Einführung

Was ist DMARC?

Domain-based Message Authentication, Reporting and Conformance (DMARC) ist ein E-Mail-Authentifizierungs-, Richtlinien- und Berichtsprotokoll. Es ermöglicht den Inhabern von E-Mail-Domains, ihre Domains vor missbräuchlicher Nutzung (z. B. Spoofing- oder Phishing-Angriffe) zu schützen.

Was ist ein DMARC-Eintrag?

Ein DMARC-Eintrag ist ein im DNS gespeicherter TXT-Datensatz, der es E-Mail-Empfängern ermöglicht, die Authentizität der empfangenen E-Mails zu überprüfen. Er fügt sich in das bestehende Authentifizierungsverfahren für eingehende E-Mails ein und hilft E-Mail-Empfängern festzustellen, ob eine Nachricht mit den Informationen, die der Empfänger über den Absender kennt, "übereinstimmt".
Unternehmen bzw. Organisationen stehen drei Optionen für den Umgang mit “non-aligned”, also nicht-anforderungsgerechten Nachrichten zur Verfügung:

• • • “p = none” (keine Durchführung)
    • “p = quarantine”
    • “p = reject”

Damit DMARC ordnungsgemäß funktioniert, müssen zuvor die Protokolle Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM) eingerichtet werden. Ein DMARC-Eintrag kann über internetbasierte Tools überprüft werden, z. B. mit https://domain-checker.valimail.com/dmarc

Warum DMARC?

Die Implementierung von DMARC bietet Ihnen vier wesentliche Vorteile:

• • • Sicherheit
      Du schützt dich vor Spam, Betrug und Phishing, da die unbefugte Nutzung deiner E-Mail-Domain verhindert wird.
    • Sichtbarkeit
      Du erhältst detaillierte Berichte darüber, wer bzw. was E-Mails über deine Domain versendet.
    • Zustellbarkeit
      Du erhöhst die Zustellbarkeit deiner E-Mails um 5-10%. Deine E-Mails werden nicht mehr als SPAM markiert.
    • Markenschutz
      Du schützt deine Marke vor Angriffen, die auf die Identität abzielen

Schritt-für-Schritt-Anleitung

SPF-Eintrag einrichten

1. Erstelle eine Liste mit all deinen Domains, von denen aus E-Mails versendet werden.
2. Erstelle eine Liste mit all deinen IPs, von denen aus E-Mails versendet werden, inklusive:
   
   1. • Webserver
      • Mailserver im Büro
      • Mailserver des ISP
      • sämtliche Mailserver von Drittanbietern
3. Erstelle den SPF-Eintrag in einem Text-Editor und speichere ihn. Wir empfehlen die Verwendung eines SPF-Generators.
   1. • Beispiel 1: v=spf1 ip4:1.2.3.4 ip4:2.3.4.5 ip4:x.x.x.x -all
      • Beispiel 2: v=spf1 ip4:1.2.3.4 ip4:2.3.4.5 include:thirdparty.com -all
4. Erstelle nun den DNS-Eintrag. Dieser Eintrag muss für jede Domain erstellt werden, von der aus E-Mails versendet werden.
   
   1. • Name der Sub = frei lassen
      • RR Typ = TXT
      • Wert = der SPF-Eintrag mit der Server-IP (nutze ggf. einen SPF-Generator)
5. Verwende ein SPF-Tool, um sicherzustellen, dass alle Einträge korrekt eingerichtet wurden.

DKIM-Eintrag einrichten

DKIM (DomainKeys Identified Mail) ist ein E-Mail-Authentifizierungsstandard, der Kryptographie mit Public und Private Keys verwendet, um E-Mail-Nachrichten zu signieren. Dadurch wird verhindert, dass Nachrichten während der Übertragung manipuliert werden. Der DomainKey wird auf dem Server generiert und anschließend in der Zone gespeichert. Gehe hier wie folgt vor:

1. Trage den DomainKey auf dem Server ein.
   • • Beispiel: “standard._domain.beispiel.com” = Hostname
2. Generiere ein Paar aus Public und Private Key für deine Domain(s).
   • • Windows-User: z. B. unter Verwendung von PUTTYGen
     • Linux-/Mac-User: z. B. unter Verwendung von ssh-keygen
3. Erstelle für die relevante(n) Domain(s) im DNS einen neuen TXT-Eintrag.
   
