DMARC ist eine Methode zur E-Mail-Authentifizierung, die überprüft, ob eine Nachricht von einem legitimen Absender stammt. Lerne, wie es funktioniert und warum du es benötigst, um die Zustellbarkeit deiner E-Mails zu verbessern und dein Domain zu schützen.
Basierend auf den Authentifizierungsprotokollen DKIM und SPF, hilft DMARC, zu verhindern, dass deine E-Mail-Domain gefälscht (spoofed) und für Spam oder Phishing-Angriffe verwendet wird.
Wir erklären DMARC, wie es zusammen mit SPF und DKIM funktioniert und warum du es benötigst, um dein Domain zu schützen und sicherzustellen, dass deine E-Mails zugestellt werden.
Was ist DMARC?
Wofür wird DMARC verwendet?
Wie DMARC mit SPF und DKIM funktioniert
Wie funktioniert DMARC?
Was ist eine DMARC-Richtlinie?
Was ist ein DMARC-Eintrag?
Warum DMARC verwenden?
Schütze dein Domain
Verbessere die E-Mail-Zustellbarkeit
Fehlerbehebung bei E-Mails
Richte DMARC einfach mit Proton Mail ein
Was ist DMARC?
DMARC (Domain-basierte Nachrichtenauthentifizierung, Berichterstattung und Konformität) ist ein offener Standard für die E-Mail-Authentifizierung, der hilft, zu verhindern, dass Betrüger deine Domain fälschen (spoofen).
Spammer und Betrüger können die Von-Adresse von E-Mails so fälschen, dass sie scheinbar von einem Absender deines Domains stammen (zum Beispiel name@deinedomain.de).
DMARC überprüft, ob das Von-Feld mit dem Domain in den Authentifizierungsprüfungen von DKIM und SPF übereinstimmt, und hilft Internetdienstanbietern (ISPs) und E-Mail-Anbietern, gefälschte Adressen zu erkennen. DMARC gibt auch den E-Mail-Servern Anweisungen, wie sie mit Nachrichten umgehen sollen, die diese Überprüfungen nicht bestehen, und ermöglicht Empfängern, Berichte über E-Mails zu erhalten, die bei der Authentifizierung durchfallen.
Wofür wird DMARC verwendet?
E-Mail-Anbieter und ISPs verwenden DMARC zusammen mit SPF und DKIM, um gefälschte Adressen zu identifizieren, was ihnen hilft, Spam und Phishing-E-Mails zu erkennen und zu verhindern. Bei Proton Mail ist DMARC beispielsweise eines der Werkzeuge, die wir für Anti-Missbrauch und Kontosicherheit verwenden.
E-Mail-Plattformen verwenden DMARC auch, um E-Mails zu überwachen und Probleme zu beheben. Mit DMARC kannst du Berichte über Nachrichten anfordern, die SPF und DKIM nicht bestanden haben, um dir zu helfen zu identifizieren, warum E-Mails nicht zugestellt werden. DMARC-Berichte zeigen auch, wer E-Mails von deinem Domain sendet, um dich auf potenzielle Betrüger aufmerksam zu machen, die dein Domain missbrauchen.
Wie DMARC mit SPF und DKIM zusammenarbeitet
DMARC arbeitet in Verbindung mit SPF und DKIM, um zu überprüfen, ob der Absender einer E-Mail echt ist. Hier ist, wie die drei Authentifizierungsmethoden zusammenarbeiten:
- SPF (Sender Policy Framework) überprüft, ob eine E-Mail von einer IP-Adresse gesendet wurde, die autorisiert ist, E-Mails vom Domain des Absenders zu senden.
- DKIM (DomainKeys Identified Mail) überprüft kryptografisch, dass die Adresse des Absenders und der Inhalt der Nachricht während der Übertragung nicht verändert wurden.
