Dieser Leitfaden hilft Ihnen bei der Behebung verschiedener Probleme im Zusammenhang mit der Einrichtung und Verwendung einer DMARC-Richtlinie für Ihr E-Mail-Konto.

Lesen Sie diesen anderen Leitfaden, wenn Sie ein DMARC-Problem insbesondere bei der Verwendung von Google-Diensten haben.

DMARC-Fehler oder -Ablehnung...

...bei einer Weiterleitung, obwohl die ursprüngliche Zieladresse die Nachricht erhalten hat (SPF-Fehler)

E-Mail-Weiterleitung ohne SRS, die einen SPF-Fehler verursacht

Stellen Sie sich vor, Sie haben eine E-Mail-Weiterleitung von der Adresse "user@example2.com" an die Adresse "user@yourdomain3.com" konfiguriert, ohne den Mechanismus SRS zu verwenden. Wenn eine Nachricht an "user@example2.com" gesendet wird, wird sie vom ersten E-Mail-Server empfangen und dann automatisch an "user@yourdomain3.com" weitergeleitet. Beispiel:

• Absender: john.doe@gmahoo1.com
• Ursprünglicher Empfänger: user@example2.com
• Endgültiges Ziel: user@yourdomain3.com

Vereinfacht dargestellt: Wenn John eine E-Mail an "user@example2.com" sendet, leitet der E-Mail-Server von "example2.com" sie an "user@yourdomain3.com" weiter. Der Zielserver empfängt die Nachricht also von den Servern von "example2.com", obwohl die Absender-Envelope-Adresse weiterhin "john.doe@gmahoo1.com" lautet.

Im Detail: Bei der Weiterleitung wird die Envelope-Adresse des Empfängers durch "user@yourdomain3.com" ersetzt, aber die Envelope-Adresse des Absenders bleibt "john.doe@gmahoo1.com". Die im Nachrichtentext angezeigte Absenderadresse bleibt ebenfalls unverändert.

Die SPF-Prüfung kann dann fehlschlagen, da die Server von "example2.com" normalerweise nicht von der SPF-Eintragung von "gmahoo1.com" autorisiert sind, Nachrichten für diese Domain zu senden.

Ein SPF-Fehler führt jedoch nicht zwangsläufig zu einer Ablehnung durch DMARC. DMARC schlägt nur dann fehl, wenn kein gültiger SPF- oder DKIM-Mechanismus mit der Domäne der sichtbaren Absenderadresse übereinstimmt. Wenn die ursprüngliche DKIM-Signatur fehlt, ungültig ist oder nicht übereinstimmt, kann die DMARC-Richtlinie der Absenderdomäne dazu führen, dass die Nachricht in Quarantäne gestellt oder abgelehnt wird.

Um zu verhindern, dass SPF nur aufgrund einer Weiterleitung fehlschlägt, muss der Anbieter, der die Weiterleitung durchführt, den SRS-Mechanismus unterstützen.

Wie Weiterleitungen bei Infomaniak funktionieren

Wenn eine an eine Infomaniak-Adresse gesendete E-Mail an eine andere Adresse weitergeleitet wird, verwendet Infomaniak SRS, um die Absender-Envelope-Adresse neu zu schreiben. Die für den Empfänger sichtbare Absenderadresse bleibt unverändert.

Durch diese Neuschreibung kann der Zielserver überprüfen, ob der Infomaniak-Server, der die Weiterleitung durchführt, berechtigt ist, die neue Envelope-Adresse zu verwenden. SRS ändert nicht die ursprüngliche DKIM-Signatur und garantiert nicht allein die DMARC-Validierung. Im Kontext einer Weiterleitung kann DMARC beispielsweise validiert werden, wenn die ursprüngliche DKIM-Signatur weiterhin gültig und übereinstimmend ist.

... aufgrund eines fehlerhaften DNS-Eintrags

Der DMARC-Eintrag muss als einzelner TXT-Eintrag im Subdomain "_dmarc" der betreffenden Domäne veröffentlicht werden.

Fehlerhaft formatierter DMARC-Eintrag (Malformed DMARC Record): Wenn der DMARC-Eintrag nicht korrekt formatiert ist, kann er als ungültig betrachtet werden. Überprüfen Sie insbesondere die Syntax, die Semikolons, die verwendeten Tags und deren Werte.

Ungültige DMARC-Richtlinie (Invalid DMARC Policy): Der Wert des Haupttags "p" muss "none", "quarantine" oder "reject" sein. Jeder andere Wert macht die DMARC-Richtlinie ungültig.

Mehrere DMARC-Einträge: Eine Domain darf nur einen einzigen TXT-DMARC-Eintrag enthalten. Wenn mehrere Einträge für die Subdomain „_dmarc“ veröffentlicht werden, wird die Konfiguration als ungültig betrachtet, und die Richtlinie kann nicht korrekt angewendet werden.

Fassen Sie alle erforderlichen DMARC-Parameter in einem einzigen TXT-Eintrag zusammen.

Überprüfen Sie Ihren aktuellen DMARC-Eintrag mit einem speziellen Tool, wie z. B. den folgenden:

• https://dmarcadvisor.com/dmarc-check
• https://mxtoolbox.com/dmarc.aspx

...bezogen auf eine E-Mail, bei der weder SPF noch DKIM mit der Domain des Absenders übereinstimmen

DMARC erfordert nicht, dass sowohl SPF als auch DKIM gültig sind. Die DMARC-Prüfung ist erfolgreich, sobald mindestens einer dieser beiden Mechanismen gültig ist und mit der Domain der sichtbaren Absenderadresse übereinstimmt.

