MSXFAQ MeetNow aktiv: Komm doch einfach dazu.

SPF, DKIM, DMARC, ARC - Kurzfassung

Ich kann es nicht oft genug sagen: Konfigurieren Sie SPF, DKIM, DMARC korrekt, damit ihre Domain gegen Missbrauch geschützt wird und Empfänger diese prüfen können. Da Administratoren aber keine Zeit und wenig Lust an langen Beschreibungen haben, veröffentliche ich hier eine sehr kurze Fassung. Vielleicht sind Sie hier gelandet, weil GMail, Yahoo u.a. ihre Mails nicht mehr annehmen. Oder sie erhalten viele Beschwerden, weil Sie angeblich Spam versenden.

  • Es geht um den Versand ihrer Mails an andere Systeme
    Wenn Sie nicht mithelfen, dass die Empfänger die Legitimation ihrer Mails prüfen können, dann ist ihre Domain nicht vertrauenswürdig und landet eher im Spamfilter. Sie erreichen ihre Empfänger nicht zuverlässig.
  • Jede Domain ist individuell
    Die folgenden Aussagen sind pro Absender-Domain getrennt zu betrachten. Sie können die Einstellungen je Domain unterschiedlich machen und es kann Fälle und Gründe geben, dies zu tun, z.B.: wenn eine eigene Domain für Newsletter oder ERP-Nachrichten genutzt werden soll, um die Domain mit Mitarbeiter-Postfächern zu separieren.
  • Alle Mailadressen mit der der gleichen Domain nutzen die gleiche Einstellung
    Sie können also nicht auf einzelnen Postfächern der gleichen Domain unterschiedliche Einstellungen veröffentlichen.
  • SPF, SenderID veröffentlicht legitime Absenderserver (IP-Quelladresse)
    Sie sollten auf jeden Fall die Server im Internet bekannt geben, die Mails ihrer Domain versenden dürfen und alle anderen verbieten. SPF prüft dabei die Domain des Absenders im SMTP-Protokoll (MAIL-FROM) oder den HELO-Hostnamen. Damit verhindern Sie viel Formen des Missbrauchs ihrer Domain, wenn die Gegenseite SPF prüft. Es ist einfach ein TXT-Record im DNS. Die Herausforderung ist eine Liste wirklich aller legitimen Versender zu erstellen. Dabei kann später aber DMARC helfen. Ein Eintrag könnte wie folgt aussehen. Meine Domain dürfen nur Exchange Online und HostEurope versenden. Jeder andere Server ist nicht legitimiert (-all). Dies ist genau eine Zeile pro Zone.  Ein "~all" oder "?all" weist den Empfänger an, es nicht so ernst zu nehmen.
msxfaq.de  text = "v=spf1 a mx include:spf.protection.outlook.com include:spf.server-he.de -all"
  • DKIM
    SPF alleine prüft nicht den sichtbaren Absender in der Mail (Header-From) und bei Weiterleitungen und Mailinglisten kann SPF fehlschlagen, obwohl die Mail eigentlich erwünscht ist. Dafür gibt des DKIM. Der autoritative Postfachserver des Absenders signiert die Nachricht und der Schlüssel wird ebenfalls per DNS veröffentlicht. In der Mail hier mit hinterlegt, welcher DNS-Eintrag heranzuziehen ist. Ihr Mailserver muss als DKIM unterstützen (Exchange OnPremises kann es nicht ohne 3rd Party Tools oder Relays wie NoSpamProxy u.a.) Exchange Online erlaubt DKIM-Signaturen. Wenn eine Firma Exchange Online nutzen, dann finden Sie oft die folgenden Einträge.
PS C:\> nslookup -q=TXT selector1._domainkey.msxfaq.net

selector1._domainkey.msxfaq.net                   canonical name = selector1-msxfaq-net._domainkey.msxfaqdev.onmicrosoft.com
selector1-msxfaq-net._domainkey.msxfaqdev.onmicrosoft.com   text =  "v=DKIM1; k=rsa; p=MIIBIjAN...<gekürzt>...AQAB;"
  • DMARC
    Über DMARC können Sie das Verhalten der DMARC-kompatiblen Empfänger weiter steuern. Allein durch die Existenz eines solchen Eintrags wird die für Anwender sichtbare Mailadresse (Header-From) auch bei SPF einbezogen und als Absender können Sie Reports anfordern. Die meisten Empfänger mit DMARC prüfen auch DKIM, so dass die Aktivierung von DMARC meist in zwei Stufen erfolgt (DMARC einführen). Zuerst nutzen wir die Reportfunktion aber schreiben noch keine Ablehnung vor.
PS C:\> nslookup -q=TXT _dmarc.msxfaq.net
Nicht autorisierende Antwort:
_dmarc.msxfaq.net  text = "v=DMARC1; p=none; rua=mailto:dmarc@carius.de,mailto:dmarc@25reports.com; ruf=mailto:dmarc@carius.de"
  • DMARC Auswertung
    An die angegebenen Adressen senden verschiedene Systeme ihre XML-Berichte über eingegangene Mails. Sie können so erkennen, wer von wo mit ihrer Domain sendet und welche Ergebnisse die SPF/DKIM-Prüfungen ergeben. Es ist nun an der Zeit die legitimen Absender zu finden und auch mit DKIM-Signaturen und SPF-Einträgen zu versehen, damit Sie zuverlässig erkannt werden und die Spammer/Phishing-Systeme später abgelehnt werden
  • DMARC Enforcement
    Wenn Sie sicher sind, alles korrekt aufgesetzt zu haben, dann stellen wir "p=reject" ein.
PS C:\> nslookup -q=TXT _dmarc.msxfaq.net
Nicht autorisierende Antwort:
_dmarc.msxfaq.net  text = "v=DMARC1; p=reject; rua=mailto:dmarc@carius.de,mailto:dmarc@25reports.com; ruf=mailto:dmarc@carius.de"
  • Weitere Reports
    Die Empfänger mit DMARC-Report-Funktion werden weiter ihre Berichte senden und sie können schön sehen, wer ihre Domain missbrauchen möchte. Achten Sie aber auch auf neue Versender, die Sie oder eine beauftragte Marketing-Agentur, Cloud-Service o.ä. betreibt und noch besser konfiguriert werden sollen.

Das ist nur eine sehr kurze Beschreibung aber sollte ihnen zeigen, wie wichtig korrekt konfigurierte SPF/DKIM/DMARC-Einträge sind. Mit DMARC bekommen Sie mittlerweile von vielen Servern entsprechende Rückmeldungen, um ihre Einträge zu kontrollieren und anzupassen. Zudem werden Zielserver ihre strenge Vorgaben honorieren und einige Empfänger, 4.B. Google, drosseln den Empfang, wenn Sie ihre Domain nicht "sicher" konfiguriert haben. SPF/DKIM/DMARC ist aber kein Schutz gegen Spam, da auch Spammer ähnlich klingende Domains kaufen, entsprechend sicher veröffentlichen und nutzen können. Aber es ist ein Schutz gegen Fälschungen und und Phishing ihrer richtigen Domain und dann können Reputationssysteme effektiver arbeiten. Wiederholen Sie diese Einstellungen für all ihre Domains.

Weitere Links