DMARC (Domain-based Message Authentication, Reporting & Conformance)
DMARC ist ein E-Mail-Authentifizierungsprotokoll, das SPF und DKIM kombiniert und festlegt, wie empfangende Mailserver mit E-Mails umgehen sollen, die diese Prüfungen nicht bestehen. Es schützt Domains vor Missbrauch durch Phishing und Spoofing.
Ausführliche Erklärung
DMARC steht für Domain-based Message Authentication, Reporting and Conformance und wurde 2012 von einer Industrie-Initiative eingeführt, an der unter anderem PayPal, Google, Microsoft und Yahoo beteiligt waren. Das Protokoll baut auf den beiden etablierten Verfahren SPF und DKIM auf und fügt eine entscheidende Ebene hinzu: Es definiert konkrete Handlungsanweisungen für empfangende Mailserver, wenn E-Mails die Authentifizierungsprüfungen nicht bestehen.
Während SPF festlegt, welche Mailserver E-Mails für eine Domain versenden dürfen, und DKIM E-Mails mit einer digitalen Signatur versieht, orchestriert DMARC diese beiden Mechanismen. Der Domaininhaber veröffentlicht über einen DNS-Eintrag eine DMARC-Richtlinie, die drei mögliche Aktionen definiert: none (nur Reporting, keine Blockierung), quarantine (verdächtige E-Mails landen im Spam) oder reject (strikte Ablehnung). Zusätzlich sendet DMARC detaillierte Reports an den Domaininhaber, die zeigen, wer E-Mails im Namen der Domain versendet und ob diese authentifiziert werden konnten.
Für KMU ist DMARC besonders wichtig, da große E-Mail-Anbieter wie Gmail, Yahoo und Outlook ihre Anforderungen kontinuierlich verschärfen. Seit 2024 fordern diese Anbieter von Massenversendern die Implementierung von DMARC. Ohne korrekt konfiguriertes DMARC riskieren Unternehmen, dass legitime E-Mails im Spam landen oder gar nicht zugestellt werden. Gleichzeitig schützt DMARC vor CEO-Fraud und Domain-Spoofing, bei denen Angreifer E-Mails im Namen des Unternehmens versenden.
Die Einführung sollte schrittweise erfolgen: Zunächst mit der Richtlinie "none" starten, um Reports zu sammeln und alle legitimen Versandquellen zu identifizieren. Nach einer Analysephase kann die Richtlinie auf "quarantine" und schließlich auf "reject" verschärft werden. Spezialisierte Tools unterstützen bei der Auswertung der technischen DMARC-Reports und der Überwachung der Domain-Reputation.
Praxisbeispiel
Ein IT-Dienstleister mit 25 Mitarbeitenden implementiert DMARC, nachdem Kunden gefälschte Rechnungs-E-Mails erhalten haben, die angeblich vom Unternehmen stammten. Nach der Einrichtung mit der Richtlinie "none" zeigen die ersten DMARC-Reports, dass neben dem eigenen Mailserver auch ein Newsletter-Tool und das CRM-System E-Mails versenden. Nach Anpassung der SPF- und DKIM-Einträge für alle legitimen Quellen wird die Richtlinie auf "reject" verschärft. Seitdem werden gefälschte E-Mails automatisch abgelehnt, die Zustellrate legitimer E-Mails ist gestiegen.
Code-Beispiel
; Beispiel eines DMARC DNS TXT-Eintrags
; Hostname: _dmarc.ihrefirma.at
v=DMARC1; p=quarantine; pct=100; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1; aspf=s; adkim=s
; v=DMARC1 → DMARC Version
; p=quarantine → Richtlinie: Spam-Ordner
; pct=100 → gilt für 100% der E-Mails
; rua= → Aggregate Reports an diese Adresse
; ruf= → Forensic Reports (Fehlerberichte)
; aspf=s → SPF strict alignment
; adkim=s → DKIM strict alignmentQuellen
- dmarc.org – Domain Message Authentication Reporting & Conformance
- RFC 7489 - Domain-based Message Authentication, Reporting, and Conformance (DMARC)
- Mehr Sicherheit im E-Mail-Verkehr mit DMARC, SPF & DKIM
- E-Mail-Authentifizierung erklärt: SPF, DKIM, DMARC & BIMI | Inxmail
- E-Mail-Sicherheit: SPF, DKIM und DMARC richtig konfigurieren | DATAZONE