Zum Hauptinhalt springen

1. Introduction (Einführung)

Das Sender Policy Framework ([SPF]) und DomainKeys Identified Mail ([DKIM]) bieten Authentifizierung auf Domain-Ebene. Sie ermöglichen es kooperierenden E-Mail-Empfängern, E-Mails zu erkennen, die zur Verwendung des Domain-Namens autorisiert sind, was eine differenzierte Behandlung ermöglichen kann. (Eine detaillierte Diskussion der Bedrohungen, die diese Systeme zu adressieren versuchen, findet sich in [DKIM-THREATS].) Es gab jedoch keinen einzigen weithin akzeptierten oder öffentlich verfügbaren Mechanismus zur Kommunikation von domainspezifischen Nachrichtenbehandlungsrichtlinien für Empfänger oder zur Anforderung von Berichten über die Authentifizierung und Disposition empfangener E-Mails. Ohne die Möglichkeit, Feedback-Berichte zu erhalten, haben Absender, die E-Mail-Authentifizierung implementiert haben, Schwierigkeiten festzustellen, wie effektiv ihre Authentifizierung ist. Infolgedessen ist die Verwendung von Authentifizierungsfehlern zum Filtern von E-Mails in der Regel nicht erfolgreich.

Im Laufe der Zeit wurden Eins-zu-Eins-Beziehungen zwischen ausgewählten Absendern und Empfängern mit privat kommunizierten Mitteln zur Durchsetzung von Richtlinien und zum Empfang von Nachrichtenverkehr und Authentifizierungsdispositionsberichten eingerichtet. Obwohl diese Ad-hoc-Praktiken im Allgemeinen erfolgreich waren, erfordern sie eine erhebliche manuelle Koordination zwischen den Parteien, und dieses Modell skaliert nicht für die allgemeine Verwendung im Internet.

Dieses Dokument definiert die domainbasierte Nachrichtenauthentifizierung, Berichterstattung und Konformität (Domain-based Message Authentication, Reporting, and Conformance, DMARC), einen Mechanismus, durch den E-Mail-Betreiber bestehende Authentifizierungs- und Richtlinienankündigungstechnologien nutzen, um sowohl Nachrichtenstrom-Feedback als auch die Durchsetzung von Richtlinien gegen nicht authentifizierte E-Mails zu ermöglichen.

DMARC ermöglicht es Domain-Inhabern (Domain Owner) und Empfängern, zusammenzuarbeiten, indem:

  1. Den Empfängern Aussagen über die Richtlinien der Domain-Inhaber bereitgestellt werden

  2. Den Absendern Feedback bereitgestellt wird, damit sie die Authentifizierung überwachen und Bedrohungen beurteilen können

Der grundlegende Ablauf von DMARC ist wie folgt:

  1. Domain-Inhaber veröffentlichen Richtlinienaussagen über Domains über das DNS.

  2. Empfänger vergleichen die RFC5322.From-Adresse in der E-Mail mit den SPF- und DKIM-Ergebnissen, falls vorhanden, und der DMARC-Richtlinie im DNS.

  3. Diese Empfänger können diese Ergebnisse verwenden, um zu bestimmen, wie die E-Mail behandelt werden soll.

  4. Der Empfänger sendet Berichte an den Domain-Inhaber oder seinen Beauftragten über E-Mails, die vorgeben, von ihrer Domain zu stammen.

Die in diesem Dokument verwendeten Sicherheitsbegriffe sind in [SEC-TERMS] definiert.

Letztes Update am