4. Februar 2022
Was ist eigentlich DMARC?
Was ist ein DMARC-Bericht?
Domain-basierte Nachrichtenauthentifizierungsberichte und Konformität (DMARC) schützt Ihre Domain nicht nur vor BEC-, Domain-Impersonation- und E-Mail-Betrugsangriffen, sondern verschafft Ihnen auch Einblick in Ihre E-Mail-Kanäle, so dass Sie immer wissen, was im Hintergrund vor sich geht.
DMARC bietet einen Berichtsmechanismus in Form von Berichten, der es Domain-Besitzern ermöglicht, die Authentifizierungsergebnisse für jede E-Mail zu lesen, die im Namen ihrer Domain gesendet wird. Dies hilft Ihnen im Wesentlichen dabei, Zustellbarkeitsprobleme zu verfolgen, Maßnahmen gegen böswillige Sendequellen zu ergreifen und Protokollimplementierungsfehler zeitnah zu beheben.
Prozessablauf
Warum brauchen Sie DMARC-Berichte?
Bevor wir dazu kommen, wie man DMARC-Berichte liest, wollen wir erst einmal verstehen, warum man sie überhaupt braucht. Trotz SPF- und DKIM-Mechanismen besteht eine gewisse Wahrscheinlichkeit, dass die ursprünglichen Nachrichten korrekt verarbeitet werden und die Identität des Absenders unbemerkt bleibt. Auch erreichen die Meldungen des Empfängers über Fehler häufig nicht den Absender. Im Allgemeinen werden die Dienste ständig weiterentwickelt und verbessert.
DMARC tritt als E-Mail-Authentifizierungsprogramm auf, das sicherstellt, dass Ihre E-Mail-Kommunikation durch SPF oder DKIM authentifiziert ist. Es stellt sicher, dass Ihre E-Mails vertrauenswürdig sind und hilft, Spoofing zu verhindern, indem es dem Empfänger erlaubt, auf gültige Header zu prüfen, bevor er die E-Mail überhaupt öffnet. Um die Sicherheit Ihrer Daten zu gewährleisten, benötigen Sie eine äußerst zuverlässige und robuste E-Mail-Sicherheit. DMARC ist ein solcher Standard, der die Integrität Ihrer Adressen prüft und hilft, Phishing-Angriffe zu verhindern und gleichzeitig die Zustellbarkeit Ihrer E-Mails zu verbessern.
Wenn Sie einen DMARC-Eintrag in Ihrem DNS veröffentlichen, können Sie damit festlegen, wie Ihre Domain reagieren soll, wenn eine E-Mail empfangen wird, die die DKIM- und SPF-Authentifizierung nicht besteht. Mit einem richtig konfigurierten DMARC-Eintrag senden Ihnen Mailbox-Anbieter Berichte direkt an Ihre E-Mail-Adresse, HTTP oder HTTPS, sodass Sie die Zustellung von E-Mails, die von Ihrer Domain aus gesendet werden, überwachen können. Durch das Einrichten von DMARC-Berichten erhalten Sie viele wertvolle Informationen über Ihren ausgehenden Mailverkehr. Diese Informationen können für den Zweck der Authentifizierung Ihrer echten Quellen und der Blockierung Ihrer illegalen Quellen verwendet werden.
Wie können Sie DMARC-Berichte für Ihre Domänen aktivieren?
Um den DMARC-Bericht für Ihre Domäne zu konfigurieren, müssen Sie Folgendes tun:
- Erstellen Sie einen DMARC-Eintrag für Ihre Domain
- Bei der Erstellung Ihres Datensatzes müssen Sie im Kriterium „rua“ die E-Mail-Adresse eingeben, an die Sie Ihre aggregierten Berichte senden möchten
- In das Kriterium „ruf“ müssen Sie die E-Mail-Adresse eingeben, an die Ihre forensischen Berichte gesendet werden sollen
- Nachdem Sie die anderen Kriterien erfolgreich ausgefüllt und auf die Schaltfläche „Generieren“ geklickt haben, wird die KI einen TXT-Eintrag erstellen, den Sie in Ihrem DNS veröffentlichen können
Hinweis: DMARC-Forensikberichte werden nicht von allen Domänen unterstützt.
Wie man DMARC-Berichte liest: Lesen von Rohberichten
Ihre DMARC-Berichte, auch Rohberichte genannt, liefern wichtige Daten über E-Mail-Aktivitäten auf Ihrer Domain, die für den Schutz vor zukünftigen Phishing-Angriffen notwendig sind. Sie liegen im XML-Format vor und werden in der Regel per E-Mail mit dem Betreff „DMARC-Bericht“ verschickt. Es gibt im Wesentlichen zwei Arten von Berichten:
- DMARC-Aggregat (RUA) Bericht
- DMARC-Forensikbericht (RUF)
Als Kunde der We Run IT können Sie uns gerne darauf ansprechen, wenn Sie mehr erfahren möchten..
Das Lesen von DMARC-RUA-Berichten kann für eine nicht-technische Person etwas mühsam sein, hier ist ein Beispiel für einen Rohbericht:
google.com
noreply-dmarc-support@google.com
http://google.com/dmarc/support
8293631894893125362
1234573120
1234453590
yourdomain.com
r
r
none
none
100
302.0.214.308
2
none
fail
pass
yourdomain.com
yourdomain.com
fail
yourdomain.com
pass
Aufschlüsseln eines DMARC-Raw-Berichts
Lassen Sie uns die verschiedenen Abschnitte des Berichts durchgehen, damit Sie verstehen, wie Sie DMARC-Berichte lesen können und was sie bedeuten. In der Rohdatei für Ihre Berichte finden Sie Informationen über:
Ihr ISP, der Name Ihres E-Mail-Dienstanbieters
google.com
noreply-dmarc-support@google.com
http://google.com/dmarc/support
Die ID-Nummer des Berichts
8293631894893125362
Der beginnende und endende Datumsbereich (in Sekunden)
1234573120
1234453590
Ihre DMARC-Eintragsspezifikationen, wie sie im DNS Ihrer Domain veröffentlicht sind
yourdomain.com
r
r
none
none
100
IP-Adresse der sendenden Quelle
302.0.214.308
Eine Übersicht über Ihre Authentifizierungsergebnisse (SPF- und DKIM-Pass/Fail-Ergebnisübersicht)
non
fail
pass
Von: Domain
yourdomain.com
DKIM-Authentifizierungsergebnisse
yourdomain.com
fail
SPF-Authentifizierungsergebnisse
yourdomain.com
pass
Einfach lesbare DMARC-Berichte
Wie Sie wahrscheinlich schon verstanden haben, sind DMARC-Berichte zwar extrem wichtig, um den E-Mail-Verkehr in Ihrem Unternehmen zu überwachen und die Authentifizierungsergebnisse zu sehen, aber sie sind nicht sehr angenehm für die Augen. Bei der täglichen Überflutung Ihrer Posteingänge mit DMARC-Berichten möchten Sie sich nicht die Mühe machen, sie durchzugehen und Zeile für Zeile zu analysieren und nach nützlichen Informationen zu fischen.
Es gibt einige Tools auf dem Markt, die einem die Auswertung der Reports erleichtern.
Hier zwei Beispiele dazu:
MXToolBox – DMARC Report Analyzer
EasyDMARC – DMARC XML Report Analyzer