Ungenutzte Domains korrekt parken: Was gilt es zu beachten?
Fast jedes Untenehmen besitzt deutlich mehr als nur eine Domain. Nicht nur für den praktischen Einsatz, sondern auch aus strategischen Erwägungen. Zum Beispiel um ihre Brand zu schützen. Wie lassen sich diese Domains korrekt „parken“, damit kein Dritter sie für der Versand von Phishing Mails o.ä. missbraucht?
Wozu eine Domain parken?
Hacker und Phisher nutzen immer öfter Lookalike Domains (auch Cousin Domains genannt), um ein falsche Identität vorzutäuschen. Zum Beispiel durch abweisende Schreibweisen (z.B. paypol ansttat paypal) oder eine abweichende TLD (z.B. .co anstatt .com). Zum Schutz vor Missbrauch erwerben viele Organisationen relevante Domains („defensive Domain-Registrierung“).
Viele Unternehmen sichern sich auch Domains für ganz herkömmliche Zwecke gesichert. Zum Beispiel für Micropages oder Submarken.
Saubere DNS-Einstellungen benötigen alle Domains. Auch jene, die gar nicht im Einsatz sind bzw. die nicht für den Versand von E-Mails genutzt werden.
Warum sich sauberes Parken einer Domain lohnt?
Ein Geburtsfehler der Domain ist, dass sich die Absenderadresse problemlos fälschen lässt. Genauer gesagt der Header FROM gemäß RFC 822 und RFC 5322. Prinzipiell kann also jeder eine E-Mail mit der Absenderdomain paypal.com versenden.
Was viele nicht wissen: Fehlende MX- oder A-Records am DNS ändern nichts daran. Klar achten einige Spamfilter akribisch auf Authentifizierung per DKIM, SPF und DMARC, aber oftmals auch nicht.
Genau aus diesem Grund ist es sinnvoll, eine nicht für den E-Mail-Versand genutzte Domain korrekt zu parken. Natürlich können Dritte dann weiterhin E-Mails mit der Domain versenden, aber diese werden nur noch selten die Inbox irgendeines Empfängers erreichen und Schaden anrichten.
Anleitung zum Parken von Domains inkl. Subdomains
- Liste zunächst alle Domains (FQDN) auf, die bewusst nicht für den Versand von E-Mails eingesetzt werden.
- Legen DNS Records gemäß meiner Anleitung an.
- Nutze DMARC Monitoring, um möglichen Missbrauch oder Fehler (Domains wird irrtümlich doch verwendet) zu erkennen.
DMARC
- Hostname :_dmarc.geparktedomain.xy
- Type : TXT
- Value : v=DMARC1;p=reject;rua=mailto:[email protected];
Gemäß dieser DMARC Policy werden ISPs eingehende E-Mails ablehnen, wenn diese keine SPF oder DKIM verwenden.
SPF
- Hostname : geparktedomain.xy
- Type : TXT
- value : v=spf1 -all
Für Subdomains:
- Hostname : *.geparktedomain.xy
- Type : TXT
- Value : v=spf1 -all
Gemäß dieser Policy ist ein Host legitimiert, die Absenderdomain / -subdomain im Envelope Sender (smtp.mailfrom) gemäß RFC821 und RFC zu verwenden.
DKIM (optional)
- Hostname : *._domainkey.geparktedomain.xy
- Type : TXT
- Value : v=DKIM1; p=
Gemäß dieser Policy existiert kein DKIM Key. Eine Authentifizierung findet folglich nie statt.
MX
- Hostname : *.geparktedomain.xy
- Type : MX
- Priority : 0
- Value : .
Für Subdomains:
- Hostname : *.geparktedomain.xy
- Type : MX
- Priority : 0
- Value : .
Gemäß diesen MX Records existiert kein Mail Exchange Host, der sich für E-Mails mit entsprechender Empfängeradresse verantwortlich fühlt.
A Record
Optimalerweise verzichtest du auf A Records, aber in der Praxis ist das nicht immer möglich Schließlich will man Kunden auf eine bestimmte Website lenken. Es gibt auch ISPs bzw. Webhoster, bei denen sich der A Record überhaupt nicht entfernen lässt.
Autor: Frank Rix
Zum Schutz der Marke und IT-Sicherheit ist es ratsam, alle vorhandenen Domains am Nameserver korrekt zu konfigurieren. Dazu gehört auch das Parken von Domains, über die gar keine E-Mails versendet werden (sollten). Innerhalb weniger Minuten lässt sich mit der genannten Konfiguration der Schutz vor Missbrauch deutlich vergrößern.
Ergänzende Artikel
Kostenlose Beratung
Mit Email Deliverability verhält es sich wie mit dem Zahnarztbesuch: Hinauszögern kann sehr schmerzhaft sein. Lass uns sprechen, um präventiv geeignete Maßnahmen zu ergreifen.