E-Mail wurde erfolgreich versandt.
FAQ #3586
Artikel editieren
Artikel weiterleiten

Wie kann ich DMARC bei STRATO aktivieren?

Inhaltsverzeichnis Inhaltsverzeichnis

Was ist DMARC?

Domain-based Message Authentication, Reporting and Conformance (DMARC) ist ein Mechanismus, der den Missbrauch von E-Mails, wie er im Rahmen von Phishing vorkommt, reduzieren soll.

 

Was muss ich zu DMARC wissen?

Mit den richtigen DMARC- und SPF-Einstellungen verhindern Sie, dass jemand eine E-Mail empfängt, die angeblich in Ihrem Namen versendet wurde – tatsächlich aber nicht von Ihnen stammt. Die jeweiligen Einstellungen sowie die DKIM-Signaturen sind als Informationen für den empfangenden Mailserver gedacht. Der empfangende Mailserver ist damit in der Lage, zu erkennen, ob eine E-Mail gefälscht ist oder nicht. Handelt es sich um gefälschte E-Mails, kann der Mailserver mittels der von Ihnen vorgegebenen DMARC Policy entsprechend reagieren.
Wenn Sie eine Mail versenden, wertet der Mailserver des Empfängers diese Informationen aus. Der empfangende Mailserver erkennt anhand der DKIM-Signatur und der SPF-Information, ob die E-Mail wirklich von Ihnen stammt. Falls dies nicht der Fall ist, sondern unbekannte Dritte Ihre Absenderadresse für kriminelle Zwecke verwenden, wird mit der E-Mail anhand der mit DMARC hinterlegten Policy verfahren.

Phishing-Nachrichten werden gerne mit sogenanntem Header-From von bekannten Domains verschickt (eigene, PayPal, Ebay, STRATO etc.), sodass wir Ihnen die entsprechenden Einstellungen dringend empfehlen.
DMARC kann nicht verhindern, dass jemand in Ihrem Namen E-Mails versendet. Aber Sie können mit Ihrem DMARC-Eintrag verhindern, dass jemand diese Fälschungen bekommt und diese als echt ansieht.
Übrigens: In dem besonderen Fall, dass jemand an Sie angeblich von Ihrer eigenen Domain Nachrichten schickt, sind Sie selbst der Empfänger und profitieren somit sogar von Ihren eigenen DMARC-Einstellungen.


Nicht alle Mailserver reagieren auf Ihren DMARC-Eintrag. Aber es werden täglich mehr.

Wenn Sie empfangene E-Mails weiterleiten, bspw. um sie an STRATO zu melden, müssen Sie folgendes beachten:
Benutzen Sie zum Weiterleiten eine Filterregel mit der Aktion “Mail weiterleiten an” in Ihrem STRATO E-Mail-Postfach. Diese sorgt dafür, dass die weitergeleitete Mail in einer Form weitergeleitet wird, dass dadurch die DKIM- und SPF-Prüfungen beim empfangenden Mailserver nicht fehlschlagen.
Wenn Sie eine E-Mail über Ihr E-Mail-Programm im Namen des ursprünglichen Absenders weiterleiten, wird diese möglicherweise als neue E-Mail über Ihr E-Mail-Postfach verschickt. Deshalb kann es dazu kommen, dass diese E-Mail von dem empfangenden Mailserver als Fälschung erkannt wird (damit unterliegt sie der DMARC Policy des ursprünglichen Absenders). Immer mehr E-Mail-Dienstleister prüfen DMARC streng und lehnen Nachrichten ab, die die Prüfung nicht bestehen.

Warum sollte ich DMARC benutzen?

Mehr und mehr cyberkriminelle Personen versuchen ihre Angriffsziele in Sicherheit zu wiegen und zu täuschen. So schreiben sie E-Mails im Namen anderer Personen und Organisationen (z.B. auch im Namen der STRATO AG).
DMARC prüft den Aufbau und die Informationen dieser E-Mails. Entspricht eine E-Mail nicht den Anforderungen, kann sie direkt als verdächtig markiert oder die Annahme gar abgelehnt werden. Wir empfehlen Ihnen die Spamschutz-Einstellung als "Spam in Spam-Ordner ablegen”, da eine abgelehnte E-Mail nicht nachträglich im Postfach abrufbar ist – sondern dort eben gar nicht erst ankommt.

 

Was kann DMARC?

