<spf> alignment for dmarc

SPF-Domänenabgleich für DMARC

DMARC ist ein Standard zur E-Mail-Authentifizierung, der entwickelt wurde, um gefälschte E-Mails mit gefälschten Domainnamen zu bekämpfen.
Für die Domain-Abgleichung sind folgende Voraussetzungen erforderlich:

   Wenn ein Absender seine E-Mail mittels SPF und/oder DKIM authentifiziert,  
   muss mindestens eine der Domains mit der Absender-Domain übereinstimmen

Um dies im Rahmen des SPF (Sender Policy Framework) zu erreichen, müssen Sie sich mit zwei Domänen befassen:

• die Absenderadresse, die für die Empfänger sichtbar ist
• die „Mail-From“-Adresse (auch als „Envelope-Sender“ oder „Return-Path“ bezeichnet), die verborgen ist

DMARC unterstützt zwei Arten der SPF-Anpassung: die lockere Anpassung und die strenge Anpassung.
Wenn Sie keine strenge Anpassung festlegen, wird standardmäßig die lockere Anpassung angenommen.

lockere Ausrichtung

Bei einer lockeren Übereinstimmung muss lediglich die Stammdomain der „Mail-From“-Adresse mit der Stammdomain der „From“-Adresse übereinstimmen.
Durch die lockere Übereinstimmung können beliebige Subdomains verwendet werden, ohne dass die Anforderung an die Domain-Übereinstimmung verletzt wird.

Beispiel:

• Wenn Ihre „Mail-From“-Domain „mail.abc.com“ und Ihre „From“-Domain „abc.com“ lautet,
  wird Ihre E-Mail die SPF-Prüfung bestehen (die Stammdomains „abc.com“ stimmen überein)

• Wenn Ihre „Mail-From“-Domain „abc.mail.com“ und Ihre „From“-Domain „abc.com“ lautet,
  wird Ihre E-Mail die SPF-Prüfung NICHT bestehen (die Stammdomains „mail.com“ und „abc.com“ stimmen nicht überein)

strikte Ausrichtung

Bei strikter Übereinstimmung muss die Domäne der „Mail-From“-Adresse exakt mit der Domäne der „From“-Adresse übereinstimmen.

Beispiel:

• Wenn Ihre „Mail-From“-Domain „mail.abc.com“ lautet und Ihre „From“-Domain ebenfalls „mail.abc.com“ ist,
  wird Ihre E-Mail die SPF-Prüfung bestehen (die Domains „mail.abc.com“ stimmen überein)

• Wenn Ihre „Mail-From“-Domain „mail.abc.com“ und Ihre „From“-Domain „abc.com“ lautet,
  wird Ihre E-Mail die SPF-Prüfung NICHT bestehen (die Domains „mail.abc.com“ und „abc.com“ stimmen nicht überein)

<dkim> alignment for dmarc

DKIM-Domänenabgleich für DMARC

DMARC ist ein Standard zur E-Mail-Authentifizierung, der entwickelt wurde, um gefälschte E-Mails mit gefälschten Domänen zu bekämpfen.
In Bezug auf die Domänenabgleichung sind folgende Anforderungen zu erfüllen:

   Wenn ein Absender seine E-Mail mittels SPF und/oder DKIM authentifiziert,  
   muss mindestens eine der Domains mit der Absender-Domain übereinstimmen

Damit dies im Rahmen von DKIM (DomainKeys Identified Mail) funktioniert,
muss die DKIM-Signaturdomäne (DKIM-Signature: d=…) mit der Absenderdomäne übereinstimmen.

DMARC unterstützt zwei Arten der DKIM-Anpassung: die lockere Anpassung und die strenge Anpassung.
Wenn Sie keine strenge Anpassung festlegen, wird standardmäßig die lockere Anpassung angenommen.

lockere Ausrichtung

Bei einer lockeren Zuordnung muss lediglich die Stammdomain der DKIM-Signaturdomain mit der Absenderdomain übereinstimmen.
Dank der lockeren Zuordnung kann jede beliebige Subdomain verwendet werden, ohne dass die Anforderungen an die Domain-Zuordnung verfehlt werden.

Beispiel:

• Wenn Ihre DKIM-Signaturdomäne „mail.abc.com“ lautet und Ihre Absenderdomäne „abc.com“,
  wird Ihre E-Mail die DKIM-Überprüfung bestehen (die Stammdomänen „abc.com“ stimmen überein).

• Wenn Ihre DKIM-Signatur „abc.mail.com“ lautet und Ihre „From“-Domain „abc.com“ ist,
  wird Ihre E-Mail die DKIM-Überprüfung NICHT bestehen (die Stammdomains „mail.com“ und „abc.com“ stimmen nicht überein)

strikte Ausrichtung

Bei strikter Übereinstimmung muss die DKIM-Signaturdomäne exakt mit der Domäne der Absenderadresse übereinstimmen.

Beispiel:

• Wenn Ihre DKIM-Signaturdomäne „mail.abc.com“ lautet und Ihre Absenderdomäne „mail.abc.com“ ist,
  wird Ihre E-Mail die DKIM-Überprüfung bestehen (die Domänen „mail.abc.com“ stimmen überein)

• Wenn Ihre DKIM-Signaturdomäne „mail.abc.com“ lautet und Ihre Absenderdomäne „abc.com“,
  wird Ihre E-Mail die DKIM-Überprüfung NICHT bestehen (die Domänen „mail.abc.com“ und „abc.com“ stimmen nicht überein)

<dmarc> detects fake emails

dmarc erklärt

DMARC steht für: Domain-based Message Authentication, Reporting and Conformance.
Es handelt sich um einen Standard zur E-Mail-Authentifizierung, der entwickelt wurde, um gefälschte E-Mails mit gefälschten Domänen zu bekämpfen.

Absender:

• ihre E-Mails mit SPF und DKIM authentifizieren
• eine „DMARC-Richtlinie“ veröffentlichen, in der festgelegt ist, wie mit nicht authentifizierten E-Mails umgegangen werden soll

Empfänger:

• Maßnahmen bei nicht authentifizierten E-Mails ergreifen, basierend auf der „DMARC-Richtlinie“ des Absenders
• dem Absender über das Ergebnis berichten

Bei einigen E-Mail-Anbietern hat dies einen erheblichen Einfluss auf die Zustellbarkeit, siehe:
So funktioniert DMARC mit Gmail und Office 365 im Jahr 2020 *
„Office 365 reagiert im Allgemeinen auf SPF- und DKIM-Authentifizierung.
Der einzige Weg, um konsistente Ergebnisse zu erzielen und den Posteingang zu erreichen, besteht darin, diese mit DMARC zu verknüpfen.“

* = Link zu einer externen Website, wird in einem neuen Fenster geöffnet

So richten Sie DMARC ein

DMARC nutzt die Protokolle SPF (Sender Policy Framework) und DKIM (Domain Keys Identified Mail)
, um Situationen zu regeln, in denen E-Mails die Authentifizierungstests nicht bestehen.

SPF verlangt, dass Sie angeben, welche Server Sie zum Versenden von E-Mails verwenden.
Lesen Sie nach, wie Sie SPF konfigurieren, um mehr darüber zu erfahren und es richtig einzurichten.

Die SMTP-Server von RealSender signieren alle ausgehenden E-Mail-Nachrichten mit einer DKIM-Signatur.
Wenn Sie mit derselben Domain wie der Absender signieren möchten, ist eine entsprechende Konfiguration erforderlich.
Weitere Informationen finden Sie in der Anleitung zur Konfiguration von DKIM.

RealSender stellt Ihnen ein Postfach zur Verfügung, in dem die von den Empfängern generierten DMARC-Berichte gesammelt werden.

So konfigurieren Sie DMARC

1. Zu Beginn sollten Sie das Policy-Tag auf „none“ (p=none) setzen,
   was bedeutet, dass der Mailbox-Anbieter nichts mit den gefälschten/Phishing-E-Mails unternimmt.
   Sie sollten einen TXT-Eintrag für Ihre Domain (example.com) hinzufügen, der wie folgt aussehen sollte:
   

_dmarc.example.com. IN TXT „v=DMARC1; p=none; rua=mailto:dmarc.example@rsbox.com“

2. Ab dem nächsten Tag erhalten Sie die DMARC-RUAs-Berichte online.
   
   Möglicherweise stellen Sie fest, dass Sie vergessen haben, eine E-Mail-Kampagne zu authentifizieren, die von einem Drittanbieter versendet wird.
   Sollte dies der Fall sein, authentifizieren Sie die Kampagne einfach und überprüfen Sie, ob der nächste Versand die DMARC-Tests besteht.

3. Wenn die Berichte über einige Wochen hinweg korrekt sind, weisen Sie die E-Mail-Anbieter an, diese gefälschten oder Phishing-E-Mails zurückzuweisen bzw. zu blockieren.
   
   Der _dmarc-TXT-Eintrag Ihrer Domain sollte wie folgt geändert werden:

"v=DMARC1; p=reject; rua=mailto:dmarc.example@rsbox.com"

Nachteile von DMARC

Falls Ihr Unternehmen DMARC einsetzt, sollten Sie die Seite
sorgfältig prüfen, bevor Sie eine neue Methode zum Versenden von E-Mails einführen.

Dmarc wendet strenge Richtlinien für die Überprüfung von SPF und DKIM an
Dies kann dazu führen, dass E-Mails, die diese Tests ansonsten bestehen würden
von E-Mail-Anbietern abgelehnt werden.

Selbst wenn alles korrekt eingestellt ist, kann die Überprüfung fehlschlagen:

• die SPF-Prüfung, ob die E-Mail weitergeleitet oder über eine Mailingliste versendet wurde
• die DKIM-Prüfung, falls die Nachricht verändert wurde und dadurch die DKIM-Signatur ungültig wurde

<dmarc> rua reports online

RealSender erfasst und analysiert die DMARC-RUA(*)-Berichte für Sie.

* = Bedeutung von „rua“:
Meldungs-URI(s) für aggregierte Daten. 

In RealSender ist die „rua“ die E-Mail-Adresse, die den Kunden zur Verfügung gestellt wird:
. An diese Adresse werden Sammelberichte von Domains gesendet:
, die E-Mails erhalten haben, die angeblich von Ihrer Domain stammen.

Die Berichte werden täglich um 13:00 Uhr (MEZ) erstellt und enthalten die Daten der letzten sieben Tage.

Dies ist ein DMARC-Online-Bericht, Beispielseite: