Alle Unternehmen, die auf E-Mail als primäre Kommunikationsform angewiesen sind, sehen sich mit bedeutenden Veränderungen konfrontiert. Google, Yahoo und Apple haben strenge E-Mail-Authentifizierungsanforderungen beschlossen, die die Einführung von DMARC-Richtlinien (Domain-based Message Authentication, Reporting and Conformance) für Massenversender vorschreibt. Und Microsoft wird diesem Beispiel voraussichtlich bald folgen. Da diese Anbieter einen beträchtlichen Teil des E-Mail-Ökosystems kontrollieren, werden diese Richtlinien weitreichende Auswirkungen auf Unternehmen jeder Branche haben.

DMARC ist ein effektives Mittel zur Verhinderung von Spoofing- und Phishing-Angriffen und zur Erhöhung der E-Mail-Sicherheit. Firmen die Wert auf die Sicherheit ihrer E-Mail-Infrastruktur legen und ihre Kunden, Lieferanten, Partner sowie alle anderen E-Mail-Empfänger schützen möchten, sollten sich jetzt intensiv mit E-Mail-Sicherheitsprotokollen auseinandersetzen. Denn bei vielen Unternehmen fehlen noch die nötigen DMARC-Einträge.

Die Vorteile von DMARC
DMARC ist ein E-Mail-Authentifizierungsstandard, der auf SPF (Sender Policy Framework)- und DKIM (DomainKeys Identified Mail)-Protokollen aufsetzt und es Unternehmen ermöglicht, Einblick in die Verwendung ihrer E-Mail-Domains zu erhalten. Damit lassen sich betrügerische E-Mails abfagen, die von nicht autorisierten Servern gesendet werden. Organisationen, die DMARC einsetzen, sparen Zeit bei der Aufdeckung der illegalen Nutzung ihrer E-Mail-Domäne durch Hacker. Dies ist neben dem Vertrauen in die Marke des Unternehmens und dem Wegfall von Kosten für den Kundensupport nur einer der vielen Vorteile, die mit der Implementierung von DMARC einhergehen. Neben einer vertrauenswürdigen E-Mail-Kommunikation erhöht DMARC darüber hinaus auch die Zustellbarkeit von E-Mails.

Darum ist ein DMARC-Eintrag im DNS wichtig
Mit DMARC können Administratoren ihre Organisation und Domain vor Phishing- und Spoofing-Angriffen durch Hacker und andere Angreifer schützen. Spoofing ist eine der häufigsten Angriffsarten, bei der die Von-Adresse einer E-Mail-Nachricht gefälscht wird. Das Hinzufügen eines DMARC-Eintrags im DNS ist der beste Weg, um E-Mails zu schützen und vertrauenswürdig zu halten, denn dieses starke Protokoll bewahrt Unternehmen und ihre Partner vor Angriffe per E-Mail. Durch den Einsatz von DMARC erhalten Firmen darüber hinaus einen sehr guten Überblick und mehr Transparenz in Bezug auf gefälschte und illegale E-Mails, die über ihre Domain-Namen verschickt werden. DMARC ist ein wirkungsvolles Instrument und ermöglicht es, bei allen E-Mails zu unterscheiden, ob sie von der eigenen Domain oder einem Hacker stammen.

DMARC hinzufügen – Schritt für Schritt
DMARC erfordert SPF und DKIM, um zu funktionieren. Bevor Administratoren DMARC aktivieren, müssen sie SPF und DKIM für die Domains verwenden. SPF ermöglicht es Domaininhabern auszuwählen, von welchen E-Mail-Adressen sich eine E-Mail mit ihrer Domain senden lässt – das ist die "Von"-Kopfzeile der E-Mail. SPF kann nicht autorisierte Server abfangen, von denen ein Hacker eine E-Mail sendet, und schützt darüber hinaus eine echte Nachricht des Domain-Inhabers. Mit SPF kann ein Empfänger davon ausgehen, dass die E-Mail authentisch ist.

Bei DKIM handelt es sich um einen E-Mail-Authentifizierungsstandard, der mit einer Signaturprüfung verbunden ist, die ein Absender in die E-Mail-Nachricht einfügt. Die kryptografischen Signaturen des Absenders lassen sich von den Empfängern mit Hilfe von im DNS gehosteten öffentlichen Schlüsseln überprüfen. Wenn die Signatur gecheckt wurde und korrekt ist, identifiziert DKIM sie als zuverlässige Domänenebene. Um DMARC zu aktivieren und so einen vollständigen E-Mail-Schutz zu erlangen, gehen Sie folgendermaßen vor:

Schritt 1: SPF konfigurieren
Um SPF einzurichten, benötigen Sie Ihre IP-Adresse. Öffnen Sie Ihre DNS-Einstellungen und erstellen Sie einen neuen TXT-Eintrag:

v=spf1 a mx ip4:xxx.xxx.xxx.xxx -all

Speichern Sie die Einstellungen. Es kann einige Zeit dauern, bis die Einstellungen wirksam werden. Danach sollten Sie Ihren SPF-Eintrag in Ihrem DNS überprüfen, um sicherzustellen, dass er korrekt eingerichtet ist.

