DMARC steht für Domain-based Message Authentication, Reporting and Conformance.
Er ergänzt SPF und DKIM und legt fest, wie empfangende Mailserver mit E-Mails umgehen sollen, die die Authentifizierung nicht bestehen.
Ziel ist es, das Fälschen von Absenderadressen (Spoofing/Phishing) zu verhindern und die Zustellbarkeit legitimer E-Mails zu verbessern.
Funktionsweise
DMARC prüft:
Ob SPF oder DKIM erfolgreich ist
Ob die Absenderdomain zur sichtbaren Absenderadresse passt
Welche Maßnahme angewendet werden soll, wenn die Prüfung fehlschlägt
Ohne DMARC entscheidet jeder empfangende Mailserver selbst, was mit auffälligen E-Mails geschieht.
Mit DMARC geben Sie eine verbindliche Richtlinie vor.
Beispiel eines DMARC-Records
DMARC wird als TXT-Record im DNS für Host/Subdomain _dmarc.ihredomain.de hinterlegt.
v=DMARC1; p=quarantine; rua=mailto:dmarc@ihredomain.de
Bedeutung der Parameter
| Parameter | Funktion |
|---|---|
v=DMARC1 |
Versionsangabe (Pflichtfeld) |
p= |
Richtlinie für fehlgeschlagene Prüfungen |
none |
Nur überwachen (keine Auswirkung auf Zustellung) |
quarantine |
E-Mail wird meist im Spam-Ordner zugestellt |
reject |
E-Mail wird abgewiesen |
rua= |
Adresse für zusammengefasste Zustellberichte (Reports) |
Empfohlene Vorgehensweise
-
Startphase (Überwachung)
v=DMARC1; p=none; rua=mailto:dmarc@ihredomain.de→ Prüfen, welche Systeme E-Mails versenden
-
Schutz aktivieren
v=DMARC1; p=quarantine; rua=mailto:dmarc@ihredomain.de -
Maximaler Schutz
v=DMARC1; p=reject; rua=mailto:dmarc@ihredomain.de
Wichtige Hinweise
SPF und/oder DKIM müssen korrekt eingerichtet sein, bevor DMARC aktiviert wird.
Eine zu strenge Richtlinie ohne vorherige Prüfung kann legitime E-Mails blockieren.
Pro Domain darf nur ein DMARC-Record existieren.
Reports werden im XML-Format gesendet und müssen meist mit speziellen Tools ausgewertet werden.