DMARC: Sinnvoll oder nicht?
Moin,
ich hätte da noch eine ganz andere Frage. Und zwar habe ich bis gerade eben folgenden DMARC-Eintrag gesetzt gehabt:
_DMARC IN TXT "v=DMARC1; p=reject; rua=mailto:postmaster@misterunknown.de; ruf=mailto:postmaster@misterunknown.de"
Offenbar ist das keine gute Idee, wenn man Mailing-Listen benutzt, wie ich gerade feststellen durfte. Daher habe ich den Eintrag jetzt "entschärft":
_DMARC IN TXT "v=DMARC1; p=none; rua=mailto:postmaster@misterunknown.de; ruf=mailto:postmaster@misterunknown.de"
Die Frage die bleibt: Ist DMARC generell sinnvoll? Ich habe aus Interesse mal bei der Domain sys4.de geschaut, dort ist mehr oder weniger nur ein Dummy-Eintrag aktiv:
----- $ dig _dmarc.sys4.de TXT +short "v=DMARC1; p=none;" -----
Was ist dort die "best practice"?
* Marco Dickert marco@misterunknown.de:
ich hätte da noch eine ganz andere Frage. Und zwar habe ich bis gerade eben folgenden DMARC-Eintrag gesetzt gehabt:
_DMARC IN TXT "v=DMARC1; p=reject; rua=mailto:postmaster@misterunknown.de; ruf=mailto:postmaster@misterunknown.de"
Offenbar ist das keine gute Idee, wenn man Mailing-Listen benutzt, wie ich gerade feststellen durfte. Daher habe ich den Eintrag jetzt "entschärft":
_DMARC IN TXT "v=DMARC1; p=none; rua=mailto:postmaster@misterunknown.de; ruf=mailto:postmaster@misterunknown.de"
Die Frage die bleibt: Ist DMARC generell sinnvoll? Ich habe aus Interesse mal bei der Domain sys4.de geschaut, dort ist mehr oder weniger nur ein Dummy-Eintrag aktiv:
$ dig _dmarc.sys4.de TXT +short "v=DMARC1; p=none;"
Es ist kein Dummy. Den habe ich mit Absicht gesetzt. Die Policy lautet:
Ja, wir kennen DMARC Ja, wir haben eine DMARC-Policy Die Policy lautet: Wir machen nichts.
Was ist dort die "best practice"?
Meiner Auffassung nach gibt es keine best practice, die für alle anwendbar ist. Welche Policy sinnvoll ist, hängt IMO vom Kommunikationsverhalten der Senderdomain ab. Wenn man, wie Du und ich, auf Mailinglisten sendet, dann ist eine reject-Policy fatal, weil es eben zu den bekannten Problemen kommen wird.
Der Betrieber einer ML kann den Sender umschreiben und damit DMARC-Probleme vermeiden, aber das machen nicht alle, manche absichtlich nicht und widerum andere finden, sie sollten nicht die Probleme lösen, die andere verursacht haben.
Wenn Du eine Senderdomain hast, bei der Du klar weißt, niemand wird gegen SPF-Regeln verstoßen oder DKIM-Signaturen zerstören, kannst Du eine reject-Policy fahren.
Grundsätzlich musst Du/sollte man sich aber auch noch fragen, wie wichtig DMARC für einen selbst ist. DMARC ist vor allem brand-protection für die eigene Domain. Es wird mich nicht davor schützen, dass Phisher E-Mails als syṣ4.de oder als s¥s4.de senden. Diese Domains habe ich nicht konnektiert und wenn da ein Recipient nicht genau hinsieht wird er leicht gephished...
p@rick
Moin,
On 2018-03-08 16:03:06, Patrick Ben Koetter wrote:
Es ist kein Dummy. Den habe ich mit Absicht gesetzt. Die Policy lautet:
Ja, wir kennen DMARC Ja, wir haben eine DMARC-Policy Die Policy lautet: Wir machen nichts.
ah, ok.
Grundsätzlich musst Du/sollte man sich aber auch noch fragen, wie wichtig DMARC für einen selbst ist. DMARC ist vor allem brand-protection für die eigene Domain. Es wird mich nicht davor schützen, dass Phisher E-Mails als sy???4.de oder als s¥s4.de senden. Diese Domains habe ich nicht konnektiert und wenn da ein Recipient nicht genau hinsieht wird er leicht gephished...
