DMARC funktioniert heute, also implementieren Sie es auch heute! Verbessern Sie Ihre Zustellbarkeit, und pflegen Sie eine gute Beziehung zur ISP Community. Tun Sie dies nicht, so konkurrieren Sie mit den b\u00f6sen Jungs, die auch versuchen, nicht wie b\u00f6se Jungs auszusehen.\u201d<\/em><\/p>\n Marcel Becker<\/p>\n Director Product,<\/p>\n Mail AOL<\/p>\n <\/p>\n \u201cMit der steigenden Anzahl von E-Mail Bedrohungen und Spearphishing sollte jedes Unternehmen eine E-Mail-Authentifizierung, insbesondere DMARC, mit hoher Priorit\u00e4t umsetzen um seine Kunden, Mitarbeiter und seinen Brand zu sch\u00fctzen.<\/em><\/p>\n E-Mail Authentifizierung und eine strenge DMARC Policy k\u00f6nnen Sie vor einer Rufsch\u00e4digung durch Spoofing Ihrer Domain sch\u00fctzen. Da gro\u00dfe E-Mail Empf\u00e4nger zunehmend auf Domain-basierte Reputation vertrauen, ist dies entscheidend f\u00fcr die kontinuierliche Zustellbarkeit Ihrer E-Mail.\u201d<\/em><\/p>\n Terry Zink<\/p>\n Program Manager<\/p>\n Microsoft Corporation<\/p>\n <\/p>\n CSA: \u201cSollten E-Mail Versender Ihrer Meinung nach DMARC implementieren? Wenn ja, warum?\u201d<\/em><\/p>\n Sri Somanchi: \u201cJa, es ist eine einfache M\u00f6glichkeit um sicher zu stellen, dass ihre Domain (und der Brand) nicht durch gef\u00e4lschte E-Mails gef\u00e4hrdet wird und E-Mail Nutzer vor Phishing Angriffen gesch\u00fctzt werden.\u201d<\/em><\/p>\n CSA: \u201cK\u00f6nnen E-Mail Versender mit einer besseren Zustellbarkeit rechnen, nachdem sie DMARC implementiert haben? Welchen Vorteil sehen Sie hier f\u00fcr die Versender, und wie geht Google mit Versendern um, die DMARC nicht einsetzen?\u201d<\/em><\/p>\n Sri Somanchi: \u201cW\u00e4hrend Zustellbarkeit und DMARC in keiner direkten Beziehung zueinander stehen, steigert der von DMARC gebotene Identit\u00e4tsschutz das Vertrauen des Empf\u00e4ngers in den Absender und verhindert dabei, dass der Anwender die E-Mail irrt\u00fcmlicherweise als Spam markiert. DMARC sorgt au\u00dferdem daf\u00fcr, dass die Reputation des Versenders nicht durch gef\u00e4lschte E-Mails zu leiden hat.\u201d<\/em><\/p>\n Sri Somanchi<\/p>\n Google<\/p>\n <\/p>\n Durch die Implementierung von DMARC k\u00f6nnen Marketeers sicherstellen, dass ihre Identit\u00e4t nicht missbraucht wird. Dieser Missbrauch k\u00f6nnte einen gro\u00dfen Schaden der ISP Infrastruktur und der Markenreputation verursachen und bei dem Brand in einem Vertrauensverlust seitens der Kunden resultieren.<\/p>\n Marketeers im Bereich E-Mail Marketing sollten das Thema der Implementierung von DMARC bei Ihrem E-Mail Service Provider ansprechen. Die Certified Senders Alliance bietet zu diesem Thema Informationen und Unterst\u00fctzung auf dem CSA Summit vom 20- 22 April 2016 in K\u00f6ln, Deutschland, an.<\/p>\n <\/p>\n <\/p>\n Sehen wir uns die Wertsch\u00f6pfungskette an. Es gibt immer ein Unternehmen (Brand), das eine E-Mail an einen Empf\u00e4nger zustellen m\u00f6chte. Manchmal nimmt sich der Brand einen Email Service Provider (ESP) zu Hilfe, der die technische Auslieferung \u00fcbernimmt. Der Internet Service Provider (ISP), dem die Mailbox des Empf\u00e4ngers geh\u00f6rt, muss entscheiden, ob er die E-Mail entgegen nimmt oder ablehnt.<\/p>\n Der Postausgangsserver des E-Mail Service Providers verbindet sich mit dem Posteingangsserver des ISPs. Der ISP sieht die IP-Adresse des Verbindungsservers.