|
DMARC-Prüfung |
Scrollen Zurück Oberste Ebene Weiter Mehr |
Während der DMARC-Prüfung fragt SecurityGateway die DMARC-Richtlinien durch eine DNS-Abfrage ab; diese Abfrage bezieht sich auf die Domäne in der Absenderkopfzeile From: (Von:) jeder eingehenden Nachricht. Die Abfrage prüft zunächst, ob die Domäne DMARC nutzt und ruft bejahendenfalls den DMS-Eintrag für DMARC ab. Diese DNS-Eintrag enthält die DMARC-Richtlinie und verwandte Informationen. DMARC nutzt außerdem das SPF und DKIM, um jede eingehende Nachricht zu prüfen, und die Prüfung durch SPF oder DKIM muss erfolgreich verlaufen, damit auch die DMARC-Prüfung erfolgreich sein kann. Besteht eine Nachricht diese Prüfungen, so wird sie durch den üblichen Filter- und Zustellvorgang in SecurityGateway normal weiterbearbeitet. Besteht eine Nachricht die Prüfung nicht, dann richtet sich ihre weitere Behandlung nach den DMARC-Richtlinien der angeblichen Absenderdomäne und danach, wie SecurityGateway für die Behandlung solcher Nachrichten konfiguriert ist.
Besteht eine Nachricht die DMARC-Prüfung nicht, und ist für die angebliche Absenderdomäne die DMARC-Richtlinie "p=none" veröffentlicht, so ergreift SecurityGateway keine Abwehrmaßnahmen, und die Nachricht wird normal weiterverarbeitet. Ist für die angebliche Absenderdomäne jedoch eine restriktive DMARC-Richtlinie veröffentlicht, also "p=quarantine" oder "p=reject", dann kann SecurityGateway die Nachricht automatisch in den Quarantäne-Ordner des Empfängers leiten, die Betreffzeile kennzeichnen oder die Nachrichten-Bewertung anpassen. In Nachrichten, für deren angebliche Absenderdomänen restriktive Richtlinien veröffentlicht sind, fügt SecurityGateway je nach veröffentlichter Richtlinie die Kopfzeilen "X-SGDMARC-Fail-policy: quarantine" oder "X-SGDMARC-Fail-policy: reject" ein. Hiermit können Sie durch ein Sieve-Skript oder durch den Inhaltsfilter weitere Maßnahmen auslösen, die diese Kopfzeilen auswerten und Nachrichten beispielsweise in einen besonderen Ordner zur genaueren Untersuchung leiten.
DMARC-Prüfung
DMARC-Prüfung und -Berichterstellung aktivieren
Ist diese Option aktiv, so fragt SecurityGateway die DMARC-Einträge aus dem DNS für die Domänen ab, die in den Absenderkopfzeilen From: der eingehenden Nachrichten als Absender genannt sind. Falls Sie die entsprechenden Optionen im Konfigurationsdialog DMARC-Berichte aktivieren, sendet SecurityGateway auch zusammengefasste Berichte und Fehlerberichte. DMARC nutzt SPF und DKIM zur Echtheitsbestätigung von Nachrichten. Es muss daher mindestens eines dieser beiden Leistungsmerkmale aktiv sein, bevor DMARC genutzt werden kann. Die DMARC-Prüfung und die DMARC-Berichte sind per Voreinstellung aktiv. Ihre Nutzung empfiehlt sich in den meisten Einsatzbedingungen.
|
Falls Sie DMARC deaktivieren, kann dies Ihre Benutzer einem erhöhten Aufkommen an Spam, Phishing-Nachrichten und überhaupt Nachrichten mit gefälschten Absenderinformationen aussetzen. Es kann auch dazu führen, dass manche Listennachrichten Ihres Systems durch andere Server abgewiesen werden, und dass Benutzer aus Ihren Listen automatisch entfernt werden. Sie sollten DMARC daher nur dann deaktivieren, wenn Sie sich ganz sicher sind, dass Sie dieses Leistungsmerkmal nicht benötigen. |
Falls die Prüfung das Ergebnis REJECT meldet:
Mit dieser Option bestimmen Sie, welche Aktion ausgeführt werden soll, falls eine eingehende Nachricht die DMARC-Prüfung nicht besteht und die DMARC-Richtlinie im DNS-Eintrag der angeblichen Absenderdomäne auf p=reject gesetzt ist.
