Was bringen die neuen DMARC-Anforderungen von Google & Yahoo

Viele Nutzer sind in den letzten Tagen beim Versand von E-Mail-Nachrichten auf folgende oder eine ähnliche Benachrichtigung gestoßen: Deine Absender-Domain hat keinen DMARC-Eintrag.

Hintergrund hierfür sind neue Anforderungen von Google und Yahoo zum Schutz von E-Mail-Empfängern vor Spoofing und Phishing. Diese sind am 1. Februar 2024 als Standard in Kraft getreten. Sie zielen darauf ab, vor allem im Rahmen von Massen-E-Mails mit über 5000 Empfängern die Sicherheit und Authentizität den E-Mail-Versand an Gmail- und Yahoo-Adressen zu verbessern. 

Was ist DMARC?

Hinter der Abkürzung DMARC steckt der Begriff Domain-based Message Authentication, Reporting, and Conformance. DMARC ist also eine E-Mail-Authentifizierungs-, Berichterstattungs- und Konformitätstechnologie, welche darauf abzielt, die E-Mail-Kommunikation sicherer zu machen und die Verbreitung von Phishing und Spam zu bekämpfen.

Wie funktioniert DMARC?

Domain-Inhaber können per DMARC Richtlinien erstellen, wie der E-Mail-Empfänger mit Nachrichten ihrer Domain umgehen sollen, die nicht authentifiziert wurden. Anhand dieser Richtlinien wird dem Missbrauch von E-Mail-Domains vorgebeugt, indem nur autorisierte Sender E-Mails im Namen der Domain versenden können.

Dabei setzt DMARC auf zwei bestehenden E-Mail-Authentifizierungstechniken: Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM). SPF ermöglicht es Domain-Inhabern, zu spezifizieren, welche Mail-Server autorisiert sind, E-Mails in ihrem Namen zu senden. Per DKIM kann der Sender einen digitalen Fingerabdruck im Header der E-Mail-Nachricht hinterlassen, welcher dann vom E-Mail-Empfänger verifiziert werden muss. Für den Fall, dass E-Mails die SPF- oder DKIM-Überprüfungen nicht bestehen, legen die DMARC-Richtlinien fest, wie mit diesen E-Mails umgegangen werden soll.

DMARC-Richtlinien & DMARC Reports

Domain-Inhaber können unter drei verschiedenen Richtlinien wählen, wie mit E-Mails verfahren werden soll, die keine SPF- und DKIM-Prüfung bestanden haben:

• keine Richtlinie (none): Diese Option bringt keinerlei Aktion für nicht konforme E-Mails mit sich. Jedoch ermöglicht diese dem Domain-Inhaber, das nicht-authentifizierte E-Mails im Rahmen des DMARC-Berichts erwähnt werden.
• Quarantäne (quarantine): Nicht authentifizierte E-Mails werden in den Spam-Ordner verschoben und können bei Bedarf dort manuell geprüft werden.
• Ablehnung (reject): Die Zustellung von nicht-authentifizierten E-Mails wird vollständig abgelehnt.

Welche DMARC-Anforderungen Du erfüllen solltest

• Prüfe Deine DMARC-Konfiguration – Stelle zunächst sicher, dass Deine Domain eine DMARC-Richtlinie eingerichtet hat und dass diese korrekt konfiguriert ist. 
• Authentifiziere Deine E-Mails – Implementiere SPF, DKIM und DMARC für alle genutzten E-Mail-Domain. So werden Deine ausgehenden E-Mails als legitim authentifiziert und die Authentizität und Integrität Deiner E-Mail-Kommunikation sichergestellt.
• Behalte Deine Spam-Rate im Blick – Google und Yahoo haben spezifische Richtlinien festgelegt, in welchem Rahmen sie Spam-Beschwerden akzeptieren. Stelle sicher, dass Deine Spam-Beschwerderaten unter 0,1% liegen und keinesfalls 0,3% überschreiten, um Probleme für Deinen E-Mail-Versand zu vermeiden​​.
• Implementiere eine Ein-Klick-Abmeldefunktion – Füge allen ausgehenden E-Mail-Nachrichten eine simple Abmeldefunktion hinzu. Ab Juni 2024 wird diese Option von Google und Yahoo für alle massenhaft versandten Werbenachrichten eingefordert.

DMARC sendet darüber hinaus an den Domain-Inhaber aggregierte Berichte darüber, wer E-Mails in ihrem Namen versendet und ob diese E-Mails den Authentifizierungsprüfungen standhalten. Diese Berichte sind daher sehr wertvoll für Organisationen, um einen möglichen Missbrauch ihrer Domain für betrügerische E-Mails zu erkennen und zu unterbinden.

Fazit: Sicherheit & Vertrauen für Deine E-Mail-Kommunikation

Durch Einhaltung der hier aufgeführten Richtlinien kannst Du für Deine Organisation sicherstellen, dass alle ausgehenden E-Mails auch weiterhin erfolgreich zugestellt werden. Außerdem schützt Du Deine Domain vor Phishing und Betrug. Das schafft Vertrauen bei Deinen verschiedenen Anspruchsgruppen und gibt Dir gleichzeitig mehr Transparenz zu den E-Mail-Aktivitäten über Deine gesamte Organisation hinweg.

Übrigens: Solltest Du das E-Mail-Hosting der Domain-Offensive nutzen, dann brauchst Du Dich um nichts weiter kümmern. Deine erforderlichen DMARC-Einträge (TXT-DNS-Einträge) werden von unserem System automatisch im DNS gesetzt.