DMARC

Domain-based Message Authentication, Reporting and Conformance

Der DMARC Eintrag erweitert die Konfiguration von SPF/DKIM damit sie ihr maximales Schutzpotenzial erreichen.
Der entscheidende Vorteil von DMARC besteht darin, dass er Domain Spoofing Angriffe verhindert und somit sicherstellt, dass der sichtbare Absender (RFC5322.From) die E-Mail genehmigt hat.

Die 3 Aufgaben von DMARC

Authentication

Authentifizierung

Es wird sichergestellt das es sich um ein echtes E-Mail handelt

Conformance

Konformität

Klare Regel wie mit E-Mails umgegangen wird, die den Anforderungen nicht entsprechen

Reporting

Berichterstellung

Regelmäßige Berichte über den Zustellstatus Ihrer E-Mails

Was ist ein DMARC Eintrag?

Es handelt sich um einen TXT-Eintrag im DNS-System, der unter der Subdomain _dmarc veröffentlicht wird. Durch diesen Eintrag können Sie festlegen, wie mit fehlerhaften E-Mails umgegangen werden soll. Außerdem können Sie eine E-Mail-Adresse angeben, an die regelmäßig Berichte über das E-Mail-Aufkommen gesendet werden sollen.

Hier sind drei Beispielkonfigurationen für einen DMARC-Eintrag

Nicht vertrauenswürdige E-Mails ablehnen

TXT

_dmarc.example.com

v=DMARC1; p=reject;

Dieser Eintrag definiert das der Empfangende Mailserver nicht vertrauenswürdige E-Mails ablehnt.
Das Bedeutet, der Absender bekommt direkt die Rückmeldung, dass die E-Mail nicht zugestellt wurde.

Nicht vertrauenswürdige E-Mails in den Spam Ordner zustellen

TXT

_dmarc.example.com

v=DMARC1; p=quarantine;

Dieser Eintrag definiert das der Empfangende Mailserver nicht vertrauenswürdige E-Mails in den Spam Ordner zustellt.
Das bedeutet, dass der Absender keine Antwort erhält, wenn die E-Mail in den Spam-Ordner verschoben wurde.

Nicht vertrauenswürdige E-Mails ablehnen mit Reporting

TXT

_dmarc.example.com

v=DMARC1; p=reject; rua=mailto:dmarc-report@meinedomain.com;

Dieser Eintrag definiert das der Empfangende Mailserver nicht vertrauenswürdige E-Mails ablehnt.
Das Bedeutet, der Absender bekommt direkt die Rückmeldung dass die E-Mail nicht zugestellt wurde.
Zusätzlich wird einmal täglich vom Empfangenden Mailserver ein Report an die definierte E-Mail-Adresse gesendet.

Welche Konfigurationsparameter sind für DMARC verfügbar?

Tags	Beschreibung	Erforderlich
v=	Version des DMARC-Datensatzes, Standardwert ist "DMARC1"	Ja
p=	Richtlinie für die Domain, mögliche Werte sind "none", "quarantine" oder "reject" none = Nur Reporting quarantine = fehlerhafte E-Mail in den Spam Ordner zustellen reject = fehlerhafte E-Mail nicht zustellen	Ja
sp=	Richtlinie für alle Subdomains der Domain, mögliche Werte sind "none", "quarantine" oder "reject" none = Nur Reporting quarantine = fehlerhafte E-Mail in den Spam Ordner zustellen reject = fehlerhafte E-Mail nicht zustellen	Nein
rua=	E-Mail Adressen an die aggregierte Berichte gesendet werden	Nein
ruf=	E-Mail Adressen an die detailierte Fehlerinformationen gesendet werden	Nein
rf=	Format, das für detailierte Fehlerberichte verwendet wird, Standardwert ist "afrf"	Nein
ri=	Gewünschtes Intervall zwischen den aggregierten Berichten in Sekunden, Standardwert ist "86400" = 1x täglich	Nein
pct=	Prozentualer Anteil der Nachrichten, auf die die DMARC-Richtlinie angewendet werden soll. Standardwert ist "100"	Nein
fo=	Optionen für detailierte Fehlerberichte, Standardwert ist "0"	Nein
aspf=	SPF Richtlinieneinstellungen, Standardwert ist "r" r = relaxed mode s = strict mode	Nein
adkim=	DKIM Richtlinieneinstellungen, Standardwert ist "r" r = relaxed mode s = strict mode	Nein

Was benötige ich, um DMARC korrekt einzurichten?

Im Idealfall sind SPF und DKIM bereits implementiert. Es ist jedoch auch möglich, DMARC mit nur einer der beiden Schutztechniken zu nutzen. Es ist nicht zwingend erforderlich, dass beide Schutztechniken aktiviert sind. Die DMARC-Überprüfung eines E-Mails ist erfolgreich, wenn eine der beiden Überprüfungen erfolgreich ist.

Wie konfiguriere ich DMARC für Subdomains?

Der Primäre DMARC Eintrag kann einen Konfigurationsabschnitt für Subdomains sp= enthalten, ist dieser nicht definiert wird die Domain Richtlinie p= verwendet. Es kann auch eine eigene DMARC Richtlinie für eine Subdomain bereitgestellt werden.

Im RFC 7489 - Domain-based Message Authentication, Reporting, and Conformance (DMARC) wird das vorgehen für Subdomains wie folgt beschrieben. RFC 7489

Ablauf zum finden des richtigen DMARC Eintrages (6.6.3. Policy Discovery)

Extrahieren der Domain aus dem RFC5322.From, in unserem Beispiel newsletter.example.com
Abrufen der TXT-Einträge von der Domain _dmarc.newsletter.example.com
Überprüfen ob ein Eintrag existiert der mit v=DMARC1 existiert
Falls unter der Subdomain kein richtiger Eintrag existiert wird im nächsten Schritt die Organizational Domain (3.2) abgefragt. Hierbei handelt es sich um die Primäre Domain die mit Hilfe der public suffix list ermittelt wird.
In unserem Beispiel würden nun die TXT-Einträge von _dmarc.example.com abgerufen

Reporting

Wie kann ich die DMARC Reports auswerten?

Sobald du einen DMARC Eintrag für deine Domain mit einer Reporting E-Mail Adresse veröffentlichst, erhälst du einmal täglich pro ESP (oder auch Empfänger Domain) eine Auswertung per E-Mail. Diese Reports manuell zu analysieren, ist jedoch wenig praktikabel. Daher ist es sinnvoll, ein Reporting-Tool zu verwenden.

Muss ich eine Reporting E-Mail Adresse in meinem DMARC Eintrag veröffentlichen?

Das Reporting für DMARC ist nicht zwingend erforderlich, sondern optional. Jedoch wird empfohlen, es zu aktivieren, da es für IT-Abteilungen ein nützliches Hilfsmittel ist.

Welche DMARC Tools gibt es?

Nachfolgend finden Sie eine unvollständige Liste von Anbietern:

mailtower.app

Company Location: Austria

mailhardener.com

Company Location: Netherlands

uriports.com

Company Location: Netherlands

dmarcian.com

Company Location: United States of America

easydmarc.com

Company Location: United States of America