DMARC p= (Richtlinie)
Das DMARC-Tag p= legt fest, wie empfangende Server mit nicht authentifizierten E-Mails umgehen: none, quarantine oder reject. Mit Beispielen.
Was ist DMARC p= (Richtlinie)?
Das DMARC-Tag p= definiert die Durchsetzungsrichtlinie, die empfangende Mailserver anwenden sollen, wenn Nachrichten die DMARC-Authentifizierung nicht bestehen. Es legt fest, ob nicht authentifizierte E-Mails zugestellt, unter Quarantäne gestellt oder abgelehnt werden sollen. Dieses Tag ist das Rückgrat der DMARC-Durchsetzung und bestimmt, wie Empfänger mit potenziell gefälschten oder betrügerischen Nachrichten umgehen, die kein Alignment mit den SPF- und DKIM-Prüfungen erreichen.
Sehen Sie sich das einminütige Erklärvideo an:
Die Richtlinie wird im DMARC-TXT-Eintrag der Domain im DNS definiert. Typische DMARC-Richtlinien sind „none“ (keine Maßnahme), „quarantine“ (Quarantäne) und „reject“ (Ablehnung). Jede Stufe steht für ein zunehmend strengeres Schutzniveau, sodass Organisationen Vertrauen und Sicherheit aufbauen können, bevor sie zur vollständigen Durchsetzung übergehen.
So funktioniert das DMARC-Tag p=
Beispiel für einen DMARC-Eintrag:
v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@example.comIn diesem Beispiel weist die Anweisung p=quarantine empfangende Mailserver an, fehlgeschlagene Nachrichten in den Spam- oder Junk-Ordner zu verschieben, statt sie direkt abzulehnen.
Die DMARC-Richtlinienoptionen umfassen:
- p=none - Nur Überwachung. E-Mails werden normal zugestellt, Fehlschläge werden über DMARC-Berichte gemeldet.
- p=quarantine - Nachrichten, die die Authentifizierung nicht bestehen, werden als verdächtig markiert oder in den Spam-Ordner verschoben.
- p=reject - Nachrichten, die die DMARC-Prüfung nicht bestehen, werden auf SMTP-Ebene vollständig abgelehnt und nicht zugestellt.
Das DMARC-Tag p= wirksam einsetzen
Organisationen beginnen üblicherweise mit p=none, während sie aggregierte Berichte sammeln und auswerten. Sobald alle legitimen Versandquellen korrekt authentifiziert sind, gehen sie zu quarantine und schließlich zu reject über, um vollständigen Schutz vor Domain-Spoofing zu erreichen.
Zu den bewährten Verfahren gehören:
- Richtlinien schrittweise verschärfen, während die Sichtbarkeit wächst
- Mit dem Testing-Tag
t=yeine strengere Richtlinie erproben, bevor sie durchgesetzt wird; unter DMARCbis ersetzt es das entferntepct-Tag - Berichte regelmäßig prüfen, um zu bestätigen, dass alle legitimen Absender die Authentifizierung bestehen
- DKIM- und SPF-Alignment sicherstellen, bevor Sie auf „reject“ umstellen
DMARC p= und DMARCeye
DMARCeye zeigt, wie sich Ihre gewählte p=-Richtlinie auf den realen E-Mail-Verkehr auswirkt. Die Berichts-Dashboards zeigen, wie viele Nachrichten die Authentifizierung bestehen oder nicht bestehen, wo Fehlschläge auftreten und welche Auswirkungen Quarantäne oder Ablehnung auf legitime E-Mails haben.
Durch die Korrelation von Richtlinienergebnissen mit Authentifizierungsdaten hilft DMARCeye Organisationen, sicher von der Überwachung zur vollständigen Durchsetzung überzugehen und ihre Domains vor Missbrauch zu schützen, ohne die Zustellbarkeit zu gefährden.
Möchten Sie wissen, wie gut Ihre eigene Domain geschützt ist? Führen Sie eine kostenlose DMARC-Prüfung durch:
Registrieren Sie sich für die kostenlose Testversion von DMARCeye und schützen Sie Ihre E-Mail-Domain.
Um mehr über DMARC und verwandte Begriffe zu erfahren, besuchen Sie das DMARCeye-Glossar.