<\/p>\n Entlang der E-Mail Wertsch\u00f6pfungskette gibt es Unterschiedliche Kommunikationslevel zwischen den Servern. Je h\u00f6her das Level, desto ausgefeilter die Kommunikation und somit die Wahrscheinlichkeit der Zustellung bzw. des Schutzes vor Phishing.<\/p>\n <\/p>\n Der E-Mail Server des ISPs \u00fcberpr\u00fcft im Domain Name System, ob die IP-Adresse wirklich zum Host Domain Namen geh\u00f6rt, wie im HELO angegeben. Auch wenn diese \u00dcberpr\u00fcfung erfolgreich abl\u00e4uft, ergeben sich f\u00fcr den ISP Probleme in Bezug auf die eindeutige Identifizierung des Versenders: IP- Adressen k\u00f6nnen weitergegeben oder geteilt werden, so dass es viele Brands geben k\u00f6nnte, die von dieser IP senden oder gesendet haben. Au\u00dferdem k\u00f6nnte der Domain Name gef\u00e4lscht sein.<\/p>\n Fazit:<\/strong> ISPs verlassen sich nicht auf diese einfache Art der Kommunikation, wenn es darum geht, eine E-Mail zuzustellen oder nicht, da die IP-Adresse gef\u00e4lscht sein k\u00f6nnte oder mehrere Domains einer IP-Adresse zugeordnet sein k\u00f6nnen. Ersteres gilt auch f\u00fcr den Host Domain Namen. Des Weiteren haben sie zu dem Zeitpunkt noch keine Information \u00fcber die Mailfrom Domain erhalten. Somit wird die E-Mail eventuell nicht zugestellt.<\/strong><\/p>\n <\/p>\n ISPs \u00fcberpr\u00fcfen die Mailfrom Domain der E-Mail, um herauszufinden, wer diese tats\u00e4chlich verfasst hat. Ein Problem besteht jedoch nach wie vor: Die Mailfrom Domain k\u00f6nnte von jemandem missbraucht werden, der vorgibt der Besitzer der Domain zu sein.<\/p>\n Fazit: ISPs verlassen sich bei der Entscheidung, eine E-Mail zuzustellen oder nicht auf diese Form der erweiterten Kommunikation. Folglich wird die E-Mail eventuell nicht zugestellt.<\/strong><\/p>\n Die \u201cEnvelope\u201c Pr\u00fcfung erm\u00f6glicht den Brands, IP-Adressen im DNS zu listen. Diese sind dann autorisiert f\u00fcr den Versand von E-Mails mit ihrer Mailfrom Domain. Die Auflistung der IP-Adressen kann auch von dem ESP durchgef\u00fchrt werden wie oben beschrieben. Brands stehen dabei m\u00f6glicherweise vor der organisatorischen Herausforderung, die gesamte Liste der IP-Adressen zu identifizieren und zugleich jeglichen Missbrauch einer Mailfrom Domain fr\u00fchzeitig verhindern zu k\u00f6nnen. Der SPF Failure Report ist ein erforderliches Aufnahmekriterium der CSA.<\/p>\n Fazit:<\/strong> ISPs verlassen sich nicht allein auf SPF Checks, da ein Brand (Mailfrom Domain Besitzer), der von der gleichen (geteilten) IP versendet wie ein anderer Brand, dessen Markenidentit\u00e4t missbrauchen k\u00f6nnte. Dieses potenzielle Risiko steigt mit der Anzahl des Mailfrom Domain Versandes \u00fcber die gleichen IPs. Infolgedessen wird die E-Mail eventuell nicht zugestellt.<\/strong><\/p>\n Die \u201cHeader mit digitaler Unterschrift\u201d Pr\u00fcfung: Die digitale Unterschrift eines Brands oder ESPs (mittels der Technik DKIM) erm\u00f6glicht es den ISPs zu beweisen, dass die versendende Domain wirklich die ist, die sie vorgibt zu sein. Es gibt zwei Schl\u00fcssel, die generiert werden m\u00fcssen, um DKIM signierte E-Mails versenden zu k\u00f6nnen: Ein privater Schl\u00fcssel, der dazu verwendet wird, die Unterschrift herzustellen, und ein \u00f6ffentlicher Schl\u00fcssel, mit dem die ISPs die Unterschrift \u00fcberpr\u00fcfen k\u00f6nnen. Der ESP generiert beide Schl\u00fcssel und beh\u00e4lt den privaten Schl\u00fcssel. Der \u00f6ffentliche Schl\u00fcssel muss von dem Brand im DNS bereitgestellt werden. Alternativ kann der Brand dem ESP eine Domain- oder Subdomain Delegation erteilen, der dann die Herausgabe des \u00f6ffentlichen Schl\u00fcssels \u00fcbernimmt.