DMARC is based on the SPF (Sender Policy Framework) and DKIM (Domainkeys Identified Mail) technologies. DMARC can be used to determine how a recipient should deal with a mail that does not correspond to the sender's DKIM or SPF settings. In addition, the recipient can send reports to the sender for evaluation. In this way, it is possible to obtain information about which unauthorized systems are sending e-mails under their own domain (for example, for phishing).
Since DKIM and SPF are prerequisites for DMARC, here are two more articles on the subject:
Setting up DMARC is very simple, just create a TXT record in the DNS which contains the corresponding DMARC settings. The e-mail address for the reports is also specified in this TXT record.
Here, for example, is the DMARC entry for frankysweb.de:
v=DMARC1; p=quarantine; pct=100; rua=mailto:re+v7oerrqch2y@dmarc.postmarkapp.com,mailto:postmaster@frankysweb.de; ruf=mailto:postmaster@frankysweb.de; sp=none; aspf=r; adkim=r;
The MXToolbox page also provides an explanation of the configured options:
Source: MXToolbox DMARC Record Lookup
As mentioned above, reports are also sent to the configured e-mail addresses (RUA = address for aggregated reports, RUF = address for forensic reports). The reports are usually packed and sent in XML format (an example of a report in XML format can be found at the end of the article).
So that not every report has to be evaluated manually, there are a number of providers that can be specified as RUA recipients for the domain and prepare the reports accordingly.
One of the free providers is Postmark. If Postmark is configured as an RUA recipient, you will receive a summarized DMARC report once a week. The information is not very detailed, but it's not bad for getting started and identifying problems. In addition, you can also have the DMARC reports sent to your own address, so that you can investigate in more detail if necessary.
If you would like to try out Postmark and the free DMARC reports, you can register here:
I have done the registration once, you only have to enter the domain and your own e-mail address for the Postmark reports:
Postmark must then be added as an RUA recipient in the DMARC TXT record; Postmark also provides an example of the DMARC record:
I have adapted the DMARC record slightly (see above) so that I also receive the RUA reports in XML format. Postmark then sends a confirmation email to the address and the reporting is active:
Every Monday, Postmark then sends a prepared DMARC report for the previous week. Here is an example of a report:
Looks a bit prettier than the pure XML data:
If you want even more detail, you can use DMARCAnalyzer, for example. However, DMARCAnalyzer is subject to a charge:
Update: Stefan has pointed out to me that the RUF entry is not in line with the GDPR. I have therefore removed the RUF entry from my DMARC record. Here is a PDF with an expert opinion on the GDPR and DMARC:
Many thanks to Stefan for the tip!
Ideal wäre ein Postfach auf Exchange, indem der Frankys Report Generator alle E-Mails ausliest und daraus einen Report erstellt.
ggf. alte Mails löscht.
So könnte man das schön kombinieren.
Externe Anbieter sind abzulehnen, Serverskripte sind potentielle Sicherheitsrisiken..
so wäre es etwas besser.
Und ohne Reporting hat man auch nur Ärger.
Am liebsten wäre mir nur Reportmail bei Fehlern
Naja, es hindert dich ja niemand so eine Lösung zu entwickeln. Eine komplett fertige Lösung die man „einfach mal installiert“ und als Exchange Admin evtl. auch selbst betreiben kann, hab ich zumindest noch nicht gefunden. Und insofern ist das natürlich ideal, aber offenbar haben alle die diese Erkenntnis hatten dann doch lieber einen externen Dienst draus „gebastelt“. Ob man dass pauschal „abzulehnen hat“, ist wohl eher deine Meinung, für mich ist DMARC ein halbwegs nachvollziehbarer Dienst, der quasi in der Cloud vernünftig läuft und angeboten wird. Reportmail bei Fehlern sieht aber DMARC als Standard nicht vor. Also braucht man ein sinnvolles Dashboard, wo man entweder vernünftig filtern kann, oder einfach im Überblick alles Notwendige sehen kann.
Was mache ich mit der Information aus dem Report das irgendeine fremde IP E-Mails mit SPF / DKIM /DMARC failed versendet? Außer meine DMARC Policy auf Quarantäne oder reject zustellen und zu hoffen das der Empfänger sich daran hält, kann man doch nix machen, oder?
Du gehst davon aus, dass deine Systeme alle korrekt konfiguriert sind und das in den Reports dann entweder fehlerhafte weiter-/Umleitungen sind, oder phishing/spoofingversuche in deinem Namen. Und ja reject sollte man als Ziel haben, wenn man seine Systeme im Griff hat.
Die Nutzung von DMARC und eines DMARC Monitors „verstößt“ ja nicht gegen die DSGVO. Was ein Problem sein könnte, ist die verwendung der RUF Adresse, weil dort dann persönliche Daten landen (können). DMARC kann man aber auch ohne das betreiben. Und wer alles DMARC einsetzt, kannst du doch recht schnell entweder in deinem Spamfilter oder ggf. auch einfach per nslookup feststellen. Ich würde sagen, die Verwendung steigt stetig an.
Gibt es eigentlich Neuigkeiten bzgl. DMARC und DSGVO?
Welche erwartest du denn?
Sind Fälle bekannt, in denen das Nutzen von DMARC und einem DMARC Monitor von einem Gericht bestraft wurde? Es wäre auch interessant zu wissen, wie viele Unternehmen (z.B. aus dem DAX) DMARC nutzen, ähnlich wie ,,More than 95 percent of Fortune 500 companies trust their business on Azure today“.
Danke für den Artikel. Ich kannte diesen Dienst noch nicht und es scheint genau das zu sein wonach ich gesucht habe.
Freundliche Grüße
Leider gibt es keine Tools, um die Auswertung DSGVO-konform auf der eigenen Maschine zu machen.
P.S Ansonsten ist das verlinkte ECO-Gutachten Quatsch. Die Autoren meinen wirklich, die IP-Adresse wäre DSGVO relevant – gehen sie dabei davon aus, dass die IP des Senders (und nicht die des MX-Servers) im Aggregated Report enthalten ist? Das schützt nu wirklich lediglich eine Zielgruppe, nämlich die missbräuchlichen Versender…
Wenn der rua Empfänger nicht innerhalb der eigenen Domain liegt, ist das entsprechend ebenfalls per DNS Eintrag zu definieren.
https://dmarc.org/wiki/FAQ
If you indicate that reports should be sent to an address outside your domain, you may need to request that the receiving party publish a special DMARC report DNS record:
Bei obigem Anbieter wird das wahrscheinlich automatisch der Fall sein, aber falls man selbst mehrere Domains und nur einen Empfänger haben will, sollte man darauf achten.
Moin,
wer die Berichte in leserlicher Form haben möchte aber dies kostenlos tun möchte, empfehle ich diese Seite: https://us.dmarcian.com/xml-to-human-converter/
/Blackmoon