Zum Hauptinhalt springen

4. Overview (Übersicht)

Dieser Abschnitt bietet einen allgemeinen Überblick über das Design und den Betrieb der DMARC-Umgebung.

4.1. Authentication Mechanisms (Authentifizierungsmechanismen)

Die folgenden Mechanismen zur Bestimmung authentifizierter Identifikatoren werden in dieser Version von DMARC unterstützt:

  • [DKIM]: das einen Identifikator auf Domain-Ebene im Inhalt des „d="-Tags eines validierten DKIM-Signature-Header-Felds bereitstellt.

  • [SPF]: das sowohl die in einem [SMTP] HELO/EHLO-Befehl gefundene Domain (die HELO-Identität) als auch die in einem SMTP MAIL-Befehl gefundene Domain (die MAIL FROM-Identität) authentifizieren kann. DMARC verwendet das Ergebnis der SPF-Authentifizierung der MAIL FROM-Identität. Abschnitt 2.4 von [SPF] beschreibt die MAIL FROM-Verarbeitung für Fälle, in denen der MAIL-Befehl einen Nullpfad hat.

4.2. Key Concepts (Schlüsselkonzepte)

DMARC-Richtlinien werden vom Domain-Inhaber veröffentlicht und vom Mail-Empfänger während der SMTP-Sitzung über das DNS abgerufen.

Die Filterfunktion von DMARC basiert darauf, ob die Domain des RFC5322.From-Felds mit einem authentifizierten Domainnamen von SPF oder DKIM ausgerichtet ist (übereinstimmt). Wenn eine DMARC-Richtlinie für den im RFC5322.From-Feld gefundenen Domainnamen veröffentlicht wird und dieser Domainname nicht durch SPF oder DKIM validiert wird, kann die Disposition dieser Nachricht von dieser DMARC-Richtlinie beeinflusst werden, wenn sie an einen teilnehmenden Empfänger zugestellt wird.

Es ist wichtig zu beachten, dass die von DMARC eingesetzten Authentifizierungsmechanismen nur eine DNS-Domain authentifizieren und nicht den lokalen Teil eines in einer Nachricht gefundenen E-Mail-Adress-Identifikators authentifizieren, noch validieren sie die Legitimität des Nachrichteninhalts.

Die Feedback-Komponente von DMARC umfasst die Sammlung von Informationen über empfangene Nachrichten, die behaupten, von der Organisationsdomain zu stammen, für periodische aggregierte Berichte an den Domain-Inhaber. Die Parameter und das Format für solche Berichte werden in späteren Abschnitten dieses Dokuments diskutiert.

Ein DMARC-fähiger Mail-Empfänger kann auch Berichte pro Nachricht generieren, die Informationen zu einzelnen Nachrichten enthalten, die SPF und/oder DKIM nicht bestehen. Fehlerberichte pro Nachricht sind eine nützliche Informationsquelle beim Debuggen von Bereitstellungen (wenn Nachrichten als legitim bestimmt werden können, obwohl sie die Authentifizierung nicht bestehen) oder bei der Analyse von Angriffen. Die Fähigkeit für solche Dienste wird durch DMARC ermöglicht, aber in anderen referenzierten Materialien wie [AFRF] definiert.

Eine Nachricht erfüllt die DMARC-Prüfungen, wenn mindestens einer der unterstützten Authentifizierungsmechanismen:

  1. ein „pass"-Ergebnis erzeugt, und

  2. dieses Ergebnis auf der Grundlage eines Identifikators erzeugt, der ausgerichtet ist, wie in Abschnitt 3 definiert.

