easydmarc.com

Empfehlenswert zur Erstellung der Signaturen, liefert auch wertvolle Informationen.

Zusätzliche Angebote sind keine Notwendigkeit für das Generieren der Signaturen.

dmarcadvisor.com

Liefert wertvolle Informationen.

Zusätzliche Angebote sind keine Notwendigkeit für das Generieren der Signaturen.

dmarcly.com

Informativ, aber sehr kommerziell.

Kostenfreie Angebote unter “Tools“

Der SPF-DKIM-DMARC Wizard ist sehr hilfreich bei der Erstellung der Signaturen.

Zusätzliche Angebote sind keine Notwendigkeit für das Generieren der Signaturen.

appmaildev.com

Ein kostenfreies Tool für die Prüfung von SPF, DKIM und DMARC.

Für die Prüfung versendet man aus dem zu prüfenden URL Postfach eine Email an einer zufällig generierte, Empfängeradresse (….@appmaildev.com). Die Ergebnisse der E-Mail-Validierung werden in Echtzeit wiedergegeben.

Zur überprüfung der Authentifizierungsmaßnahmen sollten Sie dieses Tool nach jeder Implementierung verwenden.

powerdmarc.com

Kostenfreies Angebot nur für die nicht kommerzielle Verwendung und einen URL!

Anmeldung erforderlich.

Wenig informativ.

Bevor Sie Änderungen vornehmen ist es wichtig, den Status quo zu überprüfen. Ein effektives Werkzeug hierfür ist der kostenfreier Check von appmaildev.com. Wenn Sie Ihre Domain hier eingeben, erhalten Sie eine direkte Rückmeldung. Sollten die Authentifizierungsverfahren nicht oder nur Teilweise existieren, ist es höchste Zeit diese anzulegen.

 

Wenn Fehler gezeigt werden sollten Sie die konfiguration möglichst schnell überprüfen und berichtigen, da sonst die Möglichkeit besteht das nicht alle Empfänger erreicht werden können.

 

Auf eine ausführliche Beschreibung der Mechanismen wird hier verzichtet, da alle notwendigen Informationen auf den vorgeschlagenen Websites zu finden sind.

 

Für die Erstellung der Signaturen sind folgende Anbieter besonders empfehlenswert:

 

> easydmarc.com

 

> dmarcadviser.com

 

> dmarcly.com

 

Wie bereits erwähnt sind die Überprüfung und Erstellung der Signaturen kostenfrei. Dieses betrifft auch die DMARC Berichterstellung!

 

Zusätzliche Dienste, wie z.B. das DMARC Reporting von DMARCADVISOR sind optional. Hier werden die XML-berichte nur besser und lesbarer aufbereitet.

SPF-Signatur erstellen

Was besonders zu beachten ist:

–all

 

Dieser Qualifikator kann zu Problemen führen, wenn E-Mails weitergeleitet werden. Dieses konnte ich vor allem bei Gmail und GMX, aber auch einige andere feststellen. Eine Lösung hierfür ist die Verwendung von ~all (Tilde).

 

Sofern auch DKIM und DMARC verwendet wird, hat dieses keine gravierenden Auswirkungen auf die angedachte Zwecke - Identifizierung und Authentifizierung.

SPF-Signatur publizieren

Als Domaininhaber haben Sie in der Regel Zugriff auf ein DNS-Zonen-Editor-Tool. Mit diesem Tool können Sie die DNS-Einträge Ihres Domain-Namens verwalten. Hierbei sollten Sie beachten, dass Sie die Änderungen Im Domain Name System von dem Konto aus vornehmen müssen, in dem sich die autoritative DNS-Zone für Ihre Domäne befindet.

Der SPF-Eintrag ist ein TXT-Eintrag (ein frei definierbarer Text in einer DNS-Zone).

Sobald Sie den SPF-Eintrag erstellt haben, wird er einige Zeit brauchen, um sich im Internet zu verbreiten und wirksam zu werden. Hierzu sollte die TTL-Einstellung (Time-TO-Live)  bei 3600 liegen. Bei dieser Einstellung wird der Server nicht überbelastet.

DKIM-Signatur erstellen

Was besonders zu beachten ist:

DKIM signiert die Mail mit dem Private Key digital. Der Empfangsserver entschlüsselt diese digitale Signatur mit dem Public Key. Dadurch ist sichergestellt, dass die E-Mail tatsächlich von einem autorisierten Server versendet und der Inhalt der E-Mail nicht verändert wurde.

Die Handhabung ist denkbar einfach.
Bis auf wenige Ausnahmen sollte für den „Selector“ z.Zt. „DKIM1“ und eine „Key Length“ von 1024 verwendet werden.