   • • Name der Sub = default._domainkey
     • RR Typ = TXT
     • Wert = der DomainKey des Servers beginnend mit v=DKIM1; (kann ggf. direkt im Plesk Frontend aktiviert werden)

Resource Record(s) anlegen

DMARC-Monitoring-Modus einrichten

Richte DMARC ein, um mit dem Monitoring deines aktuellen E-Mail-Verkehrs zu starten. So erhälst du eine solide Grundlage dafür, was zugelassen wird sowie dafür, was letztendlich von DMARC unter Quarantäne gestellt oder zurückgewiesen wird.

Die Überwachung deines Datenverkehrs mit DMARC

1. Stelle sicher, dass die SPF- und DKIM-Einträge korrekt eingerichtet sind.
2. Erstelle den DMARC-Eintrag.
   • • Name der sub = _dmarc
     • RR Typ = TXT
     • Wert = v=DMARC;p=none; rua=mailto:dmarcreports@yourdomain.com
3. Prüfe mit einem DMARC-Test-Tool deinen DMARC-Eintrag.

DMARC von Reporting auf Quarantäne/Ablehnen umstellen

Der DMARC-Eintrag sollte solange im Reporting-Modus bleiben, bis alle Fehler/Fragen behoben oder geklärt sind. Dieser Prozess kann viel Zeit in Anspruch nehmen. Diese Investition lohnt sich jedoch.

1. Öffne den DMARC-Eintrag und ändere ihn wie folgt:
   
   • • "p=none” to “p=quarantine”
     • Beispiel: “v=DMARC;p=quarantine;pct=10;rua=mailto:dmarcreports@deinedomain.com”
2. Füge das Kennzeichen "pct" hinzu, um den Prozentsatz der Nachrichten, die gefiltert werden, zu bestimmen. Wir empfehlen, mit 10% zu starten.

3. Wenn du besser damit vertraut bist, erhöhe den Prozentsatz der gefilterten Nachrichten schrittweise auf "pct=100" (100%)
   

   Hinweis

   Um die BIMI- (BIMI = Brand Indicators for Message Identification) und VMC-Standards zu erfüllen, musst du "pct=100" erreichen. Als Verfahrensmodus kannst du aber entweder "Quarantäne" oder "Ablehnen" verwenden.

   Wichtig: Sobald Sie eine 100%ige Filterung erreicht haben, können Sie zu "p=reject" übergehen, der höchsten Sicherheitsstufe.

4. Öffne den DMARC-Eintrag und ändere ihn wie folgt:
   
   • • “p=quarantine” zu “p=reject”
     • Beispiel:“v=DMARC;p=reject;pct=100;rua=mailto:dmarcreports@deinedomain.com

5. Speichere den Eintrag.
   

   Tipp

   Behalte das Monitoring in dieser Phase bei, um zu vermeiden, das legitime E-Mails abgelehnt oder gelöscht werden.

VMC-Logo für den Upload vorbereiten

Das Wichtigste vorab: Für den Kauf eines VMCs muss dein Logo im SVG-Format (Scalable Vector Graphic) vorliegen. Konkret: Die .SVG-Logo-Datei muss dem SVG Portable/Secure (SVG-P/S)-Profil entsprechen.
Derzeit gibt es noch keine Exportvorlage für Vektor-Anwendungen wie Adobe Illustrator. Nutze daher folgendes Best-Practice-Verfahren, um dein Logo VMC-tauglich zu machen.

1. Wandle Pixel in ein Vektor-Format um (‘.ai’, ‘.eps’, ‘.pdf’, ‘.svg’).
   Pixel-basierte Logos funktionieren nicht. Daher muss das Brand-Logo ggf. in ein Vektor-Format umgewandelt werden. Bei viele Markenlogos werden Wortmarken und Schriftarten verwendet, die leicht zu konvertieren sind. Logos mit komplexeren Grafiken müssen möglicherweise überarbeitet werden, um das Design vektorkompatibel zu machen.
   

