DKIM-Domäne für DMARC

Wie wirkt sich die DKIM-Domänenabgleichung auf die DMARC-Authentifizierung aus?

DMARC (Domain-based Message Authentication, Reporting and Conformance),
ist ein Standard zur E-Mail-Authentifizierung, der entwickelt wurde, um gefälschte E-Mails mit gefälschten Domänen zu bekämpfen.

Im Kapitel „3.1. Identifikatorabgleich“ heißt es:

   E-Mail-Authentifizierungstechnologien authentifizieren verschiedene (und
  unterschiedliche) Aspekte einer einzelnen Nachricht.  Beispielsweise authentifiziert [DKIM]
  die Domäne, die die Nachricht signiert hat,
  während [SPF] entweder die Domäne authentifizieren kann, die im
  RFC5321.MailFrom-Teil (Mail-From) von [SMTP] oder im RFC5321.EHLO/
   HELO-Domäne oder beides.  Dies können unterschiedliche Domänen sein, und sie sind
   für den Endbenutzer in der Regel nicht sichtbar.

   DMARC authentifiziert die Verwendung der RFC5322.From-Domäne, indem es verlangt, dass
   diese mit einem authentifizierten Identifikator übereinstimmt (abgestimmt ist).
   
   -- https://tools.ietf.org/html/rfc7489#section-3.1

Das bedeutet ganz einfach:

   Wenn ein Absender seine E-Mail mittels SPF und/oder DKIM authentifiziert,  
   muss mindestens eine der Domains mit der Absender-Domain übereinstimmen

Uns war nicht klar, ob eine Nachricht die SPF- oder DKIM-Prüfung
nicht bestehen und dennoch die DMARC-Authentifizierung bestehen könnte.

Wir haben es mit einem Tool getestet, das jedem zur Verfügung steht: einem Gmail-Postfach.
Um das Ergebnis zu sehen, öffnen Sie die Nachricht und wählen Sie „Original anzeigen“:

Test 1 – weitergeleitete Nachricht: SPF-Fehler, DKIM-Bestätigung (abgestimmt)
SPF-Fehler, DMARC-Bestanden

Test 2 – fehlerhafter DKIM-Schlüssel: DKIM-Fehler, SPF-Bestätigung (abgestimmt)
DKIM-Fehler, DMARC-Bestätigung

The result is evident, the message passes DMARC authentication if it occurs:
SPF and domain alignment <OR> DKIM and domain alignment

Um die DMARC-Prüfung zu bestehen, ist es daher in manchen Fällen wichtig, die DKIM-Signatur zu validieren:
Die signierende Domain (d=example.com) muss mit der „From“-Domain übereinstimmen.

Beispiele für „DMARC-PASS“-Ergebnisse, die andernfalls nicht funktioniert hätten:

Fall 1 – Durch die Weiterleitung wird die SPF-Authentifizierung unterbrochen

  • SPF-FEHLER: SPF-Authentifizierungsprüfungen schlagen meist fehl,
    da eine neue Entität, die nicht im SPF-Eintrag des ursprünglichen Absenders aufgeführt ist, die weitergeleitete E-Mail versendet

  • DKIM-PASS (angepasst): Die Weiterleitung von E-Mails hat keinen Einfluss auf die DKIM-Signatur

Ergebnis: Dank der DKIM-Übereinstimmung besteht die Nachricht die DMARC-Prüfung.

Fall 2 – Die vom ESP (E-Mail-Dienstanbieter) bereitgestellte SPF-Domäne
kann NICHT mit der Absender-Domäne abgeglichen werden

  • SPF~PASS (nicht abgeglichen): Die SPF-Authentifizierung schlägt beim Abgleich der Domänen fehl,
    da die von ESP in der „Mail-From“-Adresse verwendete Domäne von der im „From“-Feld angegebenen abweicht

  • DKIM-PASS (abgestimmt): Die DKIM-Signatur verwendet dieselbe Domain wie der Absender

Ergebnis: Dank der DKIM-Übereinstimmung besteht die Nachricht die DMARC-Prüfung.