19 DMARC-Mythen, die von den Experten entlarvt wurden
Viele Menschen verstehen nicht sofort, was DMARC leistet oder wie es vor Betrug, Identitätswechsel und Domain-Spoofing schützt. Es gibt viele Missverständnisse über DMARC, wie die E-Mail-Authentifizierung funktioniert und warum sie für Sie von Vorteil ist. Aber weil immer wieder dieselben Mythen auftauchen, gibt es einige sich wiederholende Elemente, die es wert sind, erforscht zu werden.
Aber wie können Sie sagen, was richtig von falsch ist? Und wie können Sie sicher sein, dass Sie es richtig verwenden? Skysnag hat dich sortiert. In diesem Artikel werden wir uns die verschiedenen DMARC-Mythen ansehen und verstehen, warum es für Ihre Organisation so wichtig ist.
Mythos # 1: Da ich SPF und DKIM bereits abgeschlossen habe, brauche ich DMARC nicht.
Der DMARC-Standard (Domain-based Message Authentication, Reporting and Conformance) ist ein moderner E-Mail-Authentifizierungsstandard, den viele große E-Mail-Server zum Überprüfen ausgehender und eingehender E-Mails verwenden (Office 365, Google Workspace und kommerzielle sichere E-Mail-Gateways).
Da SPF und / oder DKIM keine ausreichenden Informationen liefern, wird keines der oben beschriebenen Gateways diese nur bei Lieferentscheidungen berücksichtigen. Stattdessen berücksichtigen sie eine Vielzahl von Metriken wie DMARC, Interaktionsrate usw.
Mythos # 2: Ich kann DMARC nicht verwenden, da ich kein SPF / DKIM verwende.
DMARC-Berichte liefern Ihnen die Informationen, die Sie zur Behebung von Authentifizierungsproblemen mit SPF und DKIM benötigen. Der erste Schritt in jedem DMARC-Projekt besteht darin, einen DMARC-Datensatz für den Überwachungsmodus (p = none) einzurichten, der Einblick in Authentifizierungsprobleme mit zulässigen E-Mail-Streams sowie in Schatten-IT- und / oder Spoofing-Aktivitäten bietet.
Mythos # 3: Ich habe bereits DMARC, da ich Office 365 oder Google Workspace verwende, die beide behaupten, es zu unterstützen.
O365 und Google Workspace prüfen eingehende E-Mails auf DMARC-Authentifizierung, bieten jedoch keine DMARC-Sichtbarkeit und helfen Ihnen nicht bei der Einrichtung der DMARC-Durchsetzung für Ihre eigenen Domains. Sie können auch keine Cloud- oder lokalen Dienste überprüfen, die E-Mails in Ihrem Namen senden.
Mythos Nr.4: Ich kann DMARC aufgrund meiner E-Mail-Einrichtung nicht verwenden
DMARC funktioniert mit jedem E-Mail-Gateway, egal ob lokal oder in der Cloud. DMARC ist unabhängig vom Mailfluss und ist ein separater DNS-Eintrag von MX-Einträgen. Für Kunden, die Exchange, Office 365, Google Workspace und alle kommerziellen E-Mail-Gateways verwenden, hat Red Sift DMARC erfolgreich implementiert.
Mythos Nr.5: DMARC würde mein E-Mail-Marketing unwirksam machen.
Wieder falsch; In Wirklichkeit gibt DMARC Ihrem Marketingbrief nach ordnungsgemäßer Validierung die beste Chance auf Zustellung. Das Problem ist, dass wenn Sie DMARC verwenden, ohne zuerst alle Marketing-E-Mails zu identifizieren und zu authentifizieren, diese möglicherweise unter Quarantäne gestellt oder fälschlicherweise abgelehnt werden, wenn Sie zu einer DMARC-Durchsetzungsrichtlinie wechseln.
Mythos Nr.6: Nur große E-Mail-Absender verwenden DMARC.
Dies ist nicht der Fall; DMARC gilt für alle Arten von Unternehmen, unabhängig von ihrer Größe! Jedes Unternehmen muss seine legitimen E-Mails authentifizieren und rechtswidriges Spoofing und Identitätswechsel seiner Domains verhindern, was beides durch den Einsatz von DMARC auf der Durchsetzungsebene geschehen kann.
Mythos Nr.7: DMARC ist nur eine Sicherheitsinitiative.
DMARC ist ein funktionsübergreifendes Projekt, das am schnellsten und produktivsten abgeschlossen wird, wenn IT, Sicherheit, Compliance und Marketing zusammenarbeiten. Mit BIMI beseitigt DMARC nicht nur böswilliges Spoofing und Phishing, das vertrauenswürdige Domains verwendet, sondern identifiziert auch Schatten-IT, verbessert die legitime E-Mail-Zustellung und erhöht die Markenimpressionen!
