DMARC baut auf den Techniken SPF (Sender Policy Framework) und DKIM (Domainkeys Identified Mail) auf. Mittels DMARC lässt sich festlegen, wie ein Empfänger mit einer Mail umgehen soll, die nicht den DKIM oder SPF Einstellungen des Absenders entspricht. Zusätzlich kann der Empfänger Reports an den Absender zur Auswertung schicken. Auf diesem Weg ist es möglich an Informationen zu kommen, welche nicht autorisierten Systeme E-Mails unter eigenen Domain versenden (Beispielsweise für Phishing).
Da DKIM und SPF Voraussetzung für DMARC sind, hier noch zwei entsprechende Artikel:
- Sophos UTM und DKIM
- Sender Policy Framework (SPF): Wie es funktioniert und wann man es nicht nutzen sollte
Die Einrichtung von DMARC ist sehr einfach, es wird nur ein TXT-Records im DNS angelegt, welcher die entsprechenden DMARC Einstellungen enthält. In diesem TXT Eintrag wird auch die E-Mail Adresse für die Berichte angegeben.
Hier zum Beispiel der DMARC Eintrag für frankysweb.de:
v=DMARC1; p=quarantine; pct=100; rua=mailto:re+v7oerrqch2y@dmarc.postmarkapp.com,mailto:postmaster@frankysweb.de; ruf=mailto:postmaster@frankysweb.de; sp=none; aspf=r; adkim=r;
Die Seite MXToolbox liefert auch gleiche eine Erklärung zu den konfigurierten Optionen:
Quelle: MXToolbox DMARC Record Lookup
Wie schon oben erwähnt, werden auch Berichte zu den konfigurierten E-Mail Adressen geschickt (RUA = Adresse für aggregierte Reports, RUF = Adresse für forensischer Berichte). Die Berichte werden meist gepackt und im XML Format verschickt (am Ende des Artikels findet sich ein Beispiel eines Reports im XML Format).
Damit nicht jeder Report manuell ausgewertet werden muss, gibt es einige Anbieter die als RUA Empfänger für die Domain angegeben werden können und eine entsprechende Aufbereitung der Reports durchführen.
Einer der kostenlosen Anbieter ist Postmark. Wenn Postmark als RUA Empfänger konfiguriert wird, erhält man einmal die Woche einen zusammengefassten DMARC Bericht. Die Informationen sind zwar nicht sehr detailliert, aber für den Start und zur Identifizierung von Problemen schon mal gar nicht schlecht. Zusätzlich kann man sich ja die DMARC Reports auch an eine eigene Adresse schicken lassen, somit kann man im Bedarfsfall genauer nachforschen.
Wer Postmark und die kostenlosen DMARC Berichte einmal ausprobieren möchte, kann sich hier registrieren:
Ich habe die Registrierung einmal durchgeführt, es muss nur die Domain und die eigene E-Mail Adresse für die Postmark Berichte angegeben werden:
Danach muss Postmark als RUA-Empfänger im DMARC TXT Record hinzugefügt werden, ein Beispiel für den DMARC Record liefert Postmark gleich mit:
Ich habe den DMARC Record etwas angepasst (siehe oben), damit ich zusätzlich auch die RUA Reports im XML Format erhalte. Postmark sendet dann noch eine Bestätigungsmail an die Adresse und schon ist das Reporting aktiv:
Immer Montags schickt Postmark dann einen aufbereiteten DMARC Bericht für die vorige Woche. Hier mal ein Beispiel eines Berichts:
Sieht doch etwas hübscher als die reinen XML-Daten:
Wer es noch detaillierter haben möchte, kann zum Beispiel DMARCAnalyzer verwenden. DMARCAnalyzer ist allerdings kostenpflichtig:
Update: Stefan hat mich darauf hingewiesen, dass der RUF Eintrag nicht im Einklang mit der DSGVO steht. Ich habe daher den RUF Eintrag wieder aus meinem DMARC Record entfernt. Hier gibt es noch ein PDF mit einem Gutachten zur DSGVO und DMARC:
Vielen Dank an Stefan für den Hinweis!
Ideal wäre ein Postfach auf Exchange, indem der Frankys Report Generator alle E-Mails ausliest und daraus einen Report erstellt.
ggf. alte Mails löscht.
