Domain-based Message Authentication, Reporting and Conformance
Mit einem DMARC DNS-Eintrag lassen sich Empfehlungen definieren, wie der Empfänger mit einer E-Mail umgehen soll die nicht den SPF- oder DKIM-Vorgaben entsprechen.
Wir empfehlen SPF mit DKIM und DMARC zu benutzen.
Beachten
- DMARC besteht nur aus einem TXT DNS-Eintrag der im Kundenportal im DNS-Manager erstellt werden kann.
- Die Auswertung und Beachtung von SPF, DKIM und DMARC erfolgt beim empfangenden Mailserver! Dieser kann die Einstellungen auch ignorieren.
- DMARC ist (default) ok, wenn zumindest SPF ODER DKIM erfolgreich sind.
DMARC unterscheidet aber nicht zwischen einem weichen oder harten SPF-Fehler. Kein SPF oder ein Treffer mit ~all sind daher Fehler.
Bei einem SPF hard fail (-all) kann das Email abgelehnt werden, ohne DKIM zu beachten. - Wir empfehlen daher in jedem Falle einen SPF-Eintrag mit ~all zu benutzen.
Wir empfehlen SPF mit DKIM und DMARC zu konfigurieren.
| SPF Policy | ohne DMARC | Mit DMARC |
|---|---|---|
+ pass |
akzeptieren | akzeptieren |
? neutral |
wahrscheinlich akzeptieren | DKIM benutzen |
~ softfail |
wahrscheinlich zurückweisen (reject) | DKIM benutzen |
- fail |
immer zurückweisen (reject) | DKIM eventuell benutzen* |
*Wenn SPF „hard“ fehlschlägt, kann die E-Mail bereits auf der SMTP-Ebene abgelehnt werden. Dies kann die DMARC- und DKIM-Auswertung verhindern.
Zurückweisen (reject) - empfohlen
Mit diesem Eintrag sollte der Empfänger alle E-Mails zurückweisen, wenn weder DKIM- noch SPF-Prüfung korrekt sind.
Ein Softfail bei SPF zählt dabei auch als Fehler.
_dmarc TXT v=DMARC1;p=reject
Oder als Spam markieren (quarantine)
Mit diesem Eintrag sollte der Empfänger alle E-Mails, die nicht mit Ergebnissen der DKIM- bzw. SPF-Prüfung übereinstimmen, als Spam bzw. verdächtig markieren. Gmail unterstützt "ruf" nicht.
_dmarc TXT v=DMARC1;p=quarantine
oder zusätzlich einen Statusbericht an die E-Mail-Adresse senden.
_dmarc TXT v=DMARC1;p=quarantine;ruf=mailto:dein-konto@dein-name.ch
Oder Testen (none) - nicht für Dauerbetrieb empfohlen!
Mit diesem Eintrag sollen alle E-Mails vom Empfänger angenommen werden. Ein Bericht aller E-Mails, die nicht mit den Ergebnissen der SPF- und DKIM-Prüfung übereinstimmen, wird an die erwähnte E-Mail-Adresse gesendet.
_dmarc TXT v=DMARC1;p=none;rua=mailto:dein-konto@dein-name.ch
Korrigieren Sie wenn nötig die SPF bzw. DKIM Einstellungen.
Wenn alles korrekt läuft, ändern Sie den Eintrag auf eine der unten stehenden Varianten.
Beachten
- Erstellen Sie zuerst SPF, dann DKIM und dann DMARC.
- Wenn der Mailserver mehrere Domains benutzt (Mailserver-Alias), so sollte im DNS-Server jeder dieser Domains der gleiche DMARC-Eintrag erstellt werden.
- Es darf nur 1 DMARC-Eintrag pro Domain oder Subdomain erstellt werden.
- Der Test-Eintrag "p=none" ist nicht für Dauerbetrieb empfohlen und sollte nur Kurzzeitig online sein.
- DMARC Einträge sind auch für Subdomains gültig.
