Technologische Neuigkeiten, Bewertungen und Tipps!
Blogs

Was ist ein DMARC-Eintrag? Die neue DMARC-Richtlinie von Gmail erklärt

August 6, 2024
Was ist ein DMARC-Eintrag? Die neue DMARC-Richtlinie von Gmail erklärt

Was ist ein DMARC-Eintrag? Die neue DMARC-Richtlinie von Gmail erklärt

Was ist ein DMARC-Eintrag? Und welche neue Richtlinie verfolgt Gmail dazu?

Wenn Sie im E-Mail-Vermarkter tätig sind, sind Sie sich wahrscheinlich der neuen Richtlinie von Gmail für Massenversender bewusst, die besagt, dass diese DMARC-Einträge für ihre Domänen implementieren müssen.

Und wenn Sie eine DMARC-Prüfung Ihrer Domäne ausgeführt und keinen solchen Datensatz gefunden haben, sind Sie wahrscheinlich etwas verwirrt.

In diesem Beitrag erklären wir, was ein DMARC-Eintrag ist und geben Googles Empfehlungen zum Einrichten eines solchen Eintrags.

Was ist ein DMARC-Eintrag?

DMARC steht für Domain-based Message Authentication Reporting and Conformance und bedeutet im übertragenen Sinne, dass DMARC Teil des Prozesses zur Authentifizierung von E-Mails ist, die von E-Mail-Adressen gesendet werden, die Ihre Domäne verwenden.

Andere Teile dieses Prozesses umfassen Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM)-Datensätze.

Die E-Mail-Authentifizierung beginnt mit diesen Datensätzen. Wenn eine von Ihrer Domain gesendete E-Mail die SPF- und DKIM-Authentifizierung nicht besteht, verwendet der empfangende Server die in Ihrem DMARC-Datensatz gespeicherte Richtlinie, um zu bestimmen, was mit der E-Mail zu tun ist.

Einfach ausgedrückt verhindern die SPF- und DKIM-Authentifizierung, dass von Ihrer Domain gesendete E-Mails im Spam-Ordner landen.

Wenn jedoch eine E-Mail von Ihrer Domain gesendet wird tut Wenn die SPF- und DKIM-Authentifizierung fehlschlägt, was passieren kann, wenn Ihre Domäne für Phishing-Betrug verwendet wird, kann der empfangende Server Ihren DMARC-Eintrag verwenden, um die E-Mail unter Quarantäne zu stellen oder abzulehnen.

Kurz gesagt sind SPF, DKIM und DMARC notwendige E-Mail-Authentifizierungsmethoden, die Spoofing verhindern, indem sie es empfangenden E-Mail-Servern ermöglichen, festzustellen, ob eine E-Mail tatsächlich von der Domäne im „Von:“-Feld der E-Mail gesendet wurde oder ob sie in Wirklichkeit von einem Spammer gesendet wurde, der eine echte Domäne verwendet hat, die ihm nicht gehört, damit die E-Mail legitim erscheint.

DMARC-Richtlinie vs. DMARC-Eintrag vs. DMARC-Bericht

Wenn wir über DMARC sprechen, verwenden wir normalerweise einen dieser drei Begriffe: DMARC-Richtlinie, DMARC-Eintrag und DMARC-Bericht.

Eine DMARC-Richtlinie ist ein kleines Codeskript, das einem empfangenden E-Mail-Server Anweisungen gibt, was zu tun ist, wenn Ihre E-Mail die SPF- und DKIM-Authentifizierung nicht besteht.

Sie können eine von drei Optionen in Ihre Police aufnehmen:

  • Keiner – Weist den E-Mail-Server an, keine Aktion auszuführen. E-Mails, die die Authentifizierung nicht bestehen, werden wie gewohnt an den Empfänger gesendet.
  • Quarantäne – Sendet die E-Mail an den Spam-Ordner des Empfängers.
  • Ablehnen – Schickt die E-Mail zurück an Ihren Server und verhindert so, dass sie überhaupt an den Empfänger gesendet wird. Möglicherweise erhalten Sie sogar eine Nachricht, die Sie darüber informiert, dass Ihre E-Mail zurückgeschickt wurde und nie beim Empfänger angekommen ist.

