Wie erstelle ich einen DMARC-Record?

DMARC schützt Ihre Domain vor Missbrauch wie Spoofing und Phishing. Es arbeitet mit SPF und DKIM zusammen, um sicherzustellen, dass E-Mails, die von Ihrer Domain gesendet werden, rechtmäßig sind. Dies verbessert die allgemeine Zustellbarkeit, was beispielsweise beim Versand von Newslettern sehr nützlich sein kann.

Diese Anleitung zeigt Ihnen, wie Sie einen grundlegenden DMARC-Record in Ihren DNS-Einstellungen hinzufügen und welche Richtlinie Sie wählen sollen.

Was ist DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) weist empfangende Mailserver darauf hin, wie sie E-Mails verarbeiten können, die bei SPF- und DKIM-Prüfungen fehlschlagen. Es hilft, andere daran zu hindern, E-Mails zu senden, die vorgeben, von Ihrer Domain aus zu stammen.

DMARC ermöglicht es Ihnen auch, Berichte über die E-Mail-Aktivitäten Ihrer Domain zu erhalten, damit Sie Ihre E-Mail-Sicherheit überwachen und verbessern können.

  • SPF überprüft, ob eine E-Mail mit zugelassenen Servern gesendet wurde.
  • DKIM fügt E-Mails eine digitale Signatur hinzu, mit der empfangende Mailserver die E-Mail verifizieren können.
  • DMARC definiert eine Richtlinie für den Umgang mit E-Mails, bei denen SPF- oder DKIM-Prüfungen fehlschlagen.

Damit DMARC ordnungsgemäß funktioniert, sollte Ihre Domain bereits über Folgendes verfügen:

DKIM ist standardmäßig für E-Mails aktiviert, die von unseren Servern gesendet werden, und Sie können .

Hinweis: DMARC wirkt sich nur beim Senden von E-Mails aus. Es hat keinen Einfluss auf die Spam-E-Mails, die Sie in Ihrem eigenen Posteingang erhalten. Wenn jedoch alle E-Mail-Konten diese Validierungsmethoden implementieren, wäre Spoofing theoretisch nicht mehr möglich.

DMARC-Richtlinien erläutert

Eine DMARC-Richtlinie steuert, was mit E-Mails passiert, bei denen die DMARC-Prüfung fehlschlägt. Wenn Sie den DMARC-Record erstellen, müssen Sie eine Richtlinie auswählen:

  • keine - Nur Überwachung. Es werden keine E-Mails blockiert. 
  • Quarantäne - Fehlgeschlagene E-Mails werden als verdächtig markiert und häufig zu Spam verschoben.
  • ablehnen - Fehlgeschlagene E-Mails werden vollständig blockiert.

Sie können Ihre DMARC-Richtlinie jederzeit ändern. Ein gängiger Ansatz ist, mit „keine“ zu beginnen, dann in „Quarantäne“ zu gehen und schließlich abzulehnen. Auf diese Weise können Sie zunächst überwachen, wie Ihre Domain verwendet wird, dann die Auswirkungen der Filterung testen und nicht authentifizierte E-Mails erst blockieren, wenn alles wie erwartet funktioniert.

Wenn Sie diesen Prozess befolgen möchten, empfehlen wir Ihnen dringend, einen externen (kostenpflichtigen) Berichtsdienst zu verwenden, der Ihnen bei der Analyse der Berichte hilft, wie Dmarcian, EasyDMARC oder DMARCLY.

Wenn Sie DMARC nur aktivieren möchten, ohne Berichte zu analysieren, empfehlen wir Ihnen, die Richtlinie auf „Quarantäne“ zu setzen. Dadurch werden nicht authentifizierte E-Mails als verdächtig markiert oder an den Spam-Ordner gesendet, was Ihre E-Mail-Sicherheit erheblich verbessert.

Hinweis: .ch-Domains erlauben nicht, dass die DMARC-Richtlinie auf "keine" gesetzt wird.

DMARC E-Mail-Berichte

Wenn Sie einen DMARC-Record erstellen, müssen Sie auch eine E-Mail-Adresse eingeben, um DMARC-Berichte zu erhalten. Diese Berichte werden im XML-Format gesendet und enthalten eine Übersicht über den gesamten E-Mail-Verkehr, der vorgibt, von Ihrer Domain zu stammen, einschließlich der E-Mails, die die DMARC-Prüfung bestehen oder nicht bestehen.

