DMARC

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

Domain-based Message Authentication, Reporting and Conformance, kurz DMARC, ist eine Spezifikation, die entwickelt wurde, um Missbrauch von E-Mails zu reduzieren. Sie versucht, einige seit langem bestehende Unzulänglichkeiten im Zusammenhang mit Authentifizierungsproblemen beim E-Mail-Versand zu beheben. Sie wurde bei der IETF zur Standardisierung eingereicht.[1]

Überblick[Bearbeiten]

DMARC baut auf den bekannten Techniken SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail) auf, indem es festlegt, wie der Empfänger von E-Mails die Authentifizierung durchführt. Während die vorgenannten Techniken beschreiben, wer eine Mail versenden darf (SPF) bzw. dass diese Mail in bestimmter Weise unverändert vom Absender stammt (DKIM), kann der Absender nach der DMARC-Spezifikation zusätzlich festlegen, auf welche Art der Empfänger mit einer Mail umgeht, die in einem oder beiden Fällen nicht den Anforderungen entspricht. Sofern der Empfänger einer E-Mail die DMARC-Spezifikation anwendet, ist dadurch eine konsistente Überprüfung der Authentizität dieser E-Mail gesichert.

Aufbau eines Eintrags[Bearbeiten]

DMARC bedient sich hierzu, wie auch SPF und DKIM, der TXT-Records des Domain Name Systems (DNS). Dort wird zusätzlich zu den SPF- und DKIM-Einträgen ein weiterer RR-Eintrag mit zum Beispiel folgendem Aufbau angelegt:

v=DMARC1;p=quarantine;pct=100;rua=mailto:postmaster@beispiel.de;ruf=mailto:forensik@beispiel.de;adkim=s;aspf=r
Abkürzung Bedeutung
v Protokollversion
pct Prozentualer Anteil der zu filternden Mails
ruf Forensischer Report wird versandt an:
rua Aggregierter Report wird versandt an:
p Wie wird mit Mails der Hauptdomäne verfahren?
sp Wie wird mit Mails der Subdomäne verfahren?
adkim Abgleichmodus für DKIM
aspf Abgleichmodus für SPF

Besondere Bedeutung haben die Abgleichmodi. Für SPF fordert die Spezifikation, dass erstens die Überprüfung positiv ausfällt und zweitens die From: Kopfzeile der Mail dieselbe Domäne aufweist, wie im SPF-Record hinterlegt. Für DKIM wird gefordert, dass die Signatur gültig ist und zusätzlich die dort genannte Domäne dieselbe ist, wie in der From: Kopfzeile der Mail. Als Abgleichmodi sind s='strict' bzw. r='relaxed' vorgesehen. Bei 'strict' müssen die Domänen exakt übereinstimmen, bei 'relaxed' darf die From: Kopfzeile auch eine Subdomäne enthalten. Über die Auswertung erhält der Sender einen täglichen Report an die genannte Adresse.

Die Policy (hier abgekürzt als 'p' bzw. 'sp' für Subdomains) legt schließlich fest, wie der Empfänger mit der Mail verfahren soll, wenn die Überprüfung scheitert. Vorgesehene Modi hierfür sind 'none', 'quarantine' und 'reject'. 'none' (auch als Monitormodus bezeichnet) wird in der Regel zum Testen verwendet und macht dem Empfänger keine Vorschriften über die Verfahrensweise. 'quarantine' verlangt die Kennzeichnung der Mails als Spam, 'reject' verlangt, die Mail zu verwerfen.

Die DMARC-Spezifikation entstand unter Anderem auf Initiative von Google, Yahoo, Microsoft, Facebook, AOL, PayPal und LinkedIn.[2][3]

Kritik[Bearbeiten]

DMARC überprüft den From:-Header der E-Mails und stellt an diesen strenge Anforderungen (sog. „alignment“). Im Zusammenhang mit E-Mail-Weiterleitungen und Mailinglisten ist dies extrem problematisch, da DMARC verlangt, dass sämtliche Mailinglistensoftware (und E-Mail-Weiterleitungen) den From:-Header von E-Mails verändert, und die dort angegebene E-Mail-Adresse des Absenders durch die E-Mail-Adresse der Mailingliste bzw. die eigene E-Mail-Adresse ersetzt.[4] Beispiel:

From: Nutzer <user@example.org>
Subject: ...
To: wikide-l@lists.wikimedia.org

müsste durch die Mailinglistensoftware folgendermaßen abgeändert werden:

From: Nutzer via wikide-l <wikide-l@lists.wikimedia.org>
Subject: ...
To: wikide-l@lists.wikimedia.org

Die E-Mailadresse des wirklichen Absenders würde hierdurch komplett entfernt, so dass es nicht mehr möglich ist, mit dem Absender direkt in Kontakt zu treten (es sei denn, die Mailingliste fügt einen entsprechenden Reply-To-Header hinzu, was aber ebenfalls zu Problemen führt).

DMARC fordert Änderungen an sämtlicher Mailinglisten- und Weiterleitungssoftware. Dieses prinzipielle Problem im Konzept von DMARC hat dementsprechend auch schon zu schwerwiegenden Problemen bei Mailinglisten geführt („Yahoos DMARC-Policy führt also derzeit dazu, das Yahoo-Sender den massenhaften Unsubscribe von Mailinglisten-Abonnenten fremder Domains verursachen.“[5]).

Einzelnachweise[Bearbeiten]

  1. Draft Stand: 15. Juli 2013 im IETF Datatracker
  2. Golem-Artikel vom 30. Januar 2012
  3. Focus-Artikel vom 30. Januar 2012
  4. Nachrichten DMARC-konform mit Mailman verteilen
  5. Heise Newsletter: DMARC-Policy: Yahoo killt Mailinglisten-Mitgliedschaften

Weblinks[Bearbeiten]