...Nachricht abweisen
Diese Option bewirkt, dass die Nachricht während der SMTP-Übermittlung abgewiesen wird, falls die DMARC-Prüfung das Ergebnis REJECT meldet. Diese Option ist per Voreinstellung aktiv.
|
Auch wenn Sie die Nachrichten nicht aufgrund des Ergebnisses REJECT abweisen lassen, ist zu beachten, dass die Nachrichten hiervon unabhängig aus anderen Gründen abgewiesen werden können, etwa wegen der SPF- und DKIM-Einstellungen oder weil die Nachrichten-Bewertung den entsprechenden Schwellwert überschreitet. |
...Nachricht in Quarantäne geben
Diese Option bewirkt, dass die Nachrichten nicht abgewiesen sondern in Quarantäne gegeben werden, falls die DMARC-Prüfung das Ergebnis REJECT meldet. In Verbindung mit dieser Option können Sie auch die Optionen ...Betreffzeile kennzeichnen mit [ Text ] und ...[xx] Punkte der Nachrichten-Bewertung hinzurechnen weiter unten nutzen.
...Nachricht annehmen
Diese Option bewirkt, dass SecurityGateway Nachrichten auch dann annimmt, wenn die DMARC-Prüfung das Ergebnis REJECT meldet. Sie können auch für solche Nachrichten die Betreffzeile kennzeichnen und die Nachrichten-Bewertung anpassen lassen.
...Betreffzeile kennzeichnen mit [ Text ]
Ist SecurityGateway so konfiguriert, dass Nachrichten, deren DMARC-Prüfung das Ergebnis REJECT meldet, zur Zustellung angenommen oder in Quarantäne gegeben werden, so können Sie mithilfe dieser Option die Betreffzeile dieser Nachrichten kennzeichnen lassen. Der hier angegebene Text wird am Beginn der Betreffzeile eingefügt. Per Voreinstellung wird hierfür der Text "*** FRAUD ***" ("Betrug") genutzt. Die Nutzung dieser Option überlässt dem Mailserver des Empfängers oder dem Mailclient die Entscheidung, ob und wie die Nachricht aufgrund der Kennzeichnung behandelt werden soll. Diese Option ist per Voreinstellung abgeschaltet.
|
SecurityGateway bietet auch in anderen Leistungsmerkmalen die Möglichkeit, die Betreffzeilen verarbeiteter Nachrichten zu kennzeichnen. So verfügen auch die Konfigurationsdialoge für SPF und Nachrichten-Bewertung über diese Option. Sind für diese Optionen gleichlautende Texte konfiguriert, so wird die Kennzeichnung nur einmal angebracht, und zwar auch dann, wenn die Nachricht die Voraussetzungen für die Kennzeichnung durch mehrere Optionen erfüllt. Sind jedoch unterschiedliche Texte konfiguriert, so werden alle Kennzeichnungen angebracht, bei denen die Voraussetzungen erfüllt sind. Ein Beispiel hierzu: Der voreingestellte Text für diese Option lautet "*** FRAUD ***", der voreingestellte Text für die Nachrichten-Bewertung hingegen "*** SPAM ***". Da sich beide Texte unterscheiden, werden bei Nachrichten beide Kennzeichnungen angebracht, wenn sie die Voraussetzungen für beide Kennzeichnungen erfüllen. Wird aber einer der genannten Texte dem anderen angeglichen, so wird die Kennzeichnung im Beispiel nur einmal angebracht. |
...[xx] Punkte der Nachrichten-Bewertung hinzurechnen
Ist SecurityGateway so konfiguriert, dass Nachrichten, deren DMARC-Prüfung das Ergebnis REJECT meldet, zur Zustellung angenommen oder in Quarantäne gegeben werden, so rechnet diese Option per Voreinstellung den hier angegebenen Wert der Nachrichten-Bewertung hinzu. Überschreitet die Nachrichten-Bewertung dann die entsprechenden Schwellwerte, so kann die Nachricht deswegen in Quarantäne gegeben oder abgewiesen werden, auch wenn sie allein wegen der fehlgeschlagenen DMARC-Prüfung nicht in Quarantäne gegeben oder abgewiesen werden würde. Per Voreinstellung wird der Wert 5.0 der Nachrichten-Bewertung hinzugerechnet.
Falls die Prüfung das Ergebnis QUARANTINE meldet:
Mit dieser Option bestimmen Sie, welche Aktion ausgeführt werden soll, falls eine eingehende Nachricht die DMARC-Prüfung nicht besteht und die DMARC-Richtlinie im DNS-Eintrag der angeblichen Absenderdomäne auf p=quarantine gesetzt ist.
...Nachricht abweisen
Diese Option bewirkt, dass die Nachricht während der SMTP-Übermittlung abgewiesen wird, falls die DMARC-Prüfung das Ergebnis QUARANTINE meldet.
