DMARC-Auswertung¶
Unter DMARC werden empfangene DMARC-Aggregate-Reports (RUA) visualisiert.
Was sind DMARC-Aggregate-Reports?¶
DMARC-Aggregate-Reports werden täglich von Empfänger-Mailservern an die im DMARC-Record konfigurierte rua-Adresse gesendet. Sie enthalten anonymisierte Statistiken darüber, welche Mails (nach IP-Adresse) im Namen der eigenen Domain gesendet wurden und ob sie DMARC, SPF und DKIM bestanden haben.
Konfiguration¶
Damit nmg DMARC-Reports empfängt, muss im DNS-Record der Domain eine rua-Adresse eingetragen sein, die von nmg überwacht wird:
nmg empfängt und verarbeitet DMARC-Reports automatisch (via nmg-dmarc-ingest).
Auswertungs-Oberfläche¶
Filter¶
- Domain: Report-Domain auswählen
- Zeitraum: Von-Bis-Datumsauswahl
- Quelle: Filter nach berichtendem Server (z. B.
google.com,microsoft.com)
Ergebnis-Tabelle¶
| Spalte | Beschreibung |
|---|---|
| IP | IP-Adresse, die Mail im Namen der Domain versendete |
| Hostname | Reverse-DNS-Hostname der IP |
| Anzahl | Gesamtanzahl der Mails in diesem Report |
| SPF | SPF-Ergebnis (pass / fail / none) |
| DKIM | DKIM-Ergebnis (pass / fail / none) |
| DMARC | Gesamtergebnis (pass / fail) |
| Disposition | Durchgeführte Aktion (none, quarantine, reject) |
Interpretation¶
- Alle pass + DMARC pass: Legitimer Versand, korrekt konfiguriert
- SPF fail + DKIM pass: Weiterleitung oder Mailing-Liste — prüfen, ob gewünscht
- Beide fail: Fremd-Versand im Namen der Domain (möglicher Spoofing-Versuch)
- Unbekannte IPs: Prüfen, ob eigene Dienste (Newsletter, CRM) fehlen
Empfohlene DMARC-Policy-Entwicklung¶
| Phase | Policy | Beschreibung |
|---|---|---|
| 1 | p=none |
Monitoring-Modus, keine Aktionen |
| 2 | p=quarantine; pct=25 |
25 % der fehlschlagenden Mails in Quarantäne |
| 3 | p=quarantine; pct=100 |
Alle fehlschlagenden Mails in Quarantäne |
| 4 | p=reject |
Alle fehlschlagenden Mails ablehnen |