Was ist ein DMARC-Eintrag?

Ein DMARC-Eintrag ist ein DNS-TXT-Eintrag, der das Skript enthält, aus dem Ihre DMARC-Richtlinie besteht.

Sie fügen diesen DNS-TXT-Eintrag dort hinzu, wo Sie Ihre Domain verwalten. Dies ist normalerweise der Ort, an dem Sie sie registriert haben, aber Sie können DNS-Einträge auch zu einem Dienst wie Cloudflare hinzufügen, wenn Sie Cloudflare als CDN verwenden möchten.

So könnte ein typischer DMARC-Eintrag aussehen:

v=DMARC1; p=quarantine; adkim=s; aspf=s;

Dies mag auf den ersten Blick kompliziert erscheinen, wir können es jedoch in einige verschiedene Teile aufteilen:

  • v=DMARC1 – Dadurch wird der TXT-Eintrag als DMARC-Eintrag definiert, da nicht alle TXT-Einträge DMARC-Einträge sind.
  • p=Quarantäne – Dadurch wird die Richtlinienoption auf „Quarantäne“ gesetzt, Sie können sie aber auch auf „Keine“ oder „Ablehnen“ setzen.
  • adkim=s – Mit diesem Tag können Sie die DKIM-Authentifizierung auf „streng“ einstellen, Sie können sie aber auch auf „r“ für entspannt setzen.
  • aspf=s – Genau wie das vorherige Tag setzt dieses die SPF-Authentifizierung auf „streng“, Sie können sie aber auch auf „locker“ setzen.

Was ist ein DMARC-Bericht?

Ein DMARC-Bericht ist ein automatisierter Bericht, den Sie an eine bestimmte E-Mail-Adresse senden lassen können und der Informationen zu Authentifizierungsversuchen enthält.

DMARC-Berichte können Ihnen mitteilen, ob legitime E-Mails die SPF- und DKIM-Authentifizierung nicht bestehen und wenn Spammer Ihre Domain für Spoofing-Betrug verwenden.

Hier sind einige Daten, die Sie möglicherweise in einem DMARC-Bericht sehen:

  • Server oder Domänen von Drittanbietern, die versucht haben, E-Mails von Ihrer Domäne zu senden.
  • Prozentsatz der von Ihrer Domäne gesendeten E-Mails, die die DMARC-Authentifizierung bestanden haben.
  • Server und Dienste, die fehlgeschlagene DMARC-Authentifizierungsversuche ausgelöst haben.
  • DMARC-Aktionen (keine, unter Quarantäne stellen oder ablehnen) – Empfangsserver haben E-Mails übernommen, deren Authentifizierung fehlgeschlagen ist.

Um DMARC-Berichte zu erhalten, müssen Sie der Richtlinie in Ihrem DMARC-Eintrag lediglich ein zusätzliches Tag hinzufügen. Dies ist das „rua“-Tag, mit dem Sie eine E-Mail-Adresse angeben können, an die empfangende Server Berichte senden sollen:

v=DMARC1; p=quarantine; adkim=s; aspf=s; rua=mailto:example@domain.com;

Für DMARC-Berichte empfiehlt es sich jedoch, einen Analysedienst eines Drittanbieters zu verwenden, da dieser die Berichte in ein einfacher zu verwendendes Format komprimieren kann.

In diesem Fall würden Sie die E-Mail-Adresse des Drittanbieterdienstes in Ihrem DMARC-Eintrag auflisten.

Warum ist ein DMARC-Eintrag für das E-Mail-Marketing wichtig?

Warum ist ein DMARC-Eintrag für Ihre Domain für das E-Mail-Marketing wichtig?

Den wichtigsten Grund dafür, einen DMARC-Eintrag als DNS-Eintrag für Ihre Domäne aufzunehmen, haben wir bereits genannt: um zu verhindern, dass Ihre Domäne für Phishing-Betrug verwendet wird.

