DMARC: Erkennung von E-Mail-Domänenmissbrauch
Betrügerische E-Mails werden immer gefährlicher. Oft ist es für den Empfänger schwierig, sie von echten E-Mails zu unterscheiden: Sie zeigen einen bekannten Absendernamen und sehen aus wie E-Mails aus einem bekannten Newsletter oder Dienst. Um dieser Bedrohung entgegenzuwirken, wurde der Überprüfungsmechanismus DMARC (Domain-based Message Authentication Reporting and Conformance) erstellt, der auf Spanisch als domänenbasierte Nachrichtenauthentifizierung , Berichte und Konformität übersetzt wird.
- Eine Herausforderung: Schutz der Domain-Reputation
- Eine Lösung: DMARC
- Was ist DMARC und wie funktioniert es?
- Der Inhalt des DMARC-Datensatzes
- Erstellen Sie einen DMARC-Datensatz
- Fügen Sie den DMARC-Datensatz auf dem Nameserver hinzu
- Überprüfen Sie einen DMARC-Datensatz
- Legen Sie die E-Mail-Adresse für Berichte fest
Eine Herausforderung: Schutz der Domain-Reputation
Um die Gefahr von Phishing- Angriffen einzudämmen , wurden verschiedene Sicherheitsstandards festgelegt:
- SPF (Sender Policy Framework), um die Adresse des Absenders von E-Mails zu überprüfen.
- DKIM (DomainKeys Identified Mail) zur Überprüfung der Echtheit von E-Mails mittels digitaler Signatur.
Als Domaininhaber möchten Sie nicht, dass ein Betrüger in Ihrem Namen schädliche oder Spam-E-Mails sendet . In diesem Fall wird Ihre Domain in den Blacklists angezeigt und Ihre E-Mails werden von vielen Mailservern ( Bounces ) abgelehnt oder als Spam behandelt.
Ein Beispiel: María González besitzt die Domain test.com und sendet ihre E-Mails mit der Adresse [email protected] . Wenn jetzt ein Betrüger die Adresse [email protected] nutzt und verwendet es als Spam- Mail , Die Domain test.com wird zu den Blacklists hinzugefügt und die empfangenden Server blockieren E-Mails von [email protected] .
Eine Lösung: DMARC
DMARC ist die Abkürzung für Domain-based Message Authentication Reporting and Conformance. Dieses Konzept wurde entwickelt, damit die empfangenden Server die Authentizität der E-Mails (über SPF und DKIM) überprüfen und im Falle eines negativen Ergebnisses auch Maßnahmen ergreifen, die zuvor mit dem Eigentümer der Domain der gesendeten E-Mail vereinbart wurden.
Was ist DMARC und wie funktioniert es?
Der Domaininhaber informiert alle potenziellen E-Mail-Empfänger (d. H. Ihre Server) darüber, dass sie ihre E-Mails mit DKIM signiert und / oder mit SPF überprüft haben. Sie werden aufgefordert, alle E-Mails ihrer Domain zu überprüfen und in verdächtigen Fällen (wenn die Überprüfung negativ ist) Maßnahmen zu ergreifen. Dies wird kommuniziert, indem ein Datensatz in die Domänenzone und in den E-Mail-Header aufgenommen wird .
Der empfangende Server prüft, ob E-Mails mit mindestens einem von zwei Standards authentifiziert werden können : DKIM oder SPF. Wenn dies nicht möglich ist, wird es als “verdächtig” angesehen, was eine Fälschung sein könnte. Beispielsweise missbraucht ein Dritter die Absenderadresse für seine eigenen Interessen.
Der Domaininhaber kann den Empfängern die folgenden Aktionen empfehlen :
- verdächtige E-Mail zurücksenden,
- unter Quarantäne stellen
- oder akzeptieren Sie es trotzdem und benachrichtigen Sie einfach den Domaininhaber.
Diese Empfehlung ist im DMARC-Bericht (unten) enthalten.
Die Berichterstattung oder der Bericht ist ebenfalls Teil von DMARC. Empfangende Server sollten regelmäßig einen Bericht an die Domain des Absenders senden, der über verdächtige E-Mails informiert (dh solche, die weder mit DKIM noch mit SPF authentifiziert werden konnten). Diese E-Mail-Adressen sind bei DMARC registriert.
Empfangende Server müssen den DMARC-Datensatz nicht berücksichtigen. Nur weil Sie keine Benachrichtigungen über negative DKIM- oder SPF-Prüfungen erhalten, bedeutet dies nicht unbedingt, dass alles in Ordnung ist.
