Was ist DMARC?

Fast jedes Unternehmen versendet heute E-Mails über verschiedene Systeme und Dienstleister. Ein Teil der E-Mails wird über den „normalen“ E-Mail-Server versendet, ein Teil über Newsletter-Tools, weitere über ein CRM-Tool, die Webseite oder den Online-Shop. 

Theoretisch ist es sogar so, dass jeder mit ein bisschen IT-Kenntnissen sich einen eigenen E-Mail-Server installieren und damit E-Mails im Namen jeder beliebigen E-Mail-Adresse versenden kann. Das stellt jeden Spamfilter vor eine Herausforderung. Der Spamfilter fragt sich bei jeder eingehenden E-Mail: Ist die E-Mail wirklich von der Absenderadresse, die sie vorgibt zu sein oder wurde die Absenderadresse gefälscht, um sich als ein anderes Unternehmen auszugeben oder von dessen Reputation zu profitieren?

Um allem Spamfiltern weltweit diese Aufgabe zu erleichtern (und damit das Risiko zu senken, dass die eigenen validen E-Mails im Spamfilter landen), gibt es seit einigen Jahren die Möglichkeit, dass jeder Inhaber einer Domain zentral und öffentlich bekanntgeben kann, welche Systeme E-Mails im Namen der eigenen Domain versenden dürfen und welche nicht. Hierzu eignet sich der DNS-Server am Besten, bei dem auch hinterlegt ist, unter welcher IP-Adresse die Webseite und der Mailserver hinterlegt ist.

Als Erstes wurde hierzu der Standard SPF (Sender Policy Framework) entwickelt. Bei SPF handelt es sich im Grunde um einen DNS-Eintrag, in dem alle Systeme hinterlegt werden, die im Namen der jeweiligen Domain E-Mails versenden dürfen. Der SPF-Eintrag einer Domain wird von jedem Spamfilter abgefragt, der eine E-Mail von der jeweiligen Domain erhält. Diesen Vorgang nennt man SPF-Check.

Leider hat SPF zahlreiche Schwächen, so dass oftmals auch valide E-Mails die SPF-Check nicht bestehen. 

Daher wurde ein zusätzlicher Standard entwickelt, der sich DKIM (DomainKeys Identified Mail) nennt. Hierbei wird durch den Mailserver automatisch jeder E-Mail eine digitale Signatur, also eine Art Briefsiegel, hinzugefügt. Der öffentliche Schlüssel mit dem die Signatur (das Siegel) von dem empfangenden Spamfilter validiert werden kann, wird ebenfalls zentral auf dem DNS-Server hinterlegt. 

Somit sieht der Spamfilter des Empfängers, dass die E-Mail von einem vertrauenswürdigen System kommt und die E-Mails unterwegs nicht manipuliert wurde. DKIM ist dabei deutlich zuverlässiger als SPF, verfügt jedoch nicht über einen Mechanismus, der Konsequenzen aus einem nicht bestandenen DKIM-Check zieht.

Der Standard DMARC (Domain-based Message Authentication, Reporting and Conformance) wurde erfunden, damit der Domaininhaber in einer Richtlinie festlegen kann, was mit E-Mail passieren soll, die weder den SPF- noch den DKIM-Check bestehen. Zur Auswahl steht „nichts“, „in den Spamordner verschieben“ oder „Abweisen“. 

Damit der Domaininhaber sicherstellen kann, dass alle seine validen E-Mails den SPF- und den DKIM-Check zuverlässig bestehen und im Posteingang der Empfänger landen, gibt es bei DMARC auch eine Reporting-Funktionalität. Dabei wird der Domaininhaber von den Spamfiltern oder Mailservern der Empfänger darüber informiert, welche Systeme und Dienstleister im Namen ihrer Domain E-Mails versendet haben. Und ob diese E-Mails den SPF- und den DKIM-Check bestanden haben.

Wer in seiner DMARC-Richtlinie festlegt, dass E-Mails, die den SPF- und den DKIM-Check nicht bestehen, abgewiesen werden, dessen E-Mail-Domain kann schwerer gefälscht werden. Das erhöht nicht nur die IT-Sicherheit, sondern sorgt auch dafür, dass E-Mails und Newsletter dieser Domain eine höhere Vertrauenswürdigkeit bei Spamfiltern genießen. Teils ist es auch eine zwingende Anforderung seitens der E-Mail-Anbieter, dass alle E-Mails diese Checks bestehen. 

Wer dann noch die Reporting-Funktionalität von DMARC nutzt und die Reports regelmäßig auswertet, kann sicherstellen, dass die eigenen validen E-Mails aus allen Quellen die SPF- und DKIM-Checks bestehen. Damit können unerwünschte Seiteneffekte, wie eine kontinuierlich falsch erfolgte Klassifizierung valider E-Mails und Newsletter als Spam, vermieden werden. 

Daher macht es Sinn, nicht nur irgendeinen DMARC-Eintrag zu setzen, der in der Anleitung eines Newslettertools zu finden war. Sondern nehmen Sie besser Kontakt mit einem erfahrenen DMARC-Experten auf, um Ihre Domain so zu konfigurieren, dass sie nicht mehr als Absender gefälschter E-Mails missbraucht werden kann. Professionell konfiguriert steigert das die Reputation Ihrer E-Mails und Newsletter und senkt damit das Risiko, dass Ihre E-Mails und Newsletter fälschlicherweise als Spam klassifiziert werden.