DMARC-Richtlinie außer Kraft setzen

Dieser Artikel erklärt im Detail, was DMARC-Richtlinienüberschreibungen sind, wie sie funktionieren, was der Unterschied zwischen einer DMARC-Richtlinienüberschreibung und einem DMARC-Richtlinienfehler ist und ob die Überschreibung von DMARC-Datensätzen legitim ist oder nicht.

DMARC-Richtlinienüberschreibungen: Erläutert

DMARC-Richtlinienüberschreitung geschieht, wenn der empfangende E-Mail-Server die DMARC Eintrag überschreibt, der vom Absender festgelegt wurde. Dies ist der Fall, wenn der Absender angegeben hat, dass seine E-Mail abgelehnt werden soll, wenn sie nicht den Richtlinien des Posteingangsservers entspricht, der empfangende E-Mail-Server aber entscheidet, dass die E-Mail für seine eigenen Richtlinien nicht geeignet ist.

Zum Beispiel, wenn der Absender eine strenge Richtlinie festgelegt hat (wie "p=reject all mail without SPF or DKIM") und der empfangende E-Mail-Server eine lockere oder lose Richtlinie hat (wie "accept all mail without SPF or DKIM"). In diesem Fall kann der empfangende Server die DMARC-Richtlinie des Absenders mit seiner eigenen lokalen Richtlinie außer Kraft setzen und die Nachricht an den Posteingang des Empfängers zustellen, auch wenn sie die DMARC-Prüfungen nicht besteht.

Verständnis des DMARC-Mechanismus zur Aufhebung von Richtlinien

DMARC wird verwendet, um Richtlinieneinstellungen zu übermitteln, die E-Mail-Empfänger gegen von Ihrer Domäne gesendete E-Mails durchsetzen können.

Sie können zum Beispiel eine Richtlinie für DMARC verwenden, um dem E-Mail-Server des Empfängers mitzuteilen, was er tun soll (p=reject oder p=none oder p=quarantine), wenn eine SPF- oder DKIM-Prüfung in E-Mails, die von Ihrer Domäne gesendet werden, fehlschlägt.

Das fasst die Leistungsfähigkeit von DMARC ziemlich gut zusammen, oder?

Was aber, wenn der empfangende Mailserver seine eigenen lokalen Richtlinien für die Behandlung empfangener E-Mails hat? Wird er sich an die DMARC-Richtlinien des Absenders halten ODER wird er die Richtlinien des Absenders mit seinen eigenen lokalen Richtlinien außer Kraft setzen?

Na ja...

Die DMARC-Spezifikation verlangt von den Empfängern, dass sie sich nach Treu und Glauben bemühen, die veröffentlichten DMARC-Richtlinien der Domäneninhaber einzuhalten. Wenn also ein Test der SPF-, DKIM- und From-Header des Absenders bei einer Nachricht fehlschlägt, sollte dies die in der DMARC-Richtlinie des Absenders (p) angegebenen Maßnahmen wie Quarantäne, Zurückweisung oder NONE auslösen.

Nehmen wir an, die Situation ist wie folgt:

Ihre Domain (mypersonaldomain.org) hat eine DMARC-Richtlinie (p=none).

Der E-Mail-Server des Empfängers (theirdomain.org) lehnt alle E-Mails ab, die eine SPF-Prüfung nicht bestehen. Das heißt, wenn eine an (ihredomain.org) gesendete E-Mail die SPF-Prüfung nicht besteht, wird sie zurückgewiesen. Richtig?

Aber...

Was passiert, wenn eine E-Mail von Ihrer Domain (mypersonaldomain.org) mit der DMARC-Richtlinie p=none bei somedomain.org eingeht und die SPF-Prüfung fehlschlägt?

In diesem Fall hängt es vom empfangenden Mailserver ab (wie er konfiguriert ist), ob er der vom Absender festgelegten DMARC-Richtlinie zustimmt ODER die E-Mail zurückweist, indem er die Richtlinie des Absenders mit Regeln überschreibt, die in seiner lokalen Richtlinie p=reject on SPF check failure definiert sind.

Microsoft 365 ist ein Echtzeit-Beispiel dafür, da es alle p=reject-E-Mails in den Junk/Spam-Ordner des Benutzers schickt, anstatt sie abzulehnen. Dies liegt daran, dass O365 es für in Ordnung hält, dass der Empfänger die endgültige Entscheidung über die endgültige Disposition trifft.

