Defaults.Exposed › Einrichtung › DMARC

DMARC bei AWS Route 53 einrichten

Legen Sie in Ihrer Route-53-Hosted-Zone einen DMARC-Eintrag an, der den Mail-Anbietern sagt, was sie mit E-Mails tun sollen, die Ihre Prüfungen nicht bestehen.

Warum das für Ihr Geschäft wichtig ist

DMARC verbindet SPF und DKIM miteinander und liefert die fehlende Anweisung: Was soll ein empfangender Mail-Anbieter tun, wenn eine E-Mail, die angeblich von Ihnen stammt, die Prüfungen nicht besteht? Ohne DMARC rät jeder Anbieter. Mit DMARC entscheiden Sie – und Sie können sich Berichte schicken lassen, die zeigen, wer in Ihrem Namen Mail versendet.

Im Klartext: DMARC ist das, was Kriminelle tatsächlich daran hindert, Ihre Domain zu fälschen und damit Ihre Kunden oder Mitarbeiter zu betrügen. Es ist die Richtlinie über den Schlössern, die SPF und DKIM bereitstellen – kostenlos und die paar Minuten allemal wert.

Richten Sie zuerst SPF und DKIM ein

DMARC funktioniert, indem es die Ergebnisse von SPF und DKIM auswertet. Wenn Sie diese noch nicht eingerichtet haben, holen Sie das zuerst nach – eine DMARC-Richtlinie ohne Unterbau hat nichts, was sie durchsetzen könnte.

Prüfen Sie, ob Route 53 Ihr DNS betreibt

Wie bei jedem DNS-Eintrag funktioniert das nur, wenn Route 53 das DNS für Ihre Domain beantwortet. Route 53 ist Ihr DNS-Host, nicht Ihr Postfach-Anbieter. Öffnen Sie in der Route-53-Konsole Hosted zones, wählen Sie Ihre Domain aus und notieren Sie die vier NS-Werte (Nameserver); diese müssen mit den bei Ihrem Registrar gesetzten Nameservern übereinstimmen. Haben Sie die Domain über Route 53 registriert, stimmen sie meist bereits überein; ist sie woanders registriert – oder haben Sie mehr als eine Hosted Zone für die Domain – prüfen Sie sorgfältig. Zeigen die aktiven Nameserver woanders hin, legen Sie den DMARC-Eintrag stattdessen bei demjenigen an, der Ihr DNS betreibt.

Schritt für Schritt bei Route 53

1. Melden Sie sich bei der AWS-Konsole an und öffnen Sie Route 53.
2. Wählen Sie im linken Menü Hosted zones und klicken Sie dann auf den Namen Ihrer Domain.
3. Klicken Sie auf Create record.
4. Erscheint ein Assistent mit Routing-Optionen, wechseln Sie zum einfachen Formular (suchen Sie nach Quick create record).
5. Tragen Sie unter Record name exakt Folgendes ein: _dmarc Tippen Sie nicht Ihren Domainnamen dahinter – Route 53 hängt die Domain automatisch an (sie wird neben dem Feld angezeigt).
6. Setzen Sie Record type auf TXT.
7. Beginnen Sie unter Value behutsam mit einer reinen Überwachungs-Richtlinie, in doppelte Anführungszeichen gesetzt: "v=DMARC1; p=none; rua=mailto:[email protected]" Ersetzen Sie die Adresse durch ein Postfach, das Sie tatsächlich lesen. Damit bitten Sie die Anbieter, Ihnen Zusammenfassungsberichte zu schicken, ohne dass sich vorerst an der Behandlung Ihrer Mail etwas ändert.
8. Lassen Sie TTL auf der Standardeinstellung.
9. Klicken Sie auf Create records.

Die Wahl Ihrer Richtlinie (der Teil p=)

• p=none – nur überwachen. Nichts wird blockiert; Sie erhalten lediglich Berichte. Hier anfangen.
• p=quarantine – fehlgeschlagene Mail in den Spam-/Junk-Ordner verschieben.
• p=reject – fehlgeschlagene Mail komplett abweisen (der stärkste Schutz).

Lassen Sie p=none ein paar Wochen laufen, lesen Sie die Berichte, um sicherzugehen, dass Ihre gesamte legitime Mail durchkommt, und gehen Sie dann auf quarantine und schließlich reject hoch. Wer direkt auf reject springt, ohne die Berichte geprüft zu haben, riskiert, seine eigene echte Post zu blockieren.

Stolperfallen bei Route 53

• Der Wert muss in doppelten Anführungszeichen stehen. Route 53 erwartet, dass Sie die Anführungszeichen selbst tippen: "v=DMARC1; p=none; ...". Sie wegzulassen, ist der häufigste Fehler bei Route 53.
• Der Record name ist _dmarc, mit Unterstrich. Ein häufiger Fehler ist, den Unterstrich wegzulassen oder _dmarc.yourdomain.com einzutippen – bei Route 53 geben Sie nur _dmarc ein, und die Zone wird für Sie angehängt. Die volle Domain einzutippen, erzeugt einen kaputten Host _dmarc.yourdomain.com.yourdomain.com, der nie geprüft wird.
• Nur ein DMARC-Eintrag. Wie bei SPF darf es nur einen einzigen DMARC-TXT-Eintrag unter _dmarc geben. Existiert bereits einer, bearbeiten Sie ihn, statt einen zweiten anzulegen.
• Verwenden Sie ein echtes Berichtspostfach. Die Adresse hinter rua=mailto: sollte eine sein, die Sie wirklich abrufen, sonst sind die Berichte verschenkt. Sie kann auf derselben oder einer anderen Domain liegen. (Wenn Sie Berichte an eine Domain leiten, die Sie nicht kontrollieren, muss diese Domain es freigeben – für Ihre eigene Domain sind Sie aber auf der sicheren Seite.)
• Richtige Hosted Zone, richtiges Konto. Mit mehreren Zonen oder AWS-Konten ist es leicht, die falsche zu bearbeiten. Vergewissern Sie sich, dass die vier NS-Werte der Zone mit Ihren aktiven Nameservern übereinstimmen.
• Geben Sie ihm Zeit. DNS-Änderungen können einige Minuten bis ein paar Stunden brauchen, bis sie wirksam werden.

Prüfen, ob es geklappt hat

Sobald gespeichert und verbreitet, führen Sie den kostenlosen Test auf dieser Seite aus. Er sagt Ihnen in verständlicher Sprache, ob Ihr DMARC-Eintrag steht und welche Richtlinie Sie gesetzt haben.

Fertig? Prüfen Sie Ihre Domain kostenlos um zu bestätigen, dass es funktioniert hat – und sehen Sie Ihre vollständige Bewertung über alle 34 Prüfungen.