Was ist die DMARC-Quarantäne? p=quarantine Policy [EXPLAINED]

,

In diesem Artikel wird erläutert, was eine DMARC-Quarantäne-Richtlinie ist, warum ein DMARC p = Quarantäne-Tag verwendet wird und wie viel Prozent der Nachrichten Sie in Quarantäne stellen sollten.

von Yunes

Lesezeit: 6 min
Was ist die DMARC-Quarantäne? p=quarantine Policy [EXPLAINED]
Inhaltsverzeichnis-

Was ist die DMARC-Quarantäne?

DMARC-Quarantäne ist eine Quarantäne-Richtlinie, bei der das p-Tag gleich Quarantäne ist. Das bedeutet, dass E-Mails als Spam gekennzeichnet und dann zur Überprüfung an den Domänenbesitzer weitergeleitet werden. Auf diese Weise werden die meisten Spoofing-Domains bereits im Vorfeld abgefangen. Dieser Leitfaden soll Ihnen helfen zu verstehen, was DMARC-Quarantäne ist und wie DMARC mit der p=Quarantäne-Richtlinie funktioniert.

DMARC-Quarantäne ist eine der drei DMARC-Richtlinien (die anderen beiden sind p=none und p=reject) die den empfangenden Server anweist, alle E-Mails, die die DMARC-Authentifizierung nicht bestehen, in den Spam-/Junk-Ordner des Empfängers zu verschieben.

Wenn Sie eine DMARC-Richtlinie auf p=quarantinefestlegen, teilen Sie den E-Mail-Servern mit, dass eine E-Mail, die die DMARC-Authentifizierung nicht besteht, vom Server unter Quarantäne gestellt werden soll. "Eine E-Mail in Quarantäne zu stellen bedeutet, dass sie weiterhin an den Posteingang des Empfängers zugestellt wird, aber als verdächtig gekennzeichnet und an den Spam-Ordner (oder "Junk-Mail") des Empfängers statt an den Posteingang gesendet wird.

Hier erfahren Sie, wie Sie Ihren Spam-Ordner in GMAIL finden können.

Ein DMARC-Datensatz mit der Quarantäne-Richtlinie kann wie folgt aussehen:

v=DMARC1; p=Quarantäne; rua=mailto:[email protected];

Wie wird eine DMARC-Quarantäne-Richtlinie ausgeführt?

Eine Quarantäne-Richtlinie bedeutet, dass E-Mail-Anbieter, die Nachrichten von Ihrer Seite erhalten, mit DMARC prüfen, ob die Nachricht die DKIM- oder SPF-Authentifizierung bestanden hat, und sie prüfen auch, ob die in der Adresse gefundene Domäne mit den Domänen übereinstimmt, die entweder im SPF- oder DKIM-Kennungsabgleich gefunden wurden. Wenn die Kriterien erfüllt sind, stellt der E-Mail-Anbieter Ihre Nachricht an den Posteingang des Benutzers zu. Sind diese Kriterien jedoch nicht erfüllt, legt der E-Mail-Anbieter Ihre Nachricht im Spam-Ordner ab oder lehnt sie ganz ab.

Eine schrittweise Analyse der Funktionsweise der Quarantänepolitik

1. Wenn eine E-Mail gesendet wird, prüft der Empfänger, ob ein DMARC-Eintrag vorhanden ist.

2. Wenn die Nachricht SPF oder DKIM nicht besteht, wird sie auf der Grundlage der Parameter für die Domänenausrichtung im DMARC-Datensatz bewertet, die mit der DMARC-Prüfung übermittelt werden. Die Domänenausrichtung bezieht sich darauf, ob die Domäne mit der Domäne in einem SPF-Eintrag übereinstimmt oder nicht.

3. Die durch eine DMARC-Richtlinie definierten Behandlungsoptionen basieren darauf, wie eng die Nachricht mit einer sendenden Domäne verbunden ist.

