Die Kombination der Secure-by-Design-Architektur von Google Workspace mit dem integrierten Spam-, Phishing- und Malware-Schutz von Gmail ist eine hervorragende Möglichkeit, Ihre Benutzer vor externen Bedrohungen zu schützen. Aber was ist mit Bedrohungen durch böswillige Akteure, die Ihre eigene Domain kapern, sich als Ihre Benutzer ausgeben und E-Mail-basierte Angriffe gegen Ihre Kunden, Mitarbeiter und Ihre Marke starten?
Schlimmer noch: Wussten Sie, dass jeder im Internet E-Mails „von“ Ihrer Domain senden kann, ohne Zugriff auf Ihr Konto zu benötigen? Hier kommt DMARC ins Spiel.
Haben Sie eine DMARC-Richtlinie?
DMARC steht für Domain-based Message Authentication, Reporting, and Conformance. Ohne eine DMARC-Richtlinie sind Domänen, die E-Mails senden und empfangen, anfällig für Spoofing, was Dritten Folgendes ermöglicht:
- Phishing-Angriffe starten 🎣
- Verteilen Sie Spam, Malware oder Ransomware ☣️
- Führen Sie Social-Engineering-Betrug gegen Kunden oder Mitarbeiter durch 💸
Eine starke DMARC-Richtlinie ermöglicht es Administratoren, Nachrichten, die von nicht autorisierten Absendern über ihre Domain gesendet werden, zu überwachen, unter Quarantäne zu stellen oder die Zustellung abzulehnen. Mit anderen Worten: Jedes Unternehmen benötigt eine DMARC-Richtlinie, um den Ruf seiner Marke und Domain zu schützen. Bei Rise Digital wird jeder Google Workspace-Client vom ersten Tag an mit einer DMARC-Richtlinie ausgestattet.
Wie funktioniert DMARC?
DMARC erfüllt zwei Hauptfunktionen:
- DMARC sendet Berichte mit der Quelle (Server und Domänen) der über Ihre Domäne gesendeten Nachrichten und wie viel Prozent davon zwei wichtige E-Mail-Sicherheitsprotokolle bestehen oder nicht:
- Sender Protection Framework (SPF): Gibt die Server und Domänen an, die zum Senden von E-Mails im Namen Ihrer Organisation berechtigt sind.
- Domain Keys Identified Mail (DKIM) fügt jeder ausgehenden Nachricht eine digitale Signatur hinzu, sodass empfangende Server die Authentizität und Integrität der Nachricht überprüfen können.
- DMARC empfiehlt, welche Maßnahmen die Mailserver der Empfänger bei Nachrichten ergreifen sollten, die die oben genannten Protokolle nicht erfüllen:
- Keine (Nachricht übermitteln)
- Quarantäne (Nachricht als Spam markieren)
- Ablehnen (Nachricht zurückschicken)
So aktivieren Sie DMARC
Die Implementierung von DMARC ist ein Prozess. Die sofortige Ablehnung aller ausgehenden Nachrichten, die DMARC nicht bestehen, birgt die Gefahr, dass die Zustellung geschäftskritischer E-Mails unterbrochen wird. Daher empfehlen wir Google Workspace-Administratoren, ihre DMARC-Richtlinie schrittweise einzuführen und zu stärken, die Ergebnisse zu analysieren und bei jedem Schritt auf negative Auswirkungen zu achten.
1. Implementieren Sie SPF und DKIM für autorisierte Absender
Stellen Sie zunächst sicher, dass Ihre Organisation SPF und DKIM für E-Mails implementiert hat, die von Benutzern Ihrer Domäne und anderen autorisierten Absendern gesendet werden. DMARC weist Mailserver an, wie mit Nachrichten umzugehen ist, die SPF oder DKIM nicht bestehen. Daher ist es wichtig, sie zu aktivieren.
