DMARC-Berichte: Wie man sie liest und verwendet

Dieser Artikel erklärt, wie man die täglichen DMARC-Berichte interpretiert, die von empfangenden Mailservern gesendet werden.

Einführung:

DMARC, das für Domain-based Message Authentication, Reporting and Conformance steht, ist ein E-Mail-Authentifizierungsprotokoll. Es fügt eine zusätzliche Sicherheitsebene hinzu, indem es auf bestehenden Mechanismen (SPF und DKIM) aufbaut, um Identitätsfälschungen und Phishing-Versuche wirksam zu verhindern. DMARC ermöglicht Domaininhabern auch den Erhalt von Berichten über E-Mails, die in ihrem Namen gesendet wurden, um die Nutzung ihrer Domain besser zu kontrollieren.

Dieser Standard hilft, Ihre Domain vor betrügerischer Nutzung durch Spammer zu schützen, die die Absenderadresse („From“) fälschen könnten, um den Eindruck zu erwecken, die E-Mail stamme von einem legitimen Nutzer Ihrer Domain. DMARC verhindert diese Art der Fälschung, indem sichergestellt wird, dass E-Mails autorisiert sind, im Namen Ihrer Domain gesendet zu werden.

DMARC stützt sich auf andere standardisierte Authentifizierungsprotokolle wie SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail), um Administratoren bei der Identifizierung betrügerischer E-Mails zu unterstützen, die von Cyberangreifern gesendet werden. Durch die Kombination dieser Mechanismen verbessert DMARC die Fähigkeit, Spoofing-Versuche zu erkennen und den Ruf der Domain zu schützen.

Hinweis: Wenn Sie Ihre Domain auf systeme.io authentifizieren, werden die SPF- und DKIM-Einträge automatisch zu Ihrer Domain hinzugefügt.

Das DMARC-Protokoll erlaubt es Absendern, eine Richtlinie zu definieren, die festlegt, wie empfangende Server mit E-Mails umgehen sollen, die SPF- oder DKIM-Prüfungen nicht bestehen. Gemäß dieser Richtlinie können nicht konforme Nachrichten als Spam markiert oder vollständig abgelehnt werden.

Was sind DKIM und SPF?

1. DKIM (DomainKeys Identified Mail)

DKIM ist eine Methode zur E-Mail-Authentifizierung, die eine digitale Signatur verwendet, damit Empfänger verifizieren können, dass eine Nachricht von einem autorisierten Absender gesendet wurde und während der Übertragung nicht verändert wurde.

Wenn eine E-Mail gesendet wird, wird sie mit einem privaten Schlüssel signiert, der mit der Domain des Absenders verknüpft ist. Beim Empfang verwendet der E-Mail-Server des Empfängers (wie Gmail, Outlook usw.) einen in den DNS der Domain veröffentlichten öffentlichen Schlüssel, um die Signatur zu validieren. So wird sichergestellt, dass der Inhalt der E-Mail während der Übertragung nicht manipuliert wurde.

Mit anderen Worten verhindert DKIM, dass eine dritte Partei eine E-Mail abfängt, deren Inhalt ändert und sie anschließend mit möglicherweise betrügerischen Informationen versendet.

Ein weiterer großer Vorteil von DKIM besteht darin, dass es hilft, den Ruf Ihrer sendenden Domain aufzubauen. Internetdienstanbieter (ISPs) analysieren die Sendungsqualität (Spamraten, Bounce-Raten, Empfängerengagement usw.), um die Vertrauenswürdigkeit der Domain zu bewerten. Die Einhaltung dieser Best Practices verbessert direkt die Zustellbarkeit Ihrer E-Mails.

2. SPF (Sender Policy Framework)

SPF ist ein E-Mail-Authentifizierungsprotokoll, das ISPs wie Gmail erlaubt zu überprüfen, ob ein Mailserver berechtigt ist, Nachrichten im Namen einer Domain zu senden. Im Wesentlichen ist es eine Allowlist, die im DNS der Domain deklariert wird und angibt, welche Dienste oder IP-Adressen berechtigt sind, E-Mails in Ihrem Namen zu senden.

Wenn eine Nachricht empfangen wird, überprüft der empfangende Server, ob der Absender auf der in dem SPF-Eintrag definierten erlaubten Liste steht. Falls nicht, kann die Nachricht als verdächtig markiert oder abgelehnt werden.

Welche Vorteile bietet DMARC?

Schützen Sie den Ruf Ihrer Domain

DMARC schützt Ihre Marke und Domain vor Spoofing-Versuchen. Es verhindert, dass unautorisierte Absender E-Mails in Ihrem Namen senden. In einigen Fällen kann das bloße Veröffentlichen eines DMARC-Eintrags den Ruf Ihrer Domain bei E-Mail-Anbietern verbessern.

