DMARCbis erklärt - Was sich ändert und wie man sich vorbereitet
von
Lesezeit: 4 min
Die bereichsbezogene Nachrichtenauthentifizierung, Berichterstattung und Konformität (DMARC) Protokoll wird seit seiner ersten Veröffentlichung einer umfassenden Aktualisierung unterzogen. Die als DMARCbis bekannte, neu definierte Spezifikation, die sich noch im Entwurf, zielt darauf ab, seit langem bestehende Probleme bei der E-Mail-Authentifizierung zu lösen. Hier finden Sie alles, was Sie über die Änderungen wissen müssen und wie Sie sich vorbereiten können.
Aktueller Status: Internet-Entwurf
Phase: Letzter Aufruf
Voraussichtliches Veröffentlichungsdatum: Nicht angegeben
Überflüssig: RFC 7489 & 9091 (falls angenommen)
Quelle: DMARCbis-Entwurf
Wichtigste Erkenntnisse
- DMARCbis ist der aktualisierte Nachfolger des ursprünglichen DMARC-Protokolls mit dem Ziel, die Klarheit und die Anpassung zu verbessern.
- Es definiert die Public Suffix List (PSL) mit einem zuverlässigeren DNS Tree Walk neu, um die Organisationsdomäne zu identifizieren.
- Tags wie pct, rf und ri sind veraltet, um die Implementierung zu vereinfachen und Verwirrung zu vermeiden.
- Einige neue Tags wie psd, np und t werden eingeführt, um öffentliche Suffix-Domänen klar zu definieren und die Vererbung von Richtlinien zu erleichtern.
- Die DMARC-Datensatzversion bleibt aus Gründen der Abwärtskompatibilität gleich (v=DMARC1).
- Bestehende DMARC-Konfigurationen mit gültigen Basis-Domäneneinträgen funktionieren weiterhin ohne unmittelbare Änderungen.
- PowerDMARC kann Ihnen den Übergang erleichtern, indem es die Aktenverwaltung automatisiert, fachkundige Anleitung bietet und für Transparenz in all Ihren Bereichen sorgt.
Was ist DMARCbis?
DMARCbis ist eine aktualisierte Version der ursprünglichen DMARC-Spezifikation, die von der IETF (Internet Engineering Task Force) entwickelt wurde. Sie baut auf den Grundlagen von RFC 7489 und RFC 9091 auf und ersetzt diese, falls sie angenommen werden, durch Überarbeitungen, die Unklarheiten im Protokoll klären. Während sein Vorgänger ein Informationeller RFCwar, ist DMARCbis auf dem besten Weg, als Vorgeschlagener Standardveröffentlicht werden, was einen breiten Konsens und die Bereitschaft der Industrie signalisiert.
DMARCbis wird sich in erster Linie auf Klarheit, Sicherheit und eine bessere Anpassung an die Domäne konzentrieren. Trotz der Neudefinition bleibt das v=DMARC1-Tag unverändert bleiben um die Abwärtskompatibilität zu wahren.
Wichtige Änderungen bei DMARCbis
| Merkmal | Ursprüngliches DMARC | DMARCbis (Neue Änderungen) |
|---|---|---|
| Domain Lookup Methode | Verwendet die öffentliche Suffix-Liste (PSL) | Neu definiert mit DNS Tree Walk (durchläuft die Domänenhierarchie nach oben, stoppt bei psd=y oder psd=n). Maximal 8 Ebenen. |
| Tags | Unterstützt pct, rf, ri | Entfernt pct , ri, und rf (vereinfacht das Protokoll). |
| Neuer Tag | Keine | Fügt psd (markiert explizit öffentliche Suffix-Domains), np und t Tags hinzu. |
| Politische Klarheit | Keine Anleitung zur Vererbungspolitik | Klare Regeln für Domänenbesitzer zur Kontrolle der Vererbung über psd. |
| Spezifikation | Komplex, weniger strukturiert | Vereinfachte Dokumentationen, bessere Beispiele und Terminologie. |
| Kompatibilität | v=DMARC1 Datensätze | Keine Änderung - alte Datensätze funktionieren noch. |
1. DNS Tree Walk definiert die öffentliche Suffix-Liste neu
Die Public Suffix List (PSL) wird mit einer DNS-nativen Tree Walk-Methode zur Bestimmung der Organisationsdomäne neu definiert.
Der DNS Tree Walk-Algorithmus durchläuft die Domänenhierarchie, um einen gültigen DMARC-Eintrag zu finden. Auf diese Weise können Domänengrenzen nativ im DNS definiert werden, und Suffix-Listen von Drittanbietern werden überflüssig. Die Suche hält an, wenn ein gültiger DMARC-Richtlinieneintrag gefunden wird, der das Tag psd=y (öffentliche Suffixdomäne) oder psd=n (Organisationsdomäne) enthält. Damit wird dem System mitgeteilt, wo sich die Organisationsdomäne befindet.
Wird keine solche Richtlinie gefunden, wird die Suche bis zu maximal 8 Ebenen fortgesetzt.