- DMARC (Domain-based Message Authentication, Reporting, and Conformance) stellt sicher, dass die Domain in den DKIM- und SPF-Überprüfungen mit der Absender-Domain im From-Feld übereinstimmt. Es legt auch fest, wie E-Mail-Server eine Nachricht behandeln sollen, die sowohl bei DKIM als auch bei SPF durchfällt – annehmen, ablehnen oder als Spam markieren.
Obwohl DMARC nur entweder SPF oder DKIM erfordert, empfehlen wir dringend, dass jeder, der eine eigene Domain verwendet, sowohl SPF als auch DKIM mit DMARC einrichtet, um eine korrekte Zustellung Ihrer E-Mails zu gewährleisten.
Erfahre, wie du SPF, DKIM und DMARC mit Proton Mail einrichtest
Wie funktioniert DMARC?
DMARC arbeitet mit SPF und/oder DKIM zusammen, um den Absender einer E-Mail (From-Feld) zu authentifizieren und den Mailservern zu sagen, wie sie Nachrichten leiten sollen, die beide Überprüfungen nicht bestehen. So funktioniert es:
Nach der Einrichtung von SPF und/oder DKIM musst du einen DMARC-Eintrag veröffentlichen, der eine DMARC-Richtlinie enthält. Die DMARC-Richtlinie gibt den E-Mail-Servern vor, welche Maßnahmen sie bei Nachrichten ergreifen sollen, die sowohl bei den SPF- als auch bei den DKIM-Überprüfungen durchfallen. Es gibt drei Optionen:
DMARC-Richtlinie | Serveraktion |
---|---|
Keine | Keine Maßnahme ergreifen — die Nachricht gelangt weiterhin in den Posteingang des Empfängers. |
Quarantäne | Die Nachricht in den Spam-Ordner oder einen anderen Ordner verschieben, statt in den Posteingang. |
Ablehnen | Die Nachricht blockieren — sie wird nicht zugestellt |
Unabhängig von der festgelegten DMARC-Richtlinie können E-Mail-Dienste ihre Maßnahmen anpassen, um die Zustellbarkeit zu optimieren. Beispielsweise blockieren wir bei Proton Mail keine Nachrichten mit einer „Ablehnen“-DMARC-Richtlinie, sondern senden sie mit einer Warnung an den Nutzer in den Spam-Ordner, da es immer noch Fälle gibt, in denen legitime E-Mails DMARC nicht bestehen.
Sobald du deinen DMARC-Eintrag veröffentlicht hast, bist du bereit, E-Mails wie folgt mit DMARC zu versenden:
- Du sendest eine E-Mail, zum Beispiel von der Adresse nutzer@deinedomain.de.
- Der empfangende Mailserver sucht die DMARC-Richtlinie deiner Domain in deinem DMARC-Eintrag auf dem DNS-Server.
- Gemäß der DMARC-Richtlinie führt der empfangende Mailserver die DMARC-, SPF- und DKIM-Authentifizierungstests durch und prüft, ob die Domain im Von-Feld der Nachricht mit der Domain in SPF und DKIM „übereinstimmt“.
- Für SPF muss das Von-Feld mit der Domain im Rückwegpfad-Feld im E-Mail-Header übereinstimmen.
- Für DKIM muss das Von-Feld mit der Domain (d) in der DKIM-Signatur übereinstimmen.
- Wenn die Nachricht sowohl den Authentifizierungs- als auch den Übereinstimmungstest für entweder SPF oder DKIM besteht, dann besteht sie auch DMARC. Scheitert sie entweder am Authentifizierungstest oder am Übereinstimmungstest für sowohl SPF als auch DKIM, dann scheitert sie an DMARC.
- Wenn eine Nachricht DMARC nicht besteht, leitet der Mailserver sie gemäß der DMARC-Richtlinie (keine Aktion/Quarantäne/Blockierung) weiter.
