Einhaltung des DMARC Authentifizierungsprotokolls in Amazon SES - Amazon Simple Email Service
Einrichtung der DMARC Richtlinie für Ihre DomainImplementieren DMARCEinhaltung aller DMARC SPFEinhaltung durch DMARC DKIM

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einhaltung des DMARC Authentifizierungsprotokolls in Amazon SES

Domain-based Message Authentication, Reporting and Conformance (DMARC) ist ein E-Mail-Authentifizierungsprotokoll, das Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM) verwendet, um E-Mail-Spoofing und Phishing zu erkennen. Um die Anforderungen zu erfüllenDMARC, müssen Nachrichten entweder mit SPF oder DKIM authentifiziert werden. Wenn jedoch beide zusammen verwendet werdenDMARC, gewährleisten Sie den höchstmöglichen Schutz für Ihren E-Mail-Versand.

Schauen wir uns kurz an, was beide tun und wie sie DMARC alle miteinander verknüpft werden:

  • SPF— Identifiziert anhand eines Eintrags, der von verwendet wird, welche Mailserver E-Mails im Namen Ihrer benutzerdefinierten MAIL FROM Domain versenden dürfenDNS. DNS TXT Die E-Mail-Systeme der Empfänger ermitteln anhand des SPF TXT Datensatzes, ob eine Nachricht von Ihrer benutzerdefinierten Domain von einem autorisierten Messaging-Server stammt. Im Grunde SPF soll es helfen, Spoofing zu verhindern, aber es gibt Spoofing-Techniken, die SPF in der Praxis anfällig sind, weshalb Sie sie auch zusammen mit verwenden müssen. DKIM DMARC

  • DKIM— Fügt Ihren ausgehenden Nachrichten im E-Mail-Header eine digitale Signatur hinzu. Empfangende E-Mail-Systeme können anhand dieser digitalen Signatur überprüfen, ob eingehende E-Mails mit einem Schlüssel signiert sind, der der Domain gehört. Wenn ein empfangendes E-Mail-System eine Nachricht weiterleitet, wird der Umschlag der Nachricht jedoch so geändert, dass die Authentifizierung ungültig SPF wird. Da die digitale Signatur in der E-Mail-Nachricht verbleibt, weil sie Teil des E-Mail-Headers ist, DKIM funktioniert sie auch, wenn eine Nachricht zwischen Mailservern weitergeleitet wurde (sofern der Nachrichteninhalt nicht geändert wurde).

  • DMARC— Stellt sicher, dass eine Domänenausrichtung mit mindestens einem von SPF und bestehtDKIM. Die Verwendung von SPF und DKIM allein gewährleistet nicht, dass die Absenderadresse authentifiziert ist (dies ist die E-Mail-Adresse, die Ihr Empfänger in seinem E-Mail-Client sieht). SPFüberprüft nur die in der MAIL FROM Adresse angegebene Domain (wird von Ihrem Empfänger nicht gesehen). DKIMprüft nur die in der DKIM Signatur angegebene Domain (auch wenn sie von Ihrem Empfänger nicht gesehen wird). DMARCbehebt diese beiden Probleme, indem verlangt wird, dass die Domänenausrichtung bei einem der folgenden Kriterien SPF korrekt istDKIM:

    • Damit die DMARC Ausrichtung erfolgreich istSPF, muss die Domäne in der Absenderadresse mit der Domäne in der MAIL FROM Adresse übereinstimmen (auch als Return-Path- und Envelope-From-Adresse bezeichnet). Dies ist bei weitergeleiteten E-Mails selten möglich, weil sie entfernt werden, oder beim Senden von E-Mails über externe Anbieter von Massen-E-Mails, weil der Return-Path (MAILFROM) für Bounces und Beschwerden verwendet wird, die der Anbieter () anhand einer Adresse verfolgt, deren Eigentümer er ist. SES

