DMARC baut auf den Techniken SPF (Sender Policy Framework) und DKIM (Domainkeys Identified Mail) auf. Mittels DMARC lässt sich festlegen, wie ein Empfänger mit einer Mail umgehen soll, die nicht den DKIM oder SPF Einstellungen des Absenders entspricht. Zusätzlich kann der Empfänger Reports an den Absender zur Auswertung schicken. Auf diesem Weg ist es möglich an Informationen zu kommen, welche nicht autorisierten Systeme E-Mails unter eigenen Domain versenden (Beispielsweise für Phishing).
Da DKIM und SPF Voraussetzung für DMARC sind, hier noch zwei entsprechende Artikel:
- Sophos UTM und DKIM
- Sender Policy Framework (SPF): Wie es funktioniert und wann man es nicht nutzen sollte
Die Einrichtung von DMARC ist sehr einfach, es wird nur ein TXT-Records im DNS angelegt, welcher die entsprechenden DMARC Einstellungen enthält. In diesem TXT Eintrag wird auch die E-Mail Adresse für die Berichte angegeben.
Hier zum Beispiel der DMARC Eintrag für frankysweb.de:
v=DMARC1; p=quarantine; pct=100; rua=mailto:re+v7oerrqch2y@dmarc.postmarkapp.com,mailto:postmaster@frankysweb.de; ruf=mailto:postmaster@frankysweb.de; sp=none; aspf=r; adkim=r;
Die Seite MXToolbox liefert auch gleiche eine Erklärung zu den konfigurierten Optionen:
Quelle: MXToolbox DMARC Record Lookup
Wie schon oben erwähnt, werden auch Berichte zu den konfigurierten E-Mail Adressen geschickt (RUA = Adresse für aggregierte Reports, RUF = Adresse für forensischer Berichte). Die Berichte werden meist gepackt und im XML Format verschickt (am Ende des Artikels findet sich ein Beispiel eines Reports im XML Format).
Damit nicht jeder Report manuell ausgewertet werden muss, gibt es einige Anbieter die als RUA Empfänger für die Domain angegeben werden können und eine entsprechende Aufbereitung der Reports durchführen.
Einer der kostenlosen Anbieter ist Postmark. Wenn Postmark als RUA Empfänger konfiguriert wird, erhält man einmal die Woche einen zusammengefassten DMARC Bericht. Die Informationen sind zwar nicht sehr detailliert, aber für den Start und zur Identifizierung von Problemen schon mal gar nicht schlecht. Zusätzlich kann man sich ja die DMARC Reports auch an eine eigene Adresse schicken lassen, somit kann man im Bedarfsfall genauer nachforschen.
Wer Postmark und die kostenlosen DMARC Berichte einmal ausprobieren möchte, kann sich hier registrieren:
Ich habe die Registrierung einmal durchgeführt, es muss nur die Domain und die eigene E-Mail Adresse für die Postmark Berichte angegeben werden:
Danach muss Postmark als RUA-Empfänger im DMARC TXT Record hinzugefügt werden, ein Beispiel für den DMARC Record liefert Postmark gleich mit:
Ich habe den DMARC Record etwas angepasst (siehe oben), damit ich zusätzlich auch die RUA Reports im XML Format erhalte. Postmark sendet dann noch eine Bestätigungsmail an die Adresse und schon ist das Reporting aktiv:
Immer Montags schickt Postmark dann einen aufbereiteten DMARC Bericht für die vorige Woche. Hier mal ein Beispiel eines Berichts:
Sieht doch etwas hübscher als die reinen XML-Daten:
Wer es noch detaillierter haben möchte, kann zum Beispiel DMARCAnalyzer verwenden. DMARCAnalyzer ist allerdings kostenpflichtig:
Update: Stefan hat mich darauf hingewiesen, dass der RUF Eintrag nicht im Einklang mit der DSGVO steht. Ich habe daher den RUF Eintrag wieder aus meinem DMARC Record entfernt. Hier gibt es noch ein PDF mit einem Gutachten zur DSGVO und DMARC:
Vielen Dank an Stefan für den Hinweis!