DNS-Werkzeuge: DMARC
Schritt 1:
Mit DMARC können Sie Empfehlungen geben, wie ein Empfänger-Server bei Verstößen gegen SPF und DKIM mit einer E-Mail verfahren soll. Außerdem haben Sie die Möglichkeit sich bei Verstößen informieren zu lassen.Die DNS-Einträge für SPF und DKIM zur Verwendung mit unserem Mailserver sind standardmäßig angelegt.
Sofern Sie über externe Mailserver Ihre E-Mails versenden, passen Sie vorher den standardmäßigen SPF an Ihre Anforderungen an und hinterlegen Sie den öffentlichen DKIM-Schlüssel des externen Mailservers.
Folgen Sie dazu bitte zuerst diesen Anleitungen:
SPF
DKIM (bei Versand über externe Mailserver)
Schritt 2:
Standardmäßig wird bei uns folgender DMARC-Eintrag gesetzt:v=DMARC1; p=none;
Damit werden bei einem Verstoß keine Maßnahmen ausgeführt.
Diese Anleitung beschreibt, wie Sie den standardmäßigen DMARC-Eintrag anpassen oder einen neuen Eintrag anlegen können, wenn dieser nicht vorhanden ist.
Schritt 3:

Schritt 4:

Schritt 5:

Schritt 6:

Schritt 7:

Als Name wird immer "_dmarc" verwendet. Der DNS-Eintrag für DMARC hat den Typ "TXT". Eine Prio gibt es nicht. Der Eintrag bei Data/Value kann z. B. so aussehen:
v=DMARC1; p=reject; rua=mailto:mail@ihre-domain.de; ruf=mailto:mail@ihre-domain.de; adkim=s; aspf=r
Parameter und Wert werden mit einem Gleichheitszeichen (=) ohne Leerzeichen dazwischen angegeben und mit einem Semikolon (;) abgeschlossen.
erforderliche Parameter:
v = DMARC-Version, muss den Wert "DMARC1" enthalten und an erster Stelle stehen
p = Richtlinie für die Domain, wie ein Empfänger-Server bei Verstößen gegen SPF und DKIM mit einer E-Mail verfahren soll, es gibt folgende mögliche Werte:
none - keine Massnahmen
quarantine - betreffende E-Mail als suspekt behandeln und z. B. entsprechend markieren oder in den Spam Ordner verschieben
reject - betreffende E-Mail ablehnen
optionale Parameter:
sp = Richtlinie für die Subdomains
pct = die Anzahl der E-Mail-Nachrichten in Prozent, auf die die DMARC-Richtlinie angewendet werden soll, Standard sind 100 Prozent
rua = durch Komma getrennte Liste der E-Mail-Adressen, an die der Gesamtbericht gesendet werden soll
ri = max. Interval in Sekunden, der zwischen dem Versand der einzelnen Gesamtberichte bestehen darf, Standard sind "86400" Sekunden = 24 Stunden
ruf = durch Komma getrennte Liste der E-Mail-Adressen, an die ein detaillierter Bericht zu den E-Mail-Nachrichten, die die DMARC-Auswertung nicht bestanden haben, gesendet werden soll
rf = Format für detaillierten Bericht, Standard und aktuell einziges unterstütztes Format ist "afrf"
fo = Optionen für den detaillierten Bericht, Optionen sind "0", "1", "d" und "s", mehrere Optionen werden durch Doppelpunkt getrennt,
z. B. "fo=0:s", Standard ist "fo=0"
fo=0 - es wird ein Bericht erstellt, wenn gegen SPF und DKIM verstoßen wird
fo=1 - es wird ein Bericht erstellt, wenn gegen SPF oder DKIM verstoßen wird
fo=d - es wird ein Bericht erstellt, wenn gegen DKIM verstoßen wird
fo=s - es wird ein Bericht erstellt, wenn gegen SPF verstoßen wird
adkim = Abgleichmodus DKIM, Standard ist "r"
s (strict mode) - Domain aus DKIM Signatur und die Domain aus dem FROM des E-Mail-Headers müssen übereinstimmen
r (relaxed mode) - es kann auch eine Subdomain verwendet werden
aspf = Abgleichmodus SPF, Standard ist "r"
s (strict mode) - Domains aus dem FROM des E-Mail-Headers und des sogenannten SMTP-Umschlags müssen übereinstimmen
r (relaxed mode) - es kann auch eine Subdomain verwendet werden
zusätzlicher Hinweis zu "rua" und "ruf":
Wenn die E-Mail-Adressen für die Berichte zu einer anderen Domain gehören, dann benötigt diese andere Domain einen DNS-Eintrag als Einverständnis.
Der DMARC-Eintrag ist z. B. für die Domain example.com und die E-Mail-Adressen gehören zu ihre-domain.de, dann muss folgender DNS-Eintrag bei ihre-domain.de vorgenommen werden:
example.com._report._dmarc.ihre-domain.de TXT "v=DMARC1"Support & FAQ durchsuchen