Das bedeutet, dass Sie auch SPF- und DKIM-Einträge eingerichtet haben sollten. Ein empfangender Server verwendet diese Authentifizierungsmethoden, um festzustellen, ob die Domäne im Feld „Von“ mit der Domäne des Servers übereinstimmt, der die E-Mail sendet.

Grundsätzlich verwenden empfangende Server die Authentifizierungsmethoden SPF und DKIM, um festzustellen, ob diese E-Mails von Ihnen oder von Spammern gesendet werden.

Wenn die Authentifizierung einer E-Mail fehlschlägt, weist die Richtlinie in Ihrem DMARC-TXT-Eintrag den empfangenden Server an, was mit der E-Mail zu tun ist.

So sind Ihre Abonnenten, Kunden, Mitarbeiter und Kollegen vor Phishing-Versuchen geschützt.

Es ist außerdem wichtig, Richtlinien im Hinterkopf zu behalten, wie sie Google und Yahoo! eingeführt haben.

Diese Richtlinien besagen, dass alle E-Mails, die Sie an Gmail- und Yahoo!-E-Mail-Adressen senden, blockiert werden, wenn Sie nicht über einen DMARC-Eintrag verfügen.

Da es sich hierbei um einige der am häufigsten verwendeten E-Mail-Clients im Internet handelt, möchten Sie nicht, dass Ihre E-Mails von deren Servern blockiert werden.

Und aufgrund ihrer großen Beliebtheit werden andere E-Mail-Clients diesem Beispiel wahrscheinlich folgen und von Ihnen die Einrichtung von SPF-, DKIM- und DMARC-Einträgen verlangen.

Was passiert, wenn Sie Ihre Domain nicht für E-Mail-Marketing verwenden?

Was ist, wenn Sie keine E-Mail-Liste haben? Müssen Sie trotzdem SPF-, DKIM- und DMARC-Einträge einrichten?

Die kurze Antwort lautet: Ja.

Auch wenn Sie kein E-Mail-Marketing betreiben, kann Ihre Domain dennoch für Phishing-Betrug verwendet werden.

Darüber hinaus können sogar direkte E-Mails blockiert werden, wenn Sie diese Aufzeichnungen nicht haben.

Was ist die DMARC-Richtlinie von Google?

Die DMARC-Richtlinie von Google trat am 1. Februar 2024 in Kraft. Sie zielt auf Massenversender ab, die 5.000 oder mehr E-Mails pro Tag versenden.

Wenn dies auf Sie zutrifft, finden Sie hier alle Anforderungen, die Sie erfüllen müssen, um erfolgreich Marketing-E-Mails an Gmail-Posteingänge zu senden (einige gelten für alle Absender):

  • Richten Sie die SPF-Authentifizierung für Ihre E-Mail-Domäne ein.*
  • Richten Sie die DKIM-Authentifizierung für Ihre E-Mail-Domäne ein.*
  • Richten Sie gültige Forward- und Reverse-DNS-Einträge, auch PTR-Einträge (Pointer) genannt, zum Senden von Domänen ein.*
  • Verwenden Sie für die E-Mail-Übertragung eine TLS-Verbindung.*
  • Halten Sie eine Spam-Rate unter 0,10 % in Postmaster-Tools und nie 0,30 % erreichen.*
  • Formatieren Sie E-Mails entsprechend der Internet Message Format-Standard.*
  • Imitieren Sie keine Gmail-Absender-Header.*
  • Fügen Sie ausgehenden Nachrichten ARC-Header hinzu, wenn Sie E-Mails häufig weiterleiten.*
  • Richten Sie die DMARC-Authentifizierung für Ihre Domäne ein.
  • Bei direkten E-Mail-Nachrichten muss die Domäne in Ihrem „Von:“-Header mit Ihrer SPF- oder DKIM-Domäne übereinstimmen.
  • Marketing-E-Mails und E-Mails, deren Erhalt die Empfänger abonniert haben, müssen einen gut sichtbaren Abmeldelink enthalten, der mit einem Klick aufgerufen werden kann.

*Diese Anforderung gilt für alle Absender, nicht nur für Massenversender.