<\/p>\n Fazit:<\/strong> ISPs vertrauen auf DKIM, da es die eindeutige Identifikation eines Brands erm\u00f6glicht. Jedoch kann es weiterhin zu Missbrauch von Schl\u00fcsseln kommen. Das DKIM Verfahren ist zwingende Anforderung der CSA Aufnahmekriterien. Nur DKIM und SPF zusammen erm\u00f6glichen es den ISPs, eine Entscheidung bez\u00fcglich der Zustellung oder Nicht-Zustellung zu treffen basierend auf der realen Mailfrom Domain und der dazugeh\u00f6rigen IP-Adresse. Sind DKIM und SPF nicht eingerichtet, oder die \u00dcberpr\u00fcfung schl\u00e4gt fehl, kann der ISP nur eine Entscheidung f\u00e4llen im Hinblick auf die IP-Reputation samt ihrer Problematik in Punkt 1. Folglich landen die E-Mails mit gro\u00dfer Wahrscheinlichkeit im Spam Ordner.<\/strong><\/p>\n <\/p>\n Die \u201cwie gehe ich mit E-Mails um, bei denen DKIM und SPF fehlschlagen?\u201d DMARC ist eine Policy, die von Brands im DNS der Mailfrom Domain ver\u00f6ffentlicht werden kann. Sie schl\u00e4gt dem ISP vor, wie er mit E-Mails umgehen sollte, bei denen die DKIM oder SPF Pr\u00fcfungen fehlschlagen. M\u00f6gliche Optionen: \u201enone\u201c (=normale Zustellung), \u201equarantine\u201c oder \u201ereject\u201c. Bei jeder fehlgeschlagenen DKIM oder SPF Pr\u00fcfung erhalten die Brands einen Bericht, wobei der \u201eDaily Aggregated Report\u201c am h\u00e4ufigsten vorkommt. Gr\u00fcnde f\u00fcr ein Fehlschlagen k\u00f6nnen auftreten, wenn der Besitzer der Mailfrom Domain teilweise selbst versendet (ohne SPF & DKIM) und zum Teil \u00fcber einen ESP. Dies kann zu Verwirrung seitens des ISPs f\u00fchren, dass der Mailstream gef\u00e4lscht sei und daher geblockt wird. Kurz gesagt, der Bericht erm\u00f6glicht den Brands Folgendes:<\/p>\n \u2022 Seine Kunden zu sch\u00fctzen, indem potenziell Phishing und deren Quellen erkannt werden<\/p>\n \u2022 Ihre Infrastruktur zu analysieren und IP-Adressen ohne SPF und DKIM abzuschalten<\/p>\n \u2022 DKIM und SPF f\u00fcr IP-Adressen einzurichten, die zu dem Brand geh\u00f6ren und nach erfolgreicher Einrichtung aus zuk\u00fcnftigen Berichten verschwinden werden<\/p>\n In seinem detaillierten Rechtsgutachten \u00fcber DMARC empfiehlt die eco Kompetenz Gruppe E-Mail deutschen ISPs, \u201eAggregated Reports\u201c zu versenden.<\/p>\n Autoren: Julia Jan\u00dfen-Holldiek, Manager ISP Relations & Business Development<\/p>\n <\/p>\n 1 DMARC = Domain-based Message Authentication, Reporting and Conformance of messages (https:\/\/dmarc.org<\/a>)<\/p>\n 2 https:\/\/business.kaspersky.com\/spam-and-phishing-in-q1-2015-banks-and-banking-trojans\/4113\/<\/a><\/p>\n 3 http:\/\/pages.cyren.com\/TrendReport_2015Q1.html?utm_campaign=ALL_ALL_2015_Q1_Trend_Report&utm_medium=press_release&utm_source=press_release<\/a><\/p>\nMicrosoft:<\/h3>\n
Google:<\/h3>\n
Fazit:<\/h3>\n
Anhang<\/h3>\n
Wie DMARC in das antispam und anti-phishing Toolkit der ISPs passt<\/h3>\n
![\"\"](\"https:\/\/certified-senders.org\/wp-content\/uploads\/2020\/10\/dmarc_brand-300x95.png\")
<\/p>\n1. Einfache Kommunikation: Die \u201cEnvelope\u201d Pr\u00fcfung:<\/h4>\n
2. Erweiterte Kommunikation: Die \u201cHeader\u201d Pr\u00fcfung:<\/h4>\n
<\/h4>\n
3. Erweiterte Kommunikation mit dem Sender Policy Framework:<\/h4>\n
<\/h4>\n
4. Erweiterte Kommunikation mit Domain Keys Identified Mail (DKIM)<\/h4>\n
5. 5. Moderne Kommunikation mit DMARC:<\/h4>\n
\n