Zum Hauptinhalt springen

DMARC

DMARC (Domain-based Message Authentication, Reporting, and Conformance) ist ein E-Mail-Authentifizierungsprotokoll, das auf SPF und DKIM aufbaut. Domain-Eigentümer können damit eine Policy veröffentlichen, die festlegt, wie Empfänger mit nicht authentifizierten Nachrichten umgehen sollen, und erhalten aggregierte sowie forensische Berichte über die Authentifizierungsergebnisse.

Definition

DMARC (Domain-based Message Authentication, Reporting, and Conformance) ist ein skalierbarer E-Mail-Authentifizierungsmechanismus, mit dem ein Domain-Eigentümer eine maschinenlesbare Policy im DNS veröffentlichen kann. Diese deklariert, was empfangende Mailserver tun sollen, wenn eine eingehende Nachricht die SPF- oder DKIM-Ausrichtungsprüfungen nicht besteht, und ermöglicht es diesen Servern, strukturierte Berichte an den Domain-Eigentümer zurückzusenden. Die drei DMARC-Policy-Werte — none, quarantine und reject — geben Domain-Eigentümern abgestufte Kontrolle darüber, wie nicht authentifizierte E-Mails, die vorgeben, von ihrer Domain zu stammen, von der globalen Empfangsinfrastruktur behandelt werden[1].

DMARC wurde gemeinsam von einer Gruppe von Branchenteilnehmern entwickelt, darunter PayPal, Google, Microsoft, Yahoo, ReturnPath und andere Akteure des E-Mail-Ökosystems, und im März 2015 erstmals als IETF RFC 7489 veröffentlicht. Die Spezifikation wird von der DMARC.org-Arbeitsgruppe gepflegt. Sie erweitert und koordiniert zwei frühere Authentifizierungsstandards: SPF (RFC 7208) und DKIM (RFC 6376), die als Eingangssignale verwendet, aber nicht ersetzt werden.

Funktionsweise

Eine DMARC-Policy wird als DNS-TXT-Record unter _dmarc.<domain> veröffentlicht. Ein repräsentativer Eintrag sieht so aus: v=DMARC1; p=quarantine; rua=mailto:[email protected]; ruf=mailto:[email protected]; pct=100; adkim=s; aspf=s. Die wichtigsten Tags sind:

Die entscheidende Innovation von DMARC ist die Identifier-Ausrichtung. Ein SPF- oder DKIM-Pass gilt nur dann als DMARC-konform, wenn die authentifizierte Domain mit der Domain des RFC5322.From-Headers übereinstimmt — also der „From:“-Adresse, die E-Mail-Nutzer sehen. Dies schließt die Lücke, die SPF und DKIM unabhängig voneinander hinterlassen: Eine Nachricht kann SPF auf einer anderen Domain (Envelope-Sender) bestehen und DKIM für eine dritte signierende Domain bestehen — und dennoch betrügerisch sein, wenn der From-Header eine andere Domain anzeigt. DMARC verlangt, dass mindestens eines von SPF oder DKIM einen ausgerichteten Pass liefert.

Aggregierte Berichte (RUA) werden in der Regel innerhalb von 24 Stunden nach Ende des Berichtszeitraums als komprimierte XML-Dateien von Mailbox-Anbietern wie Google (Gmail), Microsoft (Outlook/Exchange Online Protection), Yahoo Mail, Apple iCloud Mail, Comcast und anderen geliefert. Diese Berichte enthalten pro Quell-IP Zählungen von Nachrichten, SPF-Ergebnissen, DKIM-Ergebnissen und DMARC-Disposition. Tools wie DMARCIAN, Valimail, Postmark DMARC Digests und Google Postmaster Tools bieten Dashboards, die diese Berichte parsen und visualisieren[2].

Wo Sie ihm begegnen

DMARC begegnet Ihnen überall dort, wo E-Mail-Versand in hohem Volumen oder mit hohen Stakes stattfindet. Seit Februar 2024 verlangen sowohl Google als auch Yahoo, dass Versender von mehr als 5.000 Nachrichten pro Tag an Gmail- oder Yahoo-Mail-Adressen einen DMARC-Eintrag mit mindestens p=none veröffentlichen — eine bedeutende Branchen-Policy-Änderung, die DMARC für Massenversender effektiv verpflichtend gemacht hat. Microsoft kündigte für 2025 ähnliche Anforderungen für Outlook.com-Verbraucher-Postfächer an.