- Mailserver, die Nachrichten von deiner Domain erhalten, senden regelmäßige E-Mails mit Authentifizierungsergebnissen an dich, den Domaininhaber (vorausgesetzt, du hast eine Berichtsadresse in deinem DMARC-Eintrag angegeben und der Mailserver ist so eingerichtet, dass er DMARC-Berichte sendet).
Was ist eine DMARC-Richtlinie?
Eine DMARC-Richtlinie ermöglicht es einem Domaininhaber festzulegen, was ein empfangender Mailserver mit E-Mails tun soll, die DMARC nicht bestehen, also sowohl SPF als auch DKIM nicht bestehen.
Es gibt drei Optionen für DMARC-Richtlinien, die durch das Tag „p=“ in einem DMARC-Eintrag angegeben werden:
- p=keine Aktion: Keine Maßnahme ergreifen, also werden alle Nachrichten, die die Authentifizierung nicht bestehen, zugestellt.
- p=Quarantäne: Gescheiterte Nachrichten in den Spamordner senden.
- p=Blockierung: Gescheiterte Nachrichten blockieren, sodass sie nicht zugestellt werden.
p=keine Aktion kann nützlich sein, wenn du eine neue Domain hast und sicherstellen möchtest, dass deine legitimen E-Mails zugestellt werden. Mit p=keine Aktion werden alle Nachrichten unabhängig von der Authentifizierung zugestellt, und du erhältst E-Mail-Berichte, die du nutzen kannst, um Authentifizierungsprobleme zu erkennen.
Sobald du jedoch sicher bist, dass deine E-Mail korrekt konfiguriert ist, empfehlen wir den Wechsel zu p=Quarantäne, wodurch gescheiterte Nachrichten in den Spamordner gesendet werden.
Wenn du denkst, dass du wahrscheinlich Ziel von E-Mail-Fälschung sein könntest, stelle p=Blockierung ein. Beispielsweise nutzen Seiten wie PayPal und eBay p=Blockierung, weil sie von Spammern und Betrügern angegriffen werden, die sich als ihre Domains ausgeben.
Was ist ein DMARC-Eintrag?
Ein DMARC-Eintrag ist eine Art DNS-Texteintrag(neues Fenster), der empfangenden Mailserven mitteilt, dass eine Domain durch DMARC-Authentifizierung geschützt ist. Typischerweise beinhalten DMARC-Einträge:
- Eine DMARC-Richtlinie, die empfangenden Mailserven mitteilt, was zu tun ist, wenn eine E-Mail SPF und DKIM-Authentifizierung nicht besteht
- Eine optionale E-Mail-Adresse, wohin Mailserven DMARC-Berichte über die Authentifizierung von E-Mails, die von dieser Domain gesendet wurden, senden können.
Ein DMARC-Eintrag besteht aus einer Reihe von Tags, wie v=DMARC1, p=Quarantäne usw.
Beispiel für einen DMARC-Eintrag
Hier ist ein Beispiel für einen DMARC-Eintrag mit einer Erläuterung der Bedeutung der Tags unten:
- v=DMARC1: Die DMARC-Versionnummer. Jeder DMARC-Eintrag muss mit diesem Tag beginnen.
- p=quarantine: Die DMARC-Richtlinie, die den empfangenden Mailserver anweist, Nachrichten, die DMARC nicht bestehen, in den Spam-Ordner zu verschieben. Dieser Wert kann auch p=none oder p=reject sein (erfahre mehr über DMARC-Richtlinien oben).
- rua=nutzer@deinedomain.de: Gibt die Adresse an, die DMARC-Zusammenfassungsberichte erhalten soll, welche dir eine statistische Übersicht über den gesamten E-Mail-Verkehr deiner Domain bieten. Du kannst auch das Tag ruf= (zum Beispiel ruf=nutzer@deinedomain.de) verwenden, um detailliertere, forensische DMARC-Berichte über den Authentifizierungsstatus deiner E-Mails zu erhalten.