Danke für die Ausführungen. Ich werde das für mich erstmal deaktiviert lassen, da ich einige Mailinglisten abonniert habe.
Viele Grüße,
On 08.03.2018 16:03, Patrick Ben Koetter wrote:
- Marco Dickertmarco@misterunknown.de:
$ dig _dmarc.sys4.de TXT +short "v=DMARC1; p=none;"
Es ist kein Dummy. Den habe ich mit Absicht gesetzt. Die Policy lautet:
Ja, wir kennen DMARC Ja, wir haben eine DMARC-Policy Die Policy lautet: Wir machen nichts.
wodurch unterscheidet sich diese Policy, die ihr angegeben habt von jeder, welche z.B. so lautet
"v=DMARC1; p=none; ruf=mailaddr; rua=mailaddr;"
Danke, Walter
* Walter H. Walter.H@mathemainzel.info:
On 08.03.2018 16:03, Patrick Ben Koetter wrote:
- Marco Dickertmarco@misterunknown.de:
$ dig _dmarc.sys4.de TXT +short "v=DMARC1; p=none;"
Es ist kein Dummy. Den habe ich mit Absicht gesetzt. Die Policy lautet:
Ja, wir kennen DMARC Ja, wir haben eine DMARC-Policy Die Policy lautet: Wir machen nichts.wodurch unterscheidet sich diese Policy, die ihr angegeben habt von jeder, welche z.B. so lautet
"v=DMARC1; p=none; ruf=mailaddr; rua=mailaddr;"
Mit $ruf und $rua teilst Du DMARC-Prüfenden mit, wohin sie _r_eports senden sollen. Der $ruf ist für _f_ailure reports und der $rua für _a_ggregierte Reports.
Beim Reporten musst Du darauf achten, *was* Du mitteilst, denn einige Daten, wie z.B. die IP-Adresse, sind aus Sicht des dt. Datenschutzes personenbezogene Merkmale.
Das sahen einige amerikanische Unternehmen nicht so, als sie uns („KG email“ der eco) DMARC schmackhaft machen wollten. Ich kann mich noch sehr gut an die … ehrm … lebhafte Diskussion erinnern.
Wir haben dann intern ein Rechtsgutachten in Auftrag gegeben. Es hat uns in unserem laienhaften Verständnis bestätigt:
Die Implementierung von DMARC ist vereinbar mit deutschem Recht unter Beachtung von teilweise erheblichen Einschränkungen.
Während die rechtmäßige Umsetzung von Aggregated Reports einfacher zu realisieren ist, begegnet hingegen die zweckmäßige Implementierung von Failure Reports erheblichen datenschutzrechtlichen Bedenken. -- https://web.eco.de/wp-content/blogs.dir/26/files/dmarc_rechtsgutachten.pdf
Unsere (sys4) Policy interessiert sich im Moment nicht für reporting. Erstaunlicherweise erhalten wir ab und an dennoch Reports an unsere abuse-Adresse.
Wenn Du DMARC testweise warmfahren willst, ist die Angabe einer report-Adresse sinnvoll, denn dann kannst Du sehen, welche Verstösse andere wahrnehmen und dann ggf. von einer DMARC-policy Abstand nehmen oder die Plattform so anpassen, dass es zu keinen oder weniger Verstössen kommt.
Andreas (Schulze) von der DATEV hatte da mal ein paar nette Gedanken zusammengefasst und in der KG email vorgetragen.
p@rick
On 10.03.2018 08:38, Patrick Ben Koetter wrote:
- Walter H.Walter.H@mathemainzel.info:
On 08.03.2018 16:03, Patrick Ben Koetter wrote:
- Marco Dickertmarco@misterunknown.de:
$ dig _dmarc.sys4.de TXT +short "v=DMARC1; p=none;"
Es ist kein Dummy. Den habe ich mit Absicht gesetzt. Die Policy lautet:
Ja, wir kennen DMARC Ja, wir haben eine DMARC-Policy Die Policy lautet: Wir machen nichts.wodurch unterscheidet sich diese Policy, die ihr angegeben habt von jeder, welche z.B. so lautet
"v=DMARC1; p=none; ruf=mailaddr; rua=mailaddr;"
Mit $ruf und $rua teilst Du DMARC-Prüfenden mit, wohin sie _r_eports senden sollen. Der $ruf ist für _f_ailure reports und der $rua für _a_ggregierte Reports.
und was teile ich denen mit wenn dies mit p=none angegeben ist? (darauf wollte ich hinaus)
sprich der Unterschied zu eurer Policy, denn eure sagt, daß ihr nichts macht; und was macht dann diese?