    • DKIMDamit das DMARC Alignment erfolgreich ist, muss die in der DKIM Signatur angegebene Domäne mit der Domäne in der Absenderadresse übereinstimmen. Wenn Sie Absender oder Dienste von Drittanbietern verwenden, die E-Mails in Ihrem Namen versenden, können Sie dies erreichen, indem Sie sicherstellen, dass der Drittanbieter-Absender ordnungsgemäß für das DKIM Signieren konfiguriert ist und Sie die entsprechenden DNS Einträge innerhalb Ihrer Domain hinzugefügt haben. Empfangende Mailserver können dann die von Ihrem Drittanbieter an sie gesendeten E-Mails verifizieren, als ob es sich um E-Mails von einer Person handeln würde, die berechtigt ist, eine Adresse innerhalb der Domain zu verwenden.

Alles zusammenfügen mit DMARC

Die oben besprochenen DMARC Alignment-Checks zeigenSPF, wieDKIM, und DMARC alle zusammenarbeiten, um das Vertrauen in Ihre Domain und die Zustellung Ihrer E-Mails an Posteingänge zu erhöhen. DMARCDies wird erreicht, indem sichergestellt wird, dass die Absenderadresse, die für den Empfänger sichtbar ist, entweder authentifiziert wird durch: SPF DKIM

  • Eine Nachricht ist erfolgreichDMARC, wenn eine oder beide der beschriebenen SPF DKIM Prüfungen erfolgreich sind.

  • Eine Nachricht schlägt fehlDMARC, wenn beide der beschriebenen DKIM Prüfungen SPF oder Prüfungen fehlschlagen.

Daher DKIM sind beide SPF und beide erforderlich, DMARC um die beste Chance auf eine Authentifizierung Ihrer gesendeten E-Mail zu haben. Wenn Sie alle drei verwenden, tragen Sie dazu bei, dass Sie über eine vollständig geschützte Absenderdomäne verfügen.

DMARCermöglicht es Ihnen außerdem, E-Mail-Server anhand von von Ihnen festgelegten Richtlinien anzuweisen, wie sie mit E-Mails umgehen sollen, wenn sie bei der DMARC Authentifizierung fehlschlagen. Dies wird im folgenden Abschnitt erklärt, der Informationen darüber enthältEinrichtung der DMARC Richtlinie für Ihre Domain, wie Sie Ihre SES Domains so konfigurieren, dass die von Ihnen gesendeten E-Mails dem DMARC Authentifizierungsprotokoll SPF sowohl DKIM über als auch entsprechen.

Einrichtung der DMARC Richtlinie für Ihre Domain

Um sie einzurichtenDMARC, müssen Sie die DNS Einstellungen für Ihre Domain ändern. Die DNS Einstellungen für Ihre Domain sollten einen TXT Datensatz enthalten, der die DMARC Einstellungen der Domain festlegt. Die Verfahren zum Hinzufügen von TXT Datensätzen zu Ihrer DNS Konfiguration hängen davon ab, welchen DNS Hosting-Anbieter Sie verwenden. Wenn Sie Route 53 verwenden, lesen Sie die Informationen zum Bearbeiten von Datensätzen im Amazon-Route-53-Entwicklerhandbuch. Wenn Sie einen anderen Anbieter verwenden, lesen Sie in der DNS Konfigurationsdokumentation Ihres Anbieters nach.

