Unkategorisiert

DMARC Checker zur Überprüfung aller DMARC-Einträge

Veröffentlicht am

Die DMARC-Einträge sind für den Schutz der E-Mails innerhalb eines Unternehmens von großer Bedeutung und sollten nicht vernachlässigt oder unterschätzt werden. Doch viele Sicherheitsbeauftragte wissen gar nicht allzu viel darüber oder können selbige nicht ohne Weiteres überprüfen.

Wir werden Ihnen heute darstellen, was es mit den DMARC-Einträgen auf sich hat und wofür diese überhaupt gut sind. Außerdem stellen wir Ihnen einen praktischen DMARC Checker vor, mit welchem Sie all die Einträge und Parameter noch einmal genauer untersuchen können.

Zu guter Letzt werden wir Ihnen auch die unterschiedlichen Parameter noch einmal im Detail vorstellen und anhand einer Tabelle aufzeigen, wofür welches Kürzel genau steht. Lassen Sie uns also keine Zeit verlieren und sofort in das Thema einsteigen.

DMARC dient dem Schutz von E-Mails

DMARC ist die Abkürzung für »Domain-based Message Authentication, Reporting and Conformance«. Damit ist eine spezielle Spezifikation gemeint, die ein großes Problem mit E-Mails in den Griff bekommen soll. Nämlich die fehlende oder unzureichende Authentifizierung von selbigen. DMARC dient somit der Sicherheit im Bereich von E-Mails.

Insbesondere Mail-Spoofing ist ein Thema, welches mit DMARC verhindert werden soll. Beim Mail-Spoofing werden innerhalb von E-Mails falsche Identitäten vorgetäuscht. Mal geschieht dies recht offensichtlich, mal aber auch sehr ausgeklügelt, sodass es kaum auffällt.

In der Theorie gibt es dafür bereits SPF und DKIM, also das Sender Policy Framework und DomainKeys Identified Mail. Ersteres soll die Absender von E-Mails identifizieren, letzteres die E-Mails mit einer entsprechenden Signatur auf Echtheit hin überprüfen. Doch was in der Theorie funktioniert, ist nicht ganz ausgeklügelt, weshalb DMARC hinzukommt.

Wer jetzt noch ein wenig mehr über SPF erfahren möchte und verstehen will, warum und wie SPF vor Phishing schützen kann, der findet hier einen entsprechend ausführlichen Artikel von uns. Wer jetzt lieber sofort erfahren möchte, was es mit DMARC auf sich hat und wie die Technik im Detail funktioniert und SPF und DKIM ergänzt, liest einfach weiter. Im nächsten Absatz erklären wir Ihnen nämlich genau das.

So funktioniert DMARC im Detail

Gehen wir nun also davon aus, dass Ihr Mail-Server die Authentizität bereits mittels SPF und DKIM geprüft hat. Soweit so gut, doch eben nicht gut genug. DMARC geht hier einen Schritt weiter, indem es erneut Anweisungen gibt, sollten DKIM und SPF anschlagen. DMARC erlaubt also weitere Befehle, wie mit Fälschungen im Detail verfahren werden soll.

Im Grunde gibt es dabei drei mögliche Szenarien. Erstens: Die Mail, die als verdächtig eingestuft wurde, wird abgewiesen. Zweitens: Die verdächtige E-Mail kommt in eine Quarantäne. Drittens: Die Mail wird empfangen und somit zugestellt, es gibt lediglich eine Nachricht an den Domain-Inhaber. 

Der Domain-Inhaber legt mittels DMARC also die Maßnahmen fest, die bei entsprechenden E-Mails Anwendung finden. Genauer gesagt, hinterlegt er all das im jeweiligen DMARC-Record.

Auch das Reporting gehört zu dem Konzept von DAMRC mit dazu. Die empfangenden Mail-Server reporten also verdächtige Mails an den Domain-Inhaber. Wichtig ist hier noch einmal zu erwähnen, dass nicht jeder Mail-Server auf den DMARC-Record reagieren muss. Es ist eine Möglichkeit, aber nur weil keine Meldungen bezüglich der Überprüfungen hereinkommen, bedeutet dies nicht automatisch, dass es keine Vorfälle gab. DMARC ist am Ende eben hauptsächlich eine weitere und zusätzliche Sicherheitsstufe mit dazugehörigem Reporting. Nicht mehr und nicht weniger.

