In unserem letzten Beitrag haben wir erläutert, wie Sie Ihr Logo in das korrekte Format für BIMI/VMC konvertieren. In diesem Beitrag widmen wir uns dem nächsten Schritt: der Konfiguration von DMARC für Ihr Unternehmen.

Was ist DMARC?

DMARC (Domain-based Message Authentication, Reporting and Conformance) ist ein Protokoll für die E Mail-Authentifizierung, Richtlinien und Berichterstellung, mit dem Unternehmen ihre Domain vor Spoofing, Phishing und anderen Formen der unberechtigten Nutzung schützen können. Um sich für ein VMC zu qualifizieren, muss Ihr Unternehmen zunächst die DMARC-Anforderungen erfüllen.

Warten Sie nicht lange

Dieser Prozess dauert gewöhnlich um so länger, je größer Ihr Unternehmen ist, und kann Wochen oder sogar Monate in Anspruch nehmen. Am besten beginnen Sie also sofort.

Dieser Blogartikel soll Ihnen einen groben Überblick über den grundlegenden Ablauf geben. Wenn Sie eine detailliertere, schrittweise Anleitung suchen, empfehlen wir Ihnen, unseren umfassenden DMARC- und BIMI-Leitfaden herunterzuladen.

Das brauchen Sie

Bevor Sie anfangen, vergewissern Sie sich, dass Sie Folgendes haben:

1. einen Editor für „.txt“-Dateien (z. B. Notepad++, Vim, Nano etc.),
2. Zugriff auf die DNS-Einträge für Ihre Domain.
3. Wenn Sie Ihr DNS nicht selbst verwalten, wenden Sie sich an Ihren Serveradministrator.

Schritt 1: Tragen Sie die IP-Adressen für das SPF zusammen

Der erste Schritt auf dem Weg zur DMARC-Compliance ist die Einrichtung eines Sender Policy Frameworks (SPF). Damit wird verhindert, dass nicht autorisierte IP-Adressen von Ihrer Domain E Mails versenden.

Doch zunächst sollten Sie eine Liste aller autorisierten IP-Adressen erstellen, die Sie finden können und die zurzeit E Mails von Ihrer Domain verschicken,

zum Beispiel:

• Webserver,
• Mailserver vor Ort,
• Mailserver des Internetanbieters,
• etwaige Mailserver von Drittanbietern.

Wenn Sie nicht alle IP-Adressen finden, können Sie die Liste mithilfe der DMARC-Überwachung (Schritt 4) vervollständigen. Insgesamt sparen Sie jedoch Zeit, wenn Sie vorab so viele Adressen wie möglich zusammentragen.

Schritt 2: Erstellen Sie einen SPF-Eintrag für Ihre Domain(s)

Erstellen Sie als Nächstes in Ihrem bevorzugten Texteditor für jede Domain einen SPF-Eintrag.

Beispiel 1: v=spf1 ip4:1.2.3.4 ip4:2.3.4.5 ip4:x.x.x.x -all

Beispiel 2: v=spf1 ip4:1.2.3.4 ip4:2.3.4.5 include:thirdparty.com -all

Wenn Sie fertig sind, speichern Sie die Datei und stellen Sie sie Ihrem DNS zur Verfügung.

Verwenden Sie ein SPF-Tool (z. B. dieses von unserem Partner Valimail), um sicherzugehen, dass alles korrekt eingegeben wird.

Schritt 3: Richten Sie DKIM ein

DKIM ist ein Standard zur E-Mail-Authentifizierung durch asymmetrisch verschlüsselte Signaturen. Er dient dem Schutz von E-Mails vor Manipulation während der Übertragung.

1. Legen Sie als Erstes einen DKIM-Selektor fest. Beispiel: “standard._domain.example.com” = host name
2. Generieren Sie dann für Ihre Domain einen öffentlichen und den zugehörigen privaten Schlüssel.

Windows: Verwenden Sie PUTTYGen.

Linux/Mac: Verwenden Sie ssh-keygen.

3. Erstellen und veröffentlichen Sie dann über Ihre DNS-Managementkonsole einen neuen .txt-Eintrag.

Dieser sollte folgendermaßen aussehen: v=DKIM1; p=YourPublicKey

Schritt 4: Überwachen, Kommunizieren, Wiederholen

Jetzt kommt der wichtigste Schritt, der auch die meiste Zeit beansprucht. Sie müssen DMARC für die Überwachung Ihres aktuellen E Mail-Verkehrs konfigurieren, um eine solide Grundlage dafür zu schaffen, was durchgelassen werden soll und was von DMARC isoliert oder abgelehnt wird.