Der Name des TXT Datensatzes, den Sie erstellen_dmarc.example.com, sollte lauten, wo example.com sich Ihre Domain befindet. Der Wert des TXT Datensatzes enthält die DMARC Richtlinie, die für Ihre Domain gilt. Im Folgenden finden Sie ein Beispiel für einen TXT Datensatz, der eine DMARC Richtlinie enthält:

Name Typ Wert
_dmarc.example.com TXT "v=DMARC1;p=quarantine;rua=mailto:my_dmarc_report@example.com"

Im vorherigen DMARC Richtlinienbeispiel weist diese Richtlinie E-Mail-Anbieter an, wie folgt vorzugehen:

  • Senden Sie alle Nachrichten, bei denen die Authentifizierung fehlschlägt, an den Spam-Ordner, wie im Richtlinienparameter angegebenp=quarantine. Zu den weiteren Optionen gehört, dass Sie nichts tunp=none, indem Sie die Nachricht verwenden, oder die Nachricht direkt zurückweisen. p=reject

    • Im nächsten Abschnitt wird erläutert, wie und wann Sie diese drei Richtlinieneinstellungen verwenden sollten. Wenn Sie die falsche Einstellung zur falschen Zeit verwenden, kann dies dazu führen, dass Ihre E-Mail nicht zugestellt wird, siehe. Bewährte Methoden für die Implementierung DMARC

  • Senden Sie Berichte über alle E-Mails, bei denen die Authentifizierung fehlgeschlagen ist, in einem Digest (d. h. einem Bericht, der die Daten für einen bestimmten Zeitraum zusammenfasst, anstatt einzelne Berichte für jedes Ereignis zu senden), wie im Berichtsparameter angegeben rua=mailto:my_dmarc_report@example.com (rua steht für Reporting URI for Aggregate Reports). E-Mail-Anbieter senden diese aggregierten Berichten in der Regel einmal pro Tag, wobei diese Richtlinien von Anbieter zu Anbieter verschieden sind.

Weitere Informationen zur Konfiguration DMARC für Ihre Domain finden Sie in der Übersicht auf der DMARC Website.

Vollständige Spezifikationen des DMARC Systems finden Sie im DMARC Entwurf der Internet Engineering Task Force (IETF).

Bewährte Methoden für die Implementierung DMARC

Es empfiehlt sich, die Durchsetzung Ihrer DMARC Richtlinien schrittweise und schrittweise durchzuführen, damit der Rest Ihres E-Mail-Flusses nicht unterbrochen wird. Erstellen und implementieren Sie einen Einführungsplan, der diesen Schritten folgt. Führen Sie jeden dieser Schritte zuerst mit jeder Ihrer Subdomänen und schließlich mit der Top-Level-Domain in Ihrer Organisation aus, bevor Sie mit dem nächsten Schritt fortfahren.

  1. Überwachen Sie die Auswirkungen der Implementierung DMARC (p=none).

    • Beginnen Sie mit einem einfachen Datensatz im Überwachungsmodus für eine Subdomain oder Domain, der anfordert, dass E-Mail-Empfangsunternehmen Ihnen Statistiken über Nachrichten senden, die sie unter Verwendung dieser Domain sehen. Ein Datensatz im Überwachungsmodus ist ein Datensatz, dessen Richtlinie auf „Keine“ DMARC TXT gesetzt ist. p=none

    • Berichte, die durch generiert DMARC werden, geben die Anzahl und Herkunft der Nachrichten an, die diese Prüfungen bestanden haben, im Vergleich zu Nachrichten, die diese Prüfungen nicht bestanden haben. Sie können leicht erkennen, wie viel Ihres legitimen Datenverkehrs von ihnen abgedeckt wird oder nicht. Sie werden Anzeichen einer Weiterleitung sehen, da weitergeleitete Nachrichten fehlschlagen SPF und DKIM wenn der Inhalt geändert wird. Außerdem werden Sie feststellen, wie viele betrügerische Nachrichten gesendet wurden und von wo sie gesendet wurden.

    • Ziel dieses Schritts ist es, herauszufinden, welche E-Mails betroffen sein werden, wenn Sie einen der nächsten beiden Schritte implementieren, und sicherzustellen, dass alle Drittanbieter oder autorisierten Absender ihre SPF DKIM Richtlinien anpassen.

    • Am besten für bestehende Domains.