4. Wenn der Absender die Authentifizierung besteht, wird die Nachricht wie üblich zugestellt.

5. Im Gegenteil, wenn sie nicht genau übereinstimmt, wird die angewandte DMARC-Richtlinie (in unserem Fall p=quarantine) ausgeführt.

6. Die DMARC p=Quarantäne-Richtlinie weist den empfangenden Server an, E-Mails, die die DMARC-Authentifizierung nicht bestehen, als verdächtig zu behandeln; sie werden nicht direkt in den Posteingang des Benutzers zugestellt, aber auch nicht vollständig verworfen. Sie werden in einem Spam- oder Junk-Ordner abgelegt oder auf irgendeine Weise gekennzeichnet, damit der Benutzer weiß, dass die E-Mail nicht authentisch ist.

Vereinfachen Sie DMARC mit PowerDMARC!

15-Tage-TestDemo buchen

Bedeutung der DMARC-Quarantäne-Richtlinie

DMARC ist ein wirksames Mittel, um E-Mail-Spoofing zu verhindern, und die Quarantäne-Richtlinie ist eine gute Möglichkeit, Ihren Posteingang zu schützen, ohne dass Sie Ihr System großartig verändern müssen.

Verwendung von p=quarantine teilt Ihrem empfangenden Mailserver mit, dass alle E-Mails, die nicht Ihren Domänennamen im Feld "Von" (oder einem anderen festgelegten Kriterium) enthalten, standardmäßig unter Quarantäne gestellt werden sollen.

Zum Beispiel:

Wenn ein Spammer versucht, eine E-Mail von "[email protected]" zu senden, aber nicht über die notwendigen Informationen verfügt, um sie mit DKIM oder SPF zu signieren, wird die E-Mail unter Quarantäne gestellt und nicht zugestellt. Dies schützt Ihren Posteingang vor einer Vielzahl unerwünschter Nachrichten.

Die Quarantäne-Richtlinie ist auch deshalb so nützlich, weil sie die Zahl der Fehlalarme reduziert. Da Sie den empfangenden E-Mail-Server lediglich anweisen, alle E-Mails in Quarantäne zu stellen, die nicht den festgelegten Kriterien entsprechen, müssen Sie sich keine Gedanken darüber machen, welche E-Mails bösartig sind und welche aus legitimen Quellen stammen.

DMARC-Quarantänebeispiele und ihre Bedeutung erklärt

Nehmen wir an, Sie sind Personalreferent in einem Unternehmen namens ACME. Eines Tages schickt Ihnen Ihr Chef eine E-Mail, in der er Sie bittet, 1.000 $ auf das Bankkonto eines Lieferanten namens Dynamic Corp. zu überweisen.

Sie haben noch nie von diesem Anbieter gehört. Sie glauben nicht einmal, dass Ihr Unternehmen mit Anbietern zusammenarbeitet!

Da die Nachricht aber von der E-Mail-Adresse Ihres Chefs und nicht von einem beliebigen Konto stammt, gehen Sie davon aus, dass sie echt ist. Also überweisen Sie das Geld.

Am nächsten Tag fragt Ihr Chef, warum Sie DynamicCorp 1.000 Dollar geschickt haben. Sie sagen ihm, dass Sie dachten, er hätte Sie darum gebeten. Er sagt Ihnen, dass die fragliche E-Mail von jemandem geschickt wurde, der sich als er ausgab, und dass er Sie nie um diese Zahlung gebeten hat!

Mit der DMARC-Quarantänerichtlinie kann dieses Szenario nicht eintreten. Wenn ACME eine Quarantäne-Richtlinie über das DMARC-Protokoll eingerichtet hat (durch Veröffentlichung eines DMARC-TXT-Eintrags), wird, wenn jemand die ACME-Domäne fälscht und eine E-Mail wie diese sendet, die vorgibt, von ACME HR zu sein, der Posteingang des Empfängers die Nachricht als Spam oder Junk-Mail kennzeichnen und das Problem verhindern, bevor es überhaupt beginnen kann.

