E-Mail Brand Protection mit DMARC
Du möchtest verhindern, dass unbefugte Dritte deine E-Mail-Adresse vortäuschen können?
Oder landen deine E-Mails bei anderen häufig im Spamordner?
Dann haben wir wichtige Infos für Dich.
Der Schock saß tief.
"Warum hat niemand früher gemerkt, dass die Bestätigungs-E-Mails unseres Newsletters bei vielen Kunden nicht angekommen sind?
In unserem E-Mail-Monitoring hat es doch keine Auffälligkeiten gegeben.
Auch ein Test des Newsletterformulars mit unserer eigenen E-Mail-Adresse hat tadellos geklappt."
Weil die Bestätigungs-E-Mails des Newsletter die Empfänger nach der Anmeldung nicht erreichten, konnten sich zahlreiche ernsthafte Interessenten nicht zum Newsletter anmelden. Und weder die Interessenten noch das betroffene mittelständische IT-Systemhaus haben das bemerkt.
Doch wie konnte das passieren und was hat das Ganze mit dem Schutz vor gefälschten E-Mails und der E-Mail-Zustellbarkeit zu tun?
Das betroffene Unternehmen hatte eine gute Intention. Sie haben die Risiken, die von gefälschten E-Mail-Absenderadressen ausgehen, erstgenommen. Oder Maßnahmen zur besseren Reputation bei Spamfiltern unternommen. Daher haben sie für ihre Domains sogenannte SPF-Einträge und eine DMARC-Richtlinie gesetzt. Was versteht man unter SPF und DMARC?
Beide Standards stellen gemeinsam mit der digitalen Signatur DKIM allen Spamfiltern weltweit eine wichtige Information bereit:
Ob eine eingehende E-Mail von einem dazu berechtigten System versendet wurde oder nicht. Und was ein Spamfilter tun soll, wenn er eine E-Mail von einem System erhält, das nicht dazu berechtigt war, im Namen dieser E-Mailadresse zu versenden.
Ein sauber implementierter DMARC-Eintrag schickt E-Mails, die deine Absenderadresse fälschen, weltweit in Spamordner oder ins Nirvana.
Und er sorgt dafür, dass deine echten E-Mails und Newsletter deutlich seltener in den Spamordern Deiner Empfänger landen.
Wer diese Einträge setzt, orientiert sich meist an Anleitungen von E-Mail-Providern oder Newsletterdiensten.
Doch wenn dort steht: "Setze diesen SPF- und diesen DMARC-Record", dann bedeutet das in 99% der Fälle NICHT, dass man diesen Eintrag auch exakt so für die eigenen Domains setzen soll.
Denn bei der Implementierung von SPF, DKIM und DMARC müssen immer alle Systeme berücksichtigt werden, die E-Mails im Namen der eigenen Domains versenden. Dazu gehören neben den eigenen Mailservern auch Cloud-Services wie CRM-Tools, Newsletter und auch Webseiten.
Zusätzlich sind verschiedene Sondereffekte zu berücksichtigen, beispielsweise
- das Verhalten bei automatischen Weiterleitungen,
- die Vererbung bei Subdomains,
- das Limit von 10 DNS-Abfragen pro SPF-Eintrag,
- die Integration von E-Mail-Diensten, die DMARC nicht vollständig unterstützen,
- dass die angegebene E-Mail-Adresse für Benachrichtungen auch von allen anerkannt wird
- manche Konfigurationen datenschutzrechtlich bedenklich sein können
- dass E-Mail-Provider und Spamfilter sich in der Praxis manchmal anders verhalten, als es in den allgemeinen Spezifikationen festgelegt wurde.
Wenn E-Mails bestimmter Absender häufig in Spamordnern landen, haben fehlerhafte oder nicht vorhandene SPF-, DKIM- und DMARC-Einträge meist einen bedeutenden Anteil daran.
Fehlerhafte Konfigurationen in Bezug auf diese Standards betreffen nicht nur Selbstständige ohne IT-Abteilung, sondern auch Mittelständler und millardenschwere Konzerne.
Sowohl im Sinne der Sicherheit als auch der Zustellbarkeit von E-Mails ist es wichtig, solche Konfigurationen nicht einer zufällig über Google entdeckten SEO-optimierten Anleitung zu überlassen.
Wie bei jeder Securitymaßnahme, zählt auch bei SPF, DKIM und DMARC nicht, ob man auf einer Checkliste "ist gesetzt" abhaken kann, sondern ob sie richtig implementiert ist.
Unserer Erfahrung nach laufen DMARC-Implementationen meisten so ab:
- Die meisten bleiben dauerhaft in einem (wirkungslosen) Testmodus (fachlich korrekt ausgedrückt: DMARC Policy "none"). Der lässt sich zwar einfach konfigurieren, ist aber nur der ein erster Schritt. Er bietet weder Schutz vor Sicherheitsrisiken noch steigert er die Reputation der Domain bei Spamfiltern merklich.
- Bei denjenigen, die vom Testmodus in einen strikten Modus wechseln möchten, sind häufiger Trial und Error-Implementationen zu beobachten. Nach mehreren Tagen mit Zustellungsproblemen im strikten Modus wechseln sie wieder zurück in den (wirkungslosen) Testmodus. Das sorgt für Ärger bei Anwendern und wirkt wenig professionell.
- Andere wiederrum wechseln in einen strikten Modus und bemerken über Monate oder Jahre nicht, dass ihre E-Mails den Empfänger in bestimmten Szenarien nicht erreichen (so war es bei dem Anfangs erwähnten IT-Systemhaus). Übrigens: Auch der Verzicht auf das Setzen eines DMARC-Eintrags hilft nicht, denn ein falsch gesetzter SPF-Eintrag reicht in diesem Szenario bereits aus. Die Rückmeldungen anderer E-Mail-Servern werden in diesem Szenario entweder nicht angefordert oder nicht regelmäßig ausgewertet.
