EMAILSICHERHEIT - SPF, DKIM UND DMARC - TEIL II
Im ersten Teil zum Thema SPF, DKIM und DMARC wurden die Begriffe vorgestellt und in aller Kürze erläutert – was sie bedeuten und wofür sie stehen. In diesem Teil werden die Syntaxen, die Parameter und die Konfigurationen vorgestellt.
Weitere Beiträge zu interessanten IT-Themen, finden Sie in unserem Broadcast zum Nachlesen.
SPF, DKIM und DMARC – Syntaxen, Parameter und DNS-Einträge
Syntax: v=SPF1 ip [ip-adresse(n)] -all oder v=SPF1 mx -all
Parameter:
| Code | Bedeutung |
|---|---|
v | Version des Eintrags – aktuell v=SPF1. |
ip4 | Öffentliche, statische IP-Adresse(n), die berechtigt sind E-Mails zu einer gewissen Domäne zu senden. |
mx | Alternative zu ip4. Hierbei wird die IP aus dem A-Record-Eintrag verwendet. |
-all | Alle nicht unter ip4 aufgelisteten IP-Adresse(n), sind nicht autorisiert E-Mails zu senden und sollen abgewiesen werden. |
Syntax: [selector]._domainkey.[domain] v=DKIM1; k=rsa; p=76E62…B6CBE
Parameter:
| Code | Bedeutung |
|---|---|
selector | Ein unikaler Wert (z.B. dkim1, mail) zur Bezeichnung des Eintrags innerhalb der eigenen Einstellungen. |
_domainkey | Vordefinierter, erforderlicher Wert, der nicht geändert werden kann. |
domain | Die Domäne, um die es sich handelt – Ihre Domäne |
v | Version des Eintrags – aktuell v=DKIM1. |
k | Verschlüsselungsart des PublicKeys – in den meisten Fällen RSA. |
p | Wert des PublicKeys. |
Das Schlüsselpaar für DKIM besteht aus zwei Teilen. Einem PublicKey, der in die DNS-Einstellungen des Domain-Providers eingetragen wird und einem PrivateKey, der je nach internem Netzwerk in das Security Gateway bzw. den Mailserver eingetragen wird. Beachten Sie, dass der PrivateKey mit niemandem geteilt werden darf!
Syntax: v=DMARC1; p=[wert]; pct=[wert] adkim=[wert]; aspf=[wert];
Parameter:
| Code | Bedeutung |
|---|---|
v | Version des Eintrags – aktuell v=DMARC1. |
p | Definition, wie mit den Mails für die Domäne verfahren werden soll. Zulässige Werte sind none: Mails durchlassen, quarantine: Mails in Quarantäne, reject: Mails abweisen. |
pct | Prozentualer Anteil der Mails die gefiltert werden sollen. Zulässige Werte sind Ganzzahlen zwischen 0 und 100. Standardwert ist 100. |
adkim | Abgleichmodus für DKIM. Zugelassene Werte sind r: relaxed und s: strict. |
aspf | Abgleichmodus für SPF. Zugelassene Werte sind r: relaxed und s: strict. |
Es existieren noch weitere optionale Parameter. Diese können bei Bedarf in der Referenz unter dmarc.org nachgeschlagen und hinzugefügt werden.
Nachdem die Einträge entsprechend den eigenen Anforderungen definiert wurden, müssen diese in den DNS-Einstellungen des Domänenanbieters eingetragen werden. Diese Einträge könnten beispielweise wie folgt aussehen.
| Name | Typ | Wert |
|---|---|---|
spf | TXT | v=SPF1 mx -all |
dkim1._domainkey | TXT | v=DKIM1; k=rsa; p=76E62…B6CBE |
_dmarc | TXT | v=DMARC1; p=quarantine; pct=100; adkim=s; aspf=s |
Egal, ob eingangs zur Überprüfung, ob die SPF-, DKIM- und DMARC-Einträge überhaupt gesetzt oder nach der Konfiguration korrekt sind, gibt es zahlreiche Online-Tools, wie z.B. mxtoolbox. Darin gibt man seine bzw. die zu prüfende Domain ein und lässt diese auf verschiedene Einträge überprüfen. Im Dropdown-Menü neben der Lookup-Schaltfläche können Sie aus einer Vielzahl von Tests wählen – u.a. SPF, DKIM und DMARC. Sind alle Tests erfolgreich, dann haben Sie einen wichtigen Schritt zur Steigerung Ihrer Emailsicherheit beigetragen. Sind alle oder einige Tests durchgefallen, dann besteht dringend Handlungsbedarf.
Sie wollen Ihre Emailsicherheit verbessern und benötigen Unterstützung bei der Umsetzung dieser und anderer Schutzmechanismen? Dann vereinbaren Sie ein kostenloses und unverbindliches Erstgespräch.
Folgen Sie uns auf unseren Social Media Kanälen und teilen Sie diesen Beitrag mit anderen: 
Autor VICARDION
VICARDION GbR
07251 32658 0