  2. Bitten Sie externe E-Mail-Systeme, E-Mails, die fehlschlagen, unter Quarantäne zu stellen DMARC (p=quarantine).

    • Wenn Sie der Meinung sind, dass Ihr gesamter oder der Großteil Ihres legitimen Datenverkehrs domänenspezifisch versendet wirdDKIM, und Sie sich der Auswirkungen der Implementierung bewusst sindDMARC, können Sie eine Quarantäne-Richtlinie implementieren. SPF Eine Quarantänerichtlinie ist ein DMARC TXT Datensatz, dessen Richtlinie auf Quarantäne eingestellt ist. p=quarantine Auf diese Weise bitten Sie die DMARC Empfänger, Nachrichten von Ihrer Domain, die fehlschlagen, nicht DMARC in die Posteingänge Ihrer Kunden, sondern in das lokale Äquivalent eines Spam-Ordners zu legen.

    • Ideal für die Umstellung von Domains, für die in Schritt 1 DMARC Berichte analysiert wurden.

  3. Fordern Sie an, dass externe E-Mail-Systeme keine fehlgeschlagenen Nachrichten akzeptieren DMARC (p=reject).

    • Die Implementierung einer Ablehnungsrichtlinie ist normalerweise der letzte Schritt. Eine Ablehnungsrichtlinie ist ein DMARC TXT Datensatz, dessen Richtlinie auf Ablehnen gesetzt istp=reject. Wenn Sie dies tun, bitten Sie die DMARC Empfänger, keine Nachrichten anzunehmen, die die Prüfungen nicht bestehen. DMARC Das bedeutet, dass sie nicht einmal in einen Spam- oder Junk-Ordner verschoben, sondern sofort zurückgewiesen werden.

    • Wenn Sie eine Ablehnungsrichtlinie verwenden, wissen Sie genau, welche Nachrichten die DMARC Richtlinie nicht erfüllen, da die Ablehnung zu einer Zurückweisung führt. SMTP Bei Quarantäne liefern die aggregierten Daten Informationen über den Prozentsatz der erfolgreich oder fehlgeschlagenen SPF E-Mails sowie DMARC über DKIM Prüfungen.

    • Am besten für neue Domains oder bestehende Domains, die die beiden vorherigen Schritte durchlaufen haben.

Einhaltung aller DMARC SPF

Damit eine E-Mail die Anforderungen von DMARC basierend auf erfülltSPF, müssen die beiden folgenden Bedingungen erfüllt sein:

  • Die Nachricht muss eine SPF Prüfung bestehen, basierend auf einem gültigen Datensatz SPF (TypTXT), den Sie in der DNS Konfiguration Ihrer benutzerdefinierten MAIL FROM Domain veröffentlicht haben.

  • Die Domain in der Absenderadresse des E-Mail-Headers muss mit der Domain oder einer Subdomain von übereinstimmen, die in der MAIL FROM Adresse angegeben ist. Um eine SPF Übereinstimmung mit zu erreichenSES, darf die DMARC Richtlinie der Domain keine strikte SPF Richtlinie vorgeben (aspf=s).

Gehen Sie wie folgt vor, um diese Anforderungen zu erfüllen:

  • Richten Sie eine benutzerdefinierte MAIL FROM Domain ein, indem Sie die Verfahren unter ausführen. Verwenden einer benutzerdefinierten MAIL FROM-Domäne

  • Stellen Sie sicher, dass für Ihre Absenderdomain eine lockere Richtlinie für giltSPF. Wenn Sie die Ausrichtung der Richtlinien für Ihre Domain nicht geändert haben, gilt dort standardmäßig eine gelockerte Richtlinie, wie dies auch der Fall istSES.