Die fünf Werte der DMARC-Richtlinienüberschreibungen

weitergeleitet - Die E-Mail wurde wahrscheinlich weitergeleitet, basierend auf lokalen Algorithmen, die Weiterleitungsmuster identifizieren. Es ist zu erwarten, dass die Authentifizierung fehlschlägt.

lokale_richtlinie - die lokale Richtlinie des E-Mail-Empfängers hat die E-Mail von der vom Domänenbesitzer geforderten Aktion ausgenommen. Wenn beispielsweise die angeforderte Richtlinie auf "Ablehnen" eingestellt ist, die ARC-Prüfung aber bestanden wurde, kann ein Mailempfänger diese Entscheidung außer Kraft setzen und sich dafür entscheiden, eine E-Mail nicht abzulehnen.

Was ist ARC?

ARC steht für Authentifizierte Empfangskette (ARC). Mit ARC werden die DKIM- und SPF-Protokolle einer E-Mail nicht mehr durch Weiterleitung oder Verteilerlisten unterbrochen. Das liegt daran, dass ARC die Ergebnisse der E-Mail-Authentifizierung über Router, Vermittler und andere Systeme ("Hops") hinweg bewahrt, die eine Nachricht auf ihrem Weg von einem Knoten im Internet zu einem anderen verändern können.

Wäre also eine ARC-Kette vorhanden, könnte der empfangende Mailserver, der die Nachrichten sonst verwerfen würde, die Testergebnisse auswerten und eine Ausnahme machen, so dass legitime Nachrichten aus diesen indirekten Mailflüssen ihr Ziel erreichen können.

mailing_liste - Die E-Mail wurde von einer Mailingliste gesendet, so dass das Filterprogramm entschied, dass sie wahrscheinlich nicht legitim war.

abgetastet_aus - Die Nachricht traf nicht auf die Richtlinie zu, da ihre "pct"-Einstellung im DMARC-Datensatz festgelegt war.

trusted_forwarder - Der Fehler wurde durch Beweise vorweggenommen, die die E-Mail mit einer lokal verwalteten Liste von vertrauenswürdigen Weiterleitern verknüpften.

andere - Einige Richtlinien enthielten Ausnahmen, die von den anderen Einträgen in der Liste nicht berücksichtigt wurden.

DMARC-Richtlinie außer Kraft setzen: Ist das zulässig?

In Abschnitt 6 von RFC 7489 heißt es, dass Mailserver Nachrichten gemäß den Richtlinien des Absenders behandeln sollten. Obwohl Überschreibungen gegen den Geist von DMARC verstoßen, behalten sich die Anbieter von Postfächern das Recht vor, die Richtlinien des Absenders außer Kraft zu setzen. Es ist also zulässig, dass der empfangende Server die DMARC-Richtlinie durch seine lokale Richtlinie außer Kraft setzt.

Das bedeutet, dass ein E-Mail-Server eine gefälschte Nachricht zustellen könnte, obwohl die Richtlinie, die er befolgen sollte, etwas anderes besagt.

Sollten Sie Berichte über die Aufhebung von DMARC-Richtlinien senden?

DMARC-Richtlinienüberschreibungen finden meistens statt, wenn:

  • die Heuristik des Empfängers eine Nachricht identifiziert, deren Authentifizierung fehlgeschlagen ist, die aber von einer autorisierten Quelle gesendet worden sein könnte.
  • ein Mailbox-Anbieter hat eine Nachricht, die DMARC nicht bestanden hat aufgrund von E-Mail-Weiterleitung aber er ist von der Legitimität der Nachricht überzeugt, kann er die Richtlinie außer Kraft setzen und die Nachricht trotzdem zustellen.

Obwohl DMARC-Richtlinienüberschreibungen zulässig sind, besagen die Abschnitte 6 und 7.2 des RFC 7489, dass ein Empfänger, der von der veröffentlichten Richtlinie des Domänenbesitzers abweicht, diese Tatsache sowie die Gründe dafür (unter Verwendung eines aggregierten Feedback-Berichtsformats) an den Domänenbesitzer zurückmelden muss.

Wie kann die DMARC-Richtlinie außer Kraft gesetzt werden?

DMARC besteht aus zwei Teilen:

DMARC-Richtlinie - Diese wird von der sendenden Organisation eingerichtet (auf dem öffentlich zugänglichen DNS der sendenden Organisation zusammen mit SPF und DKIM) und legt fest, wie die empfangende Seite Nachrichten behandeln soll, die ihren Richtlinien nicht entsprechen.

DMARC-Prüfung - Sie wird von der empfangenden Organisation (auf dem E-Mail-Sicherheits-Gateway der empfangenden Organisation) verwendet und prüft jede von einer bestimmten Organisation empfangene Nachricht auf die in den DMARC-Einträgen dieses Unternehmens aufgeführten Richtlinien. Die Möglichkeit, die Durchsetzung der DMARC-Richtlinien einer sendenden Organisation außer Kraft zu setzen, gilt jedoch auch für empfangende Organisationen.

