Zum Hauptinhalt springen

10. Weitere Themen

Dieser Abschnitt behandelt verschiedene Themen im Zusammenhang mit DMARC-Bereitstellung und -Betrieb.

10.1. SPF-spezifische Probleme

SPF stellt einige Probleme dar, wenn es mit DMARC verwendet wird, über die Domain-Besitzer und Mail-Empfänger Bescheid wissen sollten:

  1. Nur SPF-Authentifizierung: Wenn ein Domain-Besitzer nur eine SPF-Richtlinie und keine DKIM-Richtlinie veröffentlicht, führt jede E-Mail-Weiterleitung (bei der sich die RFC5321.MailFrom-Domain ändert) zu Fehlern bei der Identifier Alignment.

  2. Mailinglisten: Viele Mailinglisten verwenden die Domain des ursprünglichen Autors im RFC5322.From-Feld, ändern aber die RFC5321.MailFrom-Domain in ihre eigene. Dies bricht die SPF Identifier Alignment.

  3. Weiterleitungen: Einfache Weiterleitung (bei der ein Benutzer E-Mails an eine andere Adresse weiterleitet) ändert nicht die RFC5321.MailFrom-Domain, kann aber SPF-Fehler verursachen, da die IP-Adresse des Weiterleitungsservers nicht im SPF-Eintrag der ursprünglichen Domain aufgeführt ist.

10.2. DNS-Last und Caching

DMARC-Implementierer sollten sich der folgenden DNS-bezogenen Überlegungen bewusst sein:

  1. Abfragevolumen: Mail-Empfänger fragen DNS nach DMARC-Einträgen für jede Nachricht ab, die einer DMARC-Bewertung unterzogen wird. Empfänger mit hohem Volumen sollten geeignete Caching-Strategien implementieren.

  2. Caching: DNS-Einträge für DMARC-Richtlinien sollten gemäß ihren TTL-Werten (Time To Live) zwischengespeichert werden. Domain-Besitzer sollten geeignete TTL-Werte festlegen:

    • Kurze TTLs (z.B. 300 Sekunden) während der Richtlinien-Einführung oder -Änderungen
    • Längere TTLs (z.B. 86400 Sekunden) für stabile Richtlinien

  3. Negatives Caching: Das Fehlen eines DMARC-Eintrags sollte ebenfalls gemäß der negativen Cache-TTL des SOA-Eintrags zwischengespeichert werden.

10.3. Ablehnung von Nachrichten

Wenn eine DMARC-Richtlinie angibt, dass eine Nachricht abgelehnt werden soll, sollten Mail-Empfänger Folgendes berücksichtigen:

  1. SMTP vs. Post-SMTP-Ablehnung:

    • SMTP-Ablehnung (während der SMTP-Transaktion) wird bevorzugt, da sie sofortiges Feedback an den sendenden MTA liefert und keine Bounce-Nachricht generiert werden muss.
    • Post-SMTP-Ablehnung (nach Annahme der Nachricht) sollte vermieden werden, da sie zu Backscatter führen kann.

  2. Ablehnungscodes: Bei Ablehnung während SMTP sollten geeignete 5xx SMTP-Antwortcodes verwendet werden. Eine geeignete Nachricht könnte sein:

    550 5.7.1 Message rejected per DMARC policy for example.com

  3. Benutzerbenachrichtigung: Erwägen Sie, ob legitime Benutzer benachrichtigt werden sollen, wenn ihre Nachrichten aufgrund von DMARC-Fehlern abgelehnt werden.

10.4. Überlegungen zur Identifier Alignment

Mehrere Überlegungen gelten für die Identifier Alignment:

  1. Subdomain-Alignment: Im Relaxed-Modus werden Subdomains als aligned betrachtet. Domain-Besitzer sollten sich bewusst sein, dass dies bedeutet, dass E-Mails von jeder Subdomain als aligned gelten, wenn SPF oder DKIM für die Organisational Domain erfolgreich ist.

  2. Drittanbieter-Sender: Bei Verwendung von E-Mail-Diensten Dritter müssen Domain-Besitzer sicherstellen:

    • Der Drittanbieter kann DKIM-signierte Nachrichten mit der Domain des Domain-Besitzers im "d="-Tag senden, ODER
    • Die sendenden IP-Adressen des Drittanbieters sind im SPF-Eintrag des Domain-Besitzers enthalten und die RFC5321.MailFrom-Domain kann so eingestellt werden, dass sie aligned ist

  3. Mehrere Sendequellen: Domain-Besitzer mit mehreren Sendequellen (interne Mailserver, E-Mail-Marketing-Dienste, CRM-Systeme usw.) müssen sicherstellen, dass alle Quellen aligned Nachrichten erzeugen können.

10.5. Interoperabilitätsprobleme

Die DMARC-Bereitstellung kann Interoperabilitätsprobleme mit bestimmten E-Mail-Praktiken verursachen:

  1. Mailinglisten:

    • Problem: Listen modifizieren oft Nachrichten (Hinzufügen von Fußzeilen, Betreff-Tags usw.), was DKIM-Signaturen bricht
    • Lösungen:
      • Listen können Nachrichten mit ihrer eigenen DKIM-Signatur neu signieren
      • Listen können die RFC5322.From-Adresse umschreiben (aber dies ändert den scheinbaren Absender)
      • Domain-Besitzer können eine lockerere Richtlinie für Domains verwenden, die auf Mailinglisten verwendet werden

  2. Weiterleitung:

    • Problem: Weiterleitung bricht SPF (IP des Weiterleitungsservers nicht autorisiert)
    • Lösungen:
      • Auf DKIM verlassen (das Weiterleitung überlebt, wenn Inhalt unverändert ist)
      • Weiterleitungen können SRS (Sender Rewriting Scheme) implementieren

  3. Indirekte E-Mail-Flüsse: Jeder E-Mail-Fluss, bei dem Nachrichten modifiziert oder über Zwischenstationen weitergeleitet werden, kann DMARC-Probleme haben. Siehe [DMARC-INDIRECT] für eine ausführliche Diskussion.

  4. Benachrichtigungsnachrichten: Automatisierte Benachrichtigungssysteme sollten so konfiguriert werden, dass sie aligned Identifier verwenden, oder müssen möglicherweise eine "p=none"-Richtlinien-Domain verwenden.

Letztes Update am