Einhaltung von DMARC mit Amazon SES - Amazon Simple Email Service

Einhaltung von DMARC mit Amazon SES

Domain-based Message Authentication, Reporting and Conformance (DMARC) ist ein E-Mail-Authentifizierungs-Protokoll, das Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM) verwendet, um E-Mail-Spoofing zu erkennen. Zur Einhaltung von DMARC müssen Nachrichten über SPF, DKIM oder beides authentifiziert werden.

Dieses Thema enthält Informationen zur Konfiguration von Amazon SES, sodass Ihre gesendeten E-Mails sowohl SPF als auch DKIM erfüllen. Wenn Ihre E-Mails eines dieser Authentifizierungssysteme erfüllen, erfüllen sie auch DMARC. Informationen zur DMARC-Spezifizierung finden Sie unter http://www.dmarc.org.

Einrichten der DMARC-Richtlinie für Ihre Domäne

Zum Einrichten von DMARC müssen Sie die DNS-Einstellungen für Ihre Domäne ändern. Die DNS-Einstellungen für Ihre Domäne sollten einen TXT-Datensatz enthalten, der die DMARC-Einstellungen der Domäne angibt. Die Verfahren zum Hinzufügen von TXT-Datensätzen zu Ihrer DNS-Konfiguration hängen davon ab, welche DNS- oder Hosting-Anbieter Sie verwenden. Wenn Sie Route 53 verwenden, lesen Sie die Informationen zum Bearbeiten von Datensätzen im Amazon-Route-53-Entwicklerhandbuch. Wenn Sie einen anderen Anbieter verwenden, informieren Sie sich in der Dokumentation zur DNS-Konfiguration des betreffenden Anbieters.

Der Name des von Ihnen erstellten TXT-Datensatzes sollte _dmarc.example.com lauten, wobei example.com Ihre Domäne ist. Der Wert des TXT-Datensatzes enthält die DMARC-Richtlinie, die auf Ihre Domäne zutrifft. Nachfolgend finden Sie ein Beispiel eines TXT-Datensatzes mit einer DMARC-Richtlinie:

Name Typ Wert
_dmarc.example.com TXT "v=DMARC1;p=quarantine;pct=25;rua=mailto:dmarcreports@example.com"

In Klartext: E-Mail-Anbieter werden durch diese Richtlinie angewiesen, die folgenden Schritte auszuführen:

  • Wenden Sie die DMARC-Richtlinie auf 25 % der Nachrichten an, von denen alle die Authentifizierung fehlschlagen und senden Sie sie an den Spam-Ordner (Sie können auch nichts tun, indem Sie p=none verwenden, oder die Nachrichten vollständig ablehnen, indem Sie p=reject verwenden).

    • pct ist ein optionales DMARC-Tag, das eine Ganzzahl zwischen 0 und 100 verwendet (wenn dieses Tag nicht verwendet wird, unterliegen alle Nachrichten der DMARC-Richtlinie).

  • Senden Sie Berichte über alle E-Mails mit fehlgeschlagener Authentifizierung in eine Digest-Datei (d. h. einem Bericht, der Daten für einen bestimmten Zeitraum sammelt, anstatt für jedes Ereignis einzelne Berichte zu senden). E-Mail-Anbieter senden diese aggregierten Berichten in der Regel einmal pro Tag, wobei diese Richtlinien von Anbieter zu Anbieter verschieden sind.

Weitere Informationen zur Konfiguration von DMARC für Ihre Domäne finden Sie in der Übersicht über die DMARC-Website.

Umfassende Spezifikationen des DMARC-Systems finden Sie unter RFC 7489 auf der IETF-Website. Abschnitt 6.3 dieses Dokuments enthält eine vollständige Liste der Tags, die Sie zum Konfigurieren der DMARC-Richtlinie für Ihre Domäne verwenden können.

Einhaltung von DMARC über SPF

Damit eine E-Mail basierend auf SPF DMARC erfüllt, müssen beide der folgenden Bedingungen erfüllt sein:

  • Die E-Mail muss ein SPF-Prüfung bestehen.

  • Die Domäne in der "From"-Adresse des E-Mail-Headers muss mit der MAIL FROM-Domäne übereinstimmen, die der sendende Mail-Server für den empfangenden Mail-Server angibt. Wenn die DMARC-Richtlinie der Domäne für SPF eine enge Übereinstimmung vorsieht, müssen sich die "From"- und MAIL FROM-Domänen genau entsprechen. Wenn die DMARC-Richtlinie der Domäne für SPF eine lockere Übereinstimmung vorsieht, kann es sich bei der MAIL FROM-Domäne um eine Unterdomäne der Domäne im From-Header handeln.