Schritt 2: DKIM konfigurieren
Findet ein externer E-Mail-Dienst Verwendung, bietet dieser möglicherweise eine Funktion, die bei der Einrichtung von DKIM hilft. Befolgen Sie die dortigen Schritte. Als Teil des Domänen-Authentifizierungsprotokolls erhalten Sie möglicherweise einige zusätzliche DNS-Einträge. Fügen Sie, wie bei der Einrichtung von SPF, einen neuen TXT-Eintrag für jeden Schlüssel hinzu, den Sie erhalten, und veröffentlichen Sie diese nach den Anweisungen des Anbieters. Dies müssen Sie für jedes Konto tun, das Sie zum Senden von E-Mails verwenden. Auch hier kann es einige Zeit dauern, bis die Änderungen wirksam werden. Bevor Sie fortfahren, überprüfen Sie die Richtigkeit der Einträge.

Schritt 3: DMARC-Eintrag veröffentlichen
Da Sie SPF und DKIM bereits eingerichtet haben, können Sie nun DMARC konfigurieren. Gehen Sie zurück zu Ihren DNS-Einstellungen und erstellen Sie einen neuen TXT-Eintrag. Als Werte sollten Sie Folgendes verwenden:

v=DMARC1; p=none; rua=mailto:email@xxxxx.com

Der Wert für v wird sich nie ändern; er sollte immer "DMARC1" lauten. Der Wert für p gibt an, was E-Mail-Server mit E-Mails tun sollen, die Ihr DMARC-Protokoll nicht bestehen:

• none: keine Aktion zu ergreifen
• quarantine: Quarantäne (oder an Spam senden)
• reject: vollständig ablehnen

Um Ihre Domain vollständig zu schützen, sollten Sie entweder "quaratine" oder "reject" einstellen. Wenn Sie jedoch gerade erst anfangen, ist es ratsamer, "none" zu wählen, bis Sie überprüft haben, ob alles richtig funktioniert.

Der Wert für RUA (Reporting URI for Aggregate Data) ist die E-Mail-Adresse, an die Sie Berichte über Ihre E-Mail-Leistung erhalten möchten. Sobald Sie den Eintrag erstellt haben, klicken Sie auf "Veröffentlichen". Auch hier müssen Sie möglicherweise etwas warten, bis die Einstellungen wirksam werden.

Schritt 4: Berichte überprüfen, um die Einstellungen zu bestätigen
Nach Erhalt der DMARC-Berichte prüfen Sie diese, um Ihre E-Mail-Leistung zu beurteilen. Allerdings ist es nicht immer einfach, diese Berichte zu verstehen, da sie sehr technisch sind. In diesem Fall kann es hilfreich sein, einen verwalteten DMARC-Dienst wie EasyDMARC als Erweiterung Ihres Teams einzusetzen. Diese Dienste bringen in der Regel den hochtechnischen Bericht in ein Format, das leichter verständlich ist.

Schritt 5: E-Mails überwachen
Stellen Sie sicher, dass alle E-Mails authentisch sind und die Empfänger erreichen. Vergewissern Sie sich, dass Ihre SPF- und DKIM-Einstellungen korrekt sind. Wenn Sie Fehler finden, prüfen Sie, ob die Einstellungen in Ihrem DNS richtig konfiguriert sind. Wenn Sie dabei Hilfe benötigen, empfiehlt es sich, von Anfang an mit einem verwalteten werkzeug wie EasyDMARC zu arbeiten. Der entsprechende Anbieter hilft Ihnen dabei, herauszufinden, was es zu korrigieren und anzupassen gilt.

Sobald Ihre E-Mail-Einstellungen einige Monate lang korrekt funktionieren, ist es an der Zeit, Ihren DMARC-Eintrag auf die Quarantäne-Einstellung zu aktualisieren. Und nachdem dies wiederum einige Monate lang korrekt funktioniert hat, können Sie diese Einstellung auf Ablehnung aktualisieren. Mit dieser stufenweisen Anpassung der Einstellung stellen Sie sicher, dass keine E-Mails fälschlicherweise als legitim markiert werden und umgekehrt.

Schritt 6: Überwachung fortsetzen
Auch wenn die Einrichtung von DMARC abgeschlossen ist, müssen Sie Ihre E-Mails und Ihre Berichte ständig überwachen. Das stellt sicher, dass alles ordnungsgemäß funktioniert. Wenn Ihr Unternehmen wächst und sich verändert oder mit neuen E-Mail-Anbietern zusammenarbeitet, müssen Sie Ihre Einstellungen überarbeiten, um eine optimale E-Mail-Zustellung zu gewährleisten.

Genauso, wie Sie bei der Konfiguration der SPF- und DKIM-Settings DNS-Einträge vornehmen müssen, benötigen Sie auch Reverse-DNS-Einträge. Dadurch können E-Mail-Anbieter Ihre IP-Adresse mit Ihrem Host-Namen vergleichen, was wiederum die Wahrscheinlichkeit verringert, dass sie Ihre E-Mails blockieren.

Fazit
Der Einsatz von DMARC-Protokollen ist heutzutage ein Muss. Es ist daher entscheidend, dass Administratoren sich die Zeit nehmen, es richtig zu machen. Alles andere bedeutet potenziell weniger Vertrauen in das eigene Unternehmen, weniger zugestellte E-Mails und schlimmstenfalls eine gefälschte Domain, die der eigenen Sicherheit und der von Partner schadet. Doch weil Administratoren und ihre Teams sehr beschäftigt sind, kann es schwer sein, noch eine weitere Aufgabe auf die Liste zu setzen. Wenn Sie also einen Weg finden müssen, um Berichte zu verstehen, die nicht in einfachem Englisch verfasst sind, empfiehlt sich die Zusammenarbeit mit einem E-Mail-Sicherheitsanbieter.

ln/Gerasim Hovhannisyan, CEO und Mitbegründer von EasyDMARC