DNS-Werkzeuge: DMARC
Schritt 1:
Sie benötigen für DMARC einen SPF und DKIM-Eintrag. Sollten Sie diese Einträge noch nicht gesetzt haben, folgen Sie bitte zuerst den entsprechenden Anleitungen bei uns:SPF
DKIM (bei Versand über unsere Mailserver)
DKIM (bei Versand über externe Mailserver)
Mit DMARC können Sie Empfehlungen geben, wie ein Empfänger-Server bei Verstößen gegen SPF und DKIM mit einer E-Mail verfahren soll. Außerdem haben Sie die Möglichkeit sich bei Verstößen informieren zu lassen.
Schritt 2:
Loggen Sie sich im KAS (technische Verwaltung) ein und klicken Sie auf Tools -> DNS-Einstellungen.Bearbeiten Sie die Domain, für die Sie DNS Änderungen vornehmen möchten, und klicken Sie anschließend auf neuen DNS-Eintrag erstellen.
Schritt 3:
Als Name geben Sie "_dmarc" an. Der DNS-Eintrag für DMARC hat den Typ "TXT". Eine PRIO gibt es nicht. Der Eintrag bei Data kann z.b. so aussehen:
v=DMARC1; p=reject; rua=mailto:mail@ihre-domain.de; ruf=mailto:mail@ihre-domain.de; adkim=s; aspf=r
Parameter und Wert werden mit einem Gleichheitszeichen (=) ohne Leerzeichen dazwischen angegeben und mit einem Semikolon (;) abgeschlossen.
erforderliche Parameter:
v = DMARC-Version, muss den Wert "DMARC1" enthalten und an erster Stelle stehen
p = Richtlinie für die Domain, wie ein Empfänger-Server bei Verstößen gegen SPF und DKIM mit einer E-Mail verfahren soll, es gibt folgende mögliche Werte:
none - keine Massnahmen
quarantine - betreffende E-Mail als suspekt behandeln und z. B. entsprechend markieren oder in den Spam Ordner verschieben
reject - betreffende E-Mail ablehnen
optionale Parameter:
sp = Richtlinie für die Subdomains
pct = die Anzahl der E-Mail-Nachrichten in Prozent, auf die die DMARC-Richtlinie angewendet werden soll, Standard sind 100 Prozent
rua = durch Komma getrennte Liste der E-Mail-Adressen, an die der Gesamtbericht gesendet werden soll
ri = max. Interval in Sekunden, der zwischen dem Versand der einzelnen Gesamtberichte bestehen darf, Standard sind "86400" Sekunden = 24 Stunden
ruf = durch Komma getrennte Liste der E-Mail-Adressen, an die ein detaillierter Bericht zu den E-Mail-Nachrichten, die die DMARC-Auswertung nicht bestanden haben, gesendet werden soll
rf = Format für detaillierten Bericht, Standard und aktuell einziges unterstütztes Format ist "afrf"
fo = Optionen für den detaillierten Bericht, Optionen sind "0", "1", "d" und "s", mehrere Optionen werden durch Doppelpunkt getrennt,
z. B. "fo=0:s", Standard ist "fo=0"
fo=0 - es wird ein Bericht erstellt, wenn gegen SPF und DKIM verstoßen wird
fo=1 - es wird ein Bericht erstellt, wenn gegen SPF oder DKIM verstoßen wird
fo=d - es wird ein Bericht erstellt, wenn gegen DKIM verstoßen wird
fo=s - es wird ein Bericht erstellt, wenn gegen SPF verstoßen wird
adkim = Abgleichmodus DKIM, Standard ist "r"
s (strict mode) - Domain aus DKIM Signatur und die Domain aus dem FROM des E-Mail-Headers müssen übereinstimmen
r (relaxed mode) - es kann auch eine Subdomain verwendet werden
aspf = Abgleichmodus SPF, Standard ist "r"
s (strict mode) - Domains aus dem FROM des E-Mail-Headers und des sogenannten SMTP-Umschlags müssen übereinstimmen
r (relaxed mode) - es kann auch eine Subdomain verwendet werden
zusätzlicher Hinweis zu "rua" und "ruf":
Wenn die E-Mail-Adressen für die Berichte zu einer anderen Domain gehören, dann benötigt diese andere Domain einen DNS-Eintrag als Einverständnis.
Der DMARC-Eintrag ist z. B. für die Domain example.com und die E-Mail-Adressen gehören zu ihre-domain.de, dann muss folgender DNS-Eintrag bei ihre-domain.de vorgenommen werden:
example.com._report._dmarc.ihre-domain.de TXT "v=DMARC1"Support & FAQ durchsuchen