Wenn Sie Ihren DMARC-Eintrag einrichten, sollten Sie daran denken, dass durch die Quarantäne-Aktion einige gute E-Mails verloren gehen können. Hier kommt der Prozentwert ins Spiel - er teilt den empfangenden Mailservern mit, welcher Prozentsatz der E-Mails als Spam behandelt werden soll. Das bedeutet, dass von 100 E-Mails nur [x] unter Quarantäne gestellt werden.

Für kleine Unternehmen empfehlen wir, den DMARC-Quarantäneanteil auf 10 % festzulegen. Das heißt, wenn Ihnen jemand eine E-Mail schickt, die die DMARC-Prüfung nicht besteht, besteht nur eine Chance von 1:10, dass sie als Spam unter Quarantäne gestellt wird. Auf diese Weise verringern Sie das Risiko, legitime Nachrichten zu verlieren, und können gleichzeitig Ihre DMARC-Einrichtung an echten E-Mails testen.

Für große Organisationen empfehlen wir einen viel niedrigeren Prozentsatz - etwa 1 %. Für große Unternehmen bedeutet dies, dass eine E-Mail, die eine DMARC-Authentifizierung nicht besteht, mit einer Wahrscheinlichkeit von 1:100 als Spam unter Quarantäne gestellt wird. Wenn Sie eine große Organisation leiten, müssen Sie möglicherweise bestimmten Absendern allein aufgrund ihrer IP-Adresse oder ihres Domänennamens vertrauen, z. B. wenn sich Ihr Bürogebäude in einem Gemeinschaftsraum befindet und eine einzige IP-Adresse für alle Mieter hat.

Ein Beispiel für einen DMARC-Datensatz mit dem Prozent-Tag:

 

v=DMARC1; p=Quarantäne; pct=10%; adkim=r; aspf=r; rua=mailto:[email protected];

pct= gibt den Prozentsatz der E-Mails an, die von Ihrer DMARC-Quarantäne-Richtlinie erfasst werden sollen. Wenn Sie also ein pct-Tag mit dem Wert 100 angeben, wird jede E-Mail geprüft. Wenn Sie ein pct-Tag mit dem Wert 10 angeben, wird 1 von 10 E-Mails geprüft.

p=keine VS p=Quarantäne VS p=ablehnen

  •  p=none bedeutet einfach, dass Ihre Empfängerserver E-Mails überwachen, die von Ihrer Domäne kommen, aber keine Nachrichten blockieren, die möglicherweise betrügerisch sind. Dies ist eine gute Möglichkeit, um mit der Überwachung auf Betrug zu beginnen, aber es trägt nicht so viel dazu bei, ihn zu verhindern.
  •  Mit p=quarantine teilen Sie den Empfängerservern mit, dass sie alle von Ihrer Domäne gesendeten E-Mails, die die SPF- oder DKIM-Prüfungen nicht bestehen, in den Spam-Ordner ihres Posteingangs verschieben sollen, anstatt in ihren normalen Posteingang.
  • p=reject geht noch einen Schritt weiter und weist den Empfängerserver an, alle von Ihrer Domäne gesendeten E-Mails zurückzuweisen, die die SPF- oder DKIM-Prüfungen nicht bestehen. Das bedeutet, dass diese E-Mails niemals den Posteingang (oder sogar den Spam-Ordner) des Benutzers erreichen, der sie erhält.

Wenn Sie mehr über DMARC erfahren möchten, bietet PowerDMARC eine Reihe von Tools, die Ihnen dabei helfen. Dazu gehören ein DMARC-XML Reader, der Ihren aktuellen DMARC-Datensatz zusammenfasst und vorhandene Probleme aufdeckt, sowie ein SPF-Generator mit dem Sie kostenlos Ihre eigenen SPF-Einträge für Ihre Domain erstellen können.

Neueste Beiträge von Yunes Tarada (alle anzeigen)
Was ist ein Session-Hijacking-Angriff?Session-Hijacking-Angriffdmarc gegen dkimDMARC VS DKIM
  翻译: