Viele Menschen verstehen nicht sofort, was DMARC leistet und wie es vor Betrug, Impersonation und Domain-Spoofing schützt. Es gibt viele Missverständnisse über DMARC, wie die E-Mail-Authentifizierung funktioniert und warum sie für Sie von Vorteil ist. Da aber immer wieder die gleichen Mythen auftauchen, gibt es einige sich wiederholende Elemente, die es wert sind, untersucht zu werden.

Aber wie können Sie unterscheiden, was richtig und was falsch ist? Und wie kann man sicher sein, dass man sie richtig einsetzt? Skysnag hat die Lösung für Sie. In diesem Artikel werden wir uns die verschiedenen DMARC-Mythen ansehen und verstehen, warum es für Ihr Unternehmen so wichtig ist.

Mythos Nr. 1: Da ich SPF und DKIM bereits abgeschlossen habe, benötige ich DMARC nicht.

Der DMARC-Standard (Domain-based Message Authentication, Reporting, and Conformance) ist ein moderner E-Mail-Authentifizierungsstandard, der von vielen großen E-Mail-Servern zur Überprüfung ausgehender und eingehender E-Mails verwendet wird (Office 365, Google Workspace und kommerzielle sichere E-Mail-Gateways).

Da SPF und/oder DKIM keine ausreichenden Informationen liefern, wird keines der oben beschriebenen Gateways bei seinen Zustellungsentscheidungen nur diese berücksichtigen. Stattdessen berücksichtigen sie eine Vielzahl von Metriken wie DMARC, Engagement-Rate und so weiter.

Mythos Nr. 2: Ich kann DMARC nicht nutzen, da ich kein SPF/DKIM verwende. 

DMARC-Berichte liefert Ihnen die Informationen, die Sie benötigen, um Authentifizierungsprobleme mit SPF und DKIM zu beheben. Der erste Schritt in jedem DMARC-Projekt besteht darin, einen Überwachungsmodus einzurichten (p=keine) DMARC-Datensatz, der Aufschluss über Authentifizierungsprobleme bei zulässigen E-Mail-Streams sowie über etwaige Schatten-IT und/oder Spoofing-Aktivitäten geben wird.

Mythos Nr. 3: Ich habe bereits DMARC, da ich Office 365 oder Google Workspace verwende, die beide behaupten, es zu unterstützen.

O365 und Google Workspace prüfen eingehende E-Mails auf DMARC-Authentifizierung, bieten aber keine DMARC-Transparenz und helfen Ihnen auch nicht bei der Einrichtung von DMARC enforcement für Ihre eigenen Domänen, und sie können auch keine Cloud- oder Vor-Ort-Dienste überprüfen, die in Ihrem Namen E-Mails versenden.

Mythos Nr. 4: Ich kann DMARC aufgrund meiner E-Mail-Einrichtung nicht verwenden

DMARC funktioniert mit jedem E-Mail-Gateway, ob vor Ort oder in der Cloud. DMARC ist unabhängig vom E-Mail-Fluss und ist ein separater DNS-Eintrag von MX-Einträgen. Für Kunden, die Exchange, Office 365, Google Workspace und alle kommerziellen E-Mail-Gateways nutzen, hat Red Sift DMARC erfolgreich implementiert.

Mythos Nr. 5: DMARC würde mein E-Mail-Marketing unwirksam machen.

Auch hier ist das falsch, denn in Wirklichkeit bietet DMARC, sobald es ordnungsgemäß validiert ist, die besten Chancen für die Zustellung Ihrer Werbesendungen. Das Problem besteht darin, dass bei Verwendung von DMARC ohne vorherige Identifizierung und Authentifizierung aller Werbesendungen diese unter Quarantäne gestellt oder fälschlicherweise zurückgewiesen werden können, wenn Sie zu einer DMARC enforcement Richtlinie wechseln.

Mythos Nr. 6: Nur große E-Mail-Versender verwenden DMARC.

Dies ist nicht der Fall; DMARC gilt für alle Arten von Unternehmen, unabhängig von ihrer Größe! Jedes Unternehmen muss seine legitimen E-Mails authentifizieren und unrechtmäßiges Spoofing und Impersonation seiner Domänen verhindern, was beides durch den Einsatz von DMARC auf der Durchsetzungsebene geschehen kann.

Mythos Nr. 7: DMARC ist nur eine Sicherheitsinitiative.

DMARC ist ein funktionsübergreifendes Projekt, das am schnellsten und produktivsten abgeschlossen werden kann, wenn IT, Sicherheit, Compliance und Marketing zusammenarbeiten. Mit BIMI wird DMARC nicht nur bösartiges Spoofing und Phishing unter Verwendung vertrauenswürdiger Domänen beseitigen, sondern auch Schatten-IT identifizieren, die legitime E-Mail-Zustellung verbessern und den Markeneindruck erhöhen!

Mythos Nr. 8: DMARC mit p=keine ist besser als gar kein DMARC.

Richtig, alle DMARC-Projekte sollten mit p=keine. Dies dient dazu, die nötige Transparenz zu erlangen, um Authentifizierungsanpassungen vorzunehmen, um die DMARC-Konformität zu erfüllen. Einige Benutzer sind jedoch fälschlicherweise der Meinung, dass eine DMARC-Richtlinie, die nichts enthält, ihre Sicherheitslage verbessert. Das ist einfach nicht der Fall: Wenn Ihre DMARC-Richtlinie eingestellt ist auf 'keine,' können Sie genauso leicht gefälscht werden, wie wenn Sie keine DMARC-Eintrag überhaupt nicht.

Mythos Nr. 9 DMARC ist ein zeitaufwändiger, manueller Prozess, der Monate in Anspruch nehmen kann.

Unternehmen brechen ihre DMARC-Projekte in der Regel aus zwei Gründen ab:

1. Das manuelle Ändern von Authentifizierungsdatensätzen im DNS kann viel Zeit in Anspruch nehmen, insbesondere wenn Sie jedes Mal die Änderungskontrolle durchlaufen müssen. SPF-Flattening und -Wartung von Hand kann schwierig und zeitaufwändig sein, und es gibt keine Erfolgsgarantie.
2. Unsicher sein, ob alle legitimen E-Mails erkannt und authentifiziert wurden und nicht durch eine DMARC-Richtlinie unter Quarantäne gestellt oder zurückgewiesen werden.

Mythos Nr. 10: DMARC auf eigene Faust zu implementieren ist einfach.

DMARC ist in der Tat ein kostenloser öffentlicher Standard, den jeder verwenden kann. Jeden Tag prüft Red Sift Millionen von DMARC-Datensätzen und stellt fest, dass die Mehrheit der DMARC-DIY-Projekte bei p=keine und erreichen niemals DMARC enforcement. Infolgedessen sind diese Unternehmen anfällig für Imitationen, Spoofing und Phishing-Attacken.

Mythos Nr. 11: Ich werde nie in der Lage sein, die verwirrenden DMARC-XML-Berichte zu verstehen.

Es sollte nicht überraschen, dass DMARC-Berichte nicht für das Lesen durch Menschen gedacht sind! Um die DMARC-Berichte sinnvoll zu nutzen, müssen Sie sie auf irgendeine Weise analysieren und dann Berichte, Warnungen und Interpretationen hinzufügen.

Mythos Nr. 12: Persönliche Informationen sind in den DMARC-Forensikdaten enthalten.

DMARC-Forensikberichte können bei der Behebung von Authentifizierungsproblemen mit echten E-Mail-Strömen sowie bei der Identifizierung bösartiger E-Mail-Ursprünge helfen.

Mythos Nr. 13: Es gibt keinen großen Unterschied zwischen DMARC-Anbietern.

Viele Unternehmen können DMARC-Berichte im Namen einer Domäne über eine grafische Benutzeroberfläche verarbeiten, was DMARC-Überwachung und -Transparenz heutzutage zu einer Massenware macht. Ein wiederholbares, sicheres, einfaches und effizientes Verfahren, um eine Domäne unter Verwendung der neuesten Technologien für gehostete E-Mail-Authentifizierung und private Datenkanäle auf DMARC enforcement zu bringen, ist keine Massenware.

Mythos Nr. 14: SPF ist unmöglich zu verwalten und auf dem neuesten Stand zu halten

In der heutigen Welt der Cloud-E-Mail-Dienste ist es zweifellos eine Aufgabe, einen SPF-Eintrag manuell zu verwalten und auf dem neuesten Stand zu halten. Wenn man jedoch die richtige Ausrüstung zur Hand hat, ist es viel einfacher. Der Prozess kann sehr viel einfacher gemacht werden durch:

• Alle E-Mail-Quellen werden ordnungsgemäß identifiziert und wiedererkannt, so dass sich die Benutzer nie Sorgen machen müssen, einen gültigen E-Mail-Dienst zu übersehen.
  Autorisierte Quellen können mit einem Klick durch SPF-Flattening validiert werden, sobald die Absender entdeckt wurden. Nicht mehr genutzte Dienste können deinstalliert werden, und der Eintrag kann in Zukunft bequem kontrolliert werden.
• Mit Dynamic SPF wird der SPF-Datensatz dynamisch abgeflacht und ist immer syntaktisch korrekt, so dass die SPF-10-Nachschlageinschränkung entfällt.

