DMARC

Domain-based Message Authentication, Reporting and Conformance (DMARC) ist eine Spezifikation, die entwickelt wurde, um den Missbrauch von E-Mails zu reduzieren, wie er etwa bei Mail-Spoofing vorkommt. DMARC versucht einige seit langem bestehende Unzulänglichkeiten im Zusammenhang mit der Authentifizierung von E-Mails zu beheben und wurde bei der IETF zur Standardisierung eingereicht.^[1]

Überblick

DMARC baut auf den Techniken Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM) auf, indem es für eine Absender-Domain festlegt, wie der Empfänger die Authentifizierung von E-Mails durchführen soll und wie im Falle eines Fehlers zu verfahren ist. Während die vorgenannten Techniken beschreiben, wer eine Mail versenden darf (SPF) bzw. sicherstellen, dass diese Mail in bestimmter Weise unverändert vom Absender stammt (DKIM), kann der Absender nach der DMARC-Spezifikation zusätzlich Empfehlungen geben, auf welche Art der Empfänger mit einer Mail umgeht, die in einem oder beiden Fällen nicht den Anforderungen entspricht. Sofern der Empfänger einer E-Mail die DMARC-Spezifikation anwendet, ist dadurch eine konsistente Überprüfung der Authentizität dieser E-Mail gesichert.

Die DMARC-Richtlinie für eine Absender-Domain kann der Empfänger einem Eintrag im Domain Name System (DNS) entnehmen.

Die DMARC-Spezifikation entstand unter anderem auf Initiative von Google, Yahoo, Microsoft, Facebook, AOL, PayPal und LinkedIn.^[2]^[3]

Aufbau einer DMARC-Richtlinie

DMARC verwendet, so wie auch SPF und DKIM, TXT-Records im DNS. Für eine Absender-Domain wird auf der Subdomain _dmarc ein Resource Record angelegt, der die DMARC-Richtlinie für diese Absender-Domain enthält. Folgend ist ein Beispiel dargestellt, wie DMARC im TXT-Record von _dmarc.example.org konfiguriert sein könnte:

v=DMARC1;p=quarantine;pct=100;rua=mailto:postmaster@example.org;ruf=mailto:forensik@example.org;adkim=s;aspf=r

Abkürzung	Bedeutung
v	Protokollversion
pct	Prozentualer Anteil der zu filternden Mails
ruf	Forensischer Report wird versandt an:
rua	Aggregierter Report wird versandt an:
p	Anweisung, wie mit Mails der Hauptdomäne zu verfahren ist.
sp	Anweisung, wie mit Mails der Subdomäne zu verfahren ist.
adkim	Abgleichmodus für DKIM
aspf	Abgleichmodus für SPF

Besondere Bedeutung haben die Abgleichmodi: Für SPF fordert die DMARC-Spezifikation, dass erstens die Überprüfung positiv ausfällt und zweitens die From Kopfzeile der Mail dieselbe Domäne aufweist, wie im SPF-Record hinterlegt. Für DKIM wird gefordert, dass die Signatur gültig ist und zusätzlich die dort genannte Domäne dieselbe ist, wie in der From Kopfzeile der Mail. Als Abgleichmodi sind s für 'strict' bzw. r für 'relaxed' vorgesehen. Bei 'strict' müssen die Domänen exakt übereinstimmen, bei 'relaxed' darf die From Kopfzeile auch eine Subdomäne enthalten. Über die Auswertung erhält der Sender einen täglichen Report an die genannte Adresse.

Die Policy (hier abgekürzt als 'p' bzw. 'sp' für Subdomains) legt schließlich fest, wie der Empfänger mit der Mail verfahren soll, wenn die Überprüfung scheitert. Vorgesehene Modi hierfür sind 'none', 'quarantine' und 'reject'. 'none' (auch als Monitormodus bezeichnet) wird in der Regel zum Testen verwendet und macht dem Empfänger keine Vorschriften über die Verfahrensweise. 'quarantine' verlangt die Kennzeichnung der Mails als Spam, 'reject' verlangt, die Mail zu verwerfen.

Kritik

DMARC überprüft den From-Header der E-Mails und stellt an diesen strenge Anforderungen (sog. „alignment“). Im Zusammenhang mit E-Mail-Weiterleitungen und Mailinglisten ist dies problematisch, da DMARC verlangt, dass die Absenderangabe im From-Header der E-Mail durch die Adresse der Mailingliste oder die eigene Adresse ersetzt wird.^[4] Beispiel:

From: Nutzer <user@example.org>
Subject: ...
To: wikide-l@lists.wikimedia.org

muss entsprechend DMARC durch die Mailinglistensoftware folgendermaßen abgeändert werden:

From: Nutzer via wikide-l <wikide-l@lists.wikimedia.org>
Subject: ...
To: wikide-l@lists.wikimedia.org

Die E-Mail-Adresse des wirklichen Absenders wird bei dieser Ersetzung komplett entfernt, so dass es nicht mehr möglich ist, den tatsächlichen Absender zu ermitteln oder mit dem Absender direkt in Kontakt zu treten. Eine Option besteht darin, dass die Mailingliste den ursprünglichen Absender in alternativen Kopfdaten wie den Reply-To-Header einfügt, was aber ebenfalls zu Problemen führen kann. Eine Lösung für dieses Problem existiert nicht.

DMARC fordert Änderungen an jeder Mailinglisten- und Weiterleitungssoftware. Das Konzept von DMARC hat dementsprechend auch zu Problemen bei Mailinglisten geführt.^[5]

Normen und Standards

RFC 7489 – Domain-based Message Authentication, Reporting, and Conformance (DMARC), 2015

Weblinks

dmarc.org – Offizielle Website
dmarc.org/... – Überblick (PDF; 650 kB) (englisch)
datatracker.ietf.org/... – Geschichte Spezifikationserstellungsprozess (englisch)

Quellen

https://de.wikipedia.org/wiki/DMARC

[1] Draft Stand: 15. Juli 2013 im IETF Datatracker

[2] Golem-Artikel vom 30. Januar 2012

[3] Focus-Artikel vom 30. Januar 2012

[4] Nachrichten DMARC-konform mit Mailman verteilen

[5] Heise Newsletter: DMARC-Policy: Yahoo killt Mailinglisten-Mitgliedschaften

[1]

[2]

[3]

[4]

[5]