Die Authentifizierung mittels DMARC kann die Kommunikation via eMail noch sicherer und vertrauenswürdiger machen. Nachdem Google und Yahoo 2024 die Anforderungen an eMail-Versender verschärft haben, rücken die sogenannten DMARC-Einstellungen von Domains verstärkt in den Blickpunkt.
An der Entwicklung der DMARC-Spezifikation waren neben Google und Yahoo auch Microsoft, AOL, PayPal und andere beteiligt. DMARC steht für »Domain-based Message Authentication, Reporting, and Conformance«. Dabei handelt es sich um ein öffentliches Protokoll zur eMail-Authentifizierung, das in Kombination mit SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail) überprüft, ob eine eMail tatsächlich von einer legitimen Quelle stammt. SPF legt fest, welche IP-Adressen berechtigt sind, eMails über eine Domain zu versenden; DKIM fügt jeder ausgehenden eMail eine digitale Signatur hinzu, die von der Empfängerseite überprüft werden kann. Im Ergebnis sorgt dieser Sicherheitsmechanismus dafür, dass nur authentifizierte Systeme eMails im Namen einer Domain versenden können, womit er vor Betrugsversuchen wie Phishing oder eMail-Spoofing schützt und zugleich die eigene Zustellbarkeit verbessert und eine Einstufung als Spam verringert.
Der Inhaber einer Domain spezifiziert anhand gegebener Regeln (RFC 7489) eine DMARC-Policy für eine Absender-Domain. Diese Policy beschreibt, wie Empfängerserver mit den eMails des Absenders umgehen, wenn die DKIM- bzw. SPF-Authentifizierung erfolgreich ist oder fehlschlägt. Damit Empfängerserver die DMARC-Richtlinie des Absenderservers lesen können, wird sie in den Domain Name System beim genutzten Webhoster als TXT Resource Record in Form eines frei definierten Textes eingetragen. Den DKIM-Key und den SPF-Record trägt man ebenfalls dort ein, alternativ oder – idealerweise – zusammen. Wenn nun eine eMail über das DNS versandt wird, kann der Empfänger eine DKIM-Prüfung und eine SPF-Prüfung vornehmen, indem er den TXT Resource Record bei der Versenderdomain abruft. So wird bei der DKIM-Prüfung im Rahmen des Entschlüsselungsprozesses überprüft, ob die eMail in unveränderter Form vom angezeigten Absender stammt. Fällt die positiv aus, wird die eMail zugestellt. Bei negativen Ausgang findet eine SPF-Prüfung statt. Bei der SPF-Prüfung, die auch unabhängig stattfinden kann, wenn beide Verfahren eingesetzt werden, wird überprüft, ob die IP-Adresse, über die die eMail von einer bestimmten Domain aus versendet wurde, zum Versand autorisiert ist. Fällt das Ergebnis positiv aus, wird die eMail zugestellt. Schlägt diese Prüfung fehl, kann, soweit noch nicht geschehen, eine DKIM-Prüfung durchgeführt werden. Fällt jeweils die zweite Prüfung (SPF nach DKIM oder DKIM nach SPF) ebenfalls negativ aus, dann greift die DMARC-Policy, die regelt, wie mit der eMail zu verfahren ist. In der DMARC-Policy gibt es drei „Richtlinien“, die ausgeführt werden können: »none« (Approve): die eMail wird zugestellt; »quarantine«: die eMail wird zugestellt, aber als Spam deklariert; »reject«: die eMail wird abgelehnt, eine Zustellung findet nicht statt.
Nutzer setzen sich am besten mit ihrem eMail-Anbieter in Verbindung, um zu klären, welche Einstellungen wo vorzunehmen sind. Die verschiedenen Anbieter stellen üblicherweise Anleitungen bereit. Kunden des Starnberger Domain-Registrars united-domains GmbH (dessen Projekt dieser Newsletter und domain-recht.de sind), finden dazu eine aktuelle Anleitung im Blog unter united-domains.de.