2. Erstellen Sie eine dedizierte E-Mail-Adresse zum Sammeln von DMARC-Berichten
Sobald Ihre DMARC-Richtlinie eingerichtet ist, erhalten Sie Berichte von den Mailservern der Empfänger. Anstatt Ihre E-Mails zu überfluten, erstellen Sie ein dediziertes Repository, beispielsweise eine Google-Gruppe.
- Melden Sie sich bei der Google Admin-Konsole an
- Navigieren Sie zu Verzeichnis > Gruppen > Gruppe erstellen
- Geben Sie DMARC in den Gruppennamen und dmarc in die Gruppen-E-Mail ein und fügen Sie bei Bedarf eine Beschreibung hinzu. Überspringen Sie den Gruppenbesitzer und das Sicherheitslabel. Klicken Sie auf Weiter.
- Stellen Sie alle Zugriffseinstellungen auf Gruppenbesitzer ein, außer Wer kann posten: Extern. Stellen Sie ein, wer der Gruppe beitreten kann, auf Nur eingeladene Benutzer. Lassen Sie keine Mitglieder außerhalb Ihrer Organisation zu. Klicken Sie auf Weiter, Gruppe erstellen, Fertig, Gruppeneinstellungen anzeigen, dann Erweiterte Einstellungen.
- Ändern Sie unter „Richtlinien zum Posten“ die Option „Wer kann Dateien anhängen?“ in „Jeder im Web“.
3. Implementieren Sie eine anfängliche (permissive) DMARC-Richtlinie
Ihre DMARC-Richtlinie informiert die Mailserver der Empfänger über den Umgang mit Nachrichten, die SPF oder DKIM nicht bestehen, und wohin Berichte gesendet werden sollen. Beginnen Sie mit einer freizügigen Richtlinie, um Störungen des Mailflusses zu vermeiden:
v=DMARC1; p=none; rua=mailto:[email protected]
Während Sie durch DMARC-Berichte Erkenntnisse gewinnen und SPF und DKIM für alle autorisierten Absender sicherstellen, können Sie Ihre Richtlinien schrittweise verschärfen, um Nachrichten von nicht autorisierten Absendern unter Quarantäne zu stellen und schließlich abzulehnen.
4. DMARC-Berichte analysieren
Tägliche DMARC-Berichte helfen Ihnen, Folgendes zu verstehen:
- Welche Server und Domänen senden E-Mails von Ihrer Domäne?
- Wie viel Prozent der Nachrichten bestehen DMARC (SPF und DKIM)
- Welche Server und Domänen bestehen DMARC nicht (SPF und DKIM)
Tools wie DMARCian XML-zu-Human-Konverter kann bei der Analyse von Berichten helfen. Passen Sie basierend auf Ihrer Analyse die SPF- und DKIM-Einstellungen für alle autorisierten Absender an, bevor Sie Ihre DMARC-Richtlinie verschärfen.
5. Stellen Sie einige, dann mehr und schließlich alle nicht autorisierten Nachrichten unter Quarantäne
Verschärfen Sie Ihre DMARC-Richtlinie schrittweise, indem Sie den DMARC-Eintrag in der DNS-Konsole Ihres Domänenregistrars bearbeiten:
v=DMARC1; p=quarantine; pct=10; rua=mailto:[email protected]
Überwachen Sie nachteilige Auswirkungen, analysieren Sie DMARC-Berichte und passen Sie die SPF- und DKIM-Einstellungen nach Bedarf an. Erhöhen Sie den Prozentsatz unter Quarantäne gestellter Nachrichten, bis er 100 % erreicht.
6. Nachrichten von nicht autorisierten Absendern ablehnen
Lehnen Sie abschließend Nachrichten von nicht autorisierten Absendern ab:
v=DMARC1; p=reject; rua=mailto:[email protected]
Die Mailserver der Empfänger setzen die DMARC-Richtlinien nur selten außer Kraft. Jetzt ist Ihr Unternehmen vor Missbrauch durch nicht autorisierte Absender geschützt, die Ihre Domain fälschen.
Herzlichen Glückwunsch! 🥳 Ihre Domain ist jetzt vor E-Mail-Spoofing und Spam geschützt.
