… und wozu brauche ich das?
Im dritten und letzten Teil der Serie „eMail – Was ist ___ … und wozu brauche ich das?“ geht es um DMARC.
Hier gehts direkt zu
- Teil 1 „eMail – Was ist SPF … und wozu brauche ich das?“
- Teil 2 „eMail – Was ist DKIM … und wozu brauche ich das?“
Allgemein
DMARC steht für Domain-based Message Authentication, Reporting and Conformance und wird verwendet um für eine sendende Domain vorzugeben wie der Empfänger mit eingehenden Mails umgehen soll. SPF legt fest wer versenden darf, DKIM gibt ein Mittel zur Prüfung des Absenders an die Hand und DMARC sagt dem Empfänger nun wie dieser mit der eingehenden eMail umgehen soll, wenn SPF- und / oder DKIM-Prüfung fehlschlagen. Auch DMARC wird – aufmerksame Leser ahnen es bereits – mittels TXT-Eintrag für die sendende (Sub-) Domain festgelegt. Definiert ist DMARC im RFC7489.
Nicht alle – jedoch die meisten – Mailserver / Mail-Provider berücksichtigen oder bewerten DMARC auf gleiche Art und Weise. Es handelt sich bei der Verwendung von DMARC um eine Empfehlung. Oft wird daher auch von einer DMARC-Richtlinie gesprochen.
Der Ablauf
Wir gehen in diesem Szenario davon aus, dass SPF, DKIM und DMARC erfolgreich auf dem sendenden Mailserver bzw. im DNS der Absender-Domain eingerichtet / bekannt gemacht wurde.
Nimmt ein DMARC unterstützender Mailserver eine eMail entgegen, prüft dieser zuerst SPF und DKIM – wie in den beiden vorangegangenen Beiträgen erläutert. Anschließend prüft der Mailserver die DMARC-Richtlinie, welche im DNS der Absender-Domain gespeichert ist.
Je nach Inhalt wird die eingehende eMail zugestellt, entsprechend markiert oder ganz abgewiesen.
Inhalt und Aufbau
Der Inhalt des DMARC-Eintrages besteht aus (wenigstens) zwei aufeinander folgenden Abschnitten welche durch ein Leerzeichen voneinander getrennt und als TXT-Eintrag für eine (Sub-) Domain im DNS hinterlegt werden.
Zu Beginn steht immer die aktuelle DMARC Version (v=DMARC1), gefolgt von der Regel zum Umgang mit eingehenden Mails (p=none). Zusätzlich können weitere Parameter die Richtlinie genauer definieren.
| Parameter | Beschreibung |
|---|---|
ruf | Angabe der eMail-Adresse an welche der forensische Report gesendet werden soll. |
rua | Angabe der eMail-Adresse an welche der aggregierte Report gesendet werden soll. |
p | Regel zum Umgang mit eingehenden Mails der Domain. * none => Keine Vorgabe (Monitormodus)* quarantine => Markierung als SPAM erforderlich* reject => Ablehnung der eMail erforderlich |
sp | Regel zum Umgang mit eingehenden Mails der Sub-Domain. (Bei Nicht-Angabe wird der Wert von p übernommen.) |
adkim | Angabe wie streng die Auswertung von DKIM stattfinden soll. DMARC fordert immer das besehen der DKIM-Prüfung. Wenn adkim als „s“ (strict) festgelegt wird, muss der From-Header der eMail der Domain exakt entsprechen. Wird „r“ (relaxed) festgelegt, ist die DMARC-Richtlinie auch erfüllt, wenn der From-Header eine Subdomain beinhaltet. Wird adkim nicht angegeben, wird „r“ (relaxed) angenommen. |
aspf | Angabe wie streng die Auswertung von SPF stattfinden soll. DMARC fordert immer das besehen der SPF-Prüfung. Wenn aspf als „s“ (strict) festgelegt wird, muss der From-Header der eMail der Domain exakt entsprechen. Wird „r“ (relaxed) festgelegt, ist die DMARC-Richtlinie auch erfüllt, wenn der From-Header eine Subdomain beinhaltet. Wird aspf nicht angegeben, wird „r“ (relaxed) angenommen. |
Es gibt noch weitere optionale Tags, welche im allgemeinen kaum bis keine Verwendung finden, weshalb ich auf diese – mit Verweis auf oben verlinkten RFC – nicht näher eingehen werde.
Ähnlich des DKIM TXT-Eintrages wird auch beim DMARC-Eintrag ein spezieller Name vorausgesetzt. DMARC-Einträge müssen als _dmarc im DNS der Domain hinterlegt werden.
Beispiel
Als konkretes Beispiel schauen wir uns den DMARC-Eintrag von it-habich.de an:
- Es wird der Name
_dmarcverwendet - Version 1 der DMARC-Richtlinie wird genutzt
- Die Policy legt fest, dass eMails als SPAM markiert werden müssen, sollten diese die Prüfung nicht bestehen
- Der forensische und der aggregierte Report sollen beide an die hinterlegte eMailadresse gesendet werden
- Es kann nur ein DMARC-Eintrag je (Sub-) Domain hinterlegt werden.
- Ein DMARC-Eintrag ist nicht verpflichtend notwendig, jedoch empfohlen um eine Richtlinie zum Umgang mit den von Ihnen versendeten eMails zu veröffentlichen.
Empfehlung: Prüfen Sie ob Ihre Domain einen DMARC-Eintrag besitzt und legen Sie diesen bei Bedarf an. Setzen Sie die Policy während der Implementierung auf „none“ um zu prüfen ob SPF, DKIM und DMARC wie gewünscht arbeiten. Wechseln Sie anschließend auf „quarantine“.
Du wünschst Dir Beratung oder brauchst Unterstützung bei der Einrichtung für Deine Domain?
Ich helfe bei Prüfung, Fehlerbehebung, Erstellung und Aktualisierung Deines DMARC-Eintrages.
Unterstützung vom erfahrenen Partner – nur einen Anruf oder eine eMail entfernt!