Es gibt 11 verschiedene Tags, die zu einem DMARC-Eintrag hinzugefügt werden können, aber nur v und p sind erforderlich.
Andere gängige Tags sind adkim und aspf, die festlegen, wie streng die Domain im From-Feld mit der Domain in DKIM- und SPF-Überprüfungen übereinstimmen muss (siehe wie DMARC funktioniert oben für Details). Der Wert kann entweder „streng“ (s), was eine exakte Übereinstimmung erfordert, oder „entspannt“ (r), was Unterdomänen zulässt, sein.
Wenn du beispielsweise den Wert adkim=s für deine Domain (deinedomain.de) festlegst, werden nur E-Mails, die von @deinedomain.de gesendet werden, DMARC bestehen. Aber wenn du diesen Wert auf adkim=r änderst, werden auch E-Mails, die von Unterdomänen wie @news.deinedomain.de oder @info.deinedomain.de gesendet werden, DMARC bestehen.
Wenn du eine strenge Übereinstimmung beibehalten und Unterdomänen zulassen möchtest, kannst du einfach einen separaten DMARC-Eintrag für jede Unterdomäne hinzufügen.
Warum DMARC verwenden?
Wenn du eine eigene Domain hast, empfehlen wir dringend, DMARC zusammen mit SPF und DKIM einzurichten. Hier sind die Gründe:
Schütze deine Domain
DMARC authentifiziert die Absenderadresse in deinen E-Mails, was es Betrügern erschwert, deine Domain zu imitieren. Die Implementierung von DMARC hilft also dabei, Angreifer daran zu hindern, deine Domain für Spam- oder Phishing-Angriffe zu missbrauchen.
Verbessere die Zustellbarkeit von E-Mails
E-Mails, die mit DMARC gesendet werden, sehen legitim aus und können leicht verifiziert werden. Daher verringert die Implementierung von DMARC die Wahrscheinlichkeit, dass deine E-Mails im Spam-Ordner landen. Und je mehr du authentifizierte E-Mails sendest, desto mehr baust du langfristig den Ruf deiner Domain als Absender bei E-Mail-Dienstanbietern auf.
E-Mails problemlos diagnostizieren
Mit DMARC kannst du regelmäßige Berichte erhalten, die es dir ermöglichen, die Authentifizierung deiner E-Mails zu überwachen und zu verfolgen, wer E-Mails sendet. So kannst du Authentifizierungsprobleme beheben und Spammer oder Betrüger erkennen, die deine Domain missbrauchen.
DMARC ganz einfach mit Proton Mail einrichten
DMARC zusammen mit SPF und DKIM zu verwenden, ist der effektivste Weg, um zu verhindern, dass deine Domain für Spam- oder Phishing-Angriffe missbraucht wird. Das Einrichten von DMARC kann jedoch knifflig sein, da es von der erfolgreichen Implementierung von SPF und/oder DKIM abhängt.
Deshalb haben wir einen einfachen Assistenten erstellt, der dir zeigt, wie es geht. Wähle einen Proton Mail kostenpflichtigen Plan, und wir führen dich Schritt für Schritt durch das Einrichten deiner eigenen Domain und das korrekte Konfigurieren von SPF, DKIM und DMARC.
Wähle Proton Mail Plus für eine einzelne Domain oder Proton Unlimited mit Unterstützung für drei Domains, 15 Adressen, 500 GB Speicherplatz und mehr.
Wenn du ein Unternehmen hast, kannst du DMARC ganz einfach einrichten, um die Domain deiner Marke mit Proton for Business zu schützen. Oder wenn du einfach nur sichere, private E-Mails ausprobieren möchtest, hol dir Proton Mail kostenlos.
Alle Proton Tarife beinhalten Ende-zu-Ende-verschlüsseltes Proton Mail, Proton Calendar, Proton Drive und Proton VPN(neues Fenster). Komm zu uns und bleib sicher!