Der Skysnag-Blog

P=keine DMARC

11. Oktober 2023  |  2 min lesen

Ein DMARC-Datensatz mit der Einstellung p=none ist im Wesentlichen gleichbedeutend damit, dass es überhaupt keinen DMARC-Datensatz gibt. Ohne Durchsetzung (p=none) ist es vergleichbar mit einem Zugangsverwaltungssystem, das Ausweise scannt, aber jedem den Zugang erlaubt, selbst wenn der ID-Scan eine nicht identifizierte Person ergibt. Die DMARC-Richtlinie, die mit einem "p" gekennzeichnet ist, ist der wichtigste Teil von DMARC enforcement , da sie den Domainbesitzern die Möglichkeit gibt, festzulegen, wie sie E-Mails behandeln wollen, die die Authentifizierungsprüfungen nicht bestehen. Mit DMARC enforcement (p=reject) können Domainbesitzer E-Mail-Clients anweisen, nicht authentifizierte Nachrichten in den Spam-Ordner zu senden oder sie ganz zu blockieren.

Was sind die DMARC-Richtlinien?

Mit DMARC-Richtlinien können Domaininhaber festlegen, was mit E-Mails geschehen soll, die die SPF- und DKIM-Authentifizierungsprüfungen nicht bestehen.

  • p=none - Keine Durchsetzung; Mails, die die Authentifizierung nicht bestehen, werden normalerweise zugestellt.
  • p=quarantine - Nachrichten, die die Authentifizierung nicht bestehen, werden an Spam zugestellt.
  • p=reject - Nachrichten, die die Authentifizierung nicht bestehen, werden von E-Mail-Clients blockiert und nicht zugestellt. Einige Empfänger honorieren diese Anforderung, während andere fehlgeschlagene Nachrichten als Spam markieren.

Die Richtlinie p=none ist eine Überwachungsmodus-Richtlinie, die keine Durchsetzung vorsieht und eine Domäne für Spoofing anfällig macht. Diese Richtlinie wird häufig im Testmodus verwendet, um Fehlkonfigurationen bei der Authentifizierung von Absendern von Drittanbietern zu beheben, ohne das Risiko einzugehen, legitime E-Mails zu blockieren.

Um Phishing- und Impersonation-Angriffe zu verhindern, muss DMARC auf Durchsetzung (p=Quarantäne oder p=Ablehnung) und nicht auf p=keine eingestellt werden.

Im Modus p=none können Domänenbesitzer die von Mail-Clients gesendeten Berichte nutzen, um die IP-Adressen zu identifizieren, die versuchen, ihre Domäne durch den Versand betrügerischer E-Mails auszunutzen. Die in diesen Berichten enthaltenen Informationen sollten in umsetzbare Erkenntnisse umgewandelt werden, um p=reject für die Domäne zu erreichen, was die eigentliche technische Herausforderung darstellt.

Leider scheitert die Mehrheit der Unternehmen, die DMARC ausprobieren, an der Durchsetzung. Ungefähr 80 % der Unternehmen mit einem veröffentlichten DMARC-Datensatz sind nicht auf p=reject eingestellt. Dies kann auf Fehlkonfigurationen, das Vertrauen in begrenzte Reporting-Tools, die DMARC nicht durchsetzen, oder auf technische Probleme mit ihren E-Mail-Versendern zurückzuführen sein.

Risiken, denen ein Unternehmen ohne DMARC enforcement ausgesetzt ist:

E-Mail-Impersonation/Spoofing: Mit einer Richtlinie von p=none können Angreifer einen Domainnamen ohne jegliche Einschränkungen nachahmen. Dadurch kann jeder den Domainnamen zum Senden von E-Mails verwenden, was ein erhebliches Risiko für Kunden, Partner und andere Interessengruppen darstellt. Mögliche Risiken sind:

  • Finanzieller Verlust
  • Schädigung des Rufs

E-Mails, die in Spam landen: Ohne DMARC enforcement können Internetdienstanbieter nicht feststellen, ob Nachrichten die Authentifizierung bestehen oder nicht, was dazu führt, dass Nachrichten als Spam eingestuft werden.

Erstellen Sie ein Skysnag-Konto, um Ihren DMARC-Eintrag zu generieren.

Da die Domäne für E-Mail-Imitationen anfällig ist und Angreifer freien Zugang zur Nutzung der Domäne haben, können E-Mail-Clients beginnen, die Domäne zu markieren. Dies kann langfristig negative Folgen haben, z. B. wird die Domäne auf eine schwarze Liste gesetzt. Die Aufnahme in die schwarze Liste führt zu einer Unterbrechung der E-Mail-Zustellung und zu nicht zugestellten E-Mails, und es kann bis zu 3-4 Wochen dauern, bis die Domain von der schwarzen Liste entfernt wird.

Was geschieht, wenn keine Maßnahmen ergriffen werden?

In Fällen schwerwiegender unbefugter Nutzung können E-Mail-Clients über die Klassifizierung von E-Mails als Spam hinausgehen und den Domainnamen auf eine schwarze Liste setzen. Wenn eine Domain auf eine Blacklist gesetzt wird, führt dies dazu, dass E-Mails die meisten E-Mail-Clients nicht mehr erreichen.

Skysnag, die erste DMARC enforcement Lösung auf dem Markt, eliminiert den mühsamen DNS-Prozess, der mit E-Mail-Authentifizierungsprotokollen verbunden ist. Erreicht wird dies durch die Umwandlung der Datensätze in dynamische Formate anstelle statischer DNS-Einträge. Dadurch können Unternehmen dieses E-Mail-Schlupfloch selbständig durchsetzen und wertvolle Arbeitszeit der Techniker einsparen.

Überprüfen Sie die DMARC-Sicherheitskonformität Ihrer Domain

Durchsetzung von DMARC, SPF und DKIM in Tagen - nicht Monaten

Skysnag hilft vielbeschäftigten Technikern bei der Durchsetzung von DMARC, reagiert auf Fehlkonfigurationen bei SPF oder DKIM, was die Zustellbarkeit von E-Mails erhöht, und verhindert E-Mail-Spoofing und Identitätsnachahmung.