DMARC bietet dabei einen Mechanismus, der einem E-Mail-Empfänger (genauer gesagt dem empfangenden Mailserver) abhängig vom Ergebnis der DKIM- und SPF-Prüfung eine Vorgehensweise für den Umgang mit E-Mails vorgibt. Deshalb muss es für die Absender-Domain (beim Absender meineAdresse@MeineDomain.de also für “MeineDomain.de” mindestens einen DNS-Eintrag für DKIM oder SPF geben. DNS ist der Domain Name Service, das “Internet Telefonbuch”, in dem u.a. auch IP-Adressen den Domain-Namen zugeordnet werden).

Die DMARC-Regeln (Policy) werden wie DKIM und SPF im DNS öffentlich hinterlegt. Dafür gibt es einen TXT-Record mit dem Präfix _dmarc, der mit bestimmten Werten gefüllt sein muss. Dabei bietet Ihnen DMARC drei unterschiedliche Vorgehensweisen an, wenn SPF- _und_ DKIM-Prüfung beide ein negatives Ergebnis liefern:
1. Policy “none”: Die E-Mail wird unverändert zugestellt. Es kann jedoch einen Report für den Fehler geben (wenn der Mailserver das unterstützt).
2. Policy “quarantine”: Die E-Mail wird als Spam behandelt. Sie als Empfänger legen fest, was das bedeutet. Bei STRATO können Sie für empfangene Mails zwischen vier Behandlungen wählen:
Spam niemals ablehnen (= Zustellung in den Posteingang wie eine normale Nachricht)
Betreff von Spam-Mails im Posteingang markieren
Spam in Spam-Ordner ablegen
Spam grundsätzlich ablehnen: Die Nachricht wird abgelehnt (rejected), der Absender erhält eine entsprechende Mitteilung
3. “reject”: Nachrichten werden abgelehnt (rejected), der Absender erhält eine entsprechende Mitteilung

Weitere wichtige Einstellungen bei DMARC:

  • DMARC bietet Ihnen an, sich Reports in Form von E-Mails der Empfänger schicken zu lassen. Es wird zwischen forensischen (Fehlerreports, für jede Nachricht, bei der ein Fehler aufgetreten ist) und aggregierten Reports unterschieden. Wir empfehlen Ihnen, “keine Reports” zu aktivieren. Es sei denn Sie sind ein fortgeschrittener Anwender und kennen sich mit der Materie aus. Auch senden nicht alle Provider solche Reports. Der STRATO-Mailserver sendet aufgrund deutscher Datenschutzbestimmungen keine derartigen Reports.


Was muss ich tun, um DMARC bei STRATO zu aktivieren?

1. DKIM ist bei STRATO bereits aktiviert, alle Nachrichten, die Sie über STRATO verschicken, werden bereits mit einer DKIM-Signatur versehen. Sie brauchen nichts weiter zu tun. Voraussetzung ist lediglich, dass Sie die Nachricht mit Ihrer eigenen Absenderadresse verschicken. (Schwieriger wird es, wenn Drittanbieter in Ihrem Namen E-Mails verschicken. Dann muss auch dieser Anbieter die Nachrichten in Ihrem Namen signieren.)

2. SPF-Regel:

Für die Nutzung von DMARC ist der empfohlene Standard "Keine SPF-Regel" bereits voreingestellt. Benötigen Sie allerdings eine spezifische SPF-Regel, nehmen Sie die Einstellung manuell vor, wie in diesem Artikel beschrieben.

3. Für DMARC nehmen Sie folgende Einstellungen vor:

Typ: TXT

Präfix: _dmarc
Wert: v=DMARC1; p=quarantine; pct=100
(Statt “quarantine” schreibe “none” oder “reject” je nach gewählter Policy. Siehe “Was kann DMARC?”)

dmarc_settings-de.png

Klicken Sie auf »Einstellung übernehmen«.

4. Wiederholen Sie diesen Vorgang für jede Domain, deren E-Mails per DMARC behandelt werden sollen.

5. Passen Sie Ihre Spamschutz Einstellungen an.

Gehen Sie zur E-Mail-Verwaltung und wählen Sie »Postfach bearbeiten« für das E-Mail-Konto, das E-Mails empfängt.
»Spamschutz einrichten / Black- und Whitelisting« aufklappen:

Spamschutz_einrichten

Stellen Sie das gewünschte Verhalten ein.


6. Wiederholen Sie dies für alle gewünschten E-Mail-Postfächer.

TXT Record
War dieser Text hilfreich für Sie?
Info: 2f04b418c97c27fa9d6975049c09fdbb9aaa8a33