Die BIMI DMARC p=reject-Anforderung erklärt
Die BIMI DMARC p=reject-Anforderung erklärt
Die meisten gescheiterten BIMI-Implementierungen lassen sich auf eine einzige Ursache zurückführen: eine fehlerhafte DMARC-Richtlinie. Unternehmen konzentrieren sich auf die Erstellung der SVG-Logodatei und übersehen dabei die Authentifizierungsanforderung, die darüber entscheidet, ob das Logo überhaupt angezeigt wird.
BIMI ist ein Sicherheitsprotokoll, keine Branding-Funktion. E-Mail-Anbieter zeigen Ihr Logo erst an, nachdem sie kryptografisch verifiziert haben, dass die Nachricht tatsächlich von Ihrer Domain stammt [1].
Dieser Artikel beschreibt die DMARC-Voraussetzung für BIMI, vergleicht die drei Durchsetzungsrichtlinien und erläutert, wie Sie Ihre Domain vorbereiten.
Was ist DMARC?
Domain-based Message Authentication, Reporting, and Conformance (DMARC) ist ein E-Mail-Authentifizierungsstandard, der verhindert, dass unbefugte Absender Ihre Domain im From-Header verwenden.
DMARC baut auf zwei zugrunde liegenden Protokollen auf:
- SPF (Sender Policy Framework): Überprüft, ob die sendende IP-Adresse vom Domain-Inhaber autorisiert ist.
- DKIM (DomainKeys Identified Mail): Versieht jede Nachricht mit einer kryptografischen Signatur, sodass der Empfänger bestätigen kann, dass die Nachricht während der Übertragung nicht verändert wurde.
Der DMARC-Eintrag weist empfangende Server wie Gmail und Yahoo an, wie sie mit Nachrichten umgehen sollen, die sowohl SPF als auch DKIM nicht bestehen.
Die drei DMARC-Richtlinien
Sie veröffentlichen Ihren DMARC-Eintrag als TXT-Eintrag in Ihrer DNS-Zone. Der p=-Tag definiert die Durchsetzungsrichtlinie.
1. p=none (Überwachungsmodus)
Der empfangende Server stellt fehlgeschlagene Nachrichten im Posteingang zu und sendet aggregierte Berichte an die von Ihnen angegebene Adresse. Verwenden Sie diese Richtlinie, um legitime Sendequellen zu identifizieren, bevor Sie zur Durchsetzung übergehen.
BIMI-Status: ❌ Abgelehnt. E-Mail-Anbieter zeigen keine BIMI-Logos für Domains mit p=none an.
2. p=quarantine (Durchsetzungsmodus)
Der empfangende Server leitet fehlgeschlagene Nachrichten in den Spam- oder Junk-Ordner.
BIMI-Status: ✅ Akzeptiert. Dies ist die Mindestrichtlinie, die für BIMI qualifiziert. Die Richtlinie muss für 100 % der Nachrichten gelten. Fügen Sie entweder pct=100 hinzu oder lassen Sie den pct-Tag weg (der Standardwert ist 100).
3. p=reject (Strenger Durchsetzungsmodus)
Der empfangende Server verwirft fehlgeschlagene Nachrichten. Sie werden nicht zugestellt. BIMI-Status: ✅ Akzeptiert. Dies ist die empfohlene Richtlinie für BIMI.
Warum BIMI Durchsetzung erfordert
Diese Anforderung existiert, um visuelles Spoofing zu verhindern. Wenn ein E-Mail-Anbieter Ihr Logo neben einer Nachricht anzeigt, bestätigt er dem Empfänger damit, dass die Nachricht authentisch ist [2].
Würde BIMI p=none akzeptieren, könnte ein Angreifer Ihre Domain fälschen und den E-Mail-Anbieter dazu bringen, Ihr Logo neben einer Phishing-Nachricht anzuzeigen. Die Anforderung von p=quarantine oder p=reject garantiert, dass der Domain-Inhaber nicht authentifizierte E-Mails blockiert hat, bevor das Logo gewährt wird.
Überlegungen zu Subdomains
Unternehmen verwenden häufig Subdomains für unterschiedliche E-Mail-Ströme, wie marketing.company.com oder receipts.company.com. BIMI erfordert, dass die Organisationsdomain auf Durchsetzung eingestellt ist.
Wenn Ihre Organisationsdomain p=reject veröffentlicht, aber Subdomains mit sp=none überschreibt, schlägt BIMI für E-Mails fehl, die von diesen Subdomains gesendet werden. Die Durchsetzung muss sowohl für die Organisationsdomain als auch für ihre Subdomains gelten.
So prüfen Sie Ihre Infrastruktur
Bestätigen Sie Ihren DMARC-Status, bevor Sie eine SVG-Datei erstellen oder ein Verified Mark Certificate (VMC) beantragen.
Verwenden Sie makeBIMI, um Ihre Domain zu prüfen. Das Tool fragt Ihre DNS-Einträge ab, bewertet Ihre SPF- und DMARC-Konfiguration und meldet, ob Ihre Domain die Durchsetzungsanforderung für BIMI erfüllt.
Nachdem Ihre Domain die Prüfung bestanden hat, erstellen Sie Ihre konforme SVG-Datei und beauftragen Sie einen CA-Vermittler wie veriBIMI, um Ihr Zertifikat zu erhalten.
Referenzen
[1] M. Blank, et al. "Brand Indicators for Message Identification (BIMI)." IETF Datatracker, RFC 9091, https://datatracker.ietf.org/doc/html/rfc9091 [2] DMARC.org. "Overview." DMARC, https://dmarc.org/overview/