DMARC Checker zur Validierung

Den kostenlosen DMARC Checker finden Sie unter folgendem Link. Einfach die entsprechende Domain eintragen und auf »DNS Validieren« klicken, um den DMARC Check zu starten.

Anschließend stellt der DMARC Record Check die entsprechenden Einträge noch einmal übersichtlich dar. Egal, ob DMARC-Protokollversion, Richtlinien oder Formate, alles wird entsprechend übersichtlich dargestellt. Das ist praktisch, um zu überprüfen, ob der entsprechende DMARC-Eintrag erfolgreich vorgenommen wurde.

Die einzelnen Begriffe und Meldungen werden weiter unten auf der Website zudem noch einmal sehr genau aufgeschlüsselt und erklärt. Nur für den Fall, dass noch etwas unklar ist. Im Grunde ist der DMARC Checker also ein Tool, um die entsprechenden Einträge schnell und direkt ermitteln zu können.

Was die DMARC-Records bedeuten

Genau wie DKIM und SPF enthält auch DMARC entsprechende TXT-Records im DNS-Eintrag. Diese Records müssen der DMARC-Richtlinie entsprechen, damit sie korrekt interpretiert und berücksichtigt werden können. Hinterlegt werden die Einträge via DNS-Manager, der in Ihrem Unternehmen dafür zuständig ist. Alternativ gelingt es auch über den DNS-Provider und das dortige Dashboard relativ einfach.

Wie bereits erwähnt, gibt es für DMARC drei unterschiedliche Richtlinien. Es gibt es »none«, um DMARC-Berichte zu sammeln und zu protokollieren, aber keine Handlungen auszuführen. Es gibt »quarantine«, um Mails, bei denen die DMARC-Prüfung fehlschlägt, in die Quarantäne zu verschieben. Für gewöhnlich meint dies den Spam- bzw. Junk-Ordner. Und es gibt »reject«, was alle Nachrichten schon im Sendeprozess (auf SMTP-Ebene) zurückweist. Diese werden mit dem Kürzel »p« für »Policy« im DMARK-Eintrag festgelegt.

Für die bessere Übersicht und ein Verständnis dafür, welche Kürzel es gibt, haben wir diese unten noch einmal in einer übersichtlichen Tabelle aufgelistet. Außerdem haben wir dort die grundlegende Bedeutung angegeben, damit klar ist, welchen Zweck sie erfüllen sollen.

             Kürzel                       Bedeutung          
adkimAbgleichmodus oder auch Ausrichtungsmodus für DKIM
aspfAbgleichmodus oder auch Ausrichtungsmodus für SPF
foFehlerberichtsoptionen für Berichte, je nach Vorfall.
pctDer prozentuale Anteil der zu filternden E-Mails. Anweisung um die DMARC-Richtlinie nur bei einem bestimmten Prozentsatz auszuführen.
pAnweisung, wie mit den Mails der zu verfahren ist, welche die DMARC-Prüfung nicht bestehen. Anders als bei »sp« geht es hier aber um die Hauptdomäne.
rfFormat der Fehlerberichte. Entweder »afrf« oder »jodef«.
riIntervall für die Häufigkeit der aggregierten XML-Berichte. ISPs nutzen aber meist eigene Intervalle.
ruaURIs an die ISPs XML-Feedback senden können.
rufURIs an die ISPs forensische Berichte senden können.
spAnweisung für Mails, die die DMARC-Prüfung nicht bestehen. Also wie mit Mails der Subdomäne zu verfahren ist.
vDie DMARC Protokollversion.

DMARC und weitere Sicherheitsthemen

Das war nun also unser Artikel zum Thema DMARC und den entsprechenden Records, also Einträgen. Interessant, was mit der Technik alles möglich ist, nicht wahr? Fanden wir auch und wollten Ihnen das Thema unbedingt mal ein wenig näher bringen. Wir denken, mit unserem Artikel ist uns dies geglückt.

Für alles Weitere oder eine umfangreichere Beratung in Bezug auf Phishing, E-Mail-Schutz und unternehmensweite Sicherheitsmaßnahmen, sprechen Sie uns gerne noch einmal an. Sie finden aber auch in unserem Blog schon jede Menge anderer Inhalte, die sich mit den verschiedenen Sicherheitsbereichen befassen. Bis zum nächsten Mal also und achten Sie auf die Sicherheit Ihrer IT-Systeme.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.