    Anmerkung

    Sie können die DMARC Ausrichtung Ihrer Domain für bestimmen, SPF indem Sie in der Befehlszeile den folgenden Befehl eingeben und ihn durch Ihre Domain example.com ersetzen:

    dig TXT _dmarc.example.com

    Suchen Sie in der Ausgabe des Befehls unter Non-authoritative answer nach einem Eintrag, der mit v=DMARC1 beginnt. Wenn dieser Datensatz die Zeichenfolge aspf=r enthält oder wenn die aspf Zeichenfolge überhaupt nicht vorhanden ist, verwendet Ihre Domain die lockere Ausrichtung fürSPF. Wenn der Datensatz die Zeichenfolge enthältaspf=s, verwendet Ihre Domain die strikte Ausrichtung fürSPF. Ihr Systemadministrator muss dieses Tag aus dem DMARC TXT Datensatz in der DNS Konfiguration Ihrer Domain entfernen.

    Alternativ können Sie ein webbasiertes DMARC Suchtool verwenden, z. B. den DMARCInspector von der dmarcian-Website oder das DMARCCheck Tool-Tool von der MxToolBox Website, um die Richtlinienausrichtung Ihrer Domain für zu ermitteln. SPF

Einhaltung durch DMARC DKIM

Damit eine E-Mail die Anforderungen von DMARC Based erfülltDKIM, müssen die beiden folgenden Bedingungen erfüllt sein:

  • Die Nachricht muss eine gültige DKIM Signatur haben und die DKIM Prüfung bestanden haben.

  • Die in der DKIM Signatur angegebene Domäne muss mit der Domäne in der Absenderadresse übereinstimmen. Wenn die DMARC Domänenrichtlinie eine strikte Ausrichtung für vorsiehtDKIM, müssen diese Domänen exakt übereinstimmen (SESverwendet standardmäßig eine strikte DKIM Richtlinie).

Gehen Sie wie folgt vor, um diese Anforderungen zu erfüllen:

  • Richten Sie Easy ein, DKIM indem Sie die unter beschriebenen Verfahren ausführenEasy DKIM in Amazon SES. Wenn Sie Easy verwendenDKIM, signiert Amazon Ihre E-Mails SES automatisch.

    Anmerkung

    Anstatt Easy zu verwendenDKIM, können Sie Ihre Nachrichten auch manuell signieren. Seien Sie jedoch vorsichtig, wenn Sie sich dafür entscheiden, da Amazon die von Ihnen erstellte DKIM Signatur SES nicht validiert. Aus diesem Grund empfehlen wir dringend, Easy zu verwendenDKIM.

  • Stellen Sie sicher, dass die in der DKIM Signatur angegebene Domain mit der Domain in der Absenderadresse übereinstimmt. Oder, wenn Sie von einer Subdomain der Domain in der Absenderadresse aus senden, stellen Sie sicher, dass Ihre DMARC Richtlinie auf eine lockere Ausrichtung eingestellt ist.

    Anmerkung

    Sie können die DMARC Ausrichtung Ihrer Domain für ermitteln, DKIM indem Sie in der Befehlszeile den folgenden Befehl eingeben und ihn durch Ihre Domain example.com ersetzen:

    dig TXT _dmarc.example.com

    Suchen Sie in der Ausgabe des Befehls unter Non-authoritative answer nach einem Eintrag, der mit v=DMARC1 beginnt. Wenn dieser Datensatz die Zeichenfolge adkim=r enthält oder wenn die adkim Zeichenfolge überhaupt nicht vorhanden ist, verwendet Ihre Domain die lockere Ausrichtung fürDKIM. Wenn der Datensatz die Zeichenfolge enthältadkim=s, verwendet Ihre Domain die strikte Ausrichtung fürDKIM. Ihr Systemadministrator muss dieses Tag aus dem DMARC TXT Datensatz in der DNS Konfiguration Ihrer Domain entfernen.

    Alternativ können Sie ein webbasiertes DMARC Suchtool verwenden, z. B. den DMARCInspector von der dmarcian-Website oder das DMARCCheck Tool-Tool von der MxToolBox Website, um die Richtlinienausrichtung Ihrer Domain für zu ermitteln. DKIM