DMARC und E-Mail-Sicherheit: Warum Sie nicht darauf verzichten sollten

Die richtige Zusammenarbeit von SPF, DKIM und DMARC erklärt

Michael Hudak

15. Februar 2025

Was ist DMARC?

Warum DMARC so wichtig ist

Wie DMARC funktioniert

Die DMARC Ausrichtung: Eine technische Übersicht

Schritt-für-Schritt-Anleitung zur Implementierung

Fazit

Kurzfassung

Die Sicherheit im E-Mail-Verkehr ist für Unternehmen und Organisationen unabhängig von der Größe essenziell. Phishing-Angriffe und Spoofing-Versuche können zu Datenverlust, einem Image-Schaden und erheblichen finanziellen Einbußen führen. Eine der wirksamsten Maßnahmen, um solchen Risiken entgegenzuwirken, ist DMARC. In diesem Blogartikel erklären wir Ihnen, was DMARC ist, wie es funktioniert und wie Sie es implementieren können, um Ihre E-Mail-Kommunikation zu schützen.

DMARC steht für „Domain-based Message Authentication, Reporting and Conformance“ und ist ein Mechanismus, der es E-Mail-Betreibern ermöglicht, bereits existierende Authentifizierungs- und Richtlinienverfahren wie SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail) zu nutzen und zu erweitern. Ziel ist es, E-Mail-Absender und -Empfänger bei der Bekämpfung von Spam, Phishing und sogenanntem Spoofing (das Fälschen einer Absenderadresse) zu unterstützen.

SPF und DKIM gelten als wesentliche Bausteine der E-Mail-Authentifizierung, da sie dem Empfänger verlässliche Informationen über die Domain liefern, von der die E-Mail stammt. Diese Technologien legen fest, wie autorisierte E-Mail-Server identifiziert werden (SPF) und ob eine Nachricht unterwegs unverändert geblieben ist (DKIM). Allerdings fehlte lange Zeit ein allgemeingültiger und leicht zugänglicher Weg, um sowohl die gewünschten Richtlinien (Policies) einer Domain zu veröffentlichen als auch Feedback über Authentifizierungsergebnisse und die Behandlung eingehender E-Mails zu erhalten. Unternehmen und Organisationen, die bereits SPF und DKIM eingerichtet hatten, konnten bislang nur schwer herausfinden, ob ihre Abwehrmaßnahmen tatsächlich griffen.

In der Vergangenheit haben deshalb einzelne Absender und Empfänger oft eigene, aufwändige Absprachen getroffen, um sich bei den Themen Richtlinien, Zustellungsrichtungen und Berichterstattung abzustimmen. Diese Vorgehensweise war jedoch sehr individuell und erforderte intensive manuelle Abstimmung. Zudem ließ sie sich nicht ohne weiteres auf große Nutzer- und Kundenkreise skalieren.

An dieser Stelle setzt DMARC an: Es definiert ein standardisiertes Verfahren, durch das Domaininhaber (z. B. Unternehmen oder Organisationen) den Mailservern auf Empfängerseite folgende Informationen bereitstellen können:

• Wie Empfänger mit Nachrichten umgehen sollen, die scheinbar von ihrer Domain kommen, aber nicht authentifiziert werden können.
• Wie E-Mail-Provider über Authentifizierungsergebnisse berichten sollen.

DMARC setzt damit auf SPF und DKIM auf, ergänzt sie jedoch um zusätzliche Mechanismen für umfassende Rückmeldungen und verbindliche Richtlinien. In der Praxis bedeutet das Folgendes:

• Der Domaininhaber veröffentlicht über DNS einen bestimmten DMARC-Eintrag, in dem steht, welche Policy (z. B. „nichts unternehmen“, „als Spam behandeln“ oder „ablehnen“) auf Nachrichten angewendet werden soll, die nicht eindeutig authentifiziert sind.
• Der empfangende Server prüft für jede eingehende E-Mail, ob die in der Absenderadresse verwendete Domain auch in SPF und DKIM übereinstimmt. Bei Bedarf werden die genannten Richtlinien (Policy) angewendet.
• Der Empfänger schickt regelmäßig Berichte (Reports) zurück an die im DMARC-Eintrag hinterlegte Adresse. So können Domaininhaber nachvollziehen, wie viele Mails tatsächlich bestehen und wie viele aufgrund von Fehlern oder Manipulationsversuchen scheitern.

