So erstellen Sie einen DMARC-Eintrag


Wie erstelle ich einen DMARC-Eintrag? Sobald SPF und DKIM vorhanden sind, konfigurieren Sie DMARC, indem Sie den DNS-Einträgen Ihrer Domain Richtlinien in Form von TXT-Einträgen hinzufügen (genau wie bei SPF oder DKIM).

Der TXT-Eintragname sollte “_dmarc.IhreDomain.com” lauten, wobei “IhreDomain.com” durch Ihren tatsächlichen Domain-Namen (oder Subdomain) ersetzt wird.

Hier sind gängige Tags, die in DMARC TXT-Einträgen verwendet werden:

Tag Name Benötigt Zweck Beispiel
v required Protokoll-Version v=DMARC1
p required Richtlinie für die Domain p=quarantine
pct optional % der Nachrichten, die einer Filterung unterzogen wurden pct=20
rua optional URI von aggregierten Berichten melden rua=mailto:[email protected]
ruf optional Adressen, an die nachrichtenspezifische forensische Informationen gemeldet werden sollen (kommagetrennte Klartextliste der URIs). ruf=mailto:[email protected]
rf optional Format für nachrichtenspezifische forensische Informationsberichte (kommagetrennte Klartext-Werteliste). rf=afrf
aspf optional Ausrichtmodus für SPF aspf=r
adkim optional Ausrichtmodus für DKIM adkim=r

 

Visit DMARC Tag Registry for other available tags.

Wenn Sie sich bei app.dmarcanalyzer.com anmelden, gehen Sie zu “DNS Einträge”, um Ihren DMARC-Eintrag zu generieren.

Es werden nur die Tags v (Version) und p (Richtlinie) benötigt. Es stehen drei mögliche Richtlinieneinstellungen oder Nachrichtendispositionen zur Verfügung:

  • none policy: Keine Maßnahmen ergreifen. Protokollieren Sie die betroffenen Meldungen nur auf dem Tagesbericht.
  • quarantine policy: Betroffene Nachrichten als Spam markieren.
  • reject policy: Abbrechen der Nachricht auf der SMTP-Schicht.

 

How to create a DMARC record - DMARC Analyzer

 

Der Ausrichte-Modus (aspf / adkim) bezieht sich auf die Genauigkeit, mit der Sender-Einträge mit SPF- und DKIM-Signaturen verglichen werden, wobei die beiden möglichen Werte durch “r” bzw. “s” dargestellt werden. Kurz gesagt, relaxed erlaubt Teilübereinstimmungen, wie z.B. Subdomains einer bestimmten Domain, während strict eine exakte Übereinstimmung erfordert.


Stellen Sie sicher, dass Sie Ihre E-Mail-Adresse mit dem optionalen rua-Tag versehen, um die täglichen Berichte zu erhalten. Wenn Sie DMARC Analyzer zur Analyse Ihrer Berichte verwenden möchten, stellen Sie sicher, dass Sie das DNS-Record-Generierungstool verwenden, um die aggregierten und forensischen Feedback-E-Mail-Adressen zu erhalten.


Das Erstellen eines TXT-Eintrags mit dem entsprechenden Namen und Wert ist für jeden Domainn-Host unterschiedlich. Kontaktieren Sie uns, wenn Sie Hilfe bei der Einrichtung mit Ihrem Provider benötigen.

Es sollte ziemlich einfach sein und kann im Generator etwa so aussehen:

How to create a DMARC record - Generate DNS

Und so bei Ihrem Domain-Host:

How to create a DMARC record?

Und so bei Ihrem Domain-Host:

Die Tagesberichte liegen im XML-Format vor. Lesen Sie sie, um Ihren Mailfluss besser zu verstehen. Die Berichte helfen Ihnen sicherzustellen, dass Ihre ausgehenden Mailquellen ordnungsgemäß authentifiziert werden. Stellen Sie sicher, dass die verschiedenen IPs, die E-Mails versenden, die behaupten, von Ihrer Domain zu stammen, tatsächlich legitim sind, konfigurieren Sie sie mit DKIM oder fügen Sie sie zu ihrem SPF-Bereich hinzu. Die Berichte helfen Administratoren auch, schnell zu handeln, wenn sie eine Blockrichtlinie haben, wenn eine neue E-Mail-Quelle online geht oder die Konfiguration einer bestehenden E-Mail-Quelle abbricht.

