4. Februar 2022

Was ist eigentlich DMARC?

Was ist ein DMARC-Bericht?

Domain-basierte Nachrichtenauthentifizierungsberichte und Konformität (DMARC) schützt Ihre Domain nicht nur vor BEC-, Domain-Impersonation- und E-Mail-Betrugsangriffen, sondern verschafft Ihnen auch Einblick in Ihre E-Mail-Kanäle, so dass Sie immer wissen, was im Hintergrund vor sich geht.

DMARC bietet einen Berichtsmechanismus in Form von Berichten, der es Domain-Besitzern ermöglicht, die Authentifizierungsergebnisse für jede E-Mail zu lesen, die im Namen ihrer Domain gesendet wird. Dies hilft Ihnen im Wesentlichen dabei, Zustellbarkeitsprobleme zu verfolgen, Maßnahmen gegen böswillige Sendequellen zu ergreifen und Protokollimplementierungsfehler zeitnah zu beheben.

Prozessablauf

Warum brauchen Sie DMARC-Berichte?

Bevor wir dazu kommen, wie man DMARC-Berichte liest, wollen wir erst einmal verstehen, warum man sie überhaupt braucht. Trotz SPF- und DKIM-Mechanismen besteht eine gewisse Wahrscheinlichkeit, dass die ursprünglichen Nachrichten korrekt verarbeitet werden und die Identität des Absenders unbemerkt bleibt. Auch erreichen die Meldungen des Empfängers über Fehler häufig nicht den Absender. Im Allgemeinen werden die Dienste ständig weiterentwickelt und verbessert.

DMARC tritt als E-Mail-Authentifizierungsprogramm auf, das sicherstellt, dass Ihre E-Mail-Kommunikation durch SPF oder DKIM authentifiziert ist. Es stellt sicher, dass Ihre E-Mails vertrauenswürdig sind und hilft, Spoofing zu verhindern, indem es dem Empfänger erlaubt, auf gültige Header zu prüfen, bevor er die E-Mail überhaupt öffnet. Um die Sicherheit Ihrer Daten zu gewährleisten, benötigen Sie eine äußerst zuverlässige und robuste E-Mail-Sicherheit. DMARC ist ein solcher Standard, der die Integrität Ihrer Adressen prüft und hilft, Phishing-Angriffe zu verhindern und gleichzeitig die Zustellbarkeit Ihrer E-Mails zu verbessern.

Wenn Sie einen DMARC-Eintrag in Ihrem DNS veröffentlichen, können Sie damit festlegen, wie Ihre Domain reagieren soll, wenn eine E-Mail empfangen wird, die die DKIM- und SPF-Authentifizierung nicht besteht. Mit einem richtig konfigurierten DMARC-Eintrag senden Ihnen Mailbox-Anbieter Berichte direkt an Ihre E-Mail-Adresse, HTTP oder HTTPS, sodass Sie die Zustellung von E-Mails, die von Ihrer Domain aus gesendet werden, überwachen können. Durch das Einrichten von DMARC-Berichten erhalten Sie viele wertvolle Informationen über Ihren ausgehenden Mailverkehr. Diese Informationen können für den Zweck der Authentifizierung Ihrer echten Quellen und der Blockierung Ihrer illegalen Quellen verwendet werden.

Wie können Sie DMARC-Berichte für Ihre Domänen aktivieren?

Um den DMARC-Bericht für Ihre Domäne zu konfigurieren, müssen Sie Folgendes tun:

  1. Erstellen Sie einen DMARC-Eintrag für Ihre Domain
  2. Bei der Erstellung Ihres Datensatzes müssen Sie im Kriterium „rua“ die E-Mail-Adresse eingeben, an die Sie Ihre aggregierten Berichte senden möchten
  3. In das Kriterium „ruf“ müssen Sie die E-Mail-Adresse eingeben, an die Ihre forensischen Berichte gesendet werden sollen
  4. Nachdem Sie die anderen Kriterien erfolgreich ausgefüllt und auf die Schaltfläche „Generieren“ geklickt haben, wird die KI einen TXT-Eintrag erstellen, den Sie in Ihrem DNS veröffentlichen können

Hinweis: DMARC-Forensikberichte werden nicht von allen Domänen unterstützt.

Wie man DMARC-Berichte liest: Lesen von Rohberichten

Ihre DMARC-Berichte, auch Rohberichte genannt, liefern wichtige Daten über E-Mail-Aktivitäten auf Ihrer Domain, die für den Schutz vor zukünftigen Phishing-Angriffen notwendig sind. Sie liegen im XML-Format vor und werden in der Regel per E-Mail mit dem Betreff „DMARC-Bericht“ verschickt. Es gibt im Wesentlichen zwei Arten von Berichten:

  • DMARC-Aggregat (RUA) Bericht
  • DMARC-Forensikbericht (RUF)

Als Kunde der We Run IT können Sie uns gerne darauf ansprechen, wenn Sie mehr erfahren möchten..