Anders als bei älteren Verfahren, wie beispielsweise ADSP, ist die Authentifizierungstechnologie (SPF oder DKIM) nicht fest an eine bestimmte Policy gekoppelt, sondern kann flexibel herangezogen werden. Gleichzeitig kann DMARC ohne vorhandene SPF oder DKIM Konfiguration nicht funktionieren.

Eine wichtige Rolle spielt hierbei die sogenannte Ausrichtung (Alignment), die die Übereinstimmung der zwei Sendeadressen in einer E-Mail-Nachricht prüft. Diese beiden Adressen werden in den einzelnen Authentifizierungsverfahren nicht gegenseitig geprüft und können daher verschiedene Domains aufweisen. Für eine erfolgreiche Ausrichtung muss entweder eine exakte Übereinstimmung der Domain vorhanden sein (z. B. example.com = example.com) oder eine Hierarchieübereinstimmung zwischen einer übergeordneten und einer untergeordneten Domain (z. B. example.com und mail.example.com). Dieses Prinzip der Ausrichtung gewährleistet, dass die angezeigte Absenderadresse mit der tatsächlichen Absenderadresse der E-Mail übereinstimmt, was ein effektives Mittel gegen Domain-Spoofing darstellt.

DMARC nutzt diese Ausrichtungsprüfung, um sicherzustellen, dass die E-Mail sowohl durch SPF als auch durch DKIM authentifiziert wird. Wenn mindestens eines der beiden Verfahren erfolgreich ist, wird die E-Mail nicht blockiert, es sei denn, die Policy des Absenders verlangt strengere Maßnahmen. Diese Flexibilität macht DMARC zu einem robusten und zuverlässigen Tool im Zusammenhang mit der E-Mail-Absenderauthentifizierung.

Für Domaininhaber hat dies den Vorteil, dass DMARC einen vollständigeren Überblick über den E-Mail-Verkehr ermöglicht und Feedback liefert, das bislang kaum verfügbar war. So lassen sich beispielsweise leicht unautorisierte E-Mail-Quellen identifizieren, falsch konfigurierte Server korrigieren oder Phishing-Angriffe frühzeitig aufdecken. Gleichzeitig müssen Unternehmen und Organisationen jedoch bedenken, dass strenge DMARC-Richtlinien unter Umständen legitime, aber falsch konfigurierte E-Mail-Systeme blockieren können. Eine schrittweise Einführung und Prüfung ist daher entscheidend, um echte E-Mails nicht unbeabsichtigt abzulehnen.

Insgesamt vereint DMARC die beiden etablierten Authentifizierungsverfahren SPF und DKIM unter einem einheitlichen Richtliniensystem mit Feedback-Schleife. Dieser Ansatz verbessert das Vertrauen in E-Mail-Kommunikation und schützt Absender wie Empfänger wirksam vor Domainmissbrauch, sofern DMARC richtig eingerichtet und aktiv überwacht wird.

DMARC ist eine entscheidende Erweiterung der vorhandenen E-Mail-Authentifizierungsmethoden, weil es Domaininhabern ermöglicht, klare Richtlinien für den Umgang mit nicht authentifizierten Nachrichten festzulegen und gleichzeitig Rückmeldung über die tatsächliche Durchsetzung dieser Richtlinien zu erhalten. Auf diese Weise lässt sich der Anteil erfolgreich zugestellter gefälschter E-Mails deutlich reduzieren, was insbesondere gegen Phishing-Angriffe hilft, bei denen Betrüger E-Mails unter dem Namen einer vermeintlich vertrauenswürdigen Domain versenden. Durch die Verknüpfung von SPF und DKIM können Absender außerdem besser prüfen, inwieweit ihre Authentifizierungsmaßnahmen greifen, und ob E-Mails, die tatsächlich von ihnen stammen, zuverlässig zugestellt werden. DMARC stellt damit den Absendern ein Werkzeug zur Verfügung, um die Authentifizierung ihres Mail-Verkehrs auf breiter Basis zu überwachen und im Bedarfsfall zu reagieren, wenn sich neue oder unbekannte Versender als Teil der eigenen Domain ausgeben.

