Red Sifts Leitfaden zur DMARC-Durchsetzung

E-Mail ist einer der am meisten ausgenutzten Kommunikationskanäle und wird häufig Ziel von Phishing, Spoofing und Cyberangriffen. Domain-based Message Authentication, Reporting, and Conformance (DMARC) ist ein wirkungsvoller Schutz gegen diese Bedrohungen, doch ihr tatsächlicher Nutzen hängt von einer breiten Anwendung und Durchsetzung ab.

Trotz nachgewiesener Vorteile wird DMARC weltweit noch nicht konsequent umgesetzt. Die globale Durchsetzung erfordert Zusammenarbeit zwischen Regierungen, Unternehmen und internationalen Organisationen.

Dieser Leitfaden bietet einen klaren Fahrplan für die Förderung der DMARC-Einführung, behandelt regulatorische und rechtliche Fragestellungen und adressiert regionale Herausforderungen. Indem wir gemeinsam vorangehen, können wir die Durchsetzung vorantreiben und das Internet für alle sicherer machen.

Die DMARC-Durchsetzung verhindert, dass betrügerische E-Mails Ihre Mitarbeitenden, Kund*innen, Lieferanten und Nutzer*innen erreichen. Sie stellt sicher, dass nur legitime E-Mails richtig authentifiziert sind, sodass Mail-Server weltweit nicht autorisierte Nachrichten ablehnen können.

Solche Identitätsangriffe reichen von hochgradig zielgerichtetem Whaling und Spear-Phishing durch staatliche Hacker und Advanced Persistent Threats (APTs) bis hin zu alltäglichen Phishing-Betrugsversuchen, die genauso schädlich sein können. Die Durchsetzung von DMARC schützt Ihre Organisation vor beidem.

Bevor Sie auf eine globale DMARC-Durchsetzung hinarbeiten, ist es entscheidend, zu verstehen, wie Sie dorthin gelangen. Der Schlüssel liegt in einem stufenweisen Ansatz – DMARC-Policies werden schrittweise implementiert, gemeinsam mit DKIM (DomainKeys Identified Mail) und SPF (Sender Policy Framework). Dieser kontrollierte Rollout stellt sicher, dass nur legitime E-Mails von Ihrer Domain gesendet werden, während Spoofing- und Phishing-Versuche blockiert werden. Organisationen können auf diesem strukturierten Weg ihre Sicherheit stärken und die Grundlage für eine branchenweite Einführung schaffen.

Die Einrichtung der DMARC-Berichterstattung beginnt mit dem Hinzufügen eines _dmarc-DNS-Eintrags für alle Ihre Domains. Dadurch erfahren Mailserver, wo sich Ihre DMARC-Policy befindet und wie bei Authentifizierungsfehlern zu verfahren ist.

Mit Red Sift OnDMARC brauchen Sie den DNS-Eintrag für jede Domain nur einmal zu aktualisieren. Wenn Sie die DMARC-Einträge auf die Dynamic Services von OnDMARC zeigen lassen, können Sie Ihre Policy direkt über die OnDMARC-Oberfläche verwalten – ganz ohne manuelle DNS-Änderungen, die zu Fehlern oder Verzögerungen führen können.

Bevor DMARC durchgesetzt werden kann, benötigen Sie Daten, um das aktuelle E-Mail-Aufkommen zu verstehen und sicherzustellen, dass Änderungen die Zustellung nicht beeinträchtigen. Deshalb beginnt DMARC im „none“-Modus (nur Bericht) – dabei werden alle E-Mails zugestellt, während Sie Erkenntnisse sammeln.

Sobald Red Sift OnDMARC eingerichtet ist, erhalten Sie Berichte von Mailservern, die belegen, wie Ihre Domain genutzt wird. Diese Berichte gibt es in zwei Varianten:

• Aggregatberichte (der Standard): Werden täglich von den meisten Mailservern gesendet und liefern einen Überblick zu Authentifizierungsergebnissen.
• Forensische Berichte (erweiterte Einblicke von Red Sift): Werden verschickt, wenn eine E-Mail bei DMARC durchfällt und bieten detaillierte Informationen zu spezifischen Authentifizierungsproblemen.

Beide Berichte liegen im maschinenlesbaren XML-Format vor, können aber manuell schwer auswertbar sein. Red Sift OnDMARC vereinfacht dies, verarbeitet Berichte automatisch und bietet ein übersichtliches Dashboard, mit dem Sie Sicherheitsprobleme schnell erkennen und lösen können.