2. Exportiere das Logo als SVG Tiny 1.2.
   Liegt das Logo im Vektor-Format vor, muss es als SVG Tiny 1.2 Profil exportiert werden. In Adobe Illustrator® kann dies über "Speichern unter" erfolgen:
   
   

   Hinweis: Die Größe des VMC-Logos darf maximal 32 KB betragen.

   1. • Stelle sicher, dass dein Logo im Vektor-Format ('.ai', '.eps', '.pdf', '.svg') vorliegt.
      • Öffne deine Datei in Adobe Illustrator.
      • Speichere deine Datei mit der Option "Speichern unter".
      • Benenne die Datei im Dialogfeld und wähle im Dropdown-Menü "Format" die Option "SVG (svg)".
      • Klicke auf "Speichern" und warte, bis sich ein neues Dialogfeld öffnet.
      • Wähle nun in der Dropdown-Liste "SVG-Profile" die Option "Tiny 1.2" und klicke auf "OK".
        

3. Öffne deine SVG-Datei in einem Text- oder Code-Editor (z. B. Notepad, Notepad++).

   Hinweis: Da es sich bei SVG-Dateien um Text-Dateien handelt, ist die wichtigste Voraussetzung, dass du die Datei öffnen, bearbeiten und wieder in einem "txt"-Format mit der Datei-Erweiterung ".svg" speichern kannst.

4. Nachdem du die Datei geöffnet hast, sind ein paar Änderungen vorzunehmen.

   1. • Überprüfe ob in der SVG-Dateiquelle die folgende Einstellungen in der Kopfzeile enthalten sind. Folgende Informationen müssen zwingend vorhanden sein:
        xmlns=http://www.w3.org/2000/svg
        version=”1.2
        baseProfile=”tiny-ps“
      • Eventuell stehen am Anfang deiner Datei noch weitere Informationen. Die SVG-Dateiquelle könnte dann wie folgt aussehen:
        <svg version="1.2" baseProfile="tiny-ps" id="Layer_1" xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" viewBox="0 0 1080 1080“
        xml:space="preserve">
      • Nachdem du die Datei aus Illustrator exportiert hast, musst du das baseProfile in tiny-ps ändern und die Elemente x=, y= und overflow löschen.
      • Speichere nun deine Datei erneut im Textformat mit der Datei-Erweiterung ".svg

5. Die Zeilen müssen mit LF enden.
   Die SVG-Spezifikation schreibt vor, dass die Zeilen in der SVG-Datei mit Zeilenvorschüben oder LF-Zeichen enden müssen. Das SVG-Exportwerkzeug von Illustrator enthält CR LF. In einigen Texteditoren werden standardmäßig auch Carriage Returns oder CR-Zeichen oder eine Kombination aus CR/LF verwendet. Die Spezifikation verlangt jedoch, dass nur LF-Zeichen verwendet werden.
   

   Tipp

   Wir empfehlen die Verwendung eines Text-Editors wie Notepad++, um diese Konvertierung durchzuführen und die CR-LF-Zeichen wie folgt zu visualisieren:
   Ansicht → Symbol anzeigen → Zeilenende anzeigen
   Bearbeiten → EOL-Konvertierung → Unix (LF)

6. Speichere deine Datei erneut im Textformat mit der Datei-Erweiterung ".svg".
   Die Datei ist nun im benötigten SVG-Format erstellt.
   

   Tipp

   • Am besten eignen sich Bilder mit einem quadratischen Seitenverhältnis (1:1).
   • Das Bild sollte so zentriert werden, dass es optimal in einem Quadrat, einem abgerundeten Quadrat oder einem Kreis angezeigt wird.
   • Nicht-transparente Hintergründe sind ideal, da die Transparenz-Darstellung schwer einschätzbar ist.

   Hinweis

   Beachte, dass die  endgültige Anzeige des Logos von den jeweiligen E-Mail-Clients der Empfänger abhängt. So kann es zu Unterschieden bei der Darstellung des Logos im Client und des ursprünglich hochgeladenen Logos kommen.