Hier ist ein Auszug aus einem Bericht, der die Ergebnisse von Nachrichten anzeigt, die von mehreren IP-Adressen gesendet wurden, von denen eine direkt gesendet und die andere weitergeleitet wurde. Beide Nachrichten wurden weitergeleitet:

<record>
    <row>
        <source_ip>207.126.144.129</source_ip>
        <count>1</count>
        <policy_evaluated>
            <disposition>none</disposition>
        </policy_evaluated>
    </row>
    <identities>
        <header_from>yourdomain.com</header_from>
    </identities>
    <auth_results>
        <dkim>
            <domain>yourdomain.com</domain>
            <result>pass</result>
            <human_result></human_result>
        </dkim>
        <spf>
            <domain>yourdomain.com</domain>
            <result>pass</result>
        </spf>
    </auth_results>
</record>
<record>
<row>
    <source_ip>207.126.144.131</source_ip>
    <count>1</count>
    <policy_evaluated>
        <disposition>none</disposition>
        <reason>
            <type>forwarded</type>
            <comment></comment>
        </reason>
    </policy_evaluated>
</row>
<identities>
    <header_from>yourdomain.com</header_from>
</identities>
<auth_results>
    <dkim>
        <domain>yourdomain.com</domain>
        <result>pass</result>
        <human_result></human_result>
    </dkim>
    <spf>
        <domain>yourdomain.com</domain>
        <result>pass</result>
    </spf>
</auth_results>
</record>

Langsam einsetzen

Wir empfehlen dringend, die DMARC-Nutzung langsam zu erhöhen, indem Sie diese Richtlinien in dieser Reihenfolge anwenden. Überwachen Sie zunächst Ihren Datenverkehr und suchen Sie nach Anomalien in den Berichten, z. B. nach Nachrichten, die noch nicht signiert sind oder möglicherweise gefälscht werden. Wenn Sie mit den Ergebnissen zufrieden sind, ändern Sie die TXT-Richtlinieneinstellung von “Keine” auf “Quarantäne”. Noch einmal, überprüfen Sie die Ergebnisse, diesmal sowohl in Ihrem Spam-Abfänger als auch in den täglichen DMARC-Berichten. Wenn Sie sicher sind, dass alle Ihre Nachrichten signiert sind, ändern Sie die Richtlinieneinstellung auf “Ablehnen”, um DMARC voll auszunutzen. Überprüfen Sie die Berichte, um sicherzustellen, dass Ihre Ergebnisse akzeptabel sind.

Ebenso kann der optionale pct-Tag verwendet werden, um Ihre DMARC-Bereitstellung zu inszenieren und zu testen. Da 100% die Vorgabe ist, führt die Übergabe von “pct=20” in Ihrem DMARC TXT-Eintrag zu einem Fünftel aller Nachrichten, die von der Richtlinie betroffen sind, und nicht zu allen. Diese Einstellung ist besonders nützlich, wenn Sie sich entscheiden, E-Mails unter Quarantäne zu stellen und abzulehnen. Beginnen Sie mit einem niedrigeren Prozentsatz und erhöhen Sie ihn alle paar Tage.

Ein konservativer Verteilungszyklus würde also folgendem ähneln:

  1. Monitor all.
  2. Quarantine 1%.
  3. Quarantine 5%.
  4. Quarantine 10%.
  5. Quarantine 25%.
  6. Quarantine 50%.
  7. Quarantine all.
  8. Reject 1%.
  9. Reject 5%.
  10. Reject 10%.
  11. Reject 25%.
  12. Reject 50%.
  13. Reject all.

Versuchen Sie, die Prozentsätze zu entfernen, um den Einsatz abzuschließen.
Wie immer, überprüfen Sie Ihre täglichen Berichte.