
Ich kann mit Sicherheit sagen, dass die Welt keine weiteren Sicherheitsprognosen für 2024 braucht. Aber auf dem Weg ins neue Jahr ist es wichtig, Gespräche über die Sicherheitsstrategie zu führen, um unsere geschäftlichen Prioritäten und unsere Fahrpläne zu informieren.
Wenn ich mit unseren Red Sift-Kunden, unseren Partnern und den Vordenkern unseres technischen Beratungsgremiums spreche, ist eines klar: Weitere DMARC- und Domain-Authentifizierungsanforderungen sind auf dem Weg, und sie werden bald kommen.
Es fällt mir leicht, die Vorteile von DMARC aufzuzählen: bessere Zustellbarkeit, Schutz vor BEC und Phishing, die Möglichkeit, BIMI einzusetzen… die Liste ließe sich beliebig fortsetzen.
Aber eines ist klar: Im Jahr 2024 ist DMARC nicht mehr nur ein „nice to have“. Es wird ein geschäftlicher Imperativ sein.
Was ändert sich mit DMARC im Jahr 2024?
Auf dem Weg ins Jahr 2024 gibt es bereits angekündigte Anforderungen für DMARC, die den meisten Sicherheitsverantwortlichen in der Branche zumindest bekannt sind. Sie reichen von denen von E-Mail-Anbietern wie Google und Yahoo über die von Regierungen bis hin zu denen von Sicherheitsbewertungs- und Cyberversicherungsunternehmen.
Anforderungen von Google und Yahoo für Massenversender
Die wichtigste Anforderung für DMARC im Jahr 2024 ist die gemeinsame Anforderung von Google und Yahoo, die für alle Unternehmen gilt, die mehr als 5.000 E-Mails pro Tag versenden. Um zu verhindern, dass E-Mails nicht wie erwartet oder als Spam zugestellt werden, müssen Unternehmen:
- Ihre Domäne authentifizieren. Dies erfordert mindestens einen DMARC-Eintrag mit einer Richtlinie von p=none, SPF- und DKIM-Einträge, SPF- oder DKIM-Abgleich und FCrDNS.
- Machen Sie es den Empfängern leicht, sich abzumelden. Unternehmen, die derzeit einen Abmeldelink in kommerziellen E-Mails haben, müssen bis zum 1. Juni 2024 eine Ein-Klick-Abmeldung einführen.
- Halten Sie die Spam-Rate niedrig. Unternehmen müssen die in den Postmaster Tools gemeldeten Spam-Raten unter 0,3 % halten.
Unsere Untersuchungen haben ergeben, dass ab Dezember 2023 mindestens 33 % der großen Unternehmen weltweit diese Anforderungen nicht erfüllen werden, wobei Unternehmen in Korea, Japan, Österreich und Deutschland besonders schlecht vorbereitet sind.
Unternehmen, die sich nicht darum kümmern, müssen damit rechnen, dass die Zustellungsrate sinkt und Nachrichten in Spam-Ordnern landen. Für Unternehmen, die auf E-Mail-Marketing angewiesen sind, um Leads und Umsätze zu generieren, könnte dies enorme Auswirkungen haben.
Use Red Sift’s Investigate tool to see if your DMARC, DKIM, SPF, and BIMI protocols are correctly set up and get actionable steps on how to fix them, if applicable.
Wir bei Red Sift sehen diese Anforderungen als Vorbote für E-Mail-Anbieter, die DMARC-Durchsetzung verlangen. Durch die Forderung nach DMARC-, SPF- und DKIM-Einträgen und SPF- oder DKIM-Abgleich legen die Anbieter den Grundstein für strengere DMARC-Durchsetzungsrichtlinien. Unternehmen sollten bei ihrer DMARC-Konfiguration aggressiver vorgehen, als dies ab dem 1. Februar 2024 erforderlich ist, da ihre Domains durch die Implementierung strengerer DMARC-Richtlinien auch vom Schutz vor Spoofing und Impersonation profitieren werden.
- CISA-Empfehlungen
Im Oktober 2023 hat die CISA (Cybersecurity & Infrastructure Security Agency) neue Phishing-Leitlinien herausgegeben. Dieses Dokument wurde in Zusammenarbeit mit der NSA, dem FBI und dem Multi-State Information Sharing and Analysis Center (MS-ISAC) veröffentlicht, um Phishing-Techniken zu skizzieren und den Verteidigern eine Anleitung zu geben.
In dem Leitfaden gibt die Behörde maßgeschneiderte Empfehlungen zur Abwehr von Phishing-Angriffen, die auf die Erlangung von Anmeldedaten und die Installation von Malware abzielen.
Um diese Angriffe zu entschärfen, empfiehlt die Behörde zahlreiche grundlegende Schutzmaßnahmen, darunter die Aktivierung von DMARC, SPF und DKIM, sowie die Einstellung der DMARC-Durchsetzung auf p=reject.
- PCI DDS 4.0
Am 31. März 2022 veröffentlichte das PCI Security Standards Council (PCI SSC) den DSS v4.0. Obwohl diese Anforderungen für Zahlungsabwickler erst am 31. März 2025 in Kraft treten, nutzen die meisten Unternehmen dieses Jahr, um sicherzustellen, dass sie vollständig konform sind.
