Munscheidstr. 14 in 45886 Gelsenkirchen

Jetzt anrufen 0209 - 8830 6760

DMARC – Sinn & Funktionsweise erklärt!

M.Sc. Chris Wojzechowski

Die E-Mail selbst ist schon recht alt, dementsprechend auch die dafür standardisierten Protokolle. Zwischen all diesen alten Protokollen ist DMARC, kurz für Domain-based Message Authentication, Reporting and Conformance, praktisch noch ein Kleinkind. Den Sinn und Zweck hinter diesem Protokoll und seine Funktionsweise erklären wir in diesem Artikel.

Die Geschichte von DMARC

Die E-Mail wurde schon mehrfach erweitert und durch neue Protokolle und Standards ergänzt. Viele Erweiterungen verfolgen wichtige Sicherheitsziele, die in der heutigen Kommunikation eingehalten werden sollten. Dass viele Erweiterungen die Nutzbarkeit einschränken und für die meisten E-Mail-Nutzer:innen eher eine Einschränkung als eine Verbesserung darstellen, wurde schon in dem bekannten Paper „Why Johnny Can’t Encrypt“ von Whitten und Tygar über die Nutzbarkeit von PGP gezeigt. Im Gegensatz zu PGP, was viel Interaktion vom Nutzer erfordert, ist DMARC ein Protokoll, das für den Nutzenden praktisch unsichtbar ist und im Hintergrund läuft.

DMARC wird seit 2010 entwickelt. Es sollte zum Einen Absendern die Möglichkeit geben, Richtlinien zur Authentifizierung von E-Mails und Behandlung bei nicht-authentifizierten E-Mails zu erlassen, sowie Empfängern die Möglichkeit geben, Fehlerberichte an die Absenderdomain zu senden. Große Unternehmen entwickelten oder arbeiten immer noch an der DMARC-Spezifikation, wie AOL, GMail, Yahoo! Mail, Facebook, LinkedIn, PayPal und die Bank of America. Die erarbeitete Spezifikation wurde 2012 veröffentlicht und bei der Internet Engineering Task Force (IETF) zur Standardisierung eingereicht. DMARC wurde bisher nicht von der IETF standardisiert, aber 2015 in RFC 7489 zu Informationszwecken veröffentlicht.

Die Funktionsweise von DMARC

DMARC baut auf zwei bekannten Protokollen auf, SPF und DKIM. Es legt fest, wie ein Empfänger zu verfahren hat, wenn er eine E-Mail erhält, die dem SPF oder DKIM-Check nicht standhält. Dazu hinterlegt der Absender eine DMARC-Richtlinie als TXT-Record im DNS ab.

Schauen wir uns eine solche Richtlinie an:

Eine beispielhafte DMARC-Richtlinie

Als Erstes wird die Protokollversion hinterlegt, bisher kann hier nur der Wert „DMARC1“ angegeben werden. Darauf folgt die Anweisung, wie mit E-Mails der Hauptdomain zu verfahren ist, wenn SPF und DKIM nicht erfolgreich sind. Dazu können drei verschiedene Optionen gewählt werden, „None“, also keine Veränderung und ein normales Passieren der E-Mail, „quarantine“, also das Markieren der E-Mail als Spam, oder „reject“, das Ablehnen einer solchen E-Mail. Wenn der SPF-Check oder der DKIM-Check erfolgreich ist, wird keine Aktion durchgeführt. Zusätzlich erlaubt DMARC eine Erstellung von Berichten, wenn eine E-Mail den SPF- oder DKIM-Check nicht besteht. Dazu gibt man unter „rua“ eine Adresse an, an die ein aggregierter Bericht typischerweise als XML-Datei, einmal am Tag versendet wird. Unter „ruf“ kann ein forensischer Bericht gesendet werden, der pro abgelehnter E-Mail erstellt wird und direkt versendet wird. Zusätzlich kann mit „adkim“ und „aspf“ angegeben werden, wie die Domains mit DKIM oder SPF überprüft werden sollen. Bei „relaxed“, also einem „r“ als Wert, dürfen die überprüften Domains auch Subdomains beinhalten, ansonsten nicht.

Der Vormarsch von DMARC

Standards haben im Internet einen lang Weg vor sich, bis sie sich etabliert haben. Auch DMARC wird noch nicht von allen E-Mail-Providern verwendet, aber es verbreitet sich immer schneller. Betrachtet man die validen DMARC-Einträge im DNS, so ist erkennbar, dass immer mehr Domains zum Versand von E-Mails DMARC verwenden. Ende 2021 existierten ca. 5 Millionen Richtlinieneinträge. Eine erfreuliche Entwicklung.

Erkennen Sie zuverlässig Phishing E-Mails?

Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!

Fazit

Werden über die eigene Domain E-Mails versendet, ist das Einrichten von SPF, DKIM und DMARC wichtig und ein weiterer Schritt in Richtung sicheres Internet. Die Einrichtung ist recht einfach und gibt klare Anweisungen vor, wie mit nicht-authentifizierten E-Mails zu verfahren ist. Gleichzeitig erhält der Inhaber der Domain Informationen, welche E-Mails in seinem Namen versendet werden und kann diese weiter untersuchen.

Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.

Foto des Autors

M.Sc. Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin einer von zwei Geschäftsführern der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.
AWARE7 GmbH - Logo

0209 - 8830 6760

info@aware7.de

Öffnungszeiten
Montag - Freitag
8:00 - 17:00 Uhr

Anfahrtsbeschreibung
Google Plus Code F4X5+M2

Unternehmen

AWARE7 GmbH
Munscheidstr. 14
45886 Gelsenkirchen
Impressum | Datenschutz

Forschung & Entwicklung
Über uns
Karriere

Informationen

Schulungen & Workshops

T.I.S.P.-Expertenzertifikat

Ressourcen

Kostenfreies E-Learning
Erfolgsgeschichten
Downloads
Projekte

ISO 27001 Zertifizierung - AWARE7 GmbH
Profil von AWARE7 GmbH in Ariba Discovery anzeigen