Eine wichtige Zielsetzung von DMARC ist es, den Implementierungsaufwand sowohl für Versender als auch für Empfänger möglichst gering zu halten und gleichzeitig den reibungslosen Transport legitimer E-Mails nicht zu beeinträchtigen. Gerade in einer so weit verbreiteten Infrastruktur wie dem derzeitigen SMTP-E-Mail-System ist Skalierbarkeit unerlässlich, weshalb DMARC bewusst auf zusätzliche Zwischeninstanzen oder aufwändige Vereinbarungen zwischen Versendern und Empfängern verzichtet. Es nutzt stattdessen DNS als zentrales Medium, um festzulegen, wie mit nicht authentifizierten Nachrichten verfahren werden soll und wohin detaillierte Berichte über das E-Mail-Aufkommen gesendet werden. Dank dieses klaren und standardisierten Vorgehens können Domaininhaber schnell erkennen, ob ihre Authentifizierung greift, wo möglicherweise Konfigurationslücken bestehen oder ob kriminelle Akteure die Domain für betrügerische Zwecke missbrauchen.

Gleichzeitig ist zu beachten, dass DMARC nur eine bestimmte Art von Missbrauch adressiert und nicht alle Formen von E-Mail-Betrug löst. Die Erkennung von Mails, die zwar eine optisch ähnliche, aber technisch andere Domain verwenden, fällt beispielsweise nicht in den Zuständigkeitsbereich dieses Verfahrens. Ebenso wird die „Display Name“-Manipulation, bei der im Absendernamen statt in der eigentlichen Absenderdomain getäuscht wird, nicht abgedeckt. Auch die inhaltliche Analyse, die manchen Spam-Filtern zugrunde liegt, ist nicht Bestandteil des DMARC-Konzepts. Dennoch ist die flächendeckende Einführung von DMARC ein entscheidender Schritt, um den E-Mail-Verkehr insgesamt sicherer zu gestalten und die Wirksamkeit von Phishing-Angriffen erheblich zu verringern.

DMARC setzt auf den beiden bestehenden Verfahren SPF und DKIM auf und führt sie an einer zentralen Stelle zusammen, indem die bei diesen Prüfungen ermittelte Domain mit der Absenderadresse abgeglichen wird. Bei einer eingehenden E-Mail überprüft der empfangende Server zunächst, ob die Domain, die im sichtbaren Absenderfeld zu sehen ist, zu den authentifizierten Informationen aus SPF oder DKIM passt. Diese Übereinstimmung wird als Domain Alignment bezeichnet. Im Falle von SPF schaut der Server, ob die Domain im SMTP-Envelope zum E-Mail-Absender im From-Feld passt. Bei DKIM wird geprüft, ob die Signatur zu einer Domain gehört, die wiederum mit der im From-Feld angegebenen Domain übereinstimmt.

Stellt der Server fest, dass die im From-Feld angegebene Domain nicht korrekt an SPF oder DKIM angebunden ist, entscheidet DMARC, welche Richtlinie angewendet werden soll. Diese Policy ist von der Domain festgelegt und wird über DNS publiziert. Mit dieser im DNS hinterlegten Richtlinie legt der Domaininhaber fest, ob eine nicht authentifizierte E-Mail zugestellt, als Spam markiert oder komplett abgelehnt werden soll. Gleichzeitig erlauben die im DNS verankerten DMARC-Einstellungen die Konfiguration von Berichten, die Aufschluss darüber geben, wie häufig Nachrichten erfolgreich geprüft wurden oder an welcher Stelle es zu Authentifizierungsfehlern kam.

Empfänger-Server schicken diese Berichte an eine zuvor hinterlegte E-Mail-Adresse, die vom Domaininhaber angegeben wurde. So entsteht eine transparente Übersicht, bei der nachverfolgt werden kann, ob und wie Nachrichten tatsächlich bei den Empfängern ankommen und welche E-Mails auf dem Weg dorthin geblockt oder im Spam-Ordner abgelegt werden. Durch diese Rückmeldungen haben Unternehmen die Möglichkeit, eventuelle Konfigurationsfehler schnell zu erkennen und gegebenenfalls korrigierend einzugreifen, bevor berechtigte E-Mails fälschlicherweise abgewiesen werden. Diese enge Verzahnung von SPF, DKIM und DMARC, gepaart mit der Möglichkeit, Empfängern klare Handlungsanweisungen zu geben und gleichzeitig wertvolles Feedback über die Wirkung dieser Anweisungen zu erhalten, bildet das Herzstück des DMARC-Mechanismus und macht ihn zu einer der wichtigsten Grundlagen für eine sichere E-Mail-Kommunikation.