Bessere Transparenz zur Domainnutzung

DMARC-Berichte geben klare Einblicke darin, wie Ihre Domain verwendet wird, sei es legitim oder nicht. Sie können sehen, wer in Ihrem Namen E-Mails sendet, und verdächtige Aktivitäten schnell identifizieren.

Verbesserte Zustellbarkeit von E-Mails

DMARC verifiziert, dass Ihre E-Mails korrekt über SPF und DKIM authentifiziert sind. Durch das Erkennen und Beheben von Authentifizierungsproblemen erhöhen Sie die Wahrscheinlichkeit, dass Ihre E-Mails die Posteingänge der Empfänger erreichen, und verringern das Risiko, als Spam markiert zu werden.

Weniger Spam und Beschwerden

Indem gefälschte E-Mails daran gehindert werden, Endnutzer zu erreichen, hilft DMARC, Spam-Beschwerden zu reduzieren und den Ruf Ihrer Domain bei ISPs zu schützen.

DMARC-Berichte ermöglichen es Ihnen, Ergebnisse der E-Mail-Authentifizierung zu analysieren und Maßnahmen zu ergreifen, um Ihren Domain- oder Unternehmensruf zu schützen.

Ein DMARC-Bericht enthält typischerweise folgende Informationen:

  • Name der Entität (Organisation oder Anbieter), die den Bericht erstellt
  • Berichtsperiode (Start- und Enddatum)
  • Authentifizierungsstatus: bestanden oder nicht bestanden für SPF und DKIM
  • SPF/DKIM-Ausrichtung: ob die Einträge korrekt mit der sendenden Domain übereinstimmen
  • Absender-IP-Adresse der analysierten Nachricht
  • Vom empfangenden Server getroffene Maßnahme (akzeptiert, in Quarantäne oder abgelehnt)

Diese Berichte bieten wertvolle Einblicke in E-Mail-Flüsse, die Ihre Domain nutzen, und helfen, Spoofing-Versuche zu erkennen.

Vorteile der Verfolgung von DMARC-Berichten

Die regelmäßige Überwachung von DMARC-Berichten bietet Domain-Administratoren mehrere wichtige Vorteile:

  • Authentifizierungsprobleme identifizieren und beheben

    Berichte zeigen SPF- und DKIM-Fehler auf, die dazu führen könnten, dass Ihre E-Mails im Spam landen. Das Beheben dieser Fehler verbessert sowohl Ihren Domain-Ruf als auch die E-Mail-Zustellbarkeit.

  • Verbesserte Kontrolle über sendende Quellen

    Anhand der Berichtsdaten können Sie sicherstellen, dass alle E-Mails, die von Ihrer Domain gesendet werden, von legitimen Quellen stammen, und Spoofing- oder unautorisierte Versandversuche schnell erkennen.

  • Einhalten regulatorischer Anforderungen

    Mit dem wachsenden Volumen an E-Mail-Kommunikation verlangen viele Behörden, einschließlich E-Mail-Anbieter wie Google, die Implementierung von Authentifizierungsprotokollen wie DMARC. Zum Beispiel verlangt Google ab Februar 2024 von bestimmten Absendern die Einhaltung dieser Standards, um die Sicherheit der Plattform zu gewährleisten.

  • Nachweis der Einhaltung

    Archivierte Kopien Ihrer DMARC-Berichte können als konkreter Nachweis für die Einhaltung von Sicherheitsstandards und Vorschriften zur E-Mail-Kommunikation dienen.

Beispiel eines DMARC-Berichts

<?xml version="1.0" encoding="UTF-8" ?>
<feedback>
<report_metadata>
<org_name>emailsrvr.com</org_name>
<email>dmarc_reports@emailsrvr.com</email>
<extra_contact_info>http://emailsrvr.com</extra_contact_info>
<report_id>ff2d7a69-d5a4-4caa-a69b-04814ac885e9</report_id>
<date_range>
<begin>1705795200</begin>
<end>1705881600</end>
</date_range>
</report_metadata>
<policy_published>
<domain>yourdomain.com</domain>
<adkim>r</adkim>
<aspf>r</aspf>
<p>none</p>
<sp>none</sp>
<pct>100</pct>
</policy_published>
<source_ip>XXX.XXX.XXX.XXX</source_ip>
<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>pass</spf>
</policy_evaluated>
<header_from>yourdomain.com</header_from>
<spf>
<domain>yourdomain.com</domain>
<result>pass</result>
</spf>
<dkim>
<domain>domain.com</domain>
<result>pass</result>
</dkim>
<dkim>
<domain>domain.com</domain>
<result>pass</result>
</dkim>

Wie man einen DMARC-Bericht liest:

Sie haben zwei Optionen: manuelle Analyse oder die Verwendung von KI-Unterstützung.