Um die neue Richtlinie von Google einzuhalten, müssen Sie für Ihre Domain einen DMARC-Eintrag einrichten, um E-Mails an Gmail-Posteingänge senden zu können, wenn Sie ein Massenversender sind, der mehr als 5.000 E-Mails pro Tag versendet.

Welche DMARC-Richtlinie empfiehlt Google?

Es gibt mehrere Tags, die Sie einem DMARC-Eintrag hinzufügen können. Einige davon haben wir bereits behandelt, darunter Ihre primäre Richtlinienoption (keine, Quarantäne oder Ablehnen).

Aber was empfiehlt Google, der Eigentümer eines der beliebtesten E-Mail-Clients der Welt?

Offiziell empfiehlt Google, Ihre Richtlinie auf „Ablehnen“ zu setzen.

Google empfiehlt jedoch auch, Ihre Richtlinie zunächst auf „keine“ zu setzen, was folgendermaßen aussieht:

v=DMARC1; p=none;

Das bedeutet, dass Ihre E-Mails auch dann an den Empfänger gesendet werden, wenn Ihre Domain die SPF- und DKIM-Authentifizierung nicht besteht. So können Sie testen, wie Ihre E-Mails von den Empfangsservern wahrgenommen werden.

Google empfiehlt, Ihre Richtlinie schrittweise von „keine“ auf „Quarantäne“ zu ändern:

v=DMARC1; p=quarantine;

Und dann schließlich „ablehnen“:

v=DMARC1; p=reject;

Dadurch haben Sie Zeit, DMARC-Berichte zu sammeln und zu analysieren, während Sie den Spam-Score Ihrer Domäne in den Postmaster Tools überwachen. So können Sie Ihre Sende-Einstellungen optimieren, bevor Sie die Empfangsserver anweisen, E-Mails abzulehnen, die die Authentifizierung nicht bestehen.

Welche Ausrichtungsrichtlinien empfiehlt Google?

Sie können zwischen einer „strengen“ und einer „lockeren“ Ausrichtungsoption für die SPF- und DKIM-Authentifizierung wählen. Google empfiehlt, die Option zu wählen, die für Ihre Art des E-Mail-Versands am sinnvollsten ist.

So sieht Ihr DMARC-Eintrag mit „strikter“ Ausrichtung und einer „Ablehnungs“-Richtlinie zunächst einmal aus:

v=DMARC1; p=reject; adkim=s; aspf=s;

Und hier ist derselbe Datensatz mit einer „entspannteren“ Ausrichtung:

v=DMARC1; p=reject; adkim=r; aspf=r;

Bei der SPF-Authentifizierung wird die Domäne in Ihrer Rücksendepfadadresse mit der Domäne in der Adresse in Ihrem Von:-Header verglichen.

Ihre Return Path-Adresse ist die E-Mail-Adresse, von der Sie Benachrichtigungen über zurückgewiesene Nachrichten erhalten. Mit anderen Worten: Wenn eine von Ihnen gesendete E-Mail nicht zugestellt werden kann, ist die Return Path-Adresse die E-Mail-Adresse, die die Benachrichtigung erhält.

Mithilfe dieser Tabelle kann Google feststellen, wann die SPF-Authentifizierung je nach der von Ihnen gewählten Ausrichtungsoption möglicherweise fehlschlägt:

Rückwegadresse Von: Header-Adresse Strikte Ausrichtung Entspannte Ausrichtung
jon@solarmora.com jon@solarmora.com Passieren Passieren
jon@mail.solarmora.com jon@solarmora.com Scheitern Passieren
jon@solarmora.org jon@solarmora.com Scheitern Scheitern

Kurz gesagt: Wenn Ihre Rücksendepfadadresse und die Von:-Headeradresse dieselbe Domäne verwenden, verwenden Sie eine strikte Ausrichtung, obwohl auch eine lockere Ausrichtung funktioniert.

Wenn Sie zum Senden von E-Mails oder Empfangen von Benachrichtigungen über zurückgewiesene Nachrichten eine Subdomäne verwenden, verwenden Sie eine entspannte Ausrichtung.