So könnte man das schön kombinieren.
Externe Anbieter sind abzulehnen, Serverskripte sind potentielle Sicherheitsrisiken..
so wäre es etwas besser.
Und ohne Reporting hat man auch nur Ärger.
Am liebsten wäre mir nur Reportmail bei Fehlern
Naja, es hindert dich ja niemand so eine Lösung zu entwickeln. Eine komplett fertige Lösung die man „einfach mal installiert“ und als Exchange Admin evtl. auch selbst betreiben kann, hab ich zumindest noch nicht gefunden. Und insofern ist das natürlich ideal, aber offenbar haben alle die diese Erkenntnis hatten dann doch lieber einen externen Dienst draus „gebastelt“. Ob man dass pauschal „abzulehnen hat“, ist wohl eher deine Meinung, für mich ist DMARC ein halbwegs nachvollziehbarer Dienst, der quasi in der Cloud vernünftig läuft und angeboten wird. Reportmail bei Fehlern sieht aber DMARC als Standard nicht vor. Also braucht man ein sinnvolles Dashboard, wo man entweder vernünftig filtern kann, oder einfach im Überblick alles Notwendige sehen kann.
Was mache ich mit der Information aus dem Report das irgendeine fremde IP E-Mails mit SPF / DKIM /DMARC failed versendet? Außer meine DMARC Policy auf Quarantäne oder reject zustellen und zu hoffen das der Empfänger sich daran hält, kann man doch nix machen, oder?
Du gehst davon aus, dass deine Systeme alle korrekt konfiguriert sind und das in den Reports dann entweder fehlerhafte weiter-/Umleitungen sind, oder phishing/spoofingversuche in deinem Namen. Und ja reject sollte man als Ziel haben, wenn man seine Systeme im Griff hat.
Die Nutzung von DMARC und eines DMARC Monitors „verstößt“ ja nicht gegen die DSGVO. Was ein Problem sein könnte, ist die verwendung der RUF Adresse, weil dort dann persönliche Daten landen (können). DMARC kann man aber auch ohne das betreiben. Und wer alles DMARC einsetzt, kannst du doch recht schnell entweder in deinem Spamfilter oder ggf. auch einfach per nslookup feststellen. Ich würde sagen, die Verwendung steigt stetig an.
Gibt es eigentlich Neuigkeiten bzgl. DMARC und DSGVO?
Welche erwartest du denn?
Sind Fälle bekannt, in denen das Nutzen von DMARC und einem DMARC Monitor von einem Gericht bestraft wurde? Es wäre auch interessant zu wissen, wie viele Unternehmen (z.B. aus dem DAX) DMARC nutzen, ähnlich wie ,,More than 95 percent of Fortune 500 companies trust their business on Azure today“.
Danke für den Artikel. Ich kannte diesen Dienst noch nicht und es scheint genau das zu sein wonach ich gesucht habe.
Freundliche Grüße
Leider gibt es keine Tools, um die Auswertung DSGVO-konform auf der eigenen Maschine zu machen.
P.S Ansonsten ist das verlinkte ECO-Gutachten Quatsch. Die Autoren meinen wirklich, die IP-Adresse wäre DSGVO relevant – gehen sie dabei davon aus, dass die IP des Senders (und nicht die des MX-Servers) im Aggregated Report enthalten ist? Das schützt nu wirklich lediglich eine Zielgruppe, nämlich die missbräuchlichen Versender…
Wenn der rua Empfänger nicht innerhalb der eigenen Domain liegt, ist das entsprechend ebenfalls per DNS Eintrag zu definieren.
https://dmarc.org/wiki/FAQ
If you indicate that reports should be sent to an address outside your domain, you may need to request that the receiving party publish a special DMARC report DNS record:
Bei obigem Anbieter wird das wahrscheinlich automatisch der Fall sein, aber falls man selbst mehrere Domains und nur einen Empfänger haben will, sollte man darauf achten.
Moin,
wer die Berichte in leserlicher Form haben möchte aber dies kostenlos tun möchte, empfehle ich diese Seite: https://us.dmarcian.com/xml-to-human-converter/
/Blackmoon