Ein DMARC-Fehler oder eine DMARC-Ablehnung kann auftreten, wenn weder SPF noch DKIM eine mit der Domain des Absenders übereinstimmende Domain validieren.

Dies kann beispielsweise auftreten, wenn Sie eine E-Mail mit Ihrer Infomaniak-Adresse über den SMTP-Server eines anderen Anbieters versenden. Der verwendete Server ist möglicherweise nicht durch den SPF-Eintrag Ihrer Domain autorisiert und wendet keine gültige DKIM-Signatur für dieselbe Domain an.

Um dieses Problem zu beheben:

• Überprüfen Sie die allgemeine Sicherheit des E-Mail-Dienstes,
• verwenden Sie die Infomaniak-SMTP-Server, um Nachrichten von einer Infomaniak-Adresse aus zu versenden,
• wenn Sie einen externen E-Mail-Dienst verwenden, konfigurieren Sie Ihre Domain bei diesem Anbieter, damit SPF, DKIM und deren DMARC-Ausrichtung korrekt unterstützt werden.

Nachrichten von einer neu erstellten Domain landen im Spam-Ordner

Dieses Verhalten deutet nicht unbedingt auf einen DMARC-Fehler hin. Eine neu erstellte Domain hat noch wenig oder gar keine Versandhistorie, und ihr Ruf ist daher bei den verschiedenen E-Mail-Anbietern noch nicht etabliert.

Beginnen Sie damit, eine geringe Anzahl legitimer Nachrichten an Empfänger zu senden, die dem Versand zugestimmt haben, und erhöhen Sie dann die Anzahl der gesendeten Nachrichten schrittweise. Stellen Sie außerdem sicher, dass SPF, DKIM und DMARC korrekt konfiguriert sind, und vermeiden Sie plötzliche oder große Versandmengen.

Das Senden von Nachrichten an sich selbst kann dazu dienen, die Konfiguration zu testen und eine Nachricht im jeweiligen Posteingang als legitim zu kennzeichnen. Dies reicht jedoch nicht aus, um einen allgemeinen guten Ruf bei anderen E-Mail-Anbietern aufzubauen.

Der erfolgreiche Abschluss der SPF-, DKIM- und DMARC-Prüfungen garantiert nicht, dass Nachrichten im Posteingang landen. Die Anbieter berücksichtigen auch den Ruf der Domain und der sendenden Server, das Nachrichtenvolumen, den Inhalt der Nachrichten und die Reaktionen der Empfänger.

Ich sende eine E-Mail von meiner Infomaniak-Adresse aus und erhalte eine Fehlermeldung vom Typ „DMARC abgelehnt“

Um dieses Problem zu beheben:

• Überprüfen Sie die allgemeine Sicherheit des Mail-Dienstes,
• führen Sie einen Testversand über das Webmail mail.infomaniak.com durch,
• überprüfen Sie die Servereinstellungen der Software oder des E-Mail-Clients, insbesondere den verwendeten SMTP-Server und die Authentifizierung der Absenderadresse.

Wenn die Nachricht erfolgreich über das Webmail gesendet wird, liegt das Problem wahrscheinlich an der Konfiguration der E-Mail-Software oder des externen SMTP-Servers, der für den Versand verwendet wird.

Ich sende eine E-Mail von einer externen Adresse (Microsoft, Google, Yahoo, Orange usw.) und Infomaniak lehnt sie mit einem DMARC-Fehler ab

Die Nachricht entspricht wahrscheinlich nicht der von der Domain des Absenders veröffentlichten DMARC-Richtlinie. Dies kann insbesondere bedeuten, dass SPF und DKIM fehlgeschlagen sind oder nicht mit der sichtbaren Absenderadresse übereinstimmen.

Um dieses Problem zu beheben:

• Überprüfen Sie beim Anbieter der Absenderadresse, ob die Nachrichten gemäß seinen Empfehlungen versendet werden.
• Leiten Sie die vollständige Fehlermeldung an den Anbieter oder den Administrator der Absenderdomäne weiter, damit dieser die SPF-, DKIM- und DMARC-Konfigurationen überprüfen kann.

Ich möchte E-Mails an meine Infomaniak-Adresse erhalten, aber der Absender erhält eine DMARC-Fehlermeldung

Die Nachricht wurde blockiert, da sie nicht der vom Absenderdomänen veröffentlichten DMARC-Richtlinie entspricht. Die Konfiguration des Infomaniak-Empfängerkontos ermöglicht es nicht, einen Authentifizierungsfehler von der Absenderdomäne zu beheben.

Um dieses Problem zu beheben:

• Bitten Sie den Absender, die vollständige Fehlermeldung an seinen E-Mail-Anbieter oder den Administrator seiner Domäne weiterzuleiten, damit die SPF-, DKIM- und DMARC-Konfigurationen überprüft werden können.
• Wenn die Infomaniak-Adresse Nachrichten an eine andere Adresse weiterleitet, überprüfen Sie auch, in welcher Phase der Weiterleitung die Ablehnung erfolgt.