Der Inhalt des DMARC-Datensatzes
|
Feld |
Bedeutung |
|
v = DMARC1 |
DMARC-Datensatzversion; DMARC1 zeigt die aktuelle Version an. |
|
p = sp = |
Empfehlung, wie sich der Empfänger bei negativem DKIM- und SPF-Ergebnis verhalten soll: – keine : keine Aktion, es wird wie gewohnt verarbeitet – Quarantäne : Die E-Mail wird unter Quarantäne gestellt – ablehnen : Die E-Mail wird abgelehnt ( Bounce ) p bedeutet? Politik ? sp bedeutet? Subdomain-Politik ? und bezieht sich auf die Subdomain. |
|
pct = |
Prozentsatz der E-Mails, die gemäß den oben festgelegten Richtlinien behandelt werden sollen ; Dieser Wert beträgt normalerweise 100. |
|
Straße |
Definiert, ob der empfangende Server einen aggregierten Bericht über “verdächtige” E-Mails senden soll und an welche Adresse er soll. (Wichtig: Beachten Sie die Bestimmungen zum Datenschutz). |
|
ruf |
Wie Rua , aber dies ist der “forensische” Bericht, der alle Details zu den “verdächtigen” E-Mails enthält. (Wichtig: Beachten Sie die Bestimmungen zum Datenschutz). |
|
fo |
Fehlerberichterstattungsoptionen sind die speziellen Konfigurationsoptionen für die Benachrichtigung von E-Mails mit negativen Ergebnissen: – fo = 0 : wenn SPF und DKIM ein negatives Ergebnis erzielen. Dies ist die Standardeinstellung. – fo = 1 : Wenn einer der beiden Prozesse (SPF und DKIM) nicht bestanden wird? die Überprüfung. – fo = d : DKIM-Fehler melden, wenn die Signatur nicht korrekt ist, auch wenn der Schlüssel übereinstimmt. – fo = s : SPF-Fehler melden, wenn die SPF-Authentifizierung aus irgendeinem Grund fehlschlägt, auch wenn die SPF-Einträge im Header und der DNS-Bericht übereinstimmen. Der DMARC-Datensatz kann mehrere durch Doppelpunkte getrennte Optionen enthalten. |
|
rf |
Berichtsformat: – afrf : Berichtsformate für Authentifizierungsfehler (Authentifizierungsformat für negative Berichte) – iodef : Incident Object Description Exchange-Format (Format für Beschreibung und Austausch) Das afrf- Format wird standardmäßig verwendet. |
|
ri |
Berichtsintervall zur Anzeige in Sekunden; Der Standard ist 86 400, dh 24 Stunden (einmal am Tag). |
|
adkim aspf |
Einstellungen für die DKIM- oder SPF-Überprüfung: – s = Streng : Die Domain muss genau übereinstimmen (streng). Zum Beispiel: [email protected] – r = Entspannt : Es kann eine Subdomain sein (entspannt). Zum Beispiel: [email protected] |
Erstellen Sie einen DMARC-Datensatz
Bevor Sie einen DMARC-Datensatz erstellen können, müssen Sie die Datensätze für DKIM und SPF erstellt haben (weitere Informationen hierzu finden Sie unter dem Link über dem Artikel).
Im Internet finden Sie Tools, mit denen Sie einen DMARC-Datensatz erstellen können, z. B. den DMARC-Datensatzgenerator von EasyDmarc, der diesen Datensatz als TXT-Datensatz mit der Subdomain _dmarc in der Domänenzone des Servernamens kopiert .
Zunächst wird empfohlen, den Richtlinienabschnitt auf “Keine” zu belassen. und beobachten Sie mit Hilfe der Berichte eine Weile, ob DMARC wie gewünscht funktioniert.
Fügen Sie den DMARC-Datensatz auf dem Nameserver hinzu
Sie müssen den DMARC-Datensatz, den Sie auf Ihrem Nameserver erstellt haben, als TXT-Ressourceneintrag hinzufügen . Melden Sie sich dazu beim Hosting Ihrer Domain an und öffnen Sie die Konfiguration (im obigen Beispiel wäre dies die Domain gmx.es ). Im cPanel-Hosting-Tool heißt der entsprechende Menüpunkt “Zoneneditor”. Dort erstellen Sie einen neuen TXT-Datensatz mit dem Subdomainnamen _dmarc . Der vollständige Name, mit dem Sie auf Ihren DMARC-Datensatz zugreifen, lautet gemäß unserem Beispiel _dmarc.gmx.es .
Anweisungen zum Einrichten eines DMARC-Eintrags für eine DMARC-Domäne bei IONOS finden Sie in der Hilfe.
Überprüfen Sie einen DMARC-Datensatz
Je nach Nameserver dauert die Veröffentlichung des DMARC-Datensatzes zwischen einigen Minuten und Stunden. Wenn Sie überprüfen möchten, ob der Datensatz korrekt veröffentlicht wurde, können Sie viele Tools im Internet verwenden, z. B. die DMARC-Datensatzsuche von EasyDMARC.
Legen Sie die E-Mail-Adresse für Berichte fest
Am einfachsten ist es, eine neue E-Mail-Adresse in Ihrer Domain zu erstellen, die für DMARC-Berichte reserviert ist. In unserem Beispiel: [email protected]