Mythos Nr. 15: Wenn ich mehr als 10 SPF-Lookups habe, hat das keine Auswirkungen auf meinen E-Mail-Verkehr.

Während die meisten aktuellen E-Mail-Gateways DMARC für die E-Mail-Authentifizierung verwenden, gibt es immer noch einige ältere Systeme, die SPF als Hauptfaktor für die E-Mail-Filterung verwenden.
Wenn ein empfangendes Postfach eine SPF-Prüfung durchführt, zeigt das Überschreiten der Grenze von 10 Suchvorgängen an, dass Ihr Datensatz technisch defekt ist. Wenn sich Ihr DMARC-Eintrag in der Durchsetzung befindet (Quarantäne oder Ablehnung), riskieren Sie außerdem, dass E-Mails von Absendern, die kein DKIM verwenden, gesperrt werden. Wenn Ihre echte E-Mail sowohl mit SPF als auch mit DKIM erfolgreich authentifiziert ist und der SPF-Eintrag nicht mehr als 10 Abfragen aufweist, hat sie die besten Chancen, zugestellt zu werden.

Mythos Nr. 16: Der DMARC-Schutz wurde bereits "aktiviert".

Eine DMARC-Richtlinie von 'keine' und ein DMARC-Datensatz bei der Durchsetzung sind sehr unterschiedlich. Das einfache "Aktivieren" von DMARC mit einer Richtlinie von "keine" ist ein notwendiger erster Schritt, aber es trägt nicht dazu bei, Ihre Sicherheitslage zu verbessern oder Ihre Domäne vor Impersonation zu schützen (es gibt keine Preise für das einfache Auftauchen auf diese Weise!).

Sie müssen eine Quarantäne- oder Ablehnungspolitik bei einem pct=100 um Ihre DMARC-Reise zu beenden. Andernfalls bleibt Ihre Domain anfällig für Spoofing- und Phishing-Angriffe.

Mythos Nr. 17: Meine DMARC-Einrichtung wird zu kompliziert sein, weil ich so viele Domänen zu sichern habe.

Sie sollten sich nicht davon abhalten lassen, ein DMARC-Projekt zu starten, nur weil Sie einen großen Domainbestand haben. In Wirklichkeit macht Sie eine größere Anzahl ungeschützter Domains zu einem leichten Ziel, wenn Sie DMARC nicht zur Durchsetzung nutzen. Das Problem zu ignorieren, weil Sie viele Domains haben, ist also keine Lösung. Finden Sie eine Domäne

Mythos Nr. 18: DMARC ist extrem teuer

Bei Skysnag sind wir bestrebt, so viel wie möglich zu automatisieren, damit unsere Kunden von unserer Effizienz und unseren Größenvorteilen profitieren können.

Erstellen Sie ein Skysnag-Konto, um Ihren DMARC-Eintrag zu generieren.

Mythos Nr. 19: Da ich keine E-Mails von meiner eigenen Domain versende, benötige ich keinen DMARC-Schutz.

Nicht sendende Domänen können genauso gefälscht werden wie sendende Domänen, und sie sind als Phishing- und Impersonation-E-Mail-Ziele attraktiver, wenn sie bekannte Marken, Websites, Personen und Unternehmen verwenden. Die Empfänger bösartiger E-Mails von einer nicht sendenden Domäne erkennen oder verstehen möglicherweise nicht, dass die Domäne nicht für den E-Mail-Versand konfiguriert ist; wenn die E-Mail überzeugend genug ist und legitim erscheint, könnten sie fälschlicherweise glauben, dass sie von Ihnen stammt, und so Ihre gesamte Marke und Ihren Ruf gefährden.

Abschließende Überlegungen

Damit ist die Liste aller DMARC-Mythen abgeschlossen, die gründlich widerlegt wurden. Aber verlassen Sie sich nicht nur auf unser Wort: Skysnags automatisiertes DMARC stärkt den Schutz vor Phishing und Spoofing, indem es bestätigt, dass eine E-Mail-Nachricht von der Domain stammt, von der sie zu kommen vorgibt. Skysnag erstellt DMARC-Berichte für Sie, die bei der Untersuchung potenzieller Sicherheitsprobleme und der Identifizierung potenzieller Risiken durch Imitationsangriffe helfen. Starten Sie mit Skysnag und melden Sie sich über diesen Link an.