Das Lesen von DMARC-RUA-Berichten kann für eine nicht-technische Person etwas mühsam sein, hier ist ein Beispiel für einen Rohbericht:

				
					<?xml version=”1.0″ encoding=”UTF-8″ ?>
<feedback>
  <report_metadata>
    <org_name>google.com</org_name>
    <email>noreply-dmarc-support@google.com</email>
   <extra_contact_info>http://google.com/dmarc/support</extra_contact_info>
    <report_id>8293631894893125362</report_id>
    <date_range>
      <begin>1234573120</begin>
      <end>1234453590</end>
    </date_range>
  </report_metadata>
  <policy_published>
    <domain>yourdomain.com</domain>
    <adkim>r</adkim>
    <aspf>r</aspf>
    <p>none</p>
    <sp>none</sp>
    <pct>100</pct>
  </policy_published>
  <record>
    <row>
      <source_ip>302.0.214.308</source_ip>
      <count>2</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>fail</dkim>
        <spf>pass</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>yourdomain.com</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>yourdomain.com</domain>
        <result>fail</result>
        <human_result></human_result>
      </dkim>
      <spf>
        <domain>yourdomain.com</domain>
        <result>pass</result>
      </spf>
    </auth_results>
  </record>
</feedback>

Aufschlüsseln eines DMARC-Raw-Berichts

Lassen Sie uns die verschiedenen Abschnitte des Berichts durchgehen, damit Sie verstehen, wie Sie DMARC-Berichte lesen können und was sie bedeuten. In der Rohdatei für Ihre Berichte finden Sie Informationen über:

Ihr ISP, der Name Ihres E-Mail-Dienstanbieters

				
					<?xml version=”1.0″ encoding=”UTF-8″ ?>
<feedback>
  <report_metadata>
    <org_name>google.com</org_name>
    <email>noreply-dmarc-support@google.com</email>
   <extra_contact_info>http://google.com/dmarc/support</extra_contact_info>

 Die ID-Nummer des Berichts

				
					<report_id>8293631894893125362</report_id>

Der beginnende und endende Datumsbereich (in Sekunden)

				
					<date_range>
      <begin>1234573120</begin>
      <end>1234453590</end>
    </date_range>

Ihre DMARC-Eintragsspezifikationen, wie sie im DNS Ihrer Domain veröffentlicht sind

				
					<policy_published>
    <domain>yourdomain.com</domain>
    <adkim>r</adkim>
    <aspf>r</aspf>
    <p>none</p>
    <sp>none</sp>
    <pct>100</pct>
  </policy_published>

IP-Adresse der sendenden Quelle

				
					<source_ip>302.0.214.308</source_ip>

Eine Übersicht über Ihre Authentifizierungsergebnisse (SPF- und DKIM-Pass/Fail-Ergebnisübersicht)

				
					<policy_evaluated>
    <disposition>non</disposition>
    <dkim>fail</dkim>
    <spf>pass</spf>
 </policy_evaluated>

Von: Domain

				
					<header_from>yourdomain.com</header_from>

DKIM-Authentifizierungsergebnisse

				
					<dkim>
    <domain>yourdomain.com</domain>
    <result>fail</result>
    <human_result></human_result>
</dkim>

SPF-Authentifizierungsergebnisse

				
					<spf>
    <domain>yourdomain.com</domain>
        <result>pass</result>
</spf>

Einfach lesbare DMARC-Berichte

Wie Sie wahrscheinlich schon verstanden haben, sind DMARC-Berichte zwar extrem wichtig, um den E-Mail-Verkehr in Ihrem Unternehmen zu überwachen und die Authentifizierungsergebnisse zu sehen, aber sie sind nicht sehr angenehm für die Augen. Bei der täglichen Überflutung Ihrer Posteingänge mit DMARC-Berichten möchten Sie sich nicht die Mühe machen, sie durchzugehen und Zeile für Zeile zu analysieren und nach nützlichen Informationen zu fischen.

Es gibt einige Tools auf dem Markt, die einem die Auswertung der Reports erleichtern.
Hier zwei Beispiele dazu:

MXToolBox – DMARC Report Analyzer

Link

EasyDMARC – DMARC XML Report Analyzer

Link

Hot News by We Run IT

Weitere Artikel

Suche
Blog Kategorien

Autor: Christian Schmidt