DKIM bei Microsoft 365 – Exchange
Die Konfiguration von DKIM erfolgt zuerst im Security Portal von Microsoft 365. Erst nach Erledigung dieser Konfigurationsmaßnahmen wird der DKIM-Eintrag im DNS eingefügt! https://security.microsoft.com > Policies & rules > Threat policies > Email authentication settings DKIM auswählen Domain auswählen.
Mit Create DKIM Keys werden diese generiert.

Nachdem die DKIM Keys erstellt sind, werden die notwendigen CNAME Records im DNS der Domain eröffnet. Es benötigt zwei CNAME Einträge: _domainkey selector2._domainkey Beide CNames müssen im DNS veröffentlicht werden. Nachdem die neuen CNAME Records weltweit über die DNS veröffentlicht wurden, lässt sich DKIM für die Domain in Microsoft 365 aktivieren.

Die Veröffentlichung prüft man mit dnschecker.org. https://security.microsoft.com > Policies & rules > Threat policies > Email authentication settings > Domain auswählen > Toggle aktivieren.

Microsoft 365 prüft nun die notwendigen CNAME Records im DNS und aktiviert danach DKIM.

DKIM-Signatur publizieren

Als Domaininhaber haben Sie in der Regel Zugriff auf ein DNS-Zonen-Editor-Tool. Mit diesem Tool können Sie die DNS-Einträge Ihres Domain-Namens verwalten. Hierbei sollten Sie beachten, dass Sie die Änderungen Im Domain Name System von dem Konto aus vornehmen müssen, in dem sich die autoritative DNS-Zone für Ihre Domäne befindet.

Der DKIM-Eintrag ist ein TXT-Eintrag (ein frei definierbarer Text in einer DNS-Zone).

Sobald Sie den DKIM-Eintrag erstellt haben, wird er einige Zeit brauchen, um sich im Internet zu verbreiten und wirksam zu werden. Hierzu sollte die TTL-Einstellung (Time-TO-Live)  bei 3600 liegen. Bei dieser Einstellung wird der Server nicht überbelastet.

DMARC-Signatur erstellen
Was besonders zu beachten ist:

Für den DMARC-Eintrag ist – https://easydmarc.com/tools/dmarc-record-generator – ebenfalls angesagt. Auch hier gibt es alle notwendigen Informationen zu diesem Eintrag.

Allerdings sollte hier unbedingt beachtet werden:

Policy type:
„None“ macht diesen Eintrag nutzlos und sollte nicht verwendet werden.
„Quarantaine“ sollte ebenfalls vermieden werden.

„Reports send to“:
hier muss eine existierende E-Mail-Adresse des Unternehmens eingetragen werden.

„SPF identifier alignment“
Hier sollten Sie immer die Option „Strickt“ verwenden

„DKIM identifier alignment“
Hier sollten Sie immer die Option „Strickt“ verwenden

„Percentage applied to“
hier muss 100 eingetragen werden.
Bei einem Wert unter Hundert wird in der Überprüfung , abhängig von der Überprüfungseinstellungen, einen Fehler angezeigt. (Weil hierdurch die E-Mail-Sicherheit beeinträchtigt wird).

„Failure reporting send to“
Hier kann/können auch eine oder mehrere weitere E-Mail-Empfänger angegeben werden.

„Failure reporting options“
(ich verwende die Option 1)

DMARC-Signatur publizieren

Als Domaininhaber haben Sie in der Regel Zugriff auf ein DNS-Zonen-Editor-Tool. Mit diesem Tool können Sie die DNS-Einträge Ihres Domain-Namens verwalten. Hierbei sollten Sie beachten, dass Sie die Änderungen Im Domain Name System von dem Konto aus vornehmen müssen, in dem sich die autoritative DNS-Zone für Ihre Domäne befindet.

Der DMARC-Eintrag ist ein TXT-Eintrag (ein frei definierbarer Text in einer DNS-Zone).

Sobald Sie den DMARC-Eintrag erstellt haben, wird er einige Zeit brauchen, um sich im Internet zu verbreiten und wirksam zu werden. Hierzu sollte die TTL-Einstellung (Time-TO-Live)  bei 3600 liegen. Bei dieser Einstellung wird der Server nicht überbelastet.

Überprüfung der Signaturen

 

Für eine Überprüfung der Signaturen ist  dkimvalidator.com empfehlenswert.

 

Hier wird ein kostenfreies Tool für die Prüfung von SPF, DKIM und DMARC zu Verfügung gestellt. Für die Prüfung versendet man aus dem zu prüfenden URL Postfach eine Email an einer zufällig generierte, Empfängeradresse (….@dkimvalidator.com). Die Ergebnisse der E-Mail-Validierung werden in Echtzeit wiedergegeben.

Ein weiteres kostenfreies Tool für die Prüfung von SPF, DKIM und DMARC.ist: appmaildev.com

Die Funktionsweise entspricht dkimvalidator