Was Massenversender beachten sollten
E-Mail-Authentifizierungsrichtlinien von Google und Yahoo
Yahoo und Google hatten zum Jahresbeginn Änderungen ihrer E-Mail-Authentifizierungsrichtlinien bekannt gegeben. Diese betreffen E-Mail-Versender mit hohem E-Mail-Aufkommen und gelten seit Februar. Was das bedeutet, erläutert Gerasim Hovhannisyan von EasyDMARC.
connect professional: Google und Yahoo haben ihre Richtlinien für den E-Mail-Versand von Massenmail Anfang des Jahres erheblich verschärft. Was steckt dahinter?
Gerasim Hovhannisyan: Führende Internetdienstanbieter wie Google und Yahoo sind schon seit einiger Zeit über das Ausmaß von Spoofing und Phishing bei legitimen Geschäftskonten besorgt. In dem Bemühen, dem entgegenzuwirken, führte Google 2022 DMARC (Domain-based Message Authentication, Reporting and Conformance) als optionales Protokoll ein. Dies wird zu den Absenderdomänen hinzugefügt und ergänzt die Protokolle SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail). DMARC legt fest, was mit einer E-Mail geschieht, wenn eines der anderen Protokolle fehlerhaft ist. Im Februar 2024 haben Google, Yahoo und andere ISPs DMARC für E-Mail-Absenderdomänen zur Pflicht gemacht.
connect professional: Inwiefern werden E-Mail-Absender und Empfänger von diesen Richtlinien geschützt?
Hovhannisyan: DMARC verhindert, dass eine Unternehmensdomäne durch Spoofing und Phishing auf einer Absenderdomäne verkörpert wird. Wenn das DMARC-Protokoll vollständig durchgesetzt wird, werden E-Mails, die das DMARC-Protokoll nicht erfüllen, an den Spam-Ordner des Empfängers weitergeleitet. Zudem wird angezeigt, dass die Kommunikation verdächtig ist oder überhaupt nicht zugestellt wurde. Alle verdächtigen Versuche auf der Absenderdomäne werden auch dem Domänenbesitzer gemeldet, damit die Administratoren entsprechende Maßnahmen ergreifen können. Im Laufe der Zeit wird DMARC auch die Zustellungsraten von Transaktions- und Werbe-E-Mails verbessern, indem es eine vertrauenswürdige Domäne für ISPs wird.
connect professional: Welche Maßnahmen müssen Massenversender zur Einhaltung der neuen Vorschriften jetzt vornehmen?
Hovhannisyan: Die Definition von Massen-E-Mails ist in diesem Fall jede Organisation, die eine Domäne verwendet, um mehr als 5000 E-Mails pro Tag zu versenden. Diese Zahl umfasst sowohl Transaktions- als auch Werbe-E-Mails. Die neuen Richtlinien verlangen, dass die Spam-Rate, die von einer Absenderdomäne versendet wird, unter 0,3 Prozent pro Kommunikation bleibt. Das ist eine Quote von 3 von 1000. Idealerweise sollten Absender eine Rate von 0,1 Prozent pro E-Mail-Kommunikation anstreben. Massenversender, die sich nicht an diese Richtlinien halten, laufen Gefahr, von den Internetanbietern auf eine schwarze Liste gesetzt zu werden. Die Aufhebung der schwarzen Listen erfordert eine Kontaktaufnahme mit jedem Internetdienstanbieter und kann ein langwieriger Prozess sein, der am besten vermieden werden sollte.
connect professional: Wie aufwändig ist das Umstellen auf die erforderlichen Maßnahmen?
Hovhannisyan: Der DMARC-Prozess besteht aus drei Stufen. Die erste Stufe ist die Überwachungsstufe (p=none). Normalerweise verbringt eine Organisation einige Zeit damit herauszufinden, wer ihre Absenderdomänen verwendet. Je nach Größe des Unternehmens und der Anzahl der Domains und Standorte kann dies Wochen oder sogar Monate dauern. In diesem Stadium gibt es keinen Cyber-Schutz. Sobald dieser Identifizierungsprozess abgeschlossen ist, kann DMARC optimiert werden, um die Phase der Quarantäne-E-Mails (p=quarantine) einzuleiten. Auch hier wird die E-Mail überwacht, um sicherzustellen, dass die rechtmäßigen Mitteilungen die richtigen Empfänger erreichen. Sobald dies festgestellt wurde, kann die vollständige Ablehnungsrichtlinie (p=reject) eingeführt werden. Die Dauer des gesamten Prozesses kann je nach Größe der Organisation variieren, aber in der Regel dauert es mindestens drei Monate (90 Tage), bis das Stadium „abgelehnt“ erreicht ist.
connect professional: Welche Tools können dabei helfen?
Hovhannisyan: Ein DMARC-Dashboard kann dabei helfen, mehrere Domänen an einem einzigen Ort zu überwachen, wobei Automatisierungswerkzeuge zur Verwaltung des Prozesses eingesetzt werden können. Berichte, die die Rohdaten aufgreifen und die Aktivitäten und den Status einer Absenderdomäne in einem leicht verständlichen grafischen und nicht-technischen Format interpretieren, können allen Verantwortlichen helfen, die Bedeutung, den Prozess und den für die DMARC-Implementierung erforderlichen Zeitrahmen zu verstehen. Massenversender sollten sich mit Tools befassen, die die Legitimität von E-Mail-Adressen vor dem Versand prüfen und anzeigen können, wie die E-Mail-Kommunikation wahrscheinlich von einem ISP behandelt wird. Dies hilft sowohl bei der Ausrichtung auf Zielgruppen als auch bei der Kontrolle der Spam-Quoten.
connect professional: Werden weitere E-Mail-Anbieter dem Beispiel von Google und Yahoo folgen und künftig ebenfalls strengere E-Mail-Authentifizierungsrichtlinien einführen?
Hovhannisyan: Dies ist bereits in vollem Gange. DMARC wird auch schon von anderen Unternehmen, die E-Mail-Dienste anbieten, wie Apple und Microsoft, übernommen. Wir gehen davon aus, dass weitere Unternehmen folgen werden, so dass DMARC zu einem neuen Industriestandard wird.
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