Mythos Nr.8: DMARC mit p = none ist keinem DMARC vorzuziehen.
Richtig, alle DMARC-Projekte sollten mit p=none beginnen. Dies dient dazu, die Sichtbarkeit zu erlangen, die erforderlich ist, um Authentifizierungsanpassungen vorzunehmen, um die DMARC-Konformität zu erfüllen. Einige Benutzer sind jedoch fälschlicherweise der Meinung, dass eine DMARC-Richtlinie von keiner ihre Sicherheitslage verbessert. Dies ist einfach nicht der Fall: Wenn Ihre DMARC-Richtlinie auf ‚none gesetzt ist, können Sie genauso leicht gefälscht werden, als ob Sie überhaupt keinen DMARC-Datensatz hätten.
Mythos #9 DMARC ist ein zeitaufwändiger, manueller Prozess, der Monate dauern wird.
Unternehmen stellen ihre DMARC-Projekte in der Regel aus zwei Gründen ein:
- Das manuelle Ändern von Authentifizierungsdatensätzen im DNS kann lange dauern, insbesondere wenn Sie jedes Mal die Änderungskontrolle durchlaufen müssen. Das Abflachen und Pflegen des SPF von Hand kann schwierig und zeitaufwändig sein, ohne Erfolgsgarantie.
- Unsicher sein, ob alle legitimen E-Mails erkannt und authentifiziert wurden und nicht von einer DMARC-Richtlinie unter Quarantäne gestellt oder abgelehnt werden.
Mythos # 10: DMARC selbst zu implementieren ist einfach.
DMARC ist in der Tat ein kostenloser öffentlicher Standard, den jeder verwenden kann. Jeden Tag untersucht Red Sift Millionen von DMARC-Datensätzen und stellt fest, dass die Mehrheit der DIY-DMARC-Projekte bei p = none bleibt und erreichen Sie niemals die DMARC-Durchsetzung. Infolgedessen sind diese Unternehmen anfällig für Identitätswechsel, Spoofing und Phishing-Angriffe.
Mythos # 11: Ich werde die verwirrenden DMARC XML-Berichte nie verstehen können.
Es sollte nicht überraschen, dass DMARC-Berichte nicht dazu gedacht sind, von Menschen gelesen zu werden! Um die DMARC-Berichte zu verstehen, müssen Sie sie auf irgendeine Weise analysieren und dann Berichte, Warnungen und Interpretationen hinzufügen.
Mythos Nr.12: Persönliche Informationen sind in forensischen DMARC-Daten enthalten.
Forensische DMARC-Berichte können bei der Behebung von Authentifizierungsproblemen mit echten E-Mail-Streams sowie bei der Identifizierung bösartiger E-Mail-Ursprünge helfen.
Mythos Nr.13: Es gibt keinen großen Unterschied zwischen DMARC-Anbietern.
Viele Unternehmen können DMARC-Berichte im Auftrag einer Domain in einer GUI-Oberfläche verarbeiten, was DMARC-Überwachung und -Sichtbarkeit heutzutage zu einer Ware macht. Ein wiederholbares, sicheres, einfaches und effizientes Verfahren, um eine Domain mit den neuesten Technologien für die gehostete E-Mail-Authentifizierung und private Datenkanäle zur DMARC-Durchsetzung zu bringen, ist keine Ware.
Mythos Nr.14: SPF ist unmöglich zu verwalten und auf dem neuesten Stand zu halten
In der heutigen Welt der Cloud-E-Mail-Dienste ist es zweifellos eine Aufgabe, einen SPF-Datensatz manuell zu verwalten und auf dem neuesten Stand zu halten. Die richtige Ausrüstung zur Hand zu haben, macht es jedoch viel einfacher. Der Prozess kann viel einfacher gemacht werden durch:
- Alle E-Mail-Quellen sind ordnungsgemäß identifiziert und erkennbar, sodass sich Benutzer keine Sorgen machen müssen, einen gültigen E-Mail-Dienst zu verpassen, und alle Quellen sind mit unserer einzigartigen Absenderintelligenz eindeutig gekennzeichnet und erkennbar.
Autorisierte Quellen können mit einem Klick mithilfe der SPF-Abflachung validiert werden, sobald Absender entdeckt wurden. Nicht mehr genutzte Dienste können deinstalliert und der Datensatz in Zukunft bequem gesteuert werden. - Mit dynamischem SPF wird der SPF-Datensatz dynamisch abgeflacht und immer syntaktisch korrekt, wodurch die SPF 10-Sucheinschränkung vermieden wird.
Mythos Nr.15: Wenn ich mehr als 10 SPF-Suchvorgänge habe, hat dies keinen Einfluss auf meinen E-Mail-Fluss.