Ein zentraler Bestandteil von DMARC ist das Konzept der Identifier-Ausrichtung (Alignment), welches sicherstellt, dass die Herkunftsdomain der E-Mail (wie sie der Empfänger sieht) mit der Domain übereinstimmt, die im Authentifizierungsprozess verwendet wird (wie sie der Server sieht). Dieser Abschnitt erläutert anhand drei Beispielen für SPF wie der Mechanismus in der Praxis funktioniert. Beachten Sie, dass der Mechanismus auch für DKIM auf gleiche Art funktioniert. Der Einfachheit halber wird in allen Beispielen vorausgesetzt, dass die SPF-Validierung ein positives Ergebnis liefert. Zudem sind einige Kopffelder und der Nachrichteninhalt entfernt, welche für diesen Zusammenhang nicht relevant sind.

Damit die Identifikatoren auch korrekt verstanden werden können, werden folgende Ausdrücke verwendet:

• Der Identifikator RFC 5322.From bezieht sich auf die Spezifikation in RFC 5322, in der die Struktur und die Anforderungen für das Feld „From“ in E-Mail-Nachrichten festgelegt sind. RFC 5322 beschreibt, wie E-Mail-Kopfzeilen formatiert werden sollten, einschließlich der „From“-Kopfzeile, um sicherzustellen, dass Absenderadressen korrekt strukturiert und von E-Mail-Systemen interpretiert werden. Dieser RFC ist für die Wahrung der Konsistenz und Kompatibilität der E-Mail-Kommunikation von entscheidender Bedeutung. Dieser Identifikator ist auch für den E-Mail Benutzer als Absendeadresse zu sehen.
• Der Identifikator RFC 5321.MAIL FROM bezieht sich auf den MAIL FROM-Befehl im SMTP-Protokoll, der in der RFC 5321 standardisiert ist. Dieser Befehl wird verwendet, um die Absenderadresse einer E-Mail-Nachricht zu definieren. Beim Versenden einer E-Mail sendet der Client den MAIL FROM-Befehl an den Server, um die Absenderadresse bekanntzugeben. Der Server überprüft dann, ob er die E-Mail entgegennehmen kann. Obwohl es Manipulationen wie Spoofing gibt, ist der MAIL FROM-Befehl ein zentraler Bestandteil des E-Mail-Versandprozesses. Ein Benutzer sieht diese Adresse jedoch normalerweise nicht in seinem Maildienst.

Beispiel 1: SPF-Ausrichtung (Exakte Übereinstimmung)

MAIL FROM: <sender@example.com>
---
From: sender@example.com
Date: Fri, Feb 15 2002 16:54:30 -0800
To: receiver@example.org
Subject: here's a sample
                        

In diesem Beispiel teilen sich die E-Mail Felder RFC 5321.MAIL FROM und RFC 5322.From die gleiche DNS-Domain example.com. Dies ist eine exakte Ausrichtung, da beide Identifikatoren übereinstimmen. DMARC bewertet dies als erfolgreiche Ausrichtung, und die Nachricht wird als authentisch betrachtet.

Beispiel 2: SPF-Ausrichtung (Übereinstimmung der Domain)

MAIL FROM: <sender@child.example.com>
---
From: sender@example.com
Date: Fri, Feb 15 2002 16:54:30 -0800
To: receiver@example.org
Subject: here's a sample
                        

Hier ist die RFC 5321.MAIL FROM eine Subdomain der RFC 5322.From-Domain (example.com). Dieses Verhältnis wird als "parent domain alignment" bezeichnet. Ob sich diese Situation in eine erfolgreiche Ausrichtung entwickelt, hängt von der DMARC-Richtlinie des Domain-Besitzers ab:

• Relaxierter Modus "relaxed" (aspf=r): In diesem Fall muss nur die Domain übereinstimmen, mögliche Subdomains werden ignoriert. Das Ergebnis ist positiv.
• Strenger Modus "strict" (aspf=s): In diesem Fall müssen die Hostnamen übereinstimmen. Das Ergebnis ist daher negativ.

