DMARC
Was ist DMARC?
DMARCE-Mail-Authentifizierungsstandard nach RFC 7489, mit dem Domain-Inhaber eine Richtlinie veröffentlichen, wie Empfänger Nachrichten behandeln sollen, die SPF/DKIM und Alignment verfehlen.
DMARC (Domain-based Message Authentication, Reporting and Conformance) ist in RFC 7489 spezifiziert und baut auf SPF (RFC 7208) und DKIM (RFC 6376) auf, indem es ein Identifier Alignment zwischen From:-Domain und der per SPF oder DKIM authentifizierten Domain verlangt. Domain-Inhaber veröffentlichen einen TXT-Record unter _dmarc.example.com mit Policy (p=none, quarantine, reject), Subdomain-Handling, Alignment-Modus, Prozentsatz und Reporting-URIs (rua, ruf). Empfänger senden Aggregate- (RFC 7489) und Forensic-Reports (RFC 6591), die Betreiber analysieren, um legitime Quellen vor dem Schritt zu p=reject korrekt zu authentifizieren. DMARC stoppt die meisten direkten Domain-Spoofings, ist Voraussetzung für BIMI und wird seit 2024 von Yahoo und Google als Pflicht für Massenversender gefordert.
● Beispiele
- 01
Veröffentlichung von v=DMARC1; p=reject; rua=mailto:dmarc@example.com zur strikten Authentifizierung von example.com.
- 02
Mit Aggregate-XML-Reports wird eine vergessene Marketingplattform identifiziert und authentifiziert, bevor von p=none auf p=reject umgeschaltet wird.
● Häufige Fragen
Was ist DMARC?
E-Mail-Authentifizierungsstandard nach RFC 7489, mit dem Domain-Inhaber eine Richtlinie veröffentlichen, wie Empfänger Nachrichten behandeln sollen, die SPF/DKIM und Alignment verfehlen. Es gehört zur Kategorie Netzwerksicherheit der Cybersicherheit.
Was bedeutet DMARC?
E-Mail-Authentifizierungsstandard nach RFC 7489, mit dem Domain-Inhaber eine Richtlinie veröffentlichen, wie Empfänger Nachrichten behandeln sollen, die SPF/DKIM und Alignment verfehlen.
Wie funktioniert DMARC?
DMARC (Domain-based Message Authentication, Reporting and Conformance) ist in RFC 7489 spezifiziert und baut auf SPF (RFC 7208) und DKIM (RFC 6376) auf, indem es ein Identifier Alignment zwischen From:-Domain und der per SPF oder DKIM authentifizierten Domain verlangt. Domain-Inhaber veröffentlichen einen TXT-Record unter _dmarc.example.com mit Policy (p=none, quarantine, reject), Subdomain-Handling, Alignment-Modus, Prozentsatz und Reporting-URIs (rua, ruf). Empfänger senden Aggregate- (RFC 7489) und Forensic-Reports (RFC 6591), die Betreiber analysieren, um legitime Quellen vor dem Schritt zu p=reject korrekt zu authentifizieren. DMARC stoppt die meisten direkten Domain-Spoofings, ist Voraussetzung für BIMI und wird seit 2024 von Yahoo und Google als Pflicht für Massenversender gefordert.
Wie schützt man sich gegen DMARC?
Schutzmaßnahmen gegen DMARC kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für DMARC?
Übliche alternative Bezeichnungen: Domain-basierte Nachrichten-Authentifizierung, -Berichterstattung und -Konformität.
● Verwandte Begriffe
- network-security№ 1076
SPF (Sender Policy Framework)
E-Mail-Authentifizierungsmechanismus nach RFC 7208, mit dem eine Domain im DNS festlegt, welche IPs oder Hosts berechtigt sind, mit ihrer Domain im Envelope-MAIL-FROM zu senden.
- network-security№ 330
DKIM
E-Mail-Authentifizierungsstandard nach RFC 6376, mit dem die Absenderdomain ausgehende Nachrichten kryptografisch signiert, sodass Empfänger Header- und Body-Integrität prüfen können.
- network-security№ 095
BIMI
E-Mail-Standard, der das Anzeigen eines verifizierten Marken-Logos neben authentifizierten Nachrichten in unterstützenden Clients ermöglicht, sofern die Domain eine DMARC-Policy von Quarantine oder Reject einsetzt.
- attacks№ 375
E-Mail-Spoofing
Fälschen von E-Mail-Headern, sodass eine Nachricht von einem vertrauenswürdigen Absender zu stammen scheint – meist zur Vorbereitung von Phishing, Betrug oder Malware-Verteilung.
- attacks№ 135
Business Email Compromise
Gezielter Betrug, bei dem ein Angreifer ein Geschäftspostfach imitiert oder übernimmt, um Mitarbeiter zu Überweisungen, Zahlungsdatenänderungen oder Datenherausgabe zu bewegen.
- network-security№ 984
Secure Email Gateway
Perimeter- oder Cloud-Dienst, der eingehende und ausgehende E-Mails auf Spam, Phishing, Malware, Datenabfluss und Policy-Verstöße prüft, bevor sie das Postfach erreichen.
● Siehe auch
- № 707MTA-STS
- № 058ARC (Authenticated Received Chain)
- № 452Greylisting
- № 336DNS-Blocklist (DNSBL)