Für Wettbewerbsplattformen, die in großem Umfang E-Mail-Bestätigungsabstimmungen versenden, erfüllt DMARC zwei Rollen. Erstens schützt es die Reputation der sendenden Domain, indem empfangende Server angewiesen werden, gefälschte Nachrichten abzulehnen — was verhindert, dass Dritte die From-Adresse der Wettbewerbsplattform in Phishing-Kampagnen fälschen, was den Zustellbarkeitsstatus der Domain beschädigen würde. Zweitens bieten DMARC-Aggregatberichte einen operativen Monitoring-Kanal: Der Domain-Eigentümer sieht über alle teilnehmenden Mailbox-Anbieter hinweg, welcher Anteil ausgehender Nachrichten SPF und DKIM passiert, und kann Infrastruktur-Fehlkonfigurationen erkennen, bevor sie zu massenhaften Bestätigungs-E-Mail-Fehlschlägen führen.

E-Mail-Service-Anbieter wie SendGrid, Mailgun, Amazon SES, Postmark und SparkPost veröffentlichen Leitfäden zur DMARC-Konfiguration neben ihrer eigenen Sendeinfrastruktur. DNS-Diagnosetools wie MXToolbox DMARC Lookup, DMARCIANs DMARC Inspector und der Record Checker von EasyDMARC ermöglichen Domain-Eigentümern die Validierung veröffentlichter Policies.

Praktische Beispiele

Ein Wettbewerbsunternehmen beginnt, Bestätigungs-E-Mails über eine neue Subdomain confirm.votes.example.com zu versenden. Die Eltern-Domain votes.example.com hat p=reject im DMARC-Record. Da SPF- und DKIM-Records für die neue Subdomain noch nicht konfiguriert sind, scheitern Bestätigungs-E-Mails an der DMARC-Ausrichtung und werden von Gmail abgelehnt. Der Administrator diagnostiziert das Problem über Aggregatbericht-Daten, die 100% DMARC-Versagen auf der Subdomain zeigen, fügt die entsprechenden SPF-include- und DKIM-Selector-DNS-Records hinzu und setzt die DMARC-Subdomain-Policy (sp=none) während der Einführung vorübergehend zurück.

Eine Marke veranstaltet einen Foto-Einreichungswettbewerb mit Preisen im Wert von insgesamt 50.000 €. Ein Betrüger versucht, Phishing-E-Mails mit der Wettbewerbsdomain der Marke als From-Adresse zu versenden, um Wähler auf eine gefälschte Bestätigungsseite zu leiten und E-Mail-Zugangsdaten abzufischen. Da die DMARC-Policy der Domain p=reject lautet, verwerfen Gmail, Outlook und Yahoo Mail die betrügerischen Nachrichten vor der Zustellung — und schützen damit sowohl die Wettbewerbsteilnehmer als auch die Absender-Reputation der Marke.

Verwandte Konzepte

DMARC stützt sich auf SPF Record und DKIM als seine Authentifizierungs-Eingangssignale — ein DMARC-Pass erfordert, dass mindestens eines davon mit der From-Header-Domain ausgerichtet ist. Im Wettbewerbsbetrieb ist die kombinierte Wirkung von SPF, DKIM und DMARC auf die Inbox-Platzierung der primäre technische Faktor, der bestimmt, ob Email Confirmation Vote-Bestätigungsnachrichten die Postfächer der Wähler erreichen. Der BIMI-Standard, der die Anzeige eines Markenlogos in Inbox-Clients als Vertrauensindikator ermöglicht, setzt eine p=quarantine- oder p=reject-DMARC-Policy als Voraussetzung.

Quellen

  1. IETF RFC 7489 — DMARC: https://www.rfc-editor.org/rfc/rfc7489
  2. DMARC.org: https://dmarc.org
  3. Wikipedia — DMARC: https://en.wikipedia.org/wiki/DMARC

Aus dem Blog — Guides & Fallstudien

Praktische Guides, technische Tieftauchgänge und anonymisierte Fallstudien.60+ Artikel. Auswahl rotiert.

Alle 60 Artikel → Nach Thema durchsuchen
Victor Williams — founder of Buyvotescontest.com
Victor Williams
Online · Antwort in 5 Min

Hi 👋 — schick die Wettbewerbs-URL und ich melde mich binnen einer Stunde mit Preis. Karte noch nicht nötig.

💬 Live-Chat öffnen ✈️ Chat in Telegram 📋 Bestellen oder E-Mail an [email protected]