„v=DMARC1; p=none; rua=mailto:dmarc-reports@example.com; ruf=mailto:forensic@example.com; fo=1“

• p=none: Keine Durchsetzung, nur Überwachung. E-Mails werden weiterhin zugestellt, auch wenn sie Prüfungen nicht bestehen.
• rua=mailto:dmarc-reports@example.com: E-Mail-Adresse, an die Aggregatberichte gesendet werden. Hier kommt die Reporting-Funktionalität von DMARC zum Tragen.
• ruf=mailto:forensic@example.com: E-Mail-Adresse für Fehlermeldungen.
• fo=1: Versand forensischer Fehlermeldungen, wenn E-Mails SPF oder DKIM nicht bestehen.

Innerhalb von 24 Stunden sollten Sie Ihren ersten DMARC-Bericht zur Ansicht erhalten.

Mit Red Sift OnDMARC ist die Analyse der Berichte spielend einfach. Sie sehen auf einen Blick, welche E-Mail-Quellen autorisiert sind, wo Einstellungen fehlen und erkennen nicht autorisierte Absender – seien es legitime Dienste, die ein Update benötigen, oder Kriminelle, die Ihre Domain missbrauchen wollen.

• Gesamtes E-Mail-Volumen und Erfolgsquote bei der Authentifizierung.
• Aufschlüsselung nach bestanden/nicht bestanden für DMARC, SPF und DKIM.
• Eine detaillierte Absenderliste, die zeigt, wie jeder Dienst performt.

Mit dieser Transparenz können Sie Fehlerquellen gezielt beheben und Ihre Domain rundum schützen.

Wie Sie Ihren DMARC-Eintrag für einfaches Management ohne manuelle DNS-Änderungen auf Red Sift OnDMARC zeigen lassen können, ist dies ebenso für DKIM und SPF mit unseren Services Dynamic DKIM und Dynamic SPF möglich. So können Sie alle E-Mail-Authentifizierungs-Einstellungen zentral verwalten – ohne ständiges DNS-Update.

Dynamic DKIM einrichten

Um Dynamic DKIM einzurichten, kopieren Sie alle bestehenden DKIM-Schlüssel Ihrer DNS in Dynamic DKIM. Dann leiten Sie _domainkey Ihrer Domain per NS-Eintrag im DNS an Dynamic DKIM weiter.

Die Verwaltung aller zukünftigen DKIM-Schlüssel, Hinzufügen oder Entfernen, erfolgt dann direkt über die Plattform – keine manuellen DNS-Eingriffe mehr nötig.

Zum Einrichten von Dynamic SPF importieren Sie Ihren SPF-Eintrag in Dynamic SPF. Danach ersetzen Sie den bisherigen SPF-Eintrag durch einen einzigen include, der auf Dynamic SPF verweist.

Ihr SPF-Eintrag sieht so aus: v=spf1 include:_u.example.org._spf.smart.ondmarc.com ~all

Nach der Einrichtung können Sie Ihren SPF-Eintrag vollständig über die Plattform verwalten, Mechanismen hinzufügen oder entfernen – ganz ohne manuelle DNS-Änderungen.

Für seriöse Absender sollte in den meisten Fällen eine nahezu perfekte DKIM-Compliance angestrebt werden. Ihr DMARC-Anbieter sollte hierfür DKIM unterstützen und klare Anleitungen bereitstellen. Üblicherweise gibt es zwei Methoden:

• CNAME-Einträge, die auf gehostete DKIM-Public Keys verweisen (bevorzugt).
• TXT-Einträge, die die DKIM-Public Keys enthalten.

Empfohlen werden mindestens 1024-Bit-DKIM-Schlüssel – wenn möglich, holen Sie 2048-Bit-Schlüssel für bessere Sicherheit ein. Wenn Sie OnDMARCs Dynamic DKIM nutzen, verwalten Sie DKIM-Konfigurationen direkt in der Plattform – keine manuellen DNS-Änderungen notwendig, das spart Zeit und senkt das Risiko.

*Bei manchen Absendern wie Microsoft Exchange Online ist es schwieriger, Original-Absender von weitergeleiteten E-Mails in Berichten zu unterscheiden, was die DKIM-Compliance-Überwachung beeinflussen kann.

Für seriöse Absender, die Ihre Domain in ihrer Bounce-Adresse** nutzen, sollten Sie SPF so konfigurieren, dass deren IP-Adressen autorisiert werden.

Mit OnDMARC’s Dynamic SPF können Sie diese Einstellungen direkt auf der Plattform verwalten und sparen so manuelle DNS-Änderungen, minimieren Risiken und sparen Zeit.

**Bounce-Adresse ist auch als MAIL FROM, Return-Path und Envelope From bekannt.

Nach Änderungen sollten Sie diese stets validieren, indem Sie von jedem Absender Test-E-Mails versenden, um sicherzustellen, dass alles korrekt eingerichtet ist.

Mit Red Sift OnDMARC steht Ihnen das integrierte Investigate-Tool zur Verfügung, um Authentifizierungsergebnisse schnell zu prüfen, Fehler zu finden und klare Einblicke zu erhalten – ganz ohne komplexe Header manuell zu entschlüsseln.

