Die drei Verfahren SPF, DKIM und DMARC wurden entwickelt, um Spam zu reduzieren, das Fälschen von Absenderadressen über nicht legitimierte Mailserver zu verhindern, die Authentizität von Nachrichten sicherzustellen und den Missbrauch von Emails zu reduzieren.
Dabei bauen die Verfahren aufeinander auf, d.h. SPF -> DKIM -> DMARC , es ist zwar möglich, z.B. DKIM ohne SPF einzusetzen, oder DMARC ohne DKIM, aber bessere Erkennungsraten lassen sich natürlich mit dem kompletten Satz von Einträgen erreichen.
Alle 3 Methoden werden als TXT-Eintrag am DNS-Server für jede Domain einzeln angelegt. Bei einem Plesk-Server ist die Erstellung der Records sehr einfach.
SPF: Sender Policy Framework
SPF prüft, ob der sendende Mailserver im zugehörigen TXT-Record der Domain aufgelistet ist. Ein beliebter Eintrag für SPF lautet:
v=spf1 a mx -all
Dabei wird definiert, dass SPF Version 1 verwendet wird, Mails von der IP des A-Record der Domain legitim sind, Mails von der IP des MX der Domain legitim sind, und Mails, die den vorhergehenden Kriterien nicht entsprechen, abgelehnt werden sollen. Dieser Eintrag ist noch erweiterbar (z.B. mit einem include - damit werden weitere IPs von einem anderen TXT-Record übernommen), im Prinzip werden aber dadurch IP-Adressen von Servern definiert, die für diese Domain als sendender Mailserver legitim sind.
DKIM: DomainKeys Identified Mail
Hierbei fügt der sendende Emailserver eine digitale Signatur zu jeder Nachricht hinzu. Der empfangende Server kann dann mithilfe des öffentlichen Schlüssels, der via DNS TXT Eintrag für die Domain veröffentlicht ist, die Signatur prüfen. Schlägt die Prüfung fehl, kann der empfangende Server die Annahme der Nachricht verweigern, je nach Konfiguration.
DKIM besteht aus 2 TXT Records, einmal der öffentliche Schlüssel, und ein Hinweis ob die Nachrichten signiert sind oder nicht.
Der öffentliche Schlüssel des DKIM muss am sendenden Server erzeugt werden. Bei Plesk müssen Sie lediglich in der Domain auf die Email-Einstellungen gehen und auf "Konfiguration eines externen DNS-Servers" klicken, anschließend werden beide DNS-Records kopierfertig angezeigt, Sie können sie so direkt in Ihren DNS-Server eintragen.
Der Signier-Hinweis besteht nur aus 3 Zeichen: o=-
Dies sagt aus dass alle Nachrichten dieser Domain signiert sind und so zu behandeln sind.
DMARC: Domain-based Message Authentication, Reporting and Conformance
SPF und DKIM definieren, wer eine Mail senden darf - DMARC definiert, wie der empfangende Server mit den Nachrichten umgehen soll.
In DMARC kann festgelegt werden, wie viele Nachrichten geprüft werden sollen (z.B. 50% oder 100%), und was zu tun ist wenn die Prüfung fehlschlägt (nichts, Quarantäne, Ablehnen). Außerdem kann noch festgelegt werden, ob ein Bericht erstellt/versendet werden soll, und wie streng die Prüfung ist.
Im einfachsten Fall reicht ein
v=DMARC1; p=reject;
Damit werden alle empfangenen Nachrichten einer Domain geprüft, und nicht konforme Nachrichten abgelehnt, allerdings wird kein Bericht versendet. Möchten Sie die Berichtsfunktion verwenden, müssen Sie noch ein rua=mailto:email@domain.de; hinzufügen. Dies ist sinnvoll, wenn Sie genau überwachen möchten, ob jemand vesucht Ihre Domain als Spamdomain zu missbrauchen.
Wie immer sitzt dabei der Teufel im Detail. Bei einem sehr hohen Prozentsatz von Domains wird formal zwar SPF, DKIM und DMARC eingesetzt - da die Konfiguration jedoch auch sehr 'lasche' Einstellungen (alles trotzdem akzeptieren) nach dem Motto "lieber 365 Tage im Jahr Spam zulassen statt einer Nachricht im Jahr verpassen" erlaubt, wird oft genauso verfahren. Handelt man so, darf man sich allerdings nicht wundern, wenn empfangener Spam nicht zurückgeht, bzw jede Menge gefälschte Email-Nachrichten hereinkommen, oder Unbefugte die Domain als Spamversender missbrauchen.
Empfehlung von google zu DMARC, bzw zur policy "none" (p=none;):
Zitat:
Wir raten davon ab, DMARC für Ihre Organisation oder Domain zu deaktivieren. Ohne DMARC können Hacker und andere böswillige Nutzer die Identität von Nachrichten so fälschen, dass sie den Anschein erwecken, aus Ihrer Organisation oder Domain zu stammen. Dadurch besteht für Ihre Nutzer und Ihre Kontakte die Gefahr von Spam, Spoofing und Phishing.
Fazit:
Sollten Sie unsicher sein, ob Sie SPF, DKIM und DMARC verwenden sollen, lautet unsere ganz klare Empfehlung: ja
Gerne können wir Ihnen dabei behilflich sein, die entsprechenden DNS-Record einzutragen. Dies ist ein einmaliger Vorgang, d.h. wenn diese 3 Schutzmaßnahmen einmal eingerichtet sind und funktionieren, muss nichts weiter unternommen werden.
Quelle:
https://support.google.com/a/answer/2466563?hl=de
