DNS-Werkzeuge: DMARC

Schritt 1:


Sie benötigen für DMARC einen SPF und DKIM-Eintrag. Sollten Sie diese Einträge noch nicht gesetzt haben, folgen Sie bitte zuerst den entsprechenden Anleitungen bei uns:

SPF
DKIM (bei Versand über unsere Mailserver)
DKIM (bei Versand über externe Mailserver)

Mit DMARC können Sie Empfehlungen geben, wie ein Empfänger-Server bei Verstößen gegen SPF und DKIM mit einer E-Mail verfahren soll. Außerdem haben Sie die Möglichkeit sich bei Verstößen informieren zu lassen.

Schritt 2:

DNS-Werkzeuge - DMARC, Bild 2

Loggen Sie sich im #KAS# ein und klicken Sie auf Tools -> DNS-Einstellungen.

Bearbeiten Sie die Domain, für die Sie DNS Änderungen vornehmen möchten, und klicken Sie anschließend auf neuen DNS-Eintrag erstellen.

Schritt 3:


Als Name geben Sie "_dmarc" an. Der DNS-Eintrag für DMARC hat den Typ "TXT". Eine PRIO gibt es nicht. Der Eintrag bei Data kann z.b. so aussehen:

v=DMARC1; p=reject; rua=mailto:mail@ihre-domain.de; ruf=mailto:mail@ihre-domain.de; adkim=s; aspf=r

Parameter und Wert werden mit einem Gleichheitszeichen (=) ohne Leerzeichen dazwischen angegeben und mit einem Semikolon (;) abgeschlossen.

erforderliche Parameter:

v = DMARC-Version, muss den Wert "DMARC1" enthalten und an erster Stelle stehen

p = Richtlinie für die Domain, wie ein Empfänger-Server bei Verstößen gegen SPF und DKIM mit einer E-Mail verfahren soll, es gibt folgende mögliche Werte:

none - keine Massnahmen
quarantine - betreffende E-Mail als suspekt behandeln und z. B. entsprechend markieren oder in den Spam Ordner verschieben
reject - betreffende E-Mail ablehnen

optionale Parameter:

sp = Richtlinie für die Subdomains

pct = die Anzahl der E-Mail-Nachrichten in Prozent, auf die die DMARC-Richtlinie angewendet werden soll, Standard sind 100 Prozent

rua = durch Komma getrennte Liste der E-Mail-Adressen, an die der Gesamtbericht gesendet werden soll

ri = max. Interval in Sekunden, der zwischen dem Versand der einzelnen Gesamtberichte bestehen darf, Standard sind "86400" Sekunden = 24 Stunden

ruf = durch Komma getrennte Liste der E-Mail-Adressen, an die ein detaillierter Bericht zu den E-Mail-Nachrichten, die die DMARC-Auswertung nicht bestanden haben, gesendet werden soll

rf = Format für detaillierten Bericht, Standard und aktuell einziges unterstütztes Format ist "afrf"

fo = Optionen für den detaillierten Bericht, Optionen sind "0", "1", "d" und "s", mehrere Optionen werden durch Doppelpunkt getrennt,
z. B. "fo=0:s", Standard ist "fo=0"

fo=0 - es wird ein Bericht erstellt, wenn gegen SPF und DKIM verstoßen wird
fo=1 - es wird ein Bericht erstellt, wenn gegen SPF oder DKIM verstoßen wird
fo=d - es wird ein Bericht erstellt, wenn gegen DKIM verstoßen wird
fo=s - es wird ein Bericht erstellt, wenn gegen SPF verstoßen wird

adkim = Abgleichmodus DKIM, Standard ist "r"

s (strict mode) - Domain aus DKIM Signatur und die Domain aus dem FROM des E-Mail-Headers müssen übereinstimmen
r (relaxed mode) - es kann auch eine Subdomain verwendet werden

aspf = Abgleichmodus SPF, Standard ist "r"

s (strict mode) - Domains aus dem FROM des E-Mail-Headers und des sogenannten SMTP-Umschlags müssen übereinstimmen
r (relaxed mode) - es kann auch eine Subdomain verwendet werden


zusätzlicher Hinweis zu "rua" und "ruf":

Wenn die E-Mail-Adressen für die Berichte zu einer anderen Domain gehören, dann benötigt diese andere Domain einen DNS-Eintrag als Einverständnis.

Der DMARC-Eintrag ist z. B. für die Domain example.com und die E-Mail-Adressen gehören zu ihre-domain.de, dann muss folgender DNS-Eintrag bei ihre-domain.de vorgenommen werden:

example.com._report._dmarc.ihre-domain.de    TXT    "v=DMARC1"
in Beschreibung