2022 / E-Mail / Internet / IT Security

DMARC – Sinn & Funktionsweise erklärt!

Veröffentlicht am

Die E-Mail selbst ist schon recht alt, dementsprechend auch die dafür standardisierten Protokolle. Zwischen all diesen alten Protokollen ist DMARC, kurz für Domain-based Message Authentication, Reporting and Conformance, praktisch noch ein Kleinkind. Den Sinn und Zweck hinter diesem Protokoll und seine Funktionsweise erklären wir in diesem Artikel.

Die Geschichte von DMARC

Die E-Mail wurde schon mehrfach erweitert und durch neue Protokolle und Standards ergänzt. Viele Erweiterungen verfolgen wichtige Sicherheitsziele, die in der heutigen Kommunikation eingehalten werden sollten. Dass viele Erweiterungen die Nutzbarkeit einschränken und für die meisten E-Mail-Nutzer:innen eher eine Einschränkung als eine Verbesserung darstellen, wurde schon in dem bekannten Paper “Why Johnny Can’t Encrypt” von Whitten und Tygar über die Nutzbarkeit von PGP gezeigt. Im Gegensatz zu PGP, was viel Interaktion vom Nutzer erfordert, ist DMARC ein Protokoll, das für den Nutzenden praktisch unsichtbar ist und im Hintergrund läuft.

DMARC wird seit 2010 entwickelt. Es sollte zum Einen Absendern die Möglichkeit geben, Richtlinien zur Authentifizierung von E-Mails und Behandlung bei nicht-authentifizierten E-Mails zu erlassen, sowie Empfängern die Möglichkeit geben, Fehlerberichte an die Absenderdomain zu senden. Große Unternehmen entwickelten oder arbeiten immer noch an der DMARC-Spezifikation, wie AOL, GMail, Yahoo! Mail, Facebook, LinkedIn, PayPal und die Bank of America. Die erarbeitete Spezifikation wurde 2012 veröffentlicht und bei der Internet Engineering Task Force (IETF) zur Standardisierung eingereicht. DMARC wurde bisher nicht von der IETF standardisiert, aber 2015 in RFC 7489 zu Informationszwecken veröffentlicht.

Die Funktionsweise von DMARC

DMARC baut auf zwei bekannten Protokollen auf, SPF und DKIM. Es legt fest, wie ein Empfänger zu verfahren hat, wenn er eine E-Mail erhält, die dem SPF oder DKIM-Check nicht standhält. Dazu hinterlegt der Absender eine DMARC-Richtlinie als TXT-Record im DNS ab.

Schauen wir uns eine solche Richtlinie an:

Eine beispielhafte DMARC-Richtlinie

Als Erstes wird die Protokollversion hinterlegt, bisher kann hier nur der Wert “DMARC1” angegeben werden. Darauf folgt die Anweisung, wie mit E-Mails der Hauptdomain zu verfahren ist, wenn SPF und DKIM nicht erfolgreich sind. Dazu können drei verschiedene Optionen gewählt werden, “None”, also keine Veränderung und ein normales Passieren der E-Mail, “quarantine”, also das Markieren der E-Mail als Spam, oder “reject”, das Ablehnen einer solchen E-Mail. Wenn der SPF-Check oder der DKIM-Check erfolgreich ist, wird keine Aktion durchgeführt. Zusätzlich erlaubt DMARC eine Erstellung von Berichten, wenn eine E-Mail den SPF- oder DKIM-Check nicht besteht. Dazu gibt man unter “rua” eine Adresse an, an die ein aggregierter Bericht typischerweise als XML-Datei, einmal am Tag versendet wird. Unter “ruf” kann ein forensischer Bericht gesendet werden, der pro abgelehnter E-Mail erstellt wird und direkt versendet wird. Zusätzlich kann mit “adkim” und “aspf” angegeben werden, wie die Domains mit DKIM oder SPF überprüft werden sollen. Bei “relaxed”, also einem “r” als Wert, dürfen die überprüften Domains auch Subdomains beinhalten, ansonsten nicht.

Der Vormarsch von DMARC

Standards haben im Internet einen lang Weg vor sich, bis sie sich etabliert haben. Auch DMARC wird noch nicht von allen E-Mail-Providern verwendet, aber es verbreitet sich immer schneller. Betrachtet man die validen DMARC-Einträge im DNS, so ist erkennbar, dass immer mehr Domains zum Versand von E-Mails DMARC verwenden. Ende 2021 existierten ca. 5 Millionen Richtlinieneinträge. Eine erfreuliche Entwicklung.

Fazit

Werden über die eigene Domain E-Mails versendet, ist das Einrichten von SPF, DKIM und DMARC wichtig und ein weiterer Schritt in Richtung sicheres Internet. Die Einrichtung ist recht einfach und gibt klare Anweisungen vor, wie mit nicht-authentifizierten E-Mails zu verfahren ist. Gleichzeitig erhält der Inhaber der Domain Informationen, welche E-Mails in seinem Namen versendet werden und kann diese weiter untersuchen.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.