Wenn die Top-Level-Domain (TLD) in der Domain Ihrer Return-Path-Adresse nicht mit der TLD in der Domain Ihrer From: Header-Adresse übereinstimmt (wie im Beispiel von Google „solarmora.org“ vs. „solarmora.com“), schlägt die Authentifizierung fehl.

Die DKIM-Authentifizierung überprüft, ob die Domäne im Domänenfeld der DKIM-Signatur mit der Domäne in Ihrer „Von:“-Headeradresse übereinstimmt.

Für diese Authentifizierungsstufe verwendet Google diese Tabelle, um Ihnen dabei zu helfen, zu ermitteln, wann die DKIM-Authentifizierung basierend auf der von Ihnen gewählten Ausrichtungsoption fehlschlagen könnte:

Von: Kopfzeile DKIM d=Domäne Strikte Ausrichtung Entspannte Ausrichtung
jon@solarmora.com solarmora.com Passieren Passieren
jon@mail.solarmora.com solarmora.com Scheitern Passieren
jon@solarmora.org solarmora.com Scheitern Scheitern

Wie Sie sehen, ist dies ziemlich identisch mit den Ausrichtungsoptionen für die SPF-Authentifizierung.

Wenn Ihre Domänen übereinstimmen, können Sie eine strikte oder eine lockere Ausrichtung verwenden.

Wenn Sie für eine eine Subdomäne verwenden, verwenden Sie eine entspannte Ausrichtung.

Wenn Ihre TLDs nicht übereinstimmen, schlägt die Authentifizierung fehl.

So ermitteln Sie Ihre Rücksendeadresse

Senden Sie eine E-Mail von Ihrer E-Mail-Marketing-E-Mail-Adresse an Ihre persönliche E-Mail-Adresse.

Öffnen Sie die E-Mail in einem Browser und verwenden Sie diese einfachen Schritte, um die E-Mail-Adresse zu identifizieren, die Ihnen als Rücksendeadresse zugewiesen ist:

Für Gmail:

  1. Drücken Sie die Hamburger-Schaltfläche neben der Schaltfläche „Antworten“.
  2. Klicken Sie auf „Original anzeigen“.
  3. Verwenden Sie die Suchfunktion Ihres Browsers (Strg/Befehl+F), um nach „return-path“ zu suchen.

Für Microsoft Outlook:

  1. Klicken Sie mit der rechten Maustaste in die E-Mail.
  2. Klicken Sie auf Quelle anzeigen.
  3. Verwenden Sie die Suchfunktion Ihres Browsers (Strg/Befehl+F), um nach „Rücksendepfad“ oder „Umschlag von“ zu suchen.

Für Yahoo!:

  1. Klicken Sie in der oberen Leiste auf die Hamburger-Schaltfläche.
  2. Klicken Sie auf „Rohnachricht anzeigen“.
  3. Verwenden Sie die Suchfunktion Ihres Browsers (Strg/Befehl+F), um nach „return-path“ zu suchen.

Für Apple Mail:

  1. Gehen Sie zu Ansicht → Nachricht → Alle Kopfzeilen.
  2. Suchen Sie im rechten Lesebereich nach „Return-Path“.

Abschließende Gedanken

Das ist alles, was Sie über DMARC-Einträge und die entsprechenden Richtlinien von Google wissen müssen. Diese besagen, dass Sie als Massenversender einen solchen Eintrag für Ihre Domain eingerichtet haben müssen.

Verwenden Sie ein Tool wie MxToolbox wenn Sie Hilfe beim Generieren einer DMARC-Richtlinie benötigen.

Dieses Tool kann sogar die E-Mail-Zustellbarkeit testen und Berichte für Sie zusammenstellen.

Sie bieten auch forensische Berichte an, aber denken Sie daran, dass Gmail diese Art von Berichten nicht unterstützt.

Sie sollten auch in der Wissensdatenbank Ihres DNS-Hosts nachsehen, wie Sie bei ihm SPF-, DKIM- und DMARC-Einträge einrichten.

Your Header Sidebar area is currently empty. Hurry up and add some widgets.