A) Einen DMARC-Bericht manuell aufschlüsseln und interpretieren

Die Aufschlüsselung basiert auf dem obigen Beispiel:

  1. Ihr ISP, der Name Ihres E-Mail-Dienstanbieters:
<?xml version="1.0" encoding="UTF-8" ?>
<feedback>
<report_metadata>
<org_name>emailsrvr.com</org_name>
<email>dmarc_reports@emailsrvr.com</email>
<extra_contact_info>http://emailsrvr.com</extra_contact_info>
  1. Berichtserkennungsnummer:
<report_id>ff2d7a69-d5a4-4caa-a69b-04814ac885e9</report_id>
  1. Datumsbereich (Start und Ende in Sekunden):
<date_range>
<begin>1705795200</begin>
<end>1705881600</end>
</date_range>
  1. DMARC-Richtlinienangaben, wie sie im DNS Ihrer Domain veröffentlicht sind:
<policy_published>
<domain>yourdomain.com</domain>
<adkim>r</adkim>
<aspf>r</aspf>
<p>none</p>
<sp>none</sp>
<pct>100</pct>
</policy_published>
  1. Quell-IP-Adresse des Senders:
<source_ip>XXX.XXX.XXX.XXX</source_ip>
  1. Zusammenfassung der Authentifizierungsergebnisse (SPF/DKIM bestanden/nicht bestanden):
<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>pass</spf>
</policy_evaluated>
  1. Von: Domain:
<header_from> yourdomain.com</header_from>
  1. SPF-Authentifizierungsergebnisse:
<spf>
<domain>si116382.yourdomain.com</domain>
<result>pass</result>
</spf>
  1. DKIM-Authentifizierungsergebnisse:
<dkim>
<domain>inbound.systeme.io</domain>
<result>pass</result>
</dkim>
<dkim>
<domain>domain.com</domain>
<result>pass</result>
</dkim>

B) Verwenden Sie KI wie ChatGPT, um einen DMARC-Bericht zu analysieren

Sie können KI-Tools wie ChatGPT verwenden, um einen DMARC-Bericht zu analysieren und zu interpretieren. Dieser Abschnitt zeigt Schritt-für-Schritt-Anweisungen.

  1. Finden Sie den DMARC-Bericht

Öffnen Sie die E-Mail, die den XML-Anhang enthält (diese werden normalerweise automatisch von empfangenden Mailservern gesendet).

  1. Öffnen Sie die XML-Datei

Nach dem Herunterladen öffnen Sie sie mit einem einfachen Texteditor wie Notepad (Windows) oder TextEdit (Mac).

  1. Kopieren Sie den Inhalt

Wählen Sie den gesamten XML-Inhalt aus und kopieren Sie ihn.

  1. Fügen Sie ihn in ChatGPT ein

Gehen Sie zu ChatGPT und fügen Sie den XML-Inhalt in das Chatfenster ein. Sie können zum Beispiel fragen:

„Können Sie diesen DMARC-Bericht analysieren und mir sagen, ob E-Mails die SPF- oder DKIM-Prüfungen nicht bestanden haben?“

  1. Interpretieren Sie die Ergebnisse

ChatGPT wird die Berichtstags analysieren und eine klare, strukturierte Erklärung der Daten liefern: Absender, SPF/DKIM-Ergebnisse, verwendete IP-Adresse, ergriffene Maßnahme (akzeptiert, in Quarantäne, abgelehnt) usw.

Unsere Empfehlungen für die nächsten Schritte

Jetzt, da Sie verstanden haben, wie DMARC implementiert wird, welche Vorteile es bietet und wie man Berichte interpretiert, haben Sie einen entscheidenden ersten Schritt zum Schutz des Rufs Ihrer Domain abgeschlossen.

Als Domaininhaber endet Ihre Verantwortung jedoch nicht hier: Dies ist ein fortlaufender Prozess, der regelmäßige Überwachung und Anpassungen erfordert.

Hier sind einige fortlaufende Best Practices:

  • Überwachen Sie regelmäßig Ihre DMARC-Berichte

    Prüfen Sie Berichte häufig, um unautorisierte Versandversuche zu erkennen.

  • Analysieren Sie die Daten und ergreifen Sie Korrekturmaßnahmen

    Beheben Sie schnell alle Authentifizierungsprobleme (SPF/DKIM) und passen Sie Ihre Richtlinie bei Bedarf an, um die Versand­sicherheit zu stärken.

  • Nutzen Sie Ihre Domain verantwortungsbewusst

    Befolgen Sie gute Versandpraktiken (qualifizierte Kontaktlisten, niedrige Spam-Raten, relevante Inhalte), um Ihren Domain-Ruf und die E-Mail-Zustellbarkeit zu erhalten.