Domänenbasierte Nachrichten-Authentifizierung, Berichterstattung und Konformität (DMARC)

domain
@Adobe @thodonal

Domain-basierte Nachrichten-Authentifizierung, Berichterstattung und Konformität (DMARC) ist ein E-Mail-Authentifizierungs- und Berichterstattungsprotokoll, das dazu beitragen soll, die Authentizität der Identität des Absenders sicherzustellen.

DMARC schützt E-Mails vor Spoofing, Phishing und Spamming. Das Protokoll stellt sicher, dass der gelistete Absender derjenige ist, der er sein soll, macht E-Mail-Benutzer sicherer und schützt Marken vor dem Missbrauch ihrer Bilder.

DMARC baut auf den gemeinsam eingesetzten Protokollen Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM) auf. DMARC fügt eine Verknüpfung zum Domainnamen des Autors mit dem :From: Header und standardisierten Richtlinien für die Behandlung von Authentifizierungsfehlern beim Empfänger hinzu. Die Berichterstattung von Empfänger zu Absender wurde zu Anti-Spam-Zwecken verbessert.

Eine Richtlinie für DMARC ermöglicht es einer Absenderdomäne anzugeben, ob ihre E-Mail SPF und/oder DKIM verwendet. Es können Richtlinien für den Versand von E-Mails an einen Spam-Ordnerfestgelegt werden, oder sie können abgelehnt werden, wenn die Authentifizierungsmethoden fehlschlagen. Wenn ein E-Mail-Empfänger eine E-Mail erhält, bei der diese Authentifizierungs-methode fehlschlägt, hat er auch die Möglichkeit, diese an die sendende Domäne zurück zu melden.

DMARC schützt nur vor direktem Domain-Spoofing. Benutzer können immer noch durch ähnliche Domänen getäuscht werden, die sie austricksen, indem sie ähnlich genug erscheinen, z.B. domainname.com vs. domaimename.com. Das Protokoll schützt auch nicht vor Situationen, in denender Absender als der gleiche Name wie der Empfänger gefälscht wird. Trotz der Einschränkungen wurden die zusätzlichen Schutzmaßnahmen des DMARC begrüßt. Innerhalb eines Jahres nach seiner Einführung im Jahr 2012 wurde DMARC in 60 Prozent der E-Mail-Postfächer eingesetzt.

Über den Autor: Uwe Poltoranin
Datenschutzbeauftragter (DGI / bitkom) Datenschutzbeauftragter (TüV Rheinland Akademie) IT-Sicherheitsbeauftragter (TüV Rheinland Akademie)
BSI Grundschutz Praktiker (DGI), ISMS-Prüfer / leitender Prüfer nach ISO / IEC 27001 ( ISACA), IT-Risikomanager (DGI)
Projektmanagement IPMA® Level C, ITIL®Foundation Level, PRINCE2® Foundation Level, Certified Scrum Master - Scrum Product Owner
Nach oben scrollen