HINWEIS: Die Versuchung ist wahrscheinlich groß, direkt zur Durchsetzung Ihrer Richtlinien überzugehen. Es zahlt sich jedoch aus, sich die Zeit für die Überwachung zu nehmen, da Sie dadurch verhindern, dass später, wenn DMARC voll im Einsatz ist, wichtige Mitteilungen blockiert oder unwiederbringlich gelöscht werden.

So aktivieren Sie die Überwachung des Datenverkehrs durch DMARC:

1. Vergewissern Sie sich, dass SPF und DKIM korrekt konfiguriert wurden.
2. Erstellen Sie einen DNS-Eintrag.

Das Namensschema für den DMARC-Eintrag im Textformat lautet „_dmarc.ihre_domain.com“.

Beispiel: v=DMARC1;p=none; rua=mailto:dmarcreports@ihre_domain.com

Falls Sie den DNS-Server Ihrer Domain selbst verwalten, erstellen Sie analog zum SPF- und DKIM-Eintrag einen DMARC-Eintrag „p=none“ (Überwachungsmodus).

Wenn Ihr DNS-Server extern betreut wird, bitten Sie Ihren DNS-Anbieter, den DMARC-Eintrag zu erstellen.

3. Prüfen Sie Ihren DMARC-Eintrag mit einem Online-Tool.

Hinweis: Die Replikation dauert in der Regel 24–48 Stunden.

DMARC beginnt dann mit der Erstellung von Berichten, die Ihnen einen weitreichenden Einblick in den E Mail-Verkehr, der über Ihre Domain läuft, gibt, darunter auch alle von SPF und DKIM beanstandeten Nachrichten.

Wichtig: Während dieses Schritts finden Sie heraus, ob legitime Absender in dem Bericht auftauchen, die in Ihrem ursprünglichen SPF-Eintrag (Schritt 1) fehlten. Wenn dies der Fall ist, müssen Sie den Eintrag entsprechend aktualisieren.

Das Problem: Die Berichte werden als eine XML-Datei erstellt, die nicht so ganz einfach zu lesen ist. Und da Sie einiges an Zeit mit der Prüfung dieser Daten verbringen werden, empfehlen wir nachdrücklich die Nutzung eines Tools für die Aufbereitung von DMARC-Berichten (wie dieses von Valimail), da sie hierdurch erheblich einfacher lesbar werden.

Schritt 5: Verschärfen Sie allmählich die Durchsetzung

Wenn Sie den E Mail-Verkehr lange genug beobachtet haben und der Meinung sind, alle fälschlicherweise als nicht autorisiert eingestuften Nachrichten identifiziert zu haben, können Sie zur Durchsetzung übergehen.

DMARC verfügt über zwei Durchsetzungsstufen: „isolieren“ und „ablehnen“. „Ablehnen“ ist natürlich viel sicherer, weshalb wir empfehlen, diese Stufe langfristig anzustreben. Für die Qualifizierung Ihrer Domain für ein VMC sind jedoch beide Stufen akzeptabel.

Bevor Sie zum Ablehnen übergehen, ist es sicherer, verdächtige Nachrichten eine Weile isolieren zu lassen. Und das geht so:

1. Loggen Sie sich auf Ihrem DNS-Server ein und suchen Sie nach dem DMARC-Eintrag.
2. Öffnen Sie den DMARC-Eintrag der jeweiligen Domain und ändern Sie die Richtlinie von „p=none“ zu „p=quarantine“.

Beispiel:

v=DMARC1;p=quarantine;pct=10;rua=mailto:dmarcreports@ihre_domain.com

1. Fügen Sie das Tag „pct“ hinzu (Prozentanteil der gefilterten Nachrichten). Wir empfehlen, mit 10 % zu beginnen und den Prozentsatz allmählich auf 100 % zu erhöhen.

Wenn Sie 100 % Filterung erreicht haben, sind Sie offiziell für VMC qualifiziert und können zum Ablehnen übergehen.

Dies ist dankenswerterweise der einfachste Schritt:

1. Öffnen Sie Ihren DMARC-Eintrag und ändern Sie die Einstellung „p=quarantine“ zu „p=reject“.

Fertig! Sie haben sich offiziell eine umfassende Übersicht über die von Ihrer Domain verschickten Nachrichten verschafft, die Sicherheit für alle Benutzer erhöht, sich gegen eine große Zahl von Phishing-Angriffen gewappnet und Ihr Unternehmen für ein VMC-Zertifikat qualifiziert (sobald diese erhältlich sind).

Weitere Informationen darüber, wie Sie den E Mail-Zugang Ihres Unternehmens schützen können, bietet unser Blog über sicheren Fernzugriff auf E Mails.