Wie konfiguriere ich ein Sender Policy Framework?
Das Sender Policy Framework (SPF) ist ein E-Mail-Authentifizierungsmechanismus, der dazu verwendet wird, E-Mail-Server zu autorisieren, E-Mails im Namen einer Domain zu versenden. Es hilft, Spoofing und Phishing-Angriffe zu verhindern, indem es sicherstellt, dass nur bestimmte Server im Namen einer Domain E-Mails verschicken dürfen.
Um SPF für deine Domain zu konfigurieren, befolge diese Schritte:
1. Überprüfe, welche E-Mail-Server du verwendest
Stelle zunächst fest, welche E-Mail-Server berechtigt sind, E-Mails im Namen deiner Domain zu versenden. Dies könnten sein:
- Eigene Server, die du selbst verwaltest.
- E-Mail-Dienste von Drittanbietern (wie Google Workspace, Microsoft 365, Mailchimp, etc.).
2. Erstelle deinen SPF-Eintrag
Ein SPF-Eintrag ist ein TXT-Record, der in den DNS-Einstellungen deiner Domain hinzugefügt wird. Der TXT-Record enthält eine SPF-Richtlinie, die angibt, welche Server berechtigt sind, E-Mails zu versenden.
v=spf1 ip4:192.168.0.1 include:example.com -all
v=spf1
: Gibt an, dass dies ein SPF-Eintrag ist und die Version 1 verwendet wird.
ip4:192.168.0.1
: Eine IPv4-Adresse, die berechtigt ist, E-Mails zu versenden.
include:example.com
: Erlaubt Servern, die für die Domain example.com
autorisiert sind, E-Mails zu versenden (z.B. wenn du Dienste wie Google oder Microsoft verwendest, musst du deren SPF-Richtlinien einbinden).
-all
: Gibt an, dass alle anderen Server abgelehnt werden sollen (es gibt auch Optionen wie ~all
für eine weichere Regel).
Beispiel für einen einfachen SPF-Eintrag:
- Wenn du beispielsweise nur Google Workspace zum Versenden von E-Mails verwendest, könnte dein SPF-Eintrag so aussehen:
v=spf1 include:_spf.google.com -all
- Wenn du zusätzlich noch von einem eigenen Server mit der IP-Adresse
123.123.123.123
E-Mails versendest:
v=spf1 ip4:123.123.123.123 include:_spf.google.com -all
Das Sender Policy Framework (SPF) ist ein E-Mail-Authentifizierungsmechanismus, der dazu verwendet wird, E-Mail-Server zu autorisieren, E-Mails im Namen einer Domain zu versenden. Es hilft, Spoofing und Phishing-Angriffe zu verhindern, indem es sicherstellt, dass nur bestimmte Server im Namen einer Domain E-Mails verschicken dürfen.
Um SPF für deine Domain zu konfigurieren, befolge diese Schritte:
1. Überprüfe, welche E-Mail-Server du verwendest
Stelle zunächst fest, welche E-Mail-Server berechtigt sind, E-Mails im Namen deiner Domain zu versenden. Dies könnten sein:
- Eigene Server, die du selbst verwaltest.
- E-Mail-Dienste von Drittanbietern (wie Google Workspace, Microsoft 365, Mailchimp, etc.).
2. Erstelle deinen SPF-Eintrag
Ein SPF-Eintrag ist ein TXT-Record, der in den DNS-Einstellungen deiner Domain hinzugefügt wird. Der TXT-Record enthält eine SPF-Richtlinie, die angibt, welche Server berechtigt sind, E-Mails zu versenden.
Ein SPF-Eintrag sieht typischerweise so aus:
v=spf1
: Gibt an, dass dies ein SPF-Eintrag ist und die Version 1 verwendet wird.
ip4:192.168.0.1
: Eine IPv4-Adresse, die berechtigt ist, E-Mails zu versenden.
include:example.com
: Erlaubt Servern, die für die Domain example.com
autorisiert sind, E-Mails zu versenden (z.B. wenn du Dienste wie Google oder Microsoft verwendest, musst du deren SPF-Richtlinien einbinden).
