3 – DMarC-Abstimmung

dmarc-Logo


DMARC (Domain-based Message Authentication, Reporting and Conformance),
ist ein Standard zur E-Mail-Authentifizierung, der entwickelt wurde, um gefälschte E-Mails mit gefälschten Domänen zu bekämpfen.

Im Kapitel „3.1. Identifikatorabgleich“ heißt es:

   E-Mail-Authentifizierungstechnologien authentifizieren verschiedene (und
  unterschiedliche) Aspekte einer einzelnen Nachricht.  Beispielsweise authentifiziert [DKIM]
  die Domäne, die die Nachricht signiert hat,
  während [SPF] entweder die Domäne authentifizieren kann, die im
  RFC5321.MailFrom-Teil (MAIL FROM) von [SMTP] oder im RFC5321.EHLO/
   HELO-Domäne oder beides.  Dies können unterschiedliche Domänen sein, und sie sind
   für den Endbenutzer in der Regel nicht sichtbar.

   DMARC authentifiziert die Verwendung der RFC5322.From-Domäne, indem es verlangt, dass
   diese mit einem authentifizierten Identifikator übereinstimmt (abgestimmt ist).
   
   -- https://tools.ietf.org/html/rfc7489#section-3.1

Das bedeutet ganz einfach:

   Wenn ein Absender seine E-Mail mittels SPF und/oder DKIM authentifiziert,  
   muss mindestens eine der Domains mit der Absender-Domain übereinstimmen

Dieser Ansatz ist weithin anerkannt und gilt allgemein
als bewährte Methode zur Identifizierung vertrauenswürdiger Absenderdomänen.


**RealSender MX Protect überprüft die DMARC-Standard-Einstellung „relaxed“:**

  • Bei der SPF-Authentifizierung
    muss die Stammdomain der „Mail From“-Adresse mit der Stammdomain der „From“-Adresse übereinstimmen.
    Bei der gelockerten Übereinstimmung kann jede beliebige Subdomain verwendet werden, ohne dass die Anforderung an die Domain-Übereinstimmung verletzt wird.

  • Für die DKIM-Authentifizierung
    muss die Stammdomain der DKIM-Signaturdomain mit der Absenderdomain übereinstimmen.
    Bei einer gelockerten Übereinstimmung kann jede beliebige Subdomain verwendet werden, ohne dass die Anforderung an die Domain-Übereinstimmung verletzt wird.


**Mögliche Ergebnisse:**

  1. Beide Regeln werden eingehalten:
    Die Absenderdomain ist vollständig vertrauenswürdig:
    Die Nachricht kommt unverändert an

  2. Wenn nur eine der beiden Regeln erfüllt ist
    wird das Tilde-Zeichen (~) an den Betreff angehängt,
    wird eine der folgenden Erläuterungen in den Kopf der Nachricht eingefügt

~ ... Betreff ...
X-RealSender: ~ | spf=bestanden (Domäne NICHT abgeglichen) | dkim=bestanden | ~
~ ... Betreff ...
X-RealSender: ~ | spf=pass | dkim=pass (Domäne NICHT abgeglichen) | ~
  1. überhaupt keine Ausrichtung
    die Warnungen „:: spf-diff ::“ und „:: dkim-diff ::“
    werden im Betreff angezeigt

Erzähl mir mehr