Beispiel 3: SPF nicht ausgerichtet

MAIL FROM: <sender@example.net>
---
From: sender@child.example.com
Date: Fri, Feb 15 2002 16:54:30 -0800
To: receiver@example.org
Subject: here's a sample
                        

In diesem Fall ist die RFC 5321.MAIL FROM-Domain (example.net) weder die gleiche noch eine Hauptdomain der RFC 5322.From-Domain (child.example.com). Als Ergebnis sind die Identifikatoren nicht ausgerichtet. DMARC bewertet dies als Fehler, und die Nachricht könnte je nach DMARC-Richtlinie des Domain-Besitzers gefiltert oder abgelehnt werden.

1. Prüfung und Einrichtung von SPF und DKIM

• Stellen Sie sicher, dass für Ihre Domain ein gültiger SPF-Eintrag existiert, der alle autorisierten E-Mail-Server auflistet.
• Aktivieren Sie DKIM, indem Sie öffentliche DKIM-Schlüssel im DNS hinterlegen und private Schlüssel auf dem Mailserver zum Signieren verwenden.

2. DMARC-Eintrag erstellen

• Legen Sie im DNS Ihrer Domain einen TXT-Eintrag mit dem Namen _dmarc.ihredomain.de an.
• Dieser Eintrag enthält den DMARC-Policy-String, zum Beispiel: v=DMARC1; p=none; rua=mailto:dmarc-reports@ihredomain.de; ruf=mailto:dmarc-failures@ihredomain.de;

Die wichtigsten Bestandteile sind:

• v=DMARC1: Version von DMARC.
• p=: Die gewünschte DMARC-Policy (none, quarantine oder reject).
• rua=: Adresse(n) für Aggregate-Reports. Hier erhalten Sie statistische Zusammenfassungen zu E-Mails.
• ruf=: Adresse(n) für Forensic-Reports. Hier werden detaillierte Informationen zu fehlgeschlagenen E-Mails gemeldet.

3. Testphase mit "p=none"

• Starten Sie immer mit der none-Policy, um Fehlkonfigurationen zu vermeiden.
• Analysieren Sie die erhaltenen Berichte (Aggregate-Reports) und korrigieren Sie gegebenenfalls Ihre SPF/DKIM-Einstellungen.

4. Hochstufung der Richtlinie

• Wenn Sie sicher sind, dass SPF und DKIM zuverlässig greifen, können Sie die Policy auf quarantine oder sogar reject erhöhen.
• Erst auf dieser Ebene wird DMRAC aktiv und kann einen Einfluss haben.
• Überwachen Sie weiterhin die Berichte, um sicherzustellen, dass legitime E-Mails nicht blockiert werden.

DMARC ist ein unerlässlicher Baustein moderner E-Mail-Sicherheit. Während SPF und DKIM bereits für ein gewisses Maß an Schutz sorgen, stellt DMARC sicher, dass diese Mechanismen konsequent angewendet werden und Betrugsversuche an Ihrer Domain erkannt und gestoppt werden können. Auch wenn die Einrichtung und fortlaufende Überwachung einen gewissen Aufwand bedeuten, lohnt es sich langfristig für den Schutz Ihrer Kunden, Geschäftspartner und Ihrer Marke.

Starten Sie am besten mit einer Testphase (p=none), analysieren Sie Ihre Berichte und erhöhen Sie danach schrittweise den Schutzgrad. Auf diese Weise stellen Sie sicher, dass legitime Kommunikation nicht fälschlicherweise blockiert wird und Sie zeitnah auf mögliche Konfigurationsfehler reagieren können.

Mit DMARC setzen Sie einen wichtigen Meilenstein, um Spoofing und Phishing-Angriffe erfolgreich abzuwehren - ein klares Signal an potenzielle Angreifer, dass Ihre Domain geschützt ist, und ein beruhigendes Gefühl für alle, die Ihnen vertrauen.

Links

Microsoft Dokumentation zur Einrichtung von DMARC: Einrichten von DMARC zum Überprüfen der Absenderdomäne für Absender in Microsoft 365