DMARC Report Analyzer von mailtower.app
Für die Überprüfung der DMARC Einstellungen ist ein Report Analyzer unverzichtbar. Mailtower.app bietet hierfür die passende SaaS-Lösung an.
In meinem Beitrag "SPF, DMARC, DKIM ab Februar 2024 für Google und Yahoo pflicht" bin ich auf die Notwendigkeit von SPF, DMARC und DKIM Einträgen eingegangen und wie diese grundlegend technisch umgesetzt werden.
Damit diese Schutzmechanismen überhaupt wirkungsvoll sind, muss der DMARC Eintrag die Anweisung zum ablehnen (reject) von E-Mails enthalten, die nicht von den eigenen authorisierten E-Mail Servern versendet werden.
Jedoch führen Fehlkonfigurationen von SPF, DMARC oder DKIM dann unweigerlich dazu, das auch korrekt versendete E-Mails nicht mehr angenommen werden.
Aus diesem Grund empfiehlt sich die dauerhafte Überwachung von DMARC Reports über eine Softwarelösung. Wir verwenden dafür die SaaS-Lösung von mailtower.app.
Ohne DMARC Report Analyzer setzen wir beim DMARC Eintrag bei unseren Kunden nicht den Paramter "reject" ein. Hier wird lediglich "none" gesetzt, so das ein DMARC Eintrag zwar vorhanden ist und zumindest aktuell den Anforderungen entspricht, aber letztzlich keine Schutzwirkung erreicht wird. Das macht natürlich Dauerhaft keinen Sinn!
Wie funktioniert der DMARC Report Analyzer?
Bei der Erstellung des DMARC Eintrags über den Konfigurator von mailtower.app wird im 2. Schritt unter Tägliche Berichte abgefragt, ob die Berichte an mailtower.app übertragen werden sollen. Wird hier der haken gesetzt, wird automatisch als E-Mail Adresse für die Reports eine Adresse von mailtower.app eingetragen.
Im letzten Schritt wird der von mailtower.app generierte DMARC Eintrag angezeigt. Diesen muss nun als TXT Eintrag bei der eigenen Domain hinzugefügt werden. Das geht in der Regel über das Webinterface des Domain Anbieters.
Anschließend können wir das vorhanden sein des DMARC Eintrags mit dem Mail Check von mailtower.app testen.
Es kann mehrere Tage dauern, bis die ersten DMARC Reports an mailtower.app übermittelt werden. Wie das aussehen kann, sieht man auf den folgenden Screenshots.
Wie lese und interpretiere ich den DMARC Report?
In folgendem Beispiel sehen wir auf der linken Seite das von Enterprise Outlook (microsoft.com) ein DMARC Report generiert wurde und mailtower.app diesen für uns auswertet.
Auf der rechten Seite sehen wir die Details von diesem DMARC Report. Die E-Mail wurde erfolgreich versendet. Aber die SPF und DKIM Prüfung ist fehlgeschlagen.
Versender der E-Mail war relay.yourmailgateway.de. Dieser E-Mail Server gehört zur netcup GmbH.
Nun wissen wir, das eine E-Mail von relay.yourmailgateway.de zu Microsoft.com versendet wurde und die SPF und DKIM Prüfung fehlgeschlagen ist. Da der DMARC Eintrag aktuell in der Testphase noch auf "none" statt "reject" steht, wurde die E-Mail auch tatsächlich ausgeliefert, trotz fehlerhafter Prüfung.
Der Kunde verwendet selbst Office 365. Nun stellt sich die Frage, warum versendet ein Mailserver der netcup GmbH E-Mails im Namen der Domain des Kunden?
In diesem Fall hat der Kunde seinen Webspace bei der netcup GmbH und sein Kontaktformular verwendet noch PHP Mail. Daher werden die E-Mails über relay.yourmailgateway.de versendet.
Wir haben nun 3 Möglichkeiten für eine saubere Konfiguration:
- Verwendung von SMTP über Office 365 statt PHP Mail
- Erweiterung der SPF und DKIM Einträge um die Server von netcup GmbH
- Verwenden der Microsoft Azure API, siehe dazu hier
Ich bevorzuge die Umstellung des Kontaktformulars auf SMTP über Office 365, da ich die DNS Einträge möglichst einfach halten möchte und die Microsoft Azure API nach 2 Jahren abläuft und manuell erneuert werden muss. Das wäre eine zusätzliche Fehlerquelle, wenn man das Ablaufdatum verpasst.
Da sich die IT-Landschaft ständig ändert, bringt eine Momentaufnahme der DMARC Reports nichts. Oft wird irgend etwas neu konfiguriert oder neue Software Lösungen kommen hinzu und man denkt nicht an die Anpassung der SPF und DKIM Einstellungen. Ohne Reporting fällt eine Fehlkonfiguration zunächst nicht auf, höchstens wenn sich Empfänger über nicht zugestellte E-Mails beschweren. Mit dem dauerhaften Report Analyzer von mailtower.app haben wir immer alles im Blick.
An der Stelle möchte ich auch an die sehr gute Knowledge Base von mailtower.app verweisen. Hier werden die doch teilweise komplizierten Fachbegriffe einfach und verständlich erklärt.