Es gibt zwei Arten von Berichten:

  • RUA-Berichte - Wird täglich gesendet und enthält eine Zusammenfassung aller E-Mail-Aktivitäten für Ihre Domain, einschließlich IP-Adressen und Authentifizierungsergebnisse.
  • RUF-Berichte - Wird nur gesendet, wenn eine E-Mail DMARC ausfällt. Sie enthalten detaillierte Informationen wie den Nachrichtenkopf und Teile der Original-E-Mail.

Die meisten Benutzer profitieren davon, nur RUA-Berichte zu erhalten, da sie alle für die Überwachung erforderlichen Informationen enthalten. RUF-Berichte sind optional und hauptsächlich für die erweiterte Fehlerbehebung nützlich.

Hinweis: Nicht alle E-Mail-Anbieter senden DMARC-Berichte, daher ist es normal, wenn einige E-Mails nicht in Ihren Daten erscheinen.

Erstellen Sie einen DMARC-Record für Ihre Domain

Bevor Sie beginnen

Wir empfehlen die Erstellung eines E-Mail-Kontos auf Ihrer Domain, das für den Empfang dieser Berichte eingerichtet ist, z. B. dmarc-reports@ihredomain.com. Dadurch werden Ihre Berichte getrennt und einfacher zu verwalten.


DMARC-Record hinzufügen

Dies aktiviert DMARC im Überwachungsmodus und sendet Ihnen tägliche RUA-Berichte mit einem Überblick über die E-Mail-Aktivitäten Ihrer Domain.
  1. Melden Sie sich bei Ihrem one.com Kontrollpanel an.
  2. Klicken Sie in der Kachel Erweiterte Einstellungen auf DNS-Einstellungen.
  3. Gehen Sie zu DNS Records und klicken Sie auf Neuen Record erstellen
  4. Wählen Sie TXT als Record-Typ.
  5. Geben Sie die folgenden Werte ein:
    - Hostname: _dmarc
    - Wert: Geben Sie den folgenden Text ein und ersetzen Sie den Richtliniennamen durch die Richtlinie Ihrer Wahl und die E-Mail-Adresse durch die E-Mail-Adresse Ihrer Wahl:
    v=DMARC1; p=Richtlinienname; rua=mailto:an-email-adresse
    - TTL: Lassen Sie dieses Feld leer, um den Standardwert von 3600 Sekunden zu verwenden, es sei denn, Sie benötigen einen bestimmten Wert.
  6. Klicken Sie auf Record erstellen, um Ihre Einstellungen zu speichern.
    Änderungen werden normalerweise innerhalb weniger Minuten wirksam.

Um zu überprüfen, ob der Record richtig eingerichtet ist, können Sie einen DMARC Record Checker verwenden.

Optional: Fügen Sie RUF zu Ihrem DMARC-Record hinzu

Wenn Sie detailliertere Berichte zu einzelnen E-Mails wünschen, bei denen DMARC fehlschlägt, können Sie das optionale Ruf-Tag hinzufügen. Diese „forensischen“ Berichte können Nachrichtenüberschriften und in einigen Fällen Teile der ursprünglichen E-Mail enthalten. Sie sind hauptsächlich für die erweiterte Fehlerbehebung nützlich.

Wenn Sie sich dafür entscheiden, RUF hinzuzufügen, empfehlen wir, dasselbe dedizierte Postfach zu verwenden:

v=DMARC1; p=Richtlinienname; rua=mailto:an-email-address; ruf=mailto:an-email-address


Verstärkte Richtlinien

Nachdem Sie Ihre Berichte überprüft und bestätigt haben, dass die legitime E-Mail korrekt authentifiziert ist, können Sie Ihre DMARC-Richtlinie schrittweise verschärfen. 

Beginnen Sie mit p=none, wechseln Sie dann zu p=quarantäne und schließlich zu p=reject.

Beispiel

In diesem Beispiel richten wir DMARC auf der Domain one-example.com ein. Wir haben Quarantäne als Richtlinie gewählt und dmarc-reports@one-example.com als E-Mail-Adresse für RUA- und RUF-Berichte eingegeben.

Der Screenshot zeigt ein Beispiel für das Hinzufügen eines TXT-Records für DMARC in der DNS-Administration.

Verwandte Artikel:

War dieser Beitrag hilfreich?

Können Sie nicht finden, wonach Sie suchen?

Starten Sie einen Chat

Der schnellste Weg, mit uns in Kontakt zu treten – werktags von 09:00 bis 18:00 Uhr.

Chat starten