In unserem letzten Beitrag haben wir erläutert, wie Sie Ihr Logo in das korrekte Format für BIMI/VMC konvertieren. In diesem Beitrag widmen wir uns dem nächsten Schritt: der Konfiguration von DMARC für Ihr Unternehmen.
Was ist DMARC?
DMARC (Domain-based Message Authentication, Reporting and Conformance) ist ein Protokoll für die E Mail-Authentifizierung, Richtlinien und Berichterstellung, mit dem Unternehmen ihre Domain vor Spoofing, Phishing und anderen Formen der unberechtigten Nutzung schützen können. Um sich für ein VMC zu qualifizieren, muss Ihr Unternehmen zunächst die DMARC-Anforderungen erfüllen.
Warten Sie nicht lange
Dieser Prozess dauert gewöhnlich um so länger, je größer Ihr Unternehmen ist, und kann Wochen oder sogar Monate in Anspruch nehmen. Am besten beginnen Sie also sofort.
Dieser Blogartikel soll Ihnen einen groben Überblick über den grundlegenden Ablauf geben. Wenn Sie eine detailliertere, schrittweise Anleitung suchen, empfehlen wir Ihnen, unseren umfassenden DMARC- und BIMI-Leitfaden herunterzuladen.
Das brauchen Sie
Bevor Sie anfangen, vergewissern Sie sich, dass Sie Folgendes haben:
Schritt 1: Tragen Sie die IP-Adressen für das SPF zusammen
Der erste Schritt auf dem Weg zur DMARC-Compliance ist die Einrichtung eines Sender Policy Frameworks (SPF). Damit wird verhindert, dass nicht autorisierte IP-Adressen von Ihrer Domain E Mails versenden.
Doch zunächst sollten Sie eine Liste aller autorisierten IP-Adressen erstellen, die Sie finden können und die zurzeit E Mails von Ihrer Domain verschicken,
zum Beispiel:
Wenn Sie nicht alle IP-Adressen finden, können Sie die Liste mithilfe der DMARC-Überwachung (Schritt 4) vervollständigen. Insgesamt sparen Sie jedoch Zeit, wenn Sie vorab so viele Adressen wie möglich zusammentragen.
Schritt 2: Erstellen Sie einen SPF-Eintrag für Ihre Domain(s)
Erstellen Sie als Nächstes in Ihrem bevorzugten Texteditor für jede Domain einen SPF-Eintrag.
Beispiel 1: v=spf1 ip4:1.2.3.4 ip4:2.3.4.5 ip4:x.x.x.x -all
Beispiel 2: v=spf1 ip4:1.2.3.4 ip4:2.3.4.5 include:thirdparty.com -all
Wenn Sie fertig sind, speichern Sie die Datei und stellen Sie sie Ihrem DNS zur Verfügung.
Verwenden Sie ein SPF-Tool (z. B. dieses von unserem Partner Valimail), um sicherzugehen, dass alles korrekt eingegeben wird.
Schritt 3: Richten Sie DKIM ein
DKIM ist ein Standard zur E-Mail-Authentifizierung durch asymmetrisch verschlüsselte Signaturen. Er dient dem Schutz von E-Mails vor Manipulation während der Übertragung.
Windows: Verwenden Sie PUTTYGen.
Linux/Mac: Verwenden Sie ssh-keygen.
Dieser sollte folgendermaßen aussehen: v=DKIM1; p=YourPublicKey
Schritt 4: Überwachen, Kommunizieren, Wiederholen
Jetzt kommt der wichtigste Schritt, der auch die meiste Zeit beansprucht. Sie müssen DMARC für die Überwachung Ihres aktuellen E Mail-Verkehrs konfigurieren, um eine solide Grundlage dafür zu schaffen, was durchgelassen werden soll und was von DMARC isoliert oder abgelehnt wird.
HINWEIS: Die Versuchung ist wahrscheinlich groß, direkt zur Durchsetzung Ihrer Richtlinien überzugehen. Es zahlt sich jedoch aus, sich die Zeit für die Überwachung zu nehmen, da Sie dadurch verhindern, dass später, wenn DMARC voll im Einsatz ist, wichtige Mitteilungen blockiert oder unwiederbringlich gelöscht werden.
So aktivieren Sie die Überwachung des Datenverkehrs durch DMARC:
Das Namensschema für den DMARC-Eintrag im Textformat lautet „_dmarc.ihre_domain.com“.
Beispiel: v=DMARC1;p=none; rua=mailto:dmarcreports@ihre_domain.com
Falls Sie den DNS-Server Ihrer Domain selbst verwalten, erstellen Sie analog zum SPF- und DKIM-Eintrag einen DMARC-Eintrag „p=none“ (Überwachungsmodus).
Wenn Ihr DNS-Server extern betreut wird, bitten Sie Ihren DNS-Anbieter, den DMARC-Eintrag zu erstellen.
Hinweis: Die Replikation dauert in der Regel 24–48 Stunden.
DMARC beginnt dann mit der Erstellung von Berichten, die Ihnen einen weitreichenden Einblick in den E Mail-Verkehr, der über Ihre Domain läuft, gibt, darunter auch alle von SPF und DKIM beanstandeten Nachrichten.
Wichtig: Während dieses Schritts finden Sie heraus, ob legitime Absender in dem Bericht auftauchen, die in Ihrem ursprünglichen SPF-Eintrag (Schritt 1) fehlten. Wenn dies der Fall ist, müssen Sie den Eintrag entsprechend aktualisieren.
Das Problem: Die Berichte werden als eine XML-Datei erstellt, die nicht so ganz einfach zu lesen ist. Und da Sie einiges an Zeit mit der Prüfung dieser Daten verbringen werden, empfehlen wir nachdrücklich die Nutzung eines Tools für die Aufbereitung von DMARC-Berichten (wie dieses von Valimail), da sie hierdurch erheblich einfacher lesbar werden.
Schritt 5: Verschärfen Sie allmählich die Durchsetzung
Wenn Sie den E Mail-Verkehr lange genug beobachtet haben und der Meinung sind, alle fälschlicherweise als nicht autorisiert eingestuften Nachrichten identifiziert zu haben, können Sie zur Durchsetzung übergehen.
DMARC verfügt über zwei Durchsetzungsstufen: „isolieren“ und „ablehnen“. „Ablehnen“ ist natürlich viel sicherer, weshalb wir empfehlen, diese Stufe langfristig anzustreben. Für die Qualifizierung Ihrer Domain für ein VMC sind jedoch beide Stufen akzeptabel.
Bevor Sie zum Ablehnen übergehen, ist es sicherer, verdächtige Nachrichten eine Weile isolieren zu lassen. Und das geht so:
Beispiel:
v=DMARC1;p=quarantine;pct=10;rua=mailto:dmarcreports@ihre_domain.com
Wenn Sie 100 % Filterung erreicht haben, sind Sie offiziell für VMC qualifiziert und können zum Ablehnen übergehen.
Dies ist dankenswerterweise der einfachste Schritt:
Fertig! Sie haben sich offiziell eine umfassende Übersicht über die von Ihrer Domain verschickten Nachrichten verschafft, die Sicherheit für alle Benutzer erhöht, sich gegen eine große Zahl von Phishing-Angriffen gewappnet und Ihr Unternehmen für ein VMC-Zertifikat qualifiziert (sobald diese erhältlich sind).
Weitere Informationen darüber, wie Sie den E Mail-Zugang Ihres Unternehmens schützen können, bietet unser Blog über sicheren Fernzugriff auf E Mails.