DNS-Werkzeuge: DMARC

Schritt 1:

Mit DMARC können Sie Empfehlungen geben, wie ein Empfänger-Server bei Verstößen gegen SPF und DKIM mit einer E-Mail verfahren soll. Außerdem haben Sie die Möglichkeit sich bei Verstößen informieren zu lassen.

Die DNS-Einträge für SPF und DKIM zur Verwendung mit unserem Mailserver sind standardmäßig angelegt.

Sofern Sie über externe Mailserver Ihre E-Mails versenden, passen Sie vorher den standardmäßigen SPF an Ihre Anforderungen an und hinterlegen Sie den öffentlichen DKIM-Schlüssel des externen Mailservers.

Folgen Sie dazu bitte zuerst diesen Anleitungen:

SPF
DKIM (bei Versand über externe Mailserver)

Schritt 2:

Standardmäßig wird bei uns folgender DMARC-Eintrag gesetzt:

v=DMARC1; p=none;

Damit werden bei einem Verstoß keine Maßnahmen ausgeführt.

Diese Anleitung beschreibt, wie Sie den standardmäßigen DMARC-Eintrag anpassen oder einen neuen Eintrag anlegen können, wenn dieser nicht vorhanden ist.

Schritt 3:

DNS-Werkzeuge - DKIM (bei Versand über externe Mailserver), Bild 1
Loggen Sie sich im KAS (technische Verwaltung) ein und klicken Sie auf Tools -> DNS-Einstellungen.

Schritt 4:

DNS-Werkzeuge - DKIM (bei Versand über externe Mailserver), Bild 2
Bearbeiten Sie die Domain, für die Sie DNS-Änderungen vornehmen möchten.

Schritt 5:

DNS-Werkzeuge - DKIM (bei Versand über externe Mailserver), Bild 3
Klicken Sie beim vorhandenen DMARC-Eintrag auf Bearbeiten.

Schritt 6:

DNS-Werkzeuge - DKIM (bei Versand über externe Mailserver), Bild 4
Sollte kein DMARC-Eintrag vorhanden sein, klicken Sie auf neuen DNS-Eintrag erstellen.

Schritt 7:

DNS-Werkzeuge - DKIM (bei Versand über externe Mailserver), Bild 5

Als Name wird immer "_dmarc" verwendet. Der DNS-Eintrag für DMARC hat den Typ "TXT". Eine Prio gibt es nicht. Der Eintrag bei Data/Value kann z. B. so aussehen:

v=DMARC1; p=reject; rua=mailto:mail@ihre-domain.de; ruf=mailto:mail@ihre-domain.de; adkim=s; aspf=r

Parameter und Wert werden mit einem Gleichheitszeichen (=) ohne Leerzeichen dazwischen angegeben und mit einem Semikolon (;) abgeschlossen.

erforderliche Parameter:

v = DMARC-Version, muss den Wert "DMARC1" enthalten und an erster Stelle stehen

p = Richtlinie für die Domain, wie ein Empfänger-Server bei Verstößen gegen SPF und DKIM mit einer E-Mail verfahren soll, es gibt folgende mögliche Werte:

none - keine Massnahmen
quarantine - betreffende E-Mail als suspekt behandeln und z. B. entsprechend markieren oder in den Spam Ordner verschieben
reject - betreffende E-Mail ablehnen

optionale Parameter:

sp = Richtlinie für die Subdomains

pct = die Anzahl der E-Mail-Nachrichten in Prozent, auf die die DMARC-Richtlinie angewendet werden soll, Standard sind 100 Prozent

rua = durch Komma getrennte Liste der E-Mail-Adressen, an die der Gesamtbericht gesendet werden soll

ri = max. Interval in Sekunden, der zwischen dem Versand der einzelnen Gesamtberichte bestehen darf, Standard sind "86400" Sekunden = 24 Stunden

ruf = durch Komma getrennte Liste der E-Mail-Adressen, an die ein detaillierter Bericht zu den E-Mail-Nachrichten, die die DMARC-Auswertung nicht bestanden haben, gesendet werden soll

rf = Format für detaillierten Bericht, Standard und aktuell einziges unterstütztes Format ist "afrf"

fo = Optionen für den detaillierten Bericht, Optionen sind "0", "1", "d" und "s", mehrere Optionen werden durch Doppelpunkt getrennt,
z. B. "fo=0:s", Standard ist "fo=0"

fo=0 - es wird ein Bericht erstellt, wenn gegen SPF und DKIM verstoßen wird
fo=1 - es wird ein Bericht erstellt, wenn gegen SPF oder DKIM verstoßen wird
fo=d - es wird ein Bericht erstellt, wenn gegen DKIM verstoßen wird
fo=s - es wird ein Bericht erstellt, wenn gegen SPF verstoßen wird

adkim = Abgleichmodus DKIM, Standard ist "r"

s (strict mode) - Domain aus DKIM Signatur und die Domain aus dem FROM des E-Mail-Headers müssen übereinstimmen
r (relaxed mode) - es kann auch eine Subdomain verwendet werden

aspf = Abgleichmodus SPF, Standard ist "r"

s (strict mode) - Domains aus dem FROM des E-Mail-Headers und des sogenannten SMTP-Umschlags müssen übereinstimmen
r (relaxed mode) - es kann auch eine Subdomain verwendet werden


zusätzlicher Hinweis zu "rua" und "ruf":

Wenn die E-Mail-Adressen für die Berichte zu einer anderen Domain gehören, dann benötigt diese andere Domain einen DNS-Eintrag als Einverständnis.

Der DMARC-Eintrag ist z. B. für die Domain example.com und die E-Mail-Adressen gehören zu ihre-domain.de, dann muss folgender DNS-Eintrag bei ihre-domain.de vorgenommen werden:

example.com._report._dmarc.ihre-domain.de TXT "v=DMARC1"
Wie hilfreich fanden Sie diese Anleitung?

Support & FAQ durchsuchen

Seitensuche