/span><\/p>\n DMARC scheitert aufgrund von E-Mails, die \u00fcber ein SendGrid-Konto gesendet werden und nicht ordnungsgem\u00e4\u00df mit DKIM und SPF f\u00fcr eine eindeutige Domain signiert sind.<\/span><\/i><\/p>\n DMARC scheitert, da E-Mails, die \u00fcber ein ZenDesk-Konto gesendet werden, nicht ordnungsgem\u00e4\u00df mit DKIM und SPF f\u00fcr eine eindeutige Domain signiert sind.<\/span><\/i><\/p>\n Fall 3: <\/b>Weiterleitende Entit\u00e4ten ver\u00e4ndern Ihren Nachrichtentext und Ihre Kopfzeilen, was zu <\/span>DKIM-Fehlern<\/span><\/a> f\u00fchrt. In diesem <\/span>Artikel<\/span><\/a> erfahren Sie mehr \u00fcber das SPF\/DKIM\/DMARC-Verhalten bei der Weiterleitung.<\/span><\/p>\n Fall 4: <\/b>Sie sind ein Spoofing-Ziel, d. h. Cyberkriminelle versenden E-Mails im Namen Ihrer Domain. Dabei handelt es sich um nicht autorisierte Quellen, die sowohl die SPF- als auch die DKIM-Authentifizierungsergebnisse nicht erf\u00fcllen, was zu einem DMARC-Fehler f\u00fchrt, der haupts\u00e4chlich auf der Registerkarte \u201eBedrohung\/Unbekannt\u201c Ihres EasyDMARC-Dashboards sichtbar ist.<\/span><\/p>\n Beispiel:<\/span><\/p>\n Sie haben also Ihre DMARC-Reise begonnen und erhalten Berichte in Ihrem EasyDMARC-Dashboard, und Sie denken vielleicht: \u201eWas ist als N\u00e4chstes zu tun?\u201c und \u201eWie setze ich meine DMARC-Richtlinie auf Ablehnung um, ohne das Risiko einzugehen, dass meine legitimen Quellen blockiert werden?\u201c<\/span><\/p>\n Lassen Sie uns diesen Prozess in einfachen Schritten beschreiben, damit Sie auf diesem Weg erfolgreich sind:<\/span><\/p>\n Schritt 1: <\/b>Beginnen Sie Ihre DMARC-Reise mit dem \u00dcberwachungsmodus (p=none).<\/span><\/p>\n Schritt 2: <\/b>Analysieren Sie Ihr E-Mail-\u00d6kosystem in den ersten 3-4 Wochen.<\/span><\/p>\n Schritt 3:<\/b> Erkennen Sie alle Ihre legitimen Quellen und authentifizieren Sie sie mit SPF & DKIM.<\/span><\/p>\n In unseren Plus- und Business-Paketen identifizieren wir E-Mail-Anbieter und leiten Sie bei allen Konfigurationsschritten an.<\/span><\/p>\n Schritt 4:<\/b> Stellen Sie sicher, dass Sie alle Ihre legitimen Server mit SPF und DKIM authentifizieren und DMARC-Abgleich und -Einhaltung erreichen.<\/span><\/p>\n Schritt 5:<\/b> Setzen Sie Ihre <\/span>DMARC-Richtlinie<\/span><\/a> schrittweise auf h\u00f6heren Ebenen durch (Quarant\u00e4ne und\/oder Ablehnung).<\/span><\/p>\nDMARC-Abgleich und Gr\u00fcnde f\u00fcr DMARC-Fehlschl\u00e4ge<\/span><\/h2>\n
E-Mail-Header<\/span><\/p>\n
DMARC-Fehlerf\u00e4lle<\/span><\/h2>\n
<\/p>\n
<\/p>\n
<\/p>\n
<\/p>\n
<\/p>\n
\u00dcberpr\u00fcfung<\/span><\/h2>\n
<\/p>\n