Wenn alles bestanden wird – perfekt! Falls nicht, überprüfen Sie die Ursachen und passen die Konfiguration an.

Wiederholen Sie die Schritte 1–4, prüfen, konfigurieren und validieren Sie, bis alle Ihre Domains und legitimen Absender korrekt eingerichtet, autorisiert und DMARC, DKIM und SPF bestehen.

Wenn Sie von none auf quarantine umschalten, signalisieren Sie den Mailservern, nicht autorisierte E-Mails in den Spam-Ordner zu verschieben. So senken Sie das Risiko von Phishing- und Spoofing-Angriffen, behalten aber weiterhin die Kontrolle.

Es gibt keinen Unterschied zwischen einem unautorisierten, illegalen Identitätsangriff und einem unautorisierten, legitimen Absender mit fehlender Konfiguration – beide werden bei der Authentifizierung scheitern. Deshalb ist eine korrekte DMARC-Einrichtung so wichtig. Nur so werden legitime Absender autorisiert und Störungen verhindert, während echte Bedrohungen abgewehrt werden.

Nach Anhebung Ihrer Policy auf Quarantäne ist es wichtig, DMARC-Berichte mindestens ein paar Tage zu überwachen. Wir empfehlen, mindestens einmal pro Woche nachzusehen, welche Absender in Quarantäne geraten und ob sie wirklich unautorisiert sind. Hören Sie in dieser Phase auch auf Rückmeldungen von Nutzern oder Stakeholdern, wenn legitime Mails unerwartet im Spam landen.

Wenn Sie feststellen, dass legitime E-Mails in Quarantäne landen, konfigurieren und validieren Sie den Absender. Während dieser Anpassungen können Sie entscheiden, vorübergehend auf 'none' zurückzugehen oder weiter Richtung vollständige Durchsetzung zu gehen.

Nach ausreichender Zeit im Quarantäne-Modus ist der letzte Schritt, eine p=reject Policy zu erzwingen. Damit erreichen Sie den stärksten Schutz: Angreifer können Ihre Domain nicht mehr nachahmen, und das Risiko für Mitarbeitende, Kunden, Lieferanten und Nutzer sinkt signifikant.

Mit p=reject profitiert Ihre Organisation von:

• Vollständigem Schutz vor Spoofing und Phishing: Nicht autorisierte E-Mails, die DMARC nicht bestehen, werden automatisch abgelehnt. So werden Imitationsversuche blockiert und Phishingrisiken reduziert. Mit Sensibilisierung, MFA und Schulungen stärken Sie gemeinsam Ihre Sicherheitslage.
• Höherem Markenvertrauen: Schützt Ihre Reputation und das Vertrauen der Kunden, indem Phishing-Angriffe mit Ihrer Domain verhindert werden.
• Besserer E-Mail-Zustellbarkeit: Internet Service Provider (ISPs) erkennen Ihre authentifizierten E-Mails als legitim, was das Risiko verringert, im Spam zu landen.
• Vollständiger Transparenz im Mailverkehr: DMARC-Berichte helfen Ihnen, autorisierte und unautorisierte E-Mail-Nutzung zu überwachen.
• BIMI-Fähigkeit: Mit vollständig aktiviertem DMARC kann das Logo Ihrer Marke neben authentifizierten E-Mails angezeigt werden, was die Wiedererkennung und das Vertrauen steigert und zu 39% höheren Öffnungsraten führt.
• Regulatorische Konformität: Viele Branchenstandards und gesetzliche Vorgaben empfehlen oder verlangen DMARC als Teil der Cybersecurity-Best-Practice.

Mit p=reject ist Ihre Domain voll geschützt: Nur legitime E-Mails werden zugestellt, Imitationsversuche werden blockiert.

Ihre Organisation verändert sich stetig – und ebenso Ihre E-Mail-Infrastruktur. Überprüfen Sie regelmäßig die Berichte, um neue legitime Absender ausfindig zu machen, deren Konfiguration eventuell angepasst werden muss. So bleibt Ihre E-Mail-Sicherheit auch in Zukunft stark.

Vergessen Sie dabei nicht, auch alle ruhenden Domains zu schützen – also auch die, die nicht aktiv genutzt werden. Wir empfehlen, Ihre Domain-Liste mindestens vierteljährlich zu prüfen, damit keine vergessen wird.

Führende DMARC-Anbieter wie Red Sift OnDMARC machen diesen Prozess besonders einfach, da sich neue Versandquellen direkt über die Plattform hinzufügen lassen – keine manuellen DNS-Änderungen nötig. Das spart Zeit, minimiert Fehler und ermöglicht kontinuierlichen Schutz ohne unnötige Komplexität.