dmarc-monitor-only
DMARC-Richtlinie ist nur überwachend (p=none)
Es existiert ein DMARC-Eintrag, die Richtlinie steht jedoch auf p=none. Empfänger melden Fehlschläge, ergreifen aber keine Maßnahmen. Gefälschte Nachrichten werden weiterhin zugestellt. So eskalieren Sie sicher auf quarantine und reject.
Worum es geht
Auf Ihrer Domain ist ein DMARC-Eintrag veröffentlicht. Das ist der
richtige Ausgangspunkt. Der Knackpunkt liegt im p=-Tag: er steht
derzeit auf p=none. Das weist empfangende Mailserver an,
Fehlschläge zu beobachten und zu melden, aber nicht einzugreifen.
Gefälschte Mail, die SPF- und DKIM-Prüfung nicht besteht, wird
weiterhin zugestellt.
p=none ist der korrekte Modus für die ersten Wochen einer
DMARC-Einführung, wenn Sie zunächst feststellen wollen, welche
legitimen Versender Ihre Domain nutzen, ohne deren Mail zu
blockieren. Viele Domains bleiben jedoch dauerhaft in diesem Zustand,
sei es, weil niemand die Richtlinie weiter eskaliert, sei es, weil
die zuständige Person den Bounce echter Mail fürchtet. Das Ergebnis
ist eine halbfertige Konfiguration, die Berichte produziert, aber
keinen Schutz.
Warum das wichtig ist
DMARC entfaltet seinen Nutzen erst bei p=quarantine oder
p=reject. Konkret:
- Spoofing gegen Ihre Kund:innen funktioniert weiterhin. Ein
empfangender Server, der
p=nonesieht, behandelt Fehlschläge rein informativ. Rechnungsbetrug, “CEO-Fraud” und Phishing gegen Ihre Nutzer:innen erreichen die Posteingänge. - Anforderungen für Großversender werden nicht erfüllt. Seit
Februar 2024 verlangen Google und Yahoo einen DMARC-Eintrag von
jeder Domain, die mehr als 5.000 Nachrichten pro Tag an ihre
Nutzer:innen verschickt. Die genaue Stärke der Richtlinie wird
noch nicht aktiv durchgesetzt; die Richtung der veröffentlichten
Spezifikationen geht jedoch dahin, Versender mit dauerhaftem
p=nonemittelfristig abzuweisen. - Berichte können falsch interpretiert werden. Ein häufiges
Muster: die zuständige Person liest den täglichen
Aggregat-Bericht, sieht keine Fehlschläge und schließt auf
“wir sind geschützt”. Die Berichte erfassen DMARC-konforme
Mail-Flüsse,
p=nonelässt jedoch nicht-konforme Flüsse bewusst passieren. Das Ausbleiben gemeldeter Fehlschläge ist also kein Beweis für ausbleibende Angriffe.
Warum Teams länger als nötig bei p=none bleiben
Drei Muster, die regelmäßig auftreten:
- Vergessene Versender. Marketing-Automation, ein älterer
Transaktionsanbieter, die Helpdesk-Software, ein Dienstleister,
der Rechnungen in Ihrem Namen verschickt. Keiner davon ist
DMARC-aligned, eine Quarantäne würde echte Geschäftsabläufe
stören. Die richtige Antwort ist Alignment pro Versender, nicht
ein dauerhaftes
p=none. - Fehlende Routine im Auswerten der Berichte. RUA-Aggregat- Berichte sind XML-Dateien, im Rohzustand kaum lesbar. Ohne Parser (Postmark, dmarcian, EasyDMARC, URIports, Valimail) bekommt das Team kein klares Bild davon, was bei einer Verschärfung der Richtlinie ausfallen würde.
- Risikoaversion. “Wenn wir auf
p=rejectgehen und etwas übersehen, wird die Mail der Geschäftsführung zurückgewiesen.” Die Sorge ist berechtigt, der weiter unten beschriebene schrittweise Rollout begrenzt das Risiko jedoch deutlich.
So eskalieren Sie sicher
Ein vierwöchiger Eskalationspfad mit kontrolliertem Risiko:
Schritt 1: Berichte in eine auswertbare Form bringen
Die rua=-Adresse auf einen Parser-Dienst zeigen lassen
(kostenfreie Tarife bei den oben genannten Anbietern). Eine Woche
abwarten. Anschließend im resultierenden Dashboard prüfen, ob jeder
legitime Versender Ihrer Domain DMARC-aligned ist (besteht entweder
SPF oder DKIM mit dem im Bericht angezeigten Alignment-Flag).
Schritt 2: Nicht-alignede Versender korrigieren
Pro Versender mit fehlendem Alignment entweder:
- Die Mailserver des Versenders in den SPF-Eintrag aufnehmen,
und sicherstellen, dass der
Return-Path-Header auf Ihrer Domain liegt (SPF-Alignment verlangt die Übereinstimmung des Envelope-From), oder - Den Versender DKIM-signieren lassen, mit einem Schlüssel auf Ihrer Domain (die meisten modernen Anbieter bieten kundenspezifische DKIM-Schlüssel an, ein kurzer Anruf beim Support reicht).
DKIM ist bei weitergeleiteter Mail die zuverlässigere der beiden Varianten.
Schritt 3: Auf quarantine mit pct=25 umstellen
Den Eintrag aktualisieren:
v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc-reports@ihre-domain.de;
25 % der nicht bestehenden Mail landet jetzt im Spam-Ordner. Eine Woche halten und die Berichte beobachten. Taucht ein legitimer Mail-Fluss auf, das Alignment korrigieren und nicht etwa die Richtlinie zurücknehmen.
Schritt 4: pct auf 100 hochfahren, dann reject
Innerhalb einer weiteren Woche pct= auf 100 erhöhen, anschließend
p= auf reject umstellen:
v=DMARC1; p=reject; rua=mailto:dmarc-reports@ihre-domain.de;
Die Domain ist nun vollständig geschützt. Weiterhin wöchentlich auf neu hinzukommende Versender prüfen.
Hinweis zu Subdomains
DMARC vererbt sich automatisch. Ein p=reject-Eintrag auf
ihre-domain.de deckt auch shop.ihre-domain.de und
marketing.ihre-domain.de ab, sofern dort kein eigener Eintrag
veröffentlicht ist. Mit dem sp=-Tag lässt sich für Subdomains eine
abweichende Richtlinie setzen, etwa sp=quarantine bei einem
Eltern-Eintrag mit p=reject.
Mehr dazu
- DMARC-Eintrag fehlt: der breitere Kontext, falls Sie DMARC von Grund auf neu aufsetzen.
- SPF-Eintrag fehlt: Alignment setzt einen korrekten SPF-Eintrag voraus.
- MXToolbox DMARC-Check: kostenfreie Sofortprüfung Ihres Eintrags.
- Google Sender-Anforderungen (2024)
- RFC 7489 — DMARC-Spezifikation