Eine der neuen Anforderungen in PCI DDS v4.0 ist der Schutz vor Phishing. Die Anforderung 5.4.1 verlangt „automatisierte Mechanismen“ zur Erkennung und zum Schutz vor Phishing-Angriffen. Obwohl sich diese Anforderung auf „Prozesse und Mechanismen“ bezieht und nicht auf eine bestimmte Lösung verweist, würden bewährte Verfahren auf die Implementierung von DMARC, SPF und DKIM hinweisen.
- Anforderungen an Sicherheitsratings
Zwar wurden von den Sicherheitsbewertungsunternehmen noch keine formellen Aktualisierungen für DMARC angekündigt, aber wir hören erste Rückmeldungen von unseren Kunden, dass DMARC in den Augen dieser Unternehmen eine höhere Priorität erhält.
SecurityScorecard zum Beispiel berücksichtigt derzeit die SPF-Konfiguration in seinem Bewertungssystem. Es ist nicht undenkbar, dass sie bald auch DMARC und DKIM als Teil ihres Bewertungsalgorithmus berücksichtigen werden.
- Bestehende DMARC-Anforderungen
Alles, was wir bisher behandelt haben, ist eine Ergänzung zu den bestehenden DMARC-Anforderungen und -Empfehlungen, die von Gremien auf der ganzen Welt aufgestellt wurden. Die Liste ist zwar nicht erschöpfend, zeigt aber, dass der Schutz vor Phishing, BEC (Business Email Compromise) und exakter Domain-Impersonation weltweit im Vordergrund steht.
Status | Affected Geography | Issuing body | Name | Description | Mandate type | Issuance/update date | Enforcement date | Learn More |
Upcoming | Global | Google & Yahoo | New requirements for bulk senders | Those sending over 5,000 emails a day must authenticate email-sending domains with TLS, DKIM, SPF, DKIM, or SPF alignment and have a DMARC policy of p=none. | Private sector mandate | October 3, 2023 | February 1, 2024 | Here |
Upcoming | Global | PCI DDS | PCI DDS v4.0 Req 5.4.1 | „Automated mechanisms“ must be deployed to detect and protect against phishing attacks. Though this requirement is for „processes and mechanisms“ and does not point to a specific solution, best practices would point to implementing DMARC, SPF, and DKIM. | Compliance mandate | March 2022 | March 31, 2025 | Here |
Current | UK | GDS | Government Cybersecurity Policy Handbook Principle: B3 Data Security | Government departments shall have DMARC, DKIM, and SPF records in place for their domains. This shall be accompanied by the use of MTA-STS and TLS Reporting. This requirement originated from the 2018 Minimum Cybersecurity Standard. | Mandate for government agencies | April 6, 2023 | April 6, 2023 | Here |
Current | United States | CISA | Binding Operational Directive 18-01: Enhance Email and Web Security | Requires all federal agencies to bolster web security with STARTTLS, SPF, DKIM, and DMARC with a policy of p=reject. | Mandate for government agencies | October 16, 2017 | September 20, 2018 | Here |
Current | United States | NIST | NIST Special Publication 800-177Revision 1: Trustworthy email | Recommends implementing SPF, DKIM, and DMARC, among other controls to enhance trust in email. | Guidance |
See the full list of mandates and recommendations for DMARC here.
Vorbereitung auf die sich ändernden DMARC-Anforderungen
In Anbetracht der Tatsache, dass E-Mails nach wie vor der wichtigste Angriffsvektor sind und allein die Kompromittierung von Geschäfts-E-Mails im Jahr 2022 Verluste in Höhe von 2,7 Milliarden US-Dollar verursachte, ist es nicht verwunderlich, dass es immer mehr Vorschriften, Anforderungen und Empfehlungen für eine bessere E-Mail-Sicherheit gibt.
To see if your organization is prepared, make sure to check out Red Sift Investigate where you can see if your organization’s DMARC, SPF, DKIM, and other important email security protocols are set up correctly.
Source: Red Sift-Blog
Sie haben Fragen? Ihr Ansprechpartner für D/A/CH
Do you have any questions? Your contact person for D/A/CH
Julian Wulff, Director Cyber Security Central Europe at Red Sift
Fachartikel

Zusammenfassung des Webinars „Let’s Encrypt“: Eine neue Ära der Zertifikatsüberwachung

Messung des ROI in der Cybersicherheit

Quantifizierung des Risikos von ERP-Ausfallzeiten und das Streben nach betrieblicher Ausfallsicherheit

Spionieren Chrome-Erweiterungen von AI Sie aus?

Die Rolle von DMARC in der E-Mail-Sicherheit
Studien

Aufruf zum Handeln: Dringender Plan für den Übergang zur Post-Quanten-Kryptographie erforderlich

IBM-Studie: Gen-KI wird die finanzielle Leistung von Banken im Jahr 2025 steigern

Smartphones – neue Studie zeigt: Phishing auch hier Sicherheitsrisiko Nr. 1

GenAI: Wirtschaft in Deutschland vernachlässigt Transformation der Geschäftsmodelle