-all
: Gibt an, dass alle anderen Server abgelehnt werden sollen (es gibt auch Optionen wie ~all
für eine weichere Regel).
Beispiel für einen einfachen SPF-Eintrag:
- Wenn du beispielsweise nur Google Workspace zum Versenden von E-Mails verwendest, könnte dein SPF-Eintrag so aussehen:
- Wenn du zusätzlich noch von einem eigenen Server mit der IP-Adresse
123.123.123.123
E-Mails versendest:
3. Füge den SPF-Eintrag in die DNS-Einstellungen ein
- Melde dich beim DNS-Host deiner Domain an (dieser könnte dein Domain-Registrar oder ein separater DNS-Anbieter sein).
- Navigiere zu den DNS-Einstellungen.
- Füge einen neuen TXT-Record hinzu:
- Name (Host): Meistens lässt du diesen Wert leer, oder du setzt „@“ ein, um die Hauptdomain zu markieren.
- Typ:
TXT
- Wert: Trage deinen SPF-Eintrag (wie oben erstellt) hier ein, z. B.:
v=spf1 include:_spf.google.com -all
.
4. Speichere die DNS-Änderungen
Sobald du den TXT-Record hinzugefügt hast, speichere die Änderungen. DNS-Änderungen können bis zu 48 Stunden dauern, werden aber oft innerhalb weniger Stunden wirksam.
5. SPF-Test und Validierung
Sobald die DNS-Einträge aktiv sind, kannst du überprüfen, ob dein SPF-Eintrag korrekt funktioniert, indem du Tools wie MXToolbox SPF Check oder ähnliche Online-Tools verwendest. Diese Tools zeigen dir an, ob dein SPF-Eintrag korrekt konfiguriert ist.
6. Überprüfe E-Mails und Fehlermeldungen
Nach der Konfiguration solltest du sicherstellen, dass E-Mails korrekt zugestellt werden und dass es keine SPF-bezogenen Fehlermeldungen gibt. Falls du Probleme bemerkst, überprüfe, ob alle E-Mail-Dienste, die E-Mails im Namen deiner Domain versenden, im SPF-Eintrag enthalten sind.
Wichtige Hinweise:
- Achte darauf, dass dein SPF-Eintrag nicht länger als 255 Zeichen ist und nicht mehr als 10 DNS-Lookups enthält, da dies zu Problemen führen kann.
- Das
-all
bedeutet “harte Fehlermeldung”. Wenn du dir unsicher bist, kannst du stattdessen ~all
verwenden, was eine “weiche Fehlermeldung” erzeugt und weniger strikt ist.
Mit dieser Anleitung kannst du ein Sender Policy Framework erfolgreich konfigurieren, um deine Domain gegen unautorisierte E-Mail-Versender zu schützen.
Wie konfiguriere ich ein DKIM-Record?
DomainKeys Identified Mail (DKIM) ist eine E-Mail-Authentifizierungsmethode, die es einem E-Mail-Server ermöglicht, ausgehende E-Mails digital zu signieren. Der Empfänger kann die Signatur überprüfen und sicherstellen, dass die E-Mail tatsächlich von der angegebenen Domain stammt und nicht auf dem Weg manipuliert wurde.
Um DKIM für deine Domain zu konfigurieren, befolge diese Schritte:
1. Stelle sicher, dass dein E-Mail-Server DKIM unterstützt
Zuerst musst du sicherstellen, dass dein E-Mail-Anbieter oder -Server DKIM unterstützt. Die meisten großen E-Mail-Dienste wie Google Workspace, Microsoft 365, und viele Webhosting-Anbieter bieten DKIM-Unterstützung an. Falls du einen eigenen E-Mail-Server betreibst, überprüfe, ob er DKIM konfigurierbar ist.
2. Generiere den DKIM-Schlüssel
Der DKIM-Prozess erfordert ein Schlüsselpaar (einen privaten und einen öffentlichen Schlüssel). Der private Schlüssel wird verwendet, um ausgehende E-Mails zu signieren, während der öffentliche Schlüssel in einem DNS-Eintrag gespeichert wird, damit empfangende E-Mail-Server die Signatur überprüfen können.
a) Bei einem E-Mail-Anbieter (z.B. Google Workspace, Microsoft 365)
Viele Anbieter generieren den DKIM-Schlüssel automatisch für dich. Wenn du Google Workspace oder Microsoft 365 verwendest, kannst du in deren Admin-Konsole DKIM einrichten.
- Google Workspace:
- Melde dich in der Admin-Konsole an und gehe zu Apps > Google Workspace > Gmail > E-Mail-Authentifizierung.
- Klicke auf DKIM konfigurieren und folge den Anweisungen, um einen DKIM-Schlüssel zu generieren.
- Microsoft 365:
- Melde dich im Microsoft Admin Center an und gehe zu Einstellungen > Domains > DKIM.
- Folge den Anweisungen, um DKIM für die Domain zu aktivieren.
b) Bei einem eigenen E-Mail-Server
Wenn du einen eigenen E-Mail-Server betreibst, musst du ein Schlüsselpaar generieren. Du kannst dies mit Tools wie OpenSSL oder DKIM-Generatoren online tun.
Hier ist ein Beispiel, wie du mit OpenSSL einen DKIM-Schlüssel generierst:
openssl genrsa -out dkim_private.key 2048
openssl rsa -in dkim_private.key -pubout -out dkim_public.key
- dkim_private.key: Dies ist der private Schlüssel, der auf dem E-Mail-Server gespeichert wird.
- dkim_public.key: Dies ist der öffentliche Schlüssel, der in einem DNS-Eintrag veröffentlicht wird.
3. Füge den DKIM-Schlüssel als DNS-Eintrag hinzu
Der öffentliche Schlüssel wird als TXT-Eintrag in den DNS-Einstellungen deiner Domain gespeichert. Um dies zu tun, musst du einen neuen DNS-Eintrag erstellen.
a) DKIM-Selector
Der DKIM-Selector ist ein eindeutiger Identifier, der verwendet wird, um den öffentlichen Schlüssel für DKIM zu finden. Jeder DKIM-Schlüssel muss einen eigenen Selector haben. Zum Beispiel könnte der Selector default
oder mail
lauten.
b) Erstelle den DNS-Eintrag
Du musst den öffentlichen Schlüssel in einem TXT-Eintrag veröffentlichen. Der Name des TXT-Eintrags setzt sich wie folgt zusammen:
selector._domainkey.deinedomain.com
Wobei selector durch den von dir gewählten Selector (z. B. default
oder mail
) ersetzt wird und deinedomain.com deine Domain ist.
Der Wert des TXT-Eintrags enthält den öffentlichen DKIM-Schlüssel im Format:
v=DKIM1; k=rsa; p=DEIN-ÖFFENTLICHER-SCHLÜSSEL
Beispiel:
Angenommen, du hast default
als Selector gewählt und deine Domain ist example.com
. Dein DNS-Eintrag sieht dann so aus:
- Name (Host):
default._domainkey.example.com
- Typ:
TXT
- Wert:
v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA...
(öffentlicher Schlüssel hier einfügen)
4. Konfiguriere deinen E-Mail-Server
Nun musst du sicherstellen, dass dein E-Mail-Server den privaten Schlüssel verwendet, um ausgehende E-Mails zu signieren. Dies geschieht normalerweise in der Konfiguration deines E-Mail-Servers oder deiner E-Mail-Anbieter-Konsole.
a) Bei einem E-Mail-Anbieter
- Google Workspace: Google verwendet automatisch den privaten DKIM-Schlüssel, um E-Mails zu signieren, sobald der DNS-Eintrag korrekt ist.
- Microsoft 365: Ähnlich wie bei Google Workspace verwendet Microsoft den privaten Schlüssel, sobald die DKIM-Konfiguration aktiv ist.
b) Bei einem eigenen E-Mail-Server
Wenn du einen eigenen E-Mail-Server verwendest, musst du den privaten Schlüssel so konfigurieren, dass er verwendet wird, um E-Mails zu signieren. Dies hängt davon ab, welche E-Mail-Server-Software du verwendest.
Beispiele:
- Postfix: Du kannst DKIM mit der Software
opendkim
integrieren. Die Konfiguration würde sicherstellen, dass der private Schlüssel beim Signieren der E-Mails verwendet wird.
- Exim: Du kannst DKIM ebenfalls in den Konfigurationsdateien von Exim aktivieren.
5. Überprüfe die DKIM-Konfiguration
Nachdem der DKIM-Schlüssel konfiguriert ist, solltest du die Konfiguration testen, um sicherzustellen, dass sie richtig funktioniert.
a) E-Mail-Testdienste
Es gibt verschiedene Online-Tools, mit denen du prüfen kannst, ob deine E-Mails korrekt mit DKIM signiert sind:
Diese Dienste erlauben es dir, eine Test-E-Mail zu senden und die DKIM-Signatur zu überprüfen.
b) E-Mail-Header prüfen
Du kannst auch den Header einer von deinem Server gesendeten E-Mail überprüfen. Der E-Mail-Header sollte etwas Ähnliches wie das Folgende enthalten:
DKIM-Signature: v=1; a=rsa-sha256; d=example.com; s=default;
Dies zeigt, dass die E-Mail mit DKIM signiert wurde.
6. Fehlerbehebung
Falls DKIM nicht funktioniert, überprüfe Folgendes:
- DNS-Eintrag: Stelle sicher, dass der öffentliche Schlüssel korrekt im DNS gespeichert ist.
- Private Schlüssel: Überprüfe, ob der private Schlüssel korrekt auf dem E-Mail-Server konfiguriert ist.
- Selector: Stelle sicher, dass der Selector korrekt im DNS und in der Signatur der E-Mail verwendet wird.
Zusammenfassung:
- Stelle sicher, dass dein E-Mail-Server DKIM unterstützt.
- Generiere ein Schlüsselpaar (privat/öffentlich).
- Füge den öffentlichen Schlüssel als DNS-Eintrag in deiner Domain hinzu.
- Konfiguriere deinen E-Mail-Server, um den privaten Schlüssel für das Signieren von E-Mails zu verwenden.
- Teste die DKIM-Konfiguration, um sicherzustellen, dass sie korrekt funktioniert.
DKIM hilft, die Integrität und Authentizität deiner E-Mails zu gewährleisten und das Risiko von E-Mail-Spoofing zu minimieren.
Wie konfiguriere ich ein DMARC-Record?
DMARC (Domain-based Message Authentication, Reporting & Conformance) ist eine E-Mail-Authentifizierungsmethode, die hilft, Phishing und E-Mail-Spoofing zu verhindern. DMARC baut auf den Authentifizierungsmechanismen SPF und DKIM (DomainKeys Identified Mail) auf und ermöglicht es Domaininhabern, Richtlinien zur E-Mail-Authentifizierung und -Berichterstattung zu definieren.
Hier ist eine Schritt-für-Schritt-Anleitung, wie du einen DMARC-Record für deine Domain konfigurierst:
1. Stelle sicher, dass SPF und DKIM konfiguriert sind
Bevor du einen DMARC-Eintrag erstellst, musst du sicherstellen, dass du SPF und DKIM korrekt konfiguriert hast. DMARC funktioniert nur, wenn entweder SPF oder DKIM erfolgreich ist.
- SPF: Sender Policy Framework stellt sicher, dass E-Mails von autorisierten Servern gesendet werden (siehe vorherige Antwort zur SPF-Konfiguration).
- DKIM: DomainKeys Identified Mail signiert E-Mails kryptographisch, um ihre Integrität zu gewährleisten.
2. Erstelle deinen DMARC-Record
Der DMARC-Record ist ein TXT-Record, der in den DNS-Einstellungen deiner Domain hinzugefügt wird. Dieser Eintrag enthält Parameter, die die Richtlinien zur Handhabung von E-Mails und die Berichterstellung definieren.
Ein DMARC-Eintrag hat in der Regel das folgende Format:
v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com; ruf=mailto:dmarc-failures@yourdomain.com; pct=100; sp=none; aspf=r
DMARC (Domain-based Message Authentication, Reporting & Conformance) ist eine E-Mail-Authentifizierungsmethode, die hilft, Phishing und E-Mail-Spoofing zu verhindern. DMARC baut auf den Authentifizierungsmechanismen SPF und DKIM (DomainKeys Identified Mail) auf und ermöglicht es Domaininhabern, Richtlinien zur E-Mail-Authentifizierung und -Berichterstattung zu definieren.
Hier ist eine Schritt-für-Schritt-Anleitung, wie du einen DMARC-Record für deine Domain konfigurierst:
1. Stelle sicher, dass SPF und DKIM konfiguriert sind
Bevor du einen DMARC-Eintrag erstellst, musst du sicherstellen, dass du SPF und DKIM korrekt konfiguriert hast. DMARC funktioniert nur, wenn entweder SPF oder DKIM erfolgreich ist.
- SPF: Sender Policy Framework stellt sicher, dass E-Mails von autorisierten Servern gesendet werden (siehe vorherige Antwort zur SPF-Konfiguration).
- DKIM: DomainKeys Identified Mail signiert E-Mails kryptographisch, um ihre Integrität zu gewährleisten.
2. Erstelle deinen DMARC-Record
Der DMARC-Record ist ein TXT-Record, der in den DNS-Einstellungen deiner Domain hinzugefügt wird. Dieser Eintrag enthält Parameter, die die Richtlinien zur Handhabung von E-Mails und die Berichterstellung definieren.
Ein DMARC-Eintrag hat in der Regel das folgende Format:
v=DMARC1
: Gibt an, dass dies ein DMARC-Eintrag ist.
p=
: Die Richtlinie (Policy) für deine Domain:
none
: Nur Berichte erstellen, aber keine E-Mails blockieren oder markieren.
quarantine
: E-Mails, die DMARC nicht bestehen, sollen in den Spam-Ordner verschoben werden.
reject
: E-Mails, die DMARC nicht bestehen, sollen abgelehnt werden.
rua=
: Adresse, an die aggregierte Berichte gesendet werden (XML-Berichte). Hier setzt du eine E-Mail-Adresse, an die tägliche Berichte gesendet werden (z. B. mailto:dmarc-reports@yourdomain.com
).
ruf=
: Adresse für forensische Berichte (optionale, detaillierte Berichte über fehlgeschlagene Nachrichten). Diese Berichte können sensible Daten enthalten.
pct=
: Der Prozentsatz der E-Mails, auf die die Richtlinie angewendet wird (Standard: 100
= auf alle E-Mails anwenden).
sp=
: Richtlinie für Subdomains (falls du Subdomains hast). Funktioniert ähnlich wie p=
.
aspf=
: SPF-Ausrichtung (Alignment). r
für “relaxed” oder s
für “strict”. Bei “relaxed” müssen Absender-Domains und SPF-Domains nicht exakt übereinstimmen.
Beispiel für einen einfachen DMARC-Eintrag:
Wenn du nur Berichte sammeln möchtest, aber noch keine Maßnahmen gegen fehlgeschlagene E-Mails ergreifen möchtest:
v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com; pct=100
Wenn du möchtest, dass alle fehlgeschlagenen E-Mails abgelehnt werden:
v=DMARC1; p=reject; rua=mailto:dmarc-reports@yourdomain.com; pct=100
3. Füge den DMARC-Record in die DNS-Einstellungen ein
- Melde dich beim DNS-Host deiner Domain an (dies könnte dein Domain-Registrar oder ein separater DNS-Anbieter sein).
- Navigiere zu den DNS-Einstellungen.
- Füge einen neuen TXT-Record hinzu:
- Name (Host): Setze den Wert als
_dmarc
. Zum Beispiel: _dmarc.deinedomain.com
.
- Typ:
TXT
- Wert: Trage deinen DMARC-Eintrag ein, z. B.:
v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com; pct=100
.
4. DMARC-Überwachung und Optimierung
Sobald der DMARC-Eintrag aktiv ist, beginnen E-Mail-Provider, die an die Domäne gerichteten E-Mails zu überprüfen und Berichte an die von dir angegebene E-Mail-Adresse zu senden.
- Berichte analysieren: Du wirst XML-Berichte erhalten, die eine detaillierte Übersicht darüber geben, welche E-Mails DMARC bestehen und welche nicht. Es gibt Tools wie dmarcian oder DMARC Analyzer, die dir helfen, diese Berichte besser zu verstehen.
- Richtlinie anpassen: Beobachte die Berichte einige Wochen lang, um sicherzustellen, dass legitime E-Mails nicht fälschlicherweise blockiert werden. Danach kannst du deine DMARC-Richtlinie verschärfen (z. B. von
none
zu quarantine
oder reject
wechseln).
5. Schrittweise Richtlinie verschärfen
Wenn du dir sicher bist, dass deine SPF- und DKIM-Konfiguration korrekt ist und keine legitimen E-Mails fälschlicherweise blockiert werden, kannst du schrittweise deine Richtlinie von none
zu quarantine
oder reject
ändern.
Beispiel für eine verschärfte DMARC-Richtlinie (100 % Ablehnung):
v=DMARC1; p=reject; rua=mailto:dmarc-reports@yourdomain.com; ruf=mailto:dmarc-failures@yourdomain.com; pct=100; sp=reject; aspf=r
DMARC (Domain-based Message Authentication, Reporting & Conformance) ist eine E-Mail-Authentifizierungsmethode, die hilft, Phishing und E-Mail-Spoofing zu verhindern. DMARC baut auf den Authentifizierungsmechanismen SPF und DKIM (DomainKeys Identified Mail) auf und ermöglicht es Domaininhabern, Richtlinien zur E-Mail-Authentifizierung und -Berichterstattung zu definieren.
Hier ist eine Schritt-für-Schritt-Anleitung, wie du einen DMARC-Record für deine Domain konfigurierst:
1. Stelle sicher, dass SPF und DKIM konfiguriert sind
Bevor du einen DMARC-Eintrag erstellst, musst du sicherstellen, dass du SPF und DKIM korrekt konfiguriert hast. DMARC funktioniert nur, wenn entweder SPF oder DKIM erfolgreich ist.
- SPF: Sender Policy Framework stellt sicher, dass E-Mails von autorisierten Servern gesendet werden (siehe vorherige Antwort zur SPF-Konfiguration).
- DKIM: DomainKeys Identified Mail signiert E-Mails kryptographisch, um ihre Integrität zu gewährleisten.
2. Erstelle deinen DMARC-Record
Der DMARC-Record ist ein TXT-Record, der in den DNS-Einstellungen deiner Domain hinzugefügt wird. Dieser Eintrag enthält Parameter, die die Richtlinien zur Handhabung von E-Mails und die Berichterstellung definieren.
Ein DMARC-Eintrag hat in der Regel das folgende Format:
v=DMARC1
: Gibt an, dass dies ein DMARC-Eintrag ist.
p=
: Die Richtlinie (Policy) für deine Domain:
none
: Nur Berichte erstellen, aber keine E-Mails blockieren oder markieren.
quarantine
: E-Mails, die DMARC nicht bestehen, sollen in den Spam-Ordner verschoben werden.
reject
: E-Mails, die DMARC nicht bestehen, sollen abgelehnt werden.
rua=
: Adresse, an die aggregierte Berichte gesendet werden (XML-Berichte). Hier setzt du eine E-Mail-Adresse, an die tägliche Berichte gesendet werden (z. B. mailto:dmarc-reports@yourdomain.com
).
ruf=
: Adresse für forensische Berichte (optionale, detaillierte Berichte über fehlgeschlagene Nachrichten). Diese Berichte können sensible Daten enthalten.
pct=
: Der Prozentsatz der E-Mails, auf die die Richtlinie angewendet wird (Standard: 100
= auf alle E-Mails anwenden).
sp=
: Richtlinie für Subdomains (falls du Subdomains hast). Funktioniert ähnlich wie p=
.
aspf=
: SPF-Ausrichtung (Alignment). r
für “relaxed” oder s
für “strict”. Bei “relaxed” müssen Absender-Domains und SPF-Domains nicht exakt übereinstimmen.
Beispiel für einen einfachen DMARC-Eintrag:
Wenn du nur Berichte sammeln möchtest, aber noch keine Maßnahmen gegen fehlgeschlagene E-Mails ergreifen möchtest:
Wenn du möchtest, dass alle fehlgeschlagenen E-Mails abgelehnt werden:
3. Füge den DMARC-Record in die DNS-Einstellungen ein
- Melde dich beim DNS-Host deiner Domain an (dies könnte dein Domain-Registrar oder ein separater DNS-Anbieter sein).
- Navigiere zu den DNS-Einstellungen.
- Füge einen neuen TXT-Record hinzu:
- Name (Host): Setze den Wert als
_dmarc
. Zum Beispiel: _dmarc.deinedomain.com
.
- Typ:
TXT
- Wert: Trage deinen DMARC-Eintrag ein, z. B.:
v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com; pct=100
.
4. DMARC-Überwachung und Optimierung
Sobald der DMARC-Eintrag aktiv ist, beginnen E-Mail-Provider, die an die Domäne gerichteten E-Mails zu überprüfen und Berichte an die von dir angegebene E-Mail-Adresse zu senden.
- Berichte analysieren: Du wirst XML-Berichte erhalten, die eine detaillierte Übersicht darüber geben, welche E-Mails DMARC bestehen und welche nicht. Es gibt Tools wie dmarcian oder DMARC Analyzer, die dir helfen, diese Berichte besser zu verstehen.
- Richtlinie anpassen: Beobachte die Berichte einige Wochen lang, um sicherzustellen, dass legitime E-Mails nicht fälschlicherweise blockiert werden. Danach kannst du deine DMARC-Richtlinie verschärfen (z. B. von
none
zu quarantine
oder reject
wechseln).
5. Schrittweise Richtlinie verschärfen
Wenn du dir sicher bist, dass deine SPF- und DKIM-Konfiguration korrekt ist und keine legitimen E-Mails fälschlicherweise blockiert werden, kannst du schrittweise deine Richtlinie von none
zu quarantine
oder reject
ändern.
Beispiel für eine verschärfte DMARC-Richtlinie (100 % Ablehnung):
6. Fehlerbehebung
Falls du Berichte erhältst, die zeigen, dass legitime E-Mails nicht bestehen, prüfe:
- Ob der SPF- oder DKIM-Eintrag korrekt konfiguriert ist.
- Ob alle legitimen Absender-Domains und Subdomains in deinen SPF- und DKIM-Einträgen enthalten sind.
- Ob die Ausrichtungsrichtlinie (SPF/DKIM-Alignment) zu strikt ist (
s
für strict vs. r
für relaxed).
Zusammenfassung:
- Stelle sicher, dass SPF und DKIM richtig konfiguriert sind.
- Erstelle einen DMARC-Record (zuerst
p=none
, um Berichte zu erhalten).
- Füge den DMARC-Record in die DNS-Einstellungen deiner Domain ein.
- Überwache Berichte und passe deine Richtlinien an, um betrügerische E-Mails zu blockieren.
DMARC hilft dabei, den E-Mail-Verkehr sicherer zu gestalten und die Zustellbarkeit deiner E-Mails zu verbessern, indem es den Schutz deiner Domain vor Missbrauch verstärkt.
Konfiguration von SPF und DKIM und DMARC Records
Die Konfiguration von SPF, DKIM und DMARC ist entscheidend für die Sicherheit und Zuverlässigkeit Ihrer E-Mail-Kommunikation. Das waren die Schritte zur Konfiguration dieser drei wichtigen E-Mail-Authentifizierungsverfahren.