So funktioniert DMARC – aktualisiert
Wie funktioniert DMARC mit Gmail und Office 365? (aktualisiert)
Wir haben erneut untersucht, wie sich die E-Mail-Authentifizierung auf die Zustellungs
an Google Mail- und Office 365-Postfächer auswirkt – die beliebtesten E-Mail-Anbieter für Unternehmen.
Die Ergebnisse lassen sich in zwei Gruppen unterteilen:
E-Mail-Zustellung
(Wie sich SPF, DKIM und DMARC auf die Zustellung gesendeter Nachrichten auswirken)
# Google Mail: Die E-Mails werden immer angenommen, die SPF-Authentifizierung scheint überhaupt nicht berücksichtigt zu werden
Die DKIM-Signatur wird nur geprüft, wenn sie mit der Absender-E-Mail-Adresse übereinstimmt und DMARC mit der Richtlinie „quarantine“ oder „reject“ konfiguriert ist.
# Office 365: reagiert vollständig auf SPF; wenn eine Nachricht die SPF-Prüfung besteht, gelangt sie in den Posteingang.
Die DKIM-Signatur wird nur berücksichtigt, wenn sie mit der Absender-E-Mail-Adresse übereinstimmt, andernfalls spielt sie keine Rolle.
Hinweise: In der letzten Augustwoche zeigte Office 365 ein seltsames Verhalten:
Nur Nachrichten, die mit DKIM signiert waren (Signaturdomäne stimmte mit der Absenderadresse überein)
und bei denen ein DMARC-Eintrag vorhanden war (mit beliebiger Richtlinie), wurden in den Posteingang zugestellt
Schutz vor Spoofing
(Wie SPF, DKIM und DMARC die E-Mail-Adresse des Absenders vor Spoofing schützen*)
* = Die Nachricht so erscheinen lassen, als stamme sie von einer anderen Person als dem tatsächlichen Absender
# Google Mail: Bei Aktivierung von DMARC werden gefälschte Absender in den Spam-Ordner gefiltert (mit p=quarantine) oder abgelehnt (mit p=reject).
Es passiert nichts, wenn die Richtlinie auf „none“ (p=none) gesetzt ist; in diesem Fall gelangen alle Nachrichten in den Posteingang.
# Office 365: Die Ergebnisse „spf fail“ oder „spf softfail“ reichen aus, um die gefälschten Absender in den Junk-E-Mail-Ordner zu verschieben.
Authentifizierungsanforderungen
Die vorgeschlagenen Anforderungen an die E-Mail-Authentifizierung lassen sich wie folgt zusammenfassen:
| E-Mail-Zustellung | Schutz vor Spoofing | |
|---|---|---|
| Gmail | DKIM-Passwort (domänenbezogen) | dmarc mit p=quarantine oder p=reject |
| Office 365 | SPF-Pass und DKIM-Pass (domänengebunden) | SPF und DMARC aktiviert (für zusätzliche Sicherheit) |
Ergebnisse des E-Mail-Zustellungstests
Nachfolgend finden Sie die vollständige Liste der durchgeführten Tests
| Gmail | Gmail- (DMARC aktiviert) |
Office 365 | Office 365- (DMARC-Einrichtung) |
||
|---|---|---|---|---|---|
| SPF-Pass | dkim keine | Posteingang | Posteingang | Posteingang | Posteingang |
| SPF-Fehler | dkim keine | Posteingang | Spam | Müll | Müll |
| spf SoftFail | dkim keine | Posteingang | Spam | Müll | Müll |
| SPF: keine | dkim keine | Posteingang | Spam | Müll | Müll |
| SPF-Pass | DKI-Unterschied | Posteingang | Posteingang | Posteingang | Posteingang |
| SPF-Fehler | DKI-Unterschied | Posteingang | Spam | Müll | Müll |
| spf SoftFail | DKI-Unterschied | Posteingang | Spam | Müll | Müll |
| SPF: keine | DKI-Unterschied | Posteingang | Spam | Müll | Müll |
| SPF-Pass | DKI-Passwort | Posteingang | Posteingang | Posteingang | Posteingang |
| SPF-Fehler | DKI-Passwort | Posteingang | Posteingang | Posteingang | Posteingang |
| spf SoftFail | DKI-Passwort | Posteingang | Posteingang | Posteingang | Posteingang |
| SPF: keine | DKI-Passwort | Posteingang | Posteingang | Posteingang | Posteingang |
| SPF-Pass | DKIM ungültig | Posteingang | Posteingang | Posteingang | Posteingang |
| SPF-Fehler | DKIM ungültig | Posteingang | Spam | Müll | Müll |
| spf SoftFail | DKIM ungültig | Posteingang | Spam | Müll | Müll |
| SPF: keine | DKIM ungültig | Posteingang | Spam | Müll | Müll |
Anmerkungen:
- Wenn die Absenderadresse (sichtbarer Absender) und die „Mail-from“-Adresse (auch als „Envelope-From“ oder „Return-Path“ bezeichnet) identisch sind, beziehen sie sich auf dieselbe Domain
- „dkim pass“: Die DKIM-Signaturdomäne stimmt mit der der Absenderadresse überein (die Domänen sind identisch)
- „dkim diff“: Die DKIM-Signaturdomäne unterscheidet sich von der der Absenderadresse (die Domänen sind NICHT aufeinander abgestimmt)