...Nachricht in Quarantäne geben
Diese Option bewirkt, dass die Nachrichten nicht abgewiesen sondern in Quarantäne gegeben werden, falls die DMARC-Prüfung das Ergebnis QUARANTINE meldet. In Verbindung mit dieser Option können Sie auch die Optionen ...Betreffzeile kennzeichnen mit [ Text ] und ...[xx] Punkte der Nachrichten-Bewertung hinzurechnen weiter unten nutzen.
...Nachricht annehmen
Diese Option bewirkt, dass SecurityGateway Nachrichten auch dann annimmt, wenn die DMARC-Prüfung das Ergebnis QUARANTINE meldet. Sie können auch für solche Nachrichten die Betreffzeile kennzeichnen und die Nachrichten-Bewertung anpassen lassen.
...Betreffzeile kennzeichnen mit [ Text ]
Ist SecurityGateway so konfiguriert, dass Nachrichten, deren DMARC-Prüfung das Ergebnis QUARANTINE meldet, zur Zustellung angenommen oder in Quarantäne gegeben werden, so können Sie mithilfe dieser Option die Betreffzeile dieser Nachrichten kennzeichnen lassen. Der hier angegebene Text wird am Beginn der Betreffzeile eingefügt. Per Voreinstellung wird hierfür der Text "*** FRAUD ***" ("Betrug") genutzt. Die Nutzung dieser Option überlässt dem Mailserver des Empfängers oder dem Mailclient die Entscheidung, ob und wie die Nachricht aufgrund der Kennzeichnung behandelt werden soll. Diese Option ist per Voreinstellung abgeschaltet.
|
SecurityGateway bietet auch in anderen Leistungsmerkmalen die Möglichkeit, die Betreffzeilen verarbeiteter Nachrichten zu kennzeichnen. So verfügen auch die Konfigurationsdialoge für SPF und Nachrichten-Bewertung über diese Option. Sind für diese Optionen gleichlautende Texte konfiguriert, so wird die Kennzeichnung nur einmal angebracht, und zwar auch dann, wenn die Nachricht die Voraussetzungen für die Kennzeichnung durch mehrere Optionen erfüllt. Sind jedoch unterschiedliche Texte konfiguriert, so werden alle Kennzeichnungen angebracht, bei denen die Voraussetzungen erfüllt sind. Ein Beispiel hierzu: Der voreingestellte Text für diese Option lautet "*** FRAUD ***", der voreingestellte Text für die Nachrichten-Bewertung hingegen "*** SPAM ***". Da sich beide Texte unterscheiden, werden bei Nachrichten beide Kennzeichnungen angebracht, wenn sie die Voraussetzungen für beide Kennzeichnungen erfüllen. Wird aber einer der genannten Texte dem anderen angeglichen, so wird die Kennzeichnung im Beispiel nur einmal angebracht. |
...[xx] Punkte der Nachrichten-Bewertung hinzurechnen
Ist SecurityGateway so konfiguriert, dass Nachrichten, deren DMARC-Prüfung das Ergebnis QUARANTINE meldet, zur Zustellung angenommen oder in Quarantäne gegeben werden, so rechnet diese Option per Voreinstellung den hier angegebenen Wert der Nachrichten-Bewertung hinzu. Überschreitet die Nachrichten-Bewertung dann die entsprechenden Schwellwerte, so kann die Nachricht deswegen in Quarantäne gegeben oder abgewiesen werden, auch wenn sie allein wegen der fehlgeschlagenen DMARC-Prüfung nicht in Quarantäne gegeben oder abgewiesen werden würde. Per Voreinstellung wird der Wert 2.0 der Nachrichten-Bewertung hinzugerechnet.
Ausschlüsse
Nachrichten von IP-Adressen auf der Freigabeliste ausnehmen
Diese Option bewirkt, dass Nachrichten, die von IP-Adressen auf der Freigabeliste für IP-Adressen aus gesendet werden, von der DMARC-Prüfung ausgenommen sind. Diese Option ist per Voreinstellung aktiv. Falls Sie die DMARC-Prüfung auch für IP-Adressen auf der Freigabeliste durchführen wollen, deaktivieren Sie diese Option.
Nachrichten aus echtheitsbestätigten Verbindungen ausnehmen
Nachrichten, die über echtheitsbestätigte Verbindungen gesendet werden, sind per Voreinstellung von der DMARC-Prüfung ausgenommen. Falls Sie die DMARC-Prüfung auch dann durchführen wollen, wenn die SMTP-Verbindung echtheitsbestätigt war, deaktivieren Sie diese Option.
Nachrichten von Mailservern der Domäne ausnehmen
Nachrichten, die über die Mailserver der Domäne gesendet werden, sind per Voreinstellung von der DMARC-Prüfung ausgenommen. Falls Sie die DMARC-Prüfung auch dann durchführen wollen, wenn Nachrichten über diese Server übermittelt wurden, deaktivieren Sie diese Option.
