DMARC

DMARC baut auf den bekannten Techniken SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail) auf, indem es festlegt, wie der Empfänger von E-Mails die Authentifizierung durchführt. Während die vorgenannten Techniken beschreiben, wer eine Mail versenden darf (SPF) bzw. dass diese Mail in bestimmter Weise unverändert vom Absender stammt (DKIM), kann der Absender nach der DMARC-Spezifikation zusätzlich festlegen, auf welche Art der Empfänger mit einer Mail umgeht, die in einem oder beiden Fällen nicht den Anforderungen entspricht. Sofern der Empfänger einer E-Mail die DMARC-Spezifikation anwendet, ist dadurch eine konsistente Überprüfung der Authentizität dieser E-Mail gesichert.
Quelle:Wikipedia

Als Domaininhaber bekommt man mit einer passenden Verarbeitung ein Feedback, wie stark die Domäne von unberechtigten Personen genutzt wird. DMARC macht also den Missbrauch bekannt. Laut DMARC selbst, sind das zumindest in den USA schon einige Postfächer:

As of early 2013 DMARC had been deployed to protect roughly 2 billion email accounts – over 60% of consumer mailboxes globally, and over 80% of consumer mailboxes in the united States.
During the first 45 days of initial monitoring, Twitter saw nearly 2.5 billion messages spoofing its domains.
Twitter reports ~110 million messages/day were spoofing its domains prior to deploying DMARC, redUCEd to only 1,000/day after publishing a “reject” policy.
Quelle: http://www.dmarc.org/

DMARC ist nur die Einstellung, dass die Empfänger mit DMARC-Support die Zahlen an die Domaininhaber melden.

Der Eintrag

_dmarc.tj-braun.de TXT ="
v=DMARC1;
p=none;
pct=100;
rua=mailto:EMPFAENGERADRESSE;
ruf=mailto:EMPFAENGERADRESSE;
adkim=s;
aspf=r
"

v=DMARC1 Version
p=
sp=
Policy oder “Subdomain Policy”
Wie soll der Empfänger mit Mails umgehen, die nicht korrekt mit SPF oder DKIM überprüft werden konnten?

  • none
    Der Empfänger soll die Mail trotzdem weiter senden
  • quarantine
    Der Empfänger soll die Mail annehmen aber in Quarantäne legen
  • reject
    Der Empfänger soll die Mail einfach auf SMTP-Level ablehnen
pct= Prozentsatz der Mails, die entsprechend von “p” gefiltert werden sollen.
rua Receive or aggregated Report
Der Empfänger sendet an diese Adresse einen “Summenbericht”
ruf receiver of forensic report
An diese Mailadresse sendet der Empfänger einen forensischen Report über die fehlerhafte Mail
adkim Abgleicheinstellung für DKIM
Wie streng soll die Prüfung bezüglich DKIM sein?

  • s=Strict
    Die Domänen müssen exakt übereinstimmen
  • r=Relaxed
    Die Kopfzeile im SMTP-Header darf auch eine Subdomain sein, z.B. “newsletter@msxfaq.de”
aspf Analog zu DKIM die SPF-Auswertung

  • s=Strict
    Die Domänen müssen exakt übereinstimmen
  • r=Relaxed
    Die Kopfzeile im SMTP-Header darf auch eine Subdomain sein

Beispiel

nslookup -q=TXT _dmarc.tj-braun.de

Nicht autorisierende Antwort:
_dmarc.tj-braun.de text = “v=DMARC1;p=none;pct=100;rua=mailto:XY;ruf=mailto:XY;adkim=s;aspf=r”

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s