- Manche Implementationen bleiben lückenhaft, so es Betrügern weiterhin möglich bleibt, trotz korrekt gesetzter Spamfilter auf der Empfängerseite gefälschte E-Mails zuzustellen.
Die Variante mit dem dauerhaften Testmodus trifft meistens auch dann zu, wenn die Implementierung durch Marketingagenturen oder nicht darauf spezialisierte IT-Dienstleister erfolgt. Da der strikte Modus deutlich aufwändiger zu implementieren ist, tiefergehendes KnowHow erfordert und falsche Konfigurationen negative Konsequenzen für die Zustellbarkeit haben können, ist es für die meisten Dienstleister einfacher, lediglich den Testmodus zu konfigurieren.
Daher unsere dringende Empfehlung:
Schluss mit halbgaren Implementationen von DMARC, SPF und DKIM.
Spamfilter weltweit werden dich dafür mit einer besseren Zustellbarkeit und Sicherheit belohnen.
Doch wie sieht der Weg zu meiner optimalen DMARC-Implementation aus?
Du kannst es so machen wie ich (Thomas Fauser, Gründer und Inhaber von DMARC24) und dich aufwändig in das Thema einarbeiten. Dann über ein Jahr lang alles nur im Testmodus lassen und versuchen die Rückmeldungen der anderen Mailserver zu verstehen. Dabei ständig nach Erklärungen googlen oder dem Support von DMARC-Tool-Herstellern Löcher in den Bauch fragen, warum sich dies oder jenes so seltsam verhält. Um dann irgendwann nach über 100 investierten Stunden für ein Setup mittlerer Kompexität am Ziel anzukommen.
Oder du suchst dir Experten, die tagtäglich mit DMARC, SPF und DKIM arbeiten und mit dir gemeinsam einen Implementierungsplan erarbeiten.
Gerade um Zustellungsprobleme und Sicherheitslücken zu vermeiden, habe ich aus meiner Praxiserfahrung heraus ein 24-Schritte-DMARC-Implementierungssystem entwickelt, das auf jeden Kunden mit seinen individuellen Wünschen und bestehenden Systemen angepasst wird.
Mit DMARC24 kommst du deutlich schneller ans Ziel und musst nicht auch in all die Fallen tappen, in die ich bei früheren Projekten getappt bin. So profitierst du schnell und einfach von allen Sicherheits- und Zustellungsvorteilen, die DMARC bietet.
Warum lohnt es sich, die Implementierung von DMARC zu priorisieren?
Damit deine E-Mails und Newsletter noch zuverlässiger zugestellt werden und seltener im Spamordner landen. Erhalte Rückmeldungen, wenn deine Mails aufgrund von Fehlkonfigurationen im Spamordner landen. Je länger du wartest, desto mehr Umsatz bleibt liegen.
Damit Phishing, CEO-Fraud, Fake-Rechnungen und Malware im Namen deiner E-Mail-Adresse den Empfänger nicht erreicht. Zusätzlich wirst du über Spoofing-Attacken, informiert, die im Namen deiner E-Mail-Adressen durchgeführt werden.
Das schützt deine Marke, steigert die Öffnungsraten und erhöht das Vertrauen bei Kunden und Partnern. Auch das Einblenden deines Markenlogos im Posteingang z.B. bei Gmail und Apple Mail wird damit möglich.
Viele Unternehmen schulen in ihre Mitarbeiter in der Erkennung schädlicher E-Mails. Dabei wird gerne die Empfehlung genannt, zu prüfen, ob der Absender auch die richtige E-Mail-Adresse hat. Das ist auch richtig, denn es gibt weiterhin viele E-Mails, bei der die Absenderangaben nicht übereinstimmen. Doch wenn die Absenderadresse der E-Mail gefälscht ist, ist die Gefahr höher, dass Mitarbeiter auf die E-Mail reinfallen.
Das häufig bei vielen Domains bereits implemtierte SPF hilft hier alleine nicht weiter, da damit nicht die für den Endanwender sichtbare Absenderadresse geschützt wird, sondern nur der sogenannte "Envelope-From". Und der ist nur für technisch versiertere Anwender im Header zu erkennen.
Auch das BSI empfiehlt die Implementierung von DMARC als Baustein zur Abwehr von Ransomware-Attacken.
Wer profitiert am meisten von einer DMARC-Implementation?
Grundsätzlich profitiert natürlich jedes Unternehmen mit einer eigenen Internet-Domain. Denn fast jeder hat Mitarbeiter, Kunden oder Lieferanten, die mit gefälschten E-Mails hereingelegt werden können.
Bei einigen Unternehmen lohnt es sich aufgrund der Gefährdungslage oder den Vorteilen in der E-Mail-Zustellung besonders:
Warum ist DMARC24 hierfür der richtige Partner?
Das übernehmen wir für unsere Kunden
Häufige Fragen
Ich nutze bereits SPF. Reicht das nicht aus?
Ich nutze eine E-Mail-Adresse von einem Freemailer wie Web.de, GMX.de oder Gmail. Kann ich ebenfalls DMARC nutzen?
Handelt es sich bei DMARC um einen etablierten Standard?
Was ist der Unterschied zwischen DMARC und einem Spamfilter?
Besteht mit DMARC die Gefahr, dass meine E-Mails nicht mehr beim Empfänger ankommen?
Was bedeutet der Begriff DMARC?
DMARC24