Einrichten einer DMARC-Richtlinie ist eine "BITTE, KEINE VERPFLICHTUNG": Es bedeutet im Wesentlichen, dass Sie 'Aufforderung' Mailserver auffordern, anzugeben, wie sie E-Mail-Nachrichten behandeln sollen, die von Ihrer Domäne gesendet werden oder sich als Ihre Domäne ausgeben.

E-Mail-Empfänger sind jedoch nicht verpflichtet, sich bei der Verarbeitung eingehender E-Mails an strenge Richtlinien zu halten. Sie können ihre eigenen Richtlinien bezüglich der Nachrichten, die sie akzeptieren oder ablehnen, entwickeln und diese Standards entsprechend anwenden.

Zum Beispiel, wenn der E-Mail-Empfänger die Nachricht für gültig hält. Wenn also eine E-Mail eine DMARC-Prüfung nicht besteht, kann der Empfänger immer noch seine lokale Richtlinie anwenden und die Nachricht an Posteingänge zustellen. Darüber hinaus können die Richtlinien des E-Mail-Empfängers die Richtlinien des Domänenbesitzers außer Kraft setzen.

Wie kann eine empfangende Organisation meine DMARC-Richtlinie außer Kraft setzen?

Andere Organisationen können Ihre DMARC-Richtlinienkonfiguration durch ihre eigenen DMARC-Verifizierungstools außer Kraft setzen und ihre eigenen Richtlinien für die Behandlung eingehender Nachrichten festlegen. Je nach System kann ein Benutzer mit Admin-Rechten alle oder nur bestimmte Domänen außer Kraft setzen.

Es ist zu beachten, dass DMARC-Richtlinien vom Eigentümer der Domäne festgelegt werden, und jede Richtlinie gilt nur für die Domänen dieser Organisation. Eine DMARC-Richtlinie kann sich also nicht auf die Adressen anderer Organisationen oder deren Nachrichten auswirken.

DMARC Policy Failure vs. DMARC Policy Overrides: Was ist der Unterschied?

DMARC-Fehler Ein DMARC-Fehler liegt vor, wenn ein E-Mail-Server DMARC nicht ordnungsgemäß implementiert, was dazu führt, dass die SPF- und DKIM-Verifizierung beim Empfänger fehlschlägt. Die Unfähigkeit, Ihre Legitimität zu überprüfen, kann dazu führen, dass Posteingänge Sie als Spam markieren oder Ihre Nachrichten zurückweisen. In diesem Fall beachtet der empfangende Mailserver die Richtlinie des Absenders und setzt diese nicht durch seine lokale Richtlinie außer Kraft.

DMARC-Richtlinienüberschreibungen treten auf, wenn der empfangende E-Mail-Server die Richtlinie des Absenders nicht beachtet. Stattdessen setzt er die DMARC-Richtlinie des Absenders durch seine lokale Richtlinie außer Kraft. Das heißt, wenn die Nachricht des Absenders eine strenge Richtlinie von p=reject ohne SPF- oder DKIM-Verifizierung hat, setzt der empfangende Mailserver die Richtlinie außer Kraft und stellt die Nachricht trotzdem an den Posteingang zu.

Behalten Sie den Überblick über DMARC-Richtlinienüberschreibungen mit PowerDMARC

Um E-Mail-Spoofing und -Impersonation zu verhindern, ist es von entscheidender Bedeutung, über die Überschreitung der DMARC-Richtlinien auf dem Laufenden zu bleiben. Die meisten Unternehmen haben jedoch weder die Zeit noch die Ressourcen, um die Überschreitung ihrer DMARC-Richtlinien zu überwachen.

Sie können die Überschreitung von DMARC-Richtlinien nicht verhindern, aber Sie können sie mit unserem DMARC-Service im Auge behalten. Wir stellen Ihnen vollständige Berichte darüber zur Verfügung, welche Organisationen Ihren Richtlinienmodus außer Kraft gesetzt haben und welche Art von Nachrichten von welcher Seite und welche E-Mails auf der Empfängerseite zugelassen wurden. Dies hilft dem Absender, den Überblick zu behalten und alle notwendigen Maßnahmen zu ergreifen, wenn Spoofing oder Impersonation festgestellt wird.

Registrieren Sie sich für unser Kostenlose DMARC-Testversion und testen Sie es selbst!

Neueste Beiträge von Ahona Rudra (alle anzeigen)