* Marco Dickert marco@misterunknown.de:
ich hätte da noch eine ganz andere Frage. Und zwar habe ich bis gerade eben folgenden DMARC-Eintrag gesetzt gehabt:
_DMARC IN TXT "v=DMARC1; p=reject; rua=mailto:postmaster@misterunknown.de; ruf=mailto:postmaster@misterunknown.de"
Offenbar ist das keine gute Idee, wenn man Mailing-Listen benutzt, wie ich gerade feststellen durfte. Daher habe ich den Eintrag jetzt "entschärft":
_DMARC IN TXT "v=DMARC1; p=none; rua=mailto:postmaster@misterunknown.de; ruf=mailto:postmaster@misterunknown.de"
Die Frage die bleibt: Ist DMARC generell sinnvoll? Ich habe aus Interesse mal bei der Domain sys4.de geschaut, dort ist mehr oder weniger nur ein Dummy-Eintrag aktiv:
$ dig _dmarc.sys4.de TXT +short "v=DMARC1; p=none;"
Es ist kein Dummy. Den habe ich mit Absicht gesetzt. Die Policy lautet:
Ja, wir kennen DMARC Ja, wir haben eine DMARC-Policy Die Policy lautet: Wir machen nichts.
Was ist dort die "best practice"?
Meiner Auffassung nach gibt es keine best practice, die für alle anwendbar ist. Welche Policy sinnvoll ist, hängt IMO vom Kommunikationsverhalten der Senderdomain ab. Wenn man, wie Du und ich, auf Mailinglisten sendet, dann ist eine reject-Policy fatal, weil es eben zu den bekannten Problemen kommen wird.
Der Betrieber einer ML kann den Sender umschreiben und damit DMARC-Probleme vermeiden, aber das machen nicht alle, manche absichtlich nicht und widerum andere finden, sie sollten nicht die Probleme lösen, die andere verursacht haben.
Wenn Du eine Senderdomain hast, bei der Du klar weißt, niemand wird gegen SPF-Regeln verstoßen oder DKIM-Signaturen zerstören, kannst Du eine reject-Policy fahren.
Grundsätzlich musst Du/sollte man sich aber auch noch fragen, wie wichtig DMARC für einen selbst ist. DMARC ist vor allem brand-protection für die eigene Domain. Es wird mich nicht davor schützen, dass Phisher E-Mails als syṣ4.de oder als s¥s4.de senden. Diese Domains habe ich nicht konnektiert und wenn da ein Recipient nicht genau hinsieht wird er leicht gephished...
p@rick