Beim Reporten musst Du darauf achten, *was* Du mitteilst, denn einige Daten, wie z.B. die IP-Adresse, sind aus Sicht des dt. Datenschutzes personenbezogene Merkmale.
meiner Meinung sind die Reports Käse, denn f. Menschen lesbar sieht anders aus zum einem und zum anderen so wie DMARC definiert ist, kann es nicht herhalten einen eingeschriebenen Brief mit Rückschein nachzubilden ...
Wenn Du DMARC testweise warmfahren willst, ist die Angabe einer report-Adresse sinnvoll, denn dann kannst Du sehen, welche Verstösse andere wahrnehmen und dann ggf. von einer DMARC-policy Abstand nehmen oder die Plattform so anpassen, dass es zu keinen oder weniger Verstössen kommt.
ich hab ein Autoreply mit dem Inhalt, daß es mich nicht interessiert :-)
Am 10.03.2018 um 15:53 schrieb Walter H.:
On 10.03.2018 08:38, Patrick Ben Koetter wrote:
- Walter H.Walter.H@mathemainzel.info:
On 08.03.2018 16:03, Patrick Ben Koetter wrote:
- Marco Dickertmarco@misterunknown.de:
$ dig _dmarc.sys4.de TXT +short "v=DMARC1; p=none;"
Es ist kein Dummy. Den habe ich mit Absicht gesetzt. Die Policy lautet:
Ja, wir kennen DMARC Ja, wir haben eine DMARC-Policy Die Policy lautet: Wir machen nichts.
wodurch unterscheidet sich diese Policy, die ihr angegeben habt von jeder, welche z.B. so lautet
"v=DMARC1; p=none; ruf=mailaddr; rua=mailaddr;"
Mit $ruf und $rua teilst Du DMARC-Prüfenden mit, wohin sie _r_eports senden sollen. Der $ruf ist für _f_ailure reports und der $rua für _a_ggregierte Reports.
und was teile ich denen mit wenn dies mit p=none angegeben ist? (darauf wollte ich hinaus)
https://dmarc.org/wiki/FAQ#Does_DMARC_.E2.80.9Cp.3Dnone.E2.80.9D_affect_the_...
sprich der Unterschied zu eurer Policy, denn eure sagt, daß ihr nichts macht; und was macht dann diese?
Beim Reporten musst Du darauf achten, *was* Du mitteilst, denn einige Daten, wie z.B. die IP-Adresse, sind aus Sicht des dt. Datenschutzes personenbezogene Merkmale.
meiner Meinung sind die Reports Käse, denn f. Menschen lesbar sieht anders aus zum einem und zum anderen so wie DMARC definiert ist, kann es nicht herhalten einen eingeschriebenen Brief mit Rückschein nachzubilden ...
Wenn Du DMARC testweise warmfahren willst, ist die Angabe einer report-Adresse sinnvoll, denn dann kannst Du sehen, welche Verstösse andere wahrnehmen und dann ggf. von einer DMARC-policy Abstand nehmen oder die Plattform so anpassen, dass es zu keinen oder weniger Verstössen kommt.
ich hab ein Autoreply mit dem Inhalt, daß es mich nicht interessiert :-)
da dir das eine Software schickt wird das nicht gelesen nutze die richtige Policy oder schmeiss den Bericht per sieve weg, ich wuerde empfehlen ihn weg zu sortieren und nach 7 Tagen etc auto zu loeschen, es kann schon sinnvoll sein zu wissen wie oft deine domain gefaked wird, aber ich gebe zu ist eher selten sinnvoll
Best Regards MfG Robert Schetterer
participants (4)
-
Marco Dickert -
Patrick Ben Koetter -
Robert Schetterer -
Walter H.