DMARC Lookup: Die Richtlinie, die Spoofing Ihrer Domäne verhindert

DMARC: der Wächter der E-Mail-Authentifizierung

DMARC (Domain-based Message Authentication, Reporting & Conformance) ist das Protokoll, das das Trio der E-Mail-Authentifizierung vervollständigt. Während SPF und DKIM Authentifizierungsmechanismen sind, ist DMARC eine Richtlinie: Es teilt den empfangenden Servern mit, was zu tun ist, wenn eine E-Mail die Authentifizierung nicht besteht. Ohne DMARC könnte eine E-Mail, die SPF oder DKIM nicht besteht, trotzdem zugestellt werden — die Entscheidung liegt vollständig beim Empfängerserver. Mit DMARC erhält der Domäneninhaber die Kontrolle zurück.

DMARC überprüft zudem die Domänenausrichtung: Es kontrolliert, ob die Domäne im From-Header (die der Benutzer sieht) mit der durch SPF oder DKIM authentifizierten Domäne übereinstimmt. Dies ist grundlegend, denn ein Angreifer könnte SPF und DKIM für seine eigene Domäne konfigurieren, aber E-Mails mit Ihrer Domäne im From-Feld senden. Die DMARC-Ausrichtung verhindert dieses Szenario und schließt die Lücke zwischen technischer Authentifizierung und sichtbarer Identität.

Die drei DMARC-Richtlinien

# Fase 1: Monitoraggio (nessuna azione, solo report)
v=DMARC1; p=none; rua=mailto:dmarc@esempio.com

# Fase 2: Quarantena (email sospette in spam)
v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@esempio.com

# Fase 3: Blocco totale (email sospette rifiutate)
v=DMARC1; p=reject; rua=mailto:dmarc@esempio.com; ruf=mailto:dmarc-forensic@esempio.com

Die Implementierung von DMARC sollte stets schrittweise erfolgen. Direkt mit p=reject zu starten ist riskant: Sie könnten legitime E-Mails blockieren, die von Diensten gesendet werden, die Sie noch nicht mit SPF/DKIM authentifiziert haben. Die empfohlene Strategie ist: Beginnen Sie mit p=none, um Daten zu sammeln (in der Regel 2–4 Wochen), analysieren Sie die Berichte, um alle legitimen E-Mail-Quellen zu identifizieren, konfigurieren Sie SPF und DKIM für jede einzelne, wechseln Sie dann zu p=quarantine mit niedrigem pct (25–50 %), erhöhen Sie schrittweise, und aktivieren Sie schließlich p=reject.

DMARC-Berichte: die Transparenz, die Ihnen fehlte

Einer der am meisten unterschätzten Vorteile von DMARC sind die aggregierten Berichte (rua). Jeder Server, der E-Mails von Ihrer Domäne empfängt, sendet tägliche Berichte im XML-Format, die zeigen: wie viele E-Mails empfangen wurden, von welchen IPs, ob sie SPF/DKIM bestanden oder nicht bestanden haben, und welche Aktion angewendet wurde. Diese Berichte sind eine Fundgrube an Informationen: Sie offenbaren Dienste, die E-Mails in Ihrem Namen senden, die Sie möglicherweise vergessen haben, Spoofing-Versuche gegen Ihre Domäne sowie Konfigurationsprobleme.

Um die DMARC-Berichte zu analysieren (die im rohen XML-Format vorliegen und schwer zu lesen sind), gibt es spezialisierte Dienste, die sie in übersichtliche Dashboards zusammenfassen. Alternativ können Sie mit einer manuellen Lektüre der wichtigsten Berichte beginnen. Der entscheidende Punkt ist das Verhältnis zwischen authentifizierten und nicht authentifizierten E-Mails: Wenn Sie feststellen, dass viele legitime E-Mails scheitern, müssen Sie SPF oder DKIM aktualisieren, bevor Sie die Richtlinie verschärfen.

Ihren DMARC-Eintrag überprüfen und generieren

Unser DMARC Lookup analysiert den DMARC-Eintrag Ihrer Domäne und zeigt die Richtlinie, die Ausrichtungsparameter, die Adressen für Berichte und eventuelle Syntaxfehler an. Wenn Sie noch keinen DMARC-Eintrag haben, verwenden Sie den DMARC-Generator, um einen individuellen mit den richtigen Optionen zu erstellen. Das Tool generiert den TXT-Eintrag, der direkt ins DNS eingefügt werden kann.

Denken Sie daran, dass der DMARC-Eintrag als TXT unter _dmarc.ihredomäne.com eingefügt werden muss. Ein häufiger Fehler ist das Einfügen im Root der Domäne oder mit einem falschen Hostnamen. Überprüfen Sie auch, ob SPF und DKIM korrekt konfiguriert sind, bevor Sie DMARC aktivieren: Ohne mindestens eines der beiden Authentifizierungsprotokolle hat DMARC keine Grundlage, auf der es arbeiten kann. Verwenden Sie SPF Lookup und DKIM Lookup für eine vollständige Überprüfung.

Achten Sie schließlich auf die Richtlinie für Subdomänen (sp=). Wenn nicht angegeben, erben Subdomänen die Richtlinie der übergeordneten Domäne. Wenn Ihre Subdomänen jedoch keine E-Mails versenden, empfiehlt es sich, sp=reject zu setzen, um zu verhindern, dass sie für Spoofing missbraucht werden — selbst wenn die Richtlinie der Hauptdomäne noch mit p=none in der Überwachungsphase ist.