Während die meisten aktuellen E-Mail-Gateways DMARC für die E-Mail-Authentifizierung verwenden, gibt es noch einige ältere Systeme, die SPF als Hauptfaktor für die E-Mail-Filterung verwenden.
Wenn ein empfangendes Postfach eine SPF-Prüfung ausführt, bedeutet das Überschreiten des Suchlimits von 10, dass Ihr Datensatz technisch fehlerhaft ist. Wenn sich Ihr DMARC-Datensatz in der Durchsetzung befindet (Quarantäne oder Ablehnung), riskieren Sie außerdem, E-Mails von Absendern zu sperren, die DKIM nicht verwenden. Wenn Ihre echte E-Mail sowohl mit SPF als auch mit DKIM erfolgreich authentifiziert wurde und der SPF-Datensatz nicht mehr als 10 Suchvorgänge enthält, hat sie die beste Chance, zugestellt zu werden.
Mythos #16: Der DMARC-Schutz wurde bereits aktiviert.‘
Eine DMARC-Richtlinie von ‚none‚ und eine DMARC-Aufzeichnung bei der Durchsetzung unterscheidet sich erheblich. Das einfache Aktivieren von DMARC mit der Richtlinie ‚Keine‘ ist ein notwendiger erster Schritt, aber es trägt nichts dazu bei, Ihre Sicherheitslage zu verbessern oder den Identitätswechsel Ihrer Domain zu verhindern (es gibt keine Preise dafür, einfach auf diese Weise aufzutauchen!).
Sie müssen eine Quarantänerichtlinie einhalten oder bei einem pct = 100 ablehnen, um Ihre DMARC-Reise zu beenden. Andernfalls machen Sie Ihre Domain anfällig für Spoofing- und Phishing-Angriffe.
Mythos Nr.17: Mein DMARC-Setup wird zu kompliziert, weil ich so viele Domains sichern muss.
Sie sollten sich nicht davon abhalten lassen, ein DMARC-Projekt zu starten, da Sie über ein großes Domain-Portfolio verfügen. In Wirklichkeit macht es Sie zu einem weichen Ziel, mehr ungeschützte Domänen zu haben, wenn Sie DMARC nicht zur Durchsetzung verwenden. Daher ist es nicht die Lösung, das Problem zu ignorieren, weil Sie viele Domänen haben. Eine Domain finden
Mythos Nr.18: DMARC ist extrem teuer
Bei Skysnag sind wir bestrebt, so viel wie möglich zu automatisieren, damit unsere Kunden von unseren Effizienzen und Skaleneffekten profitieren können.
Erstellen Sie ein Skysnag-Konto, um Ihren DMARC-Eintrag zu generieren.
Mythos Nr.19: Da ich keine E-Mails von meiner eigenen Domain versende, benötige ich keinen DMARC-Schutz.
Nicht sendende Domains können genauso gefälscht werden wie sendende Domains, und sie sind als Phishing- und Identitätswechsel-E-Mail-Ziele attraktiver, wenn sie bekannte Marken, Websites, Einzelpersonen und Unternehmen verwenden. Die Empfänger böswilliger E-Mails von einer nicht sendenden Domain erkennen oder verstehen möglicherweise nicht, dass die Domain nicht zum Senden von E-Mails konfiguriert ist. Wenn die E-Mail überzeugend genug ist und legitim erscheint, glauben sie möglicherweise fälschlicherweise, dass sie von Ihnen stammt, was Ihre gesamte Marke und Ihren Ruf gefährdet.
Abschließende Gedanken
Damit ist die Liste aller DMARC-Mythen abgeschlossen, die gründlich widerlegt wurden. Aber nehmen Sie nicht nur unser Wort dafür; Das automatisierte DMARC von Skysnag stärkt den Schutz vor Phishing und Spoofing, indem es bestätigt, dass eine E-Mail-Nachricht von der Domain stammt, von der sie angeblich stammt. Skysnag erstellt DMARC-Berichte für Sie, die bei der Untersuchung potenzieller Sicherheitsprobleme helfen und potenzielle Risiken von Angriffen durch Identitätsdiebstahl identifizieren. Beginnen Sie mit Skysnag und melden Sie sich über diesen Link an.
Überprüfen Sie die DMARC-Sicherheitskonformität Ihrer Domain
DMARC, SPF und DKIM in Tagen umsetzen - nicht in Monaten
Skysnag unterstützt vielbeschäftigte Ingenieure bei der Durchsetzung von DMARC, reagiert auf Fehlkonfigurationen bei SPF oder DKIM, was die E-Mail-Zustellbarkeit erhöht und E-Mail-Spoofing sowie Identitätsbetrug eliminiert.