4.3. Flow Diagram (Flussdiagramm)

    +---------------+
    | Author Domain |< . . . . . . . . . . . . . . . . . . . . . . .
    +---------------+                        .           .         .
        |                                    .           .         .
        V                                    V           V         .
    +-----------+     +--------+       +----------+ +----------+   .
    |   MSA     |<***>|  DKIM  |       |   DKIM   | |    SPF   |   .
    |  Service  |     | Signer |       | Verifier | | Verifier |   .
    +-----------+     +--------+       +----------+ +----------+   .
        |                                    ^            ^        .
        |                                    **************        .
        V                                                 *        .
     +------+        (~~~~~~~~~~~~)      +------+         *        .
     | sMTA |------->( other MTAs )----->| rMTA |         *        .
     +------+        (~~~~~~~~~~~~)      +------+         *        .
                                            |             * ........
                                            |             * .
                                            V             * .
                                     +-----------+        V V
                       +---------+   |    MDA    |     +----------+
                       |  User   |<--| Filtering |<***>|  DMARC   |
                       | Mailbox |   |  Engine   |     | Verifier |
                       +---------+   +-----------+     +----------+

     MSA = Mail Submission Agent (Mail-Übermittlungsagent)
     MDA = Mail Delivery Agent (Mail-Zustellungsagent)

Das obige Diagramm zeigt einen einfachen Fluss von Nachrichten durch ein DMARC-fähiges System. Durchgezogene Linien bezeichnen den tatsächlichen Nachrichtenfluss, gepunktete Linien umfassen DNS-Abfragen, die verwendet werden, um Nachrichtenrichtlinien im Zusammenhang mit den unterstützten Nachrichtenauthentifizierungsschemata abzurufen, und Sternlinien zeigen den Datenaustausch zwischen Nachrichtenbehandlungsmodulen und Nachrichtenauthentifizierungsmodulen an. „sMTA" ist der sendende MTA, und „rMTA" ist der empfangende MTA.

Im Wesentlichen sind die Schritte wie folgt:

  1. Der Domain-Inhaber erstellt eine SPF-Richtlinie und veröffentlicht sie in seiner DNS-Datenbank gemäß [SPF]. Der Domain-Inhaber konfiguriert auch sein System für die DKIM-Signierung, wie in [DKIM] beschrieben. Schließlich veröffentlicht der Domain-Inhaber über das DNS eine DMARC-Nachrichtenbehandlungsrichtlinie.

  2. Der Autor generiert eine Nachricht und übergibt die Nachricht an den vom Domain-Inhaber designierten Mail-Übermittlungsdienst.

  3. Der Übermittlungsdienst übergibt relevante Details an das DKIM-Signierungsmodul, um eine DKIM-Signatur zu generieren, die auf die Nachricht angewendet werden soll.

  4. Der Übermittlungsdienst leitet die nun signierte Nachricht an seinen designierten Transportdienst zur Weiterleitung an seine beabsichtigten Empfänger weiter.

  5. Die Nachricht kann andere Relays durchlaufen, kommt aber schließlich beim Transportdienst eines Empfängers an.

  6. Der Empfängerzustelldienst führt SPF- und DKIM-Authentifizierungsprüfungen durch, indem er die erforderlichen Daten an ihre jeweiligen Module übergibt, von denen jedes Abfragen an die DNS-Daten der Autor-Domain erfordert (wenn Identifikatoren ausgerichtet sind; siehe unten).

  7. Die Ergebnisse davon werden zusammen mit der Domain des Autors an das DMARC-Modul übergeben. Das DMARC-Modul versucht, eine Richtlinie aus dem DNS für diese Domain abzurufen. Wenn keine gefunden wird, bestimmt das DMARC-Modul die Organisationsdomain und wiederholt den Versuch, eine Richtlinie aus dem DNS abzurufen. (Dies wird in Abschnitt 6.6.3 ausführlicher beschrieben.)

  8. Wenn eine Richtlinie gefunden wird, wird sie mit der Domain des Autors und den SPF- und DKIM-Ergebnissen kombiniert, um ein DMARC-Richtlinienergebnis (ein „pass" oder „fail") zu erzeugen, und kann optional eine von zwei Arten von Berichten generieren (nicht gezeigt).

  9. Der Empfängertransportdienst liefert die Nachricht entweder an den Posteingang des Empfängers oder ergreift andere lokale Richtlinienmaßnahmen basierend auf dem DMARC-Ergebnis (nicht gezeigt).

  10. Auf Anfrage sammelt der Empfängertransportdienst Daten aus der Nachrichtenzustellsitzung, die zur Bereitstellung von Feedback verwendet werden sollen (siehe Abschnitt 7).

Letztes Update am