* Walter H. Walter.H@mathemainzel.info:
On 08.03.2018 16:03, Patrick Ben Koetter wrote:
- Marco Dickertmarco@misterunknown.de:
$ dig _dmarc.sys4.de TXT +short "v=DMARC1; p=none;"
Es ist kein Dummy. Den habe ich mit Absicht gesetzt. Die Policy lautet:
Ja, wir kennen DMARC Ja, wir haben eine DMARC-Policy Die Policy lautet: Wir machen nichts.wodurch unterscheidet sich diese Policy, die ihr angegeben habt von jeder, welche z.B. so lautet
"v=DMARC1; p=none; ruf=mailaddr; rua=mailaddr;"
Mit $ruf und $rua teilst Du DMARC-Prüfenden mit, wohin sie _r_eports senden sollen. Der $ruf ist für _f_ailure reports und der $rua für _a_ggregierte Reports.
Beim Reporten musst Du darauf achten, *was* Du mitteilst, denn einige Daten, wie z.B. die IP-Adresse, sind aus Sicht des dt. Datenschutzes personenbezogene Merkmale.
Das sahen einige amerikanische Unternehmen nicht so, als sie uns („KG email“ der eco) DMARC schmackhaft machen wollten. Ich kann mich noch sehr gut an die … ehrm … lebhafte Diskussion erinnern.
Wir haben dann intern ein Rechtsgutachten in Auftrag gegeben. Es hat uns in unserem laienhaften Verständnis bestätigt:
Die Implementierung von DMARC ist vereinbar mit deutschem Recht unter Beachtung von teilweise erheblichen Einschränkungen.
Während die rechtmäßige Umsetzung von Aggregated Reports einfacher zu realisieren ist, begegnet hingegen die zweckmäßige Implementierung von Failure Reports erheblichen datenschutzrechtlichen Bedenken. -- https://web.eco.de/wp-content/blogs.dir/26/files/dmarc_rechtsgutachten.pdf
Unsere (sys4) Policy interessiert sich im Moment nicht für reporting. Erstaunlicherweise erhalten wir ab und an dennoch Reports an unsere abuse-Adresse.
Wenn Du DMARC testweise warmfahren willst, ist die Angabe einer report-Adresse sinnvoll, denn dann kannst Du sehen, welche Verstösse andere wahrnehmen und dann ggf. von einer DMARC-policy Abstand nehmen oder die Plattform so anpassen, dass es zu keinen oder weniger Verstössen kommt.
Andreas (Schulze) von der DATEV hatte da mal ein paar nette Gedanken zusammengefasst und in der KG email vorgetragen.
p@rick