Gehen Sie wie folgt vor, um diese Anforderungen zu erfüllen:

  • Befolgen Sie die Anleitung unter , um eine benutzerdefinierte MAIL FROM-Domäne einzurichten Verwenden einer benutzerdefinierten MAIL FROM-Domäne.

  • Stellen Sie sicher, dass Ihre sendende Domäne eine lockere Richtlinie für SPF verwendet. Wenn Sie die Richtlinienausrichtung Ihrer Domäne nicht geändert haben, wird standardmäßig eine lockere Richtlinie verwendet.

    Anmerkung

    Um die DMARC-Ausrichtung Ihrer Domäne für SPF herauszufinden, geben Sie in der Befehlszeile den folgenden Befehl ein. Ersetzen Sie dabei example.com durch Ihre Domäne:

    nslookup -type=TXT _dmarc.example.com

    Suchen Sie in der Ausgabe des Befehls unter Non-authoritative answer nach einem Eintrag, der mit v=DMARC1 beginnt. Wenn dieser Eintrag die Zeichenfolge aspf=r enthält oder die Zeichenfolge aspf nicht vorhanden ist, verwendet Ihre Domäne eine lockere Ausrichtung für SPF. Wenn der Eintrag die Zeichenfolge aspf=s enthält, verwendet Ihre Domäne eine enge Ausrichtung für SPF. In diesem Fall muss der Systemadministrator diesen Tag in der DNS-Konfiguration Ihrer Domäne aus dem DMARC TXT-Eintrag entfernen.

    Alternativ können Sie ein webbasiertesDMARC-Suchtool wie den DMARC Inspector von der dmarcian-Website oder das DMARC-Check-Tool von der Proofpoint-Website verwenden, um die Richtlinienausrichtung Ihrer Domäne für SPF zu bestimmen.

Einhaltung von DMARC über DKIM

Damit eine E-Mail basierend auf DKIM DMARC erfüllt, müssen beide der folgenden Bedingungen erfüllt sein:

  • Die Nachricht muss eine gültige DKIM-Signatur haben.

  • Die "From"-Adresse im E-Mail-Header muss mit der d=-Domäne in der DKIM-Signatur übereinstimmen. Wenn die DMARC-Richtlinie der Domäne eine enge Übereinstimmung für DKIM vorsieht, müssen sich diese Domänen genau entsprechen. Wenn die DMARC-Richtlinie der Domäne eine lockere Übereinstimmung für DKIM vorsieht, kann es sich bei der d=-Domäne um eine Unterdomäne der "From"-Domäne handeln.

Gehen Sie wie folgt vor, um diese Anforderungen zu erfüllen:

  • Richten Sie Easy DKIM anhand der Anleitung unter ein Easy DKIM in Amazon SES. Wenn Sie Easy DKIM verwenden, signiert Amazon SES Ihre E-Mails automatisch.

    Anmerkung

    Statt Easy DKIM zu verwenden, können Sie Ihre Nachrichten auch manuell signieren. Diese Methode ist jedoch mit Vorsicht zu verwenden, da Amazon SES die von Ihnen erstellte DKIM-Signatur nicht validiert. Daher empfehlen wir dringend die Verwendung von Easy DKIM.

  • Stellen Sie sicher, dass Ihre sendende Domäne eine lockere Richtlinie für DKIM verwendet. Wenn Sie die Richtlinienausrichtung Ihrer Domäne nicht geändert haben, wird standardmäßig eine lockere Richtlinie verwendet.

    Anmerkung

    Um die DMARC-Ausrichtung Ihrer Domäne für DKIM herauszufinden, geben Sie in der Befehlszeile den folgenden Befehl ein. Ersetzen Sie dabei example.com durch Ihre Domäne:

    nslookup -type=TXT _dmarc.example.com

    Suchen Sie in der Ausgabe des Befehls unter Non-authoritative answer nach einem Eintrag, der mit v=DMARC1 beginnt. Wenn dieser Eintrag die Zeichenfolge adkim=r enthält oder die Zeichenfolge adkim nicht vorhanden ist, verwendet Ihre Domäne eine lockere Ausrichtung für DKIM. Wenn der Eintrag die Zeichenfolge adkim=s enthält, verwendet Ihre Domäne eine enge Ausrichtung für DKIM. In diesem Fall muss der Systemadministrator diesen Tag in der DNS-Konfiguration Ihrer Domäne aus dem DMARC TXT-Eintrag entfernen.

    Alternativ können Sie ein webbasiertes DMARC-Suchtool wie den DMARC Inspector von der dmarcian-Website oder das DMARC Check-Tool von der Proofpoint-Website verwenden, um die Richtlinienausrichtung Ihrer Domäne für DKIM zu bestimmen.