Login
Menu

DOKUMENTATION

DMARC Eintrag anlegen

Übersicht

Was ist DMARC? #

Mit DMARC kann E-Mail Spoofig verhindert und Spam von der eigenen Domain leichter verfolgt werden.

 

Durch Spoofing wird die Von-Adresse einer E-Mail geändert. Derart gefälschte Nachrichten erwecken den Anschein, von einer bestimmten Organisation oder Domain zu stammen.

 

Durch DMARC können die Autorisierten Mailserver, welche Mails für eine Domain senden dürfen, eingeschränkt werden. Somit darf niemand anderes eine E-Mail mit Ihrer Domain als Absender Adresse senden, der nicht Zugriff auf Ihren Mailserver hat.

 

 

Aufbau von DMARC #

Nachfolgend finden Sie eine Auflistung aller Parameter, die Sie im DMARC Eintrag setzen können zusammen mit einer Erklärung:

 

Abkürzung Notwendig? Erlaubte Werte Standardwert
v Ja “DMARC1”
pct Nein ganze Zahl zwischen 0-100 100
fo Nein “0”, “1”, “d”, “s” 0
ruf Nein URIs
rua Nein URIs
rf Nein “afrf” “afrf”
ri Nein ganze Zahl 86400
p Ja “none”, “quarantine”, “reject”
sp Nein “none”, “quarantine”, “reject” Anweisung der Hauptdomain
adkim Nein “r”, “s” “r”
aspf Nein “r”, “s” “r”

 

Erklärung der Parameter #

 

V

 

Dieser Parameter gibt die Version vom genutzten DMARC an. Im Moment gibt es nur die Version “DMARC1”.

 

 

PCT

 

Ist der prozentuale Anteil der zu filternden Mails. Hier wird auf den Parameter p / sp referenziert. Bei einer Angabe von 100(%) werden alle Mails gemäß SPF und DKIM gefiltert.

 

 

FO

 

Hier wird spezifiziert, ob ein Fehlerbericht generiert werden soll. Folgend die möglichen Einstellungen:

 

  • fo=0
    • Erzeugt einen Fehlerbericht, wenn SPF und DKIM fehlschlagen
  • fo=1
    • Erzeugt einen Fehlerbericht, wenn SPF oder DKIM fehlschlägt
  • fo=d
    • Erzeugt bei einer fehlerhaften Signatur einen DKIM Fehlerbericht, unabhängig vom SPF/DKIM Ergebnis
  • fo=s
    • Erzeugt bei einer fehlgeschlagenen SPF Validation einen SPF Fehlerbericht, unabhängig vom SPF/DKIM Ergebnis

 

 

RUF

 

An diese Mailadresse sendet der Empfänger einen forensischen Report über die fehlerhafte Mail. Als Domaininhaber können Sie dann gut erkennen, welcher angebliche Absender an das Ziel versucht hat, eine Mail mit ihrer Domain zu senden.

 

 

RUA

 

Der Empfänger sendet an diese Adresse oder Adressen einen “Summenbericht”. Das passiert in der Regel einmal am Tag.

 

 

RF

 

Format des gesendeten Berichts. Der Standard ist “afrf” (Authentication Failure Reporting Format) was auch das einzig bisher unterstützte Format ist.

 

 

RI

 

Zeit in Sekunden, in der ein Bericht gesendet wird, Standardmäßig auf 86400, was einem Tag entspricht.

 

 

P/SP

 

Der Wer hinter “p=” kennzeichnet, wie der Empfänger mit Mails umgehen soll, die nicht korrekt mit SPF oder DKIM überprüft werden konnten. Der Eintrag “sp=” beschreibt das Vorgehen für Sub-Domains.

 

Folgend die möglichen Einstellungen:

 

  • p=none
    • Der Empfänger darf die Mail trotzdem weiter schicken
  • p=quarantine
    • Der Empfänger soll die Mail annehmen aber in Quarantäne stellen
  • p=reject
    • Der Empfänger soll die Mail ablehnen

 

 

ADKIM

 

Ist die Abgleicheinstellung für DKIM. Hier können Sie festlegen, wie streng die Prüfung bezüglich DKIM sein soll.

 

Mögliche Einstellungen:

 

  • adkim=s (Strict)
    • Die Domain muss exakt übereinstimmen
  • adkim=r (Relaxed)
    • Es kann auch eine Subdomain der angegebenen Domain sein

 

 

ASPF

 

Ist die Abgleicheinstellung für SPF analog zu dem Parameter adkim.

 

 

DNS Eintrag anlegen #

Sobald Sie alle Parameter entsprechend konfiguriert haben, können Sie den DMARC Eintrag anlegen.

 

Die DMARC Parameter werden immer mit einem “;” getrennt. Sie können einen Parameter auch mit mehreren Werten bestücken, trennen Sie diese mit einem “,”.

 

Die Einfachste Form eines DMARC Eintrages sieht so aus: “v=DMARC1; p=none;”

 

Gehen Sie für das Anlegen des Eintrags in das IPAX Control Panel auf Domains und wählen Sie Ihre Domain aus. Klicken Sie anschließend auf DNS-Einträge, hier können Sie einen neuen DNS Eintrag anlegen.

 

Als Typ wählen Sie “TXT” und als Name “_dmarc.example.com”. Ersetzen Sie “example.com” durch Ihre Domain und fügen Sie den DMARC Eintrag als Wert ein.

 

Nach dem Speichern haben Sie erfolgreich einen DMARC Eintrag erstellt. Bitte beachten Sie, dass es bis zu 24 Stunden benötigen kann, bis der DNS Eintrag wirksam ist.

 

 

Weitere Beispiele #

Diese Beispiele können in den DNS-Einstellungen als TXT-Einträge hinzugefügt werden, um den DMARC-Schutz zu aktivieren.

 

Überwachungsmodus

v=DMARC1; p=none; rua=mailto:report@example.com
  • v=DMARC1: Die Version des DMARC-Protokolls.
  • p=none: Keine spezielle Richtlinie für den Umgang mit Nachrichten, die die DMARC-Überprüfung nicht bestehen.
  • rua=mailto:report@example.com: E-Mail-Adresse, an die Aggregatberichte gesendet werden.

 

Quarantäne-Modus

v=DMARC1; p=quarantine; rua=mailto:report@example.com; sp=quarantine
  • p=quarantine: E-Mails, die nicht authentifiziert sind, werden in Quarantäne versetzt (z.B. im Spam-Ordner).
  • sp=quarantine: Diese Richtlinie gilt auch für Subdomains.

 

Ablehnungsmodus

v=DMARC1; p=reject; rua=mailto:report@example.com; fo=1
  • p=reject: E-Mails, die die Überprüfung nicht bestehen, werden abgelehnt.
  • fo=1: Generiert einen Bericht, wenn entweder die DKIM- oder SPF-Überprüfung fehlschlägt.

 

Mit einem Prozentsatz der E-Mails

v=DMARC1; p=quarantine; pct=50; rua=mailto:report@example.com
  • pct=50: Die Richtlinie gilt für 50% der E-Mails.
E-Mail, HowTo
Hat dieser Artikel Ihnen weiterhelfen können?