Benutzer-Werkzeuge
dmarc
DMARC (Domain-based Message Authentication Reporting and Conformance) ist um ein E-Mail Authentifizierungsprotokoll, mit dem Sie eine spezifische Sicherheitsrichtlinie für Ihren Authentifizierungsprozess erstellen und veröffentlichen können. Siehe auch SPF und DKIM
Es weist die Mailbox des Empfängers an, wie nicht authentische E-Mails zu behandeln sind, die von Ihrer offiziellen Domain gesendet werden. RFC 7489
Diese Anweisungen können beinhalten, dass die E-Mail abgelehnt, in den Spam-Ordner verschoben oder zugestellt, aber als verdächtig markiert wird. Darüber hinaus ermöglicht DMARC den Domaininhabern die Empfangsberichterstattung, um Informationen darüber zu erhalten, wie ihre Domain verwendet wird und ob gefälschte E-Mails im Umlauf sind.
Ein DMARC Eintrag wird als TXT Record im DNS gesetzt.
v=DMARC1; p=quarantine; rua=mailto:dmarc-report@zarat.local; ruf=mailto:dmarc-forensics@zarat.local; pct=100; fo=1; aspf=r; adkim=s; rf=afrf; ri=86400;
Flow
+---------------+
| Author Domain |< . . . . . . . . . . . . . . . . . . . . . . .
+---------------+ . . .
| . . .
V V V .
+-----------+ +--------+ +----------+ +----------+ .
| MSA |<***>| DKIM | | DKIM | | SPF | .
| Service | | Signer | | Verifier | | Verifier | .
+-----------+ +--------+ +----------+ +----------+ .
| ^ ^ .
| ************** .
V * .
+------+ (~~~~~~~~~~~~) +------+ * .
| sMTA |------->( other MTAs )----->| rMTA | * .
+------+ (~~~~~~~~~~~~) +------+ * .
| * ........
| * .
V * .
+-----------+ V V
+---------+ | MDA | +----------+
| User |<--| Filtering |<***>| DMARC |
| Mailbox | | Engine | | Verifier |
+---------+ +-----------+ +----------+
MSA = Mail Submission Agent
MDA = Mail Delivery Agent
Tags
| Tag | Beschreibung |
|---|---|
| v | Das v-Tag steht für die DMARC-Protokollversion und hat immer den Wert v=DMARC1. Es ist ein obligatorisches DMARC-Tag. |
| pct | Dieses Tag gibt den Prozentsatz der E-Mails an, auf die der Richtlinienmodus anwendbar ist. Lesen Sie mehr über den DMARC pct Tag. Es handelt sich um ein optionales Tag mit einem Standardwert von 100. |
| p | Der für Ihre Hauptdomäne(n) konfigurierte Richtlinienmodus. Dieses obligatorische Tag adressiert die DMARC-Richtlinie Modus. Sie können zwischen Ablehnen, Quarantäne und Keine wählen. Erfahren Sie mehr darüber, was eine DMARC-Richtlinie ist, um Klarheit darüber zu erhalten, welchen Modus Sie für Ihre Domäne auswählen sollten. * p=none: Dies ist die am wenigsten restriktive Option. Es bedeutet, dass der Empfänger keine Aktion basierend auf der DMARC-Prüfung ergreifen soll. Stattdessen sollte der Empfänger Berichte generieren und an den Absender senden, um ihn über den Zustellstatus der E-Mails zu informieren. * p=quarantine: Mit dieser Option wird der Empfänger angewiesen, E-Mails, die die DMARC-Prüfung nicht bestehen, in den Spam-Ordner zu verschieben oder anderweitig zu kennzeichnen. Diese Option bietet einen gewissen Schutz vor Phishing und Spoofing, da gefälschte E-Mails wahrscheinlicher als Spam behandelt werden. * p=reject: Diese Option ist die strengste. Wenn eine E-Mail die DMARC-Prüfung nicht besteht und die Richtlinie auf „p=reject“ gesetzt ist, sollte der Empfänger die E-Mail ablehnen und nicht zustellen. Dies bietet den höchsten Schutz vor Phishing und Spoofing, birgt aber auch das Risiko, legitime E-Mails abzuweisen, wenn die DMARC-Konfiguration nicht richtig eingerichtet ist. |
| sp | Durch die Angabe der Subdomain-Richtlinie wird das sp-Tag konfiguriert, um einen Richtlinienmodus für Ihre Subdomains zu definieren. Erfahren Sie mehr über das DMARC sp Tag, um zu verstehen, wann Sie es konfigurieren sollten. Es ist ein optionales Tag. |
| rua | Optional, aber empfohlen. Das rua-Tag ist ein optionales DMARC-Tag, das die E-Mail-Adresse oder den Webserver angibt, an den die meldenden Organisationen ihre E-Mails senden sollen. Beispiel: rua=mailto:ruaaddress@example.com; |
| ruf | Optional, aber empfohlen. In ähnlicher Weise gibt der ruf-Mechanismus die Adresse an, an die der DMARC forensische ruf Bericht gesendet werden soll. Derzeit sendet nicht jede meldende Organisation forensische Daten. Beispiel: ruf=mailto:rufaddress@example.com. |
| fo | Das fo-Tag ist ein optionales Tag, das die verfügbaren Optionen für die Fehler-/Forensikberichterstattung angibt, aus denen Domaininhaber wählen können. Wenn Sie ruf für Ihre Domain nicht aktiviert haben, können Sie dies ignorieren. * 0: Sie erhalten einen DMARC-Fehler-/Forensikbericht, wenn Ihre E-Mail sowohl den SPF- als auch den DKIM-Abgleich nicht besteht (Standardwert). * 1: Ein DMARC-Fehler-/Forensikbericht wird an Sie gesendet, wenn Ihre E-Mail entweder SPF- oder DKIM-Abgleich nicht bestanden hat. * d: Ein DKIM-Fehlerbericht wird gesendet, wenn die DKIM-Signatur der E-Mail nicht validiert werden kann, unabhängig von der Ausrichtung. * s: Ein SPF-Fehlerbericht wird gesendet, wenn die E-Mail die SPF-Bewertung nicht besteht, unabhängig von der Ausrichtung. |
| aspf | Dieses optionale DMARC-Tag steht für den SPF-Ausrichtungsmodus. Der Wert kann entweder strict(s) oder relaxed® sein. |
| adkim | Ähnlich ist adkim ein optionales DMARC-Tag, das für den DKIM-Ausrichtungsmodus steht, dessen Wert entweder strict(s) oder relaxed® sein kann. |
| rf | Dieses optionale DMARC-Tag mit einem Standardwert von afrf. Das DMARC-Tag rf spezifiziert die verschiedenen Formate für die forensische Berichterstattung. |
| ri | Dieses optionale DMARC-Tag hat einen Standardwert von 86400. Das ri-Tag gibt das Zeitintervall in Sekunden zwischen zwei aufeinanderfolgenden Sammelmeldungen an, die von der meldenden Organisation an den Domänenbesitzer gesendet werden. |
nslookup -type=txt _dmarc.domain.local
Links
dmarc.txt · Zuletzt geändert: 2024/06/25 22:15 (Externe Bearbeitung)
Seiten-Werkzeuge
Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-NoDerivatives 4.0 International