2. Veraltete Tags
Die folgenden Tags werden entfernt, um das Protokoll zu straffen:
- pct (prozentuale Anwendung der Politik)
- rf (Berichtsformat)
- ri (Berichtsintervall)
3. Neue und aktualisierte Tags
- Das neue psd-Tag definiert Public Suffix Domains klarer und hilft Domänenbesitzern, die Richtlinienvererbung in Tree Walks zu kontrollieren.
- Der t-Tag signalisiert dem Empfänger (Validator), dass sich der Domänenbesitzer in einer Testphase befindet und möglicherweise keine vollständige Durchsetzung der Richtlinie (p, sp, np) wünscht. Es ändert nicht die Art und Weise, wie DMARC-Berichte erstellt werden, und wirkt sich nicht auf Richtlinien aus, die bereits auf "none" gesetzt sind.
- Das neue np-Tag (non-existent policy) gibt die DMARC-Richtlinie an, die auf nicht existierende Subdomains angewendet werden soll (d.h. Domains, die nicht aufgelöst werden oder nicht als aktive Zonen registriert sind).
4. Anforderungen für die "volle Teilnahme"
In den neuen Leitlinien wird definiert, was es für Domaininhaber und -empfänger bedeutet, DMARC vollständig zu unterstützen, wodurch die Erwartungen klarer formuliert und die Interoperabilität verbessert werden.
5. Verbessertes Spezifikationsformat
Das Dokument wurde neu strukturiert und mit besseren Beispielen, einer klareren Terminologie und einem übersichtlicheren Layout versehen, um die Umsetzung für alle Beteiligten zu erleichtern.
Was bleibt gleich?
- Vorhandene DMARC-Einträge mit v=DMARC1 bleiben gültig.
- Die DMARC-Kernmechanismen für SPF, DKIM und Alignment gelten weiterhin.
- Die Richtlinien-Tags (p, sp, rua, ruf) sind nach wie vor zentral für die DMARC-Funktionalität.
Auswirkungen auf bestehende DMARC-Implementierungen
Das DMARCbis-Update ist abwärtskompatibel und hat keine Auswirkungen auf bestehende RFC 7489-kompatible Implementierungen. Die neuen Tags sind optional, so dass derzeitige Installationen nicht betroffen sind. Es wird zwar empfohlen, Ihre Datensätze zu überprüfen, um die Authentifizierung zu optimieren, doch besteht kein unmittelbarer Handlungsbedarf, wenn Ihr DMARC korrekt konfiguriert ist.
Wie man sich auf DMARCbis vorbereitet
Obwohl die Änderungen nicht störend sindsollten Unternehmen damit beginnen, sich auf die Zukunft vorzubereiten, um ihre E-Mail-Sicherheit zu gewährleisten. Und so geht's:
- Überprüfen Sie Ihre DMARC-Datensätze: Überprüfen Sie Ihren aktuellen Datensatz, um sicherzustellen, dass bald veraltete Tags wie pct oder rf entfernt werden. Vergewissern Sie sich, dass die Basisdomäne (Organisationsdomäne) eine gültige DMARC-Richtlinie hat.
- Verstehen Sie das Tree Walk Model: Stellen Sie sicher, dass Ihre Subdomains die Richtlinien wie erwartet unter dem neuen hierarchiebasierten Mechanismus vererben. Simulieren Sie bei komplexen Setups die DNS Tree Walk-Logik, um das Verhalten zu überprüfen.
- Beachten Sie den psd-Tag: Machen Sie sich mit psd=n oder psd=y vertraut, um Domänengrenzen explizit zu definieren, wenn Ihre Domänenstruktur dies erfordert.
- Informieren Sie Ihr Sicherheitsteam: Stellen Sie sicher, dass Ihre E-Mail- und Sicherheitsteams über die bevorstehenden Änderungen informiert sind und deren Auswirkungen auf Authentifizierung und Zustellbarkeit verstehen.
Wie kann PowerDMARC helfen?
PowerDMARC unterstützt Unternehmen beim nahtlosen Übergang zu DMARCbis durch eine Kombination aus Automatisierung, Transparenz und fachkundiger Anleitung.
- Automatisierte DMARC-, SPF- und DKIM-Einrichtung und -Verwaltung über ein zentrales Dashboard für die E-Mail-Authentifizierung
- Vereinfachte Berichterstattung mit vollständiger Transparenz der E-Mail-Kanäle
- Gehostete Lösungen für nahtlose Richtlinienaktualisierung und Datensatzoptimierung
- Ein Team engagierter Experten hilft Ihnen, Probleme und Änderungen in Echtzeit zu bewältigen.
Sind Sie bereit, DMARC zu vereinfachen? Kontaktieren Sie PowerDMARC um eine kostenlose 1:1-Beratung mit einem unserer internen Experten zu erhalten!
Abschließende Überlegungen
DMARCbis bietet mehr Flexibilität, Klarheit und Kontrolle, insbesondere wenn Sie DMARC-Richtlinien für Subdomains separat verwalten möchten. Auch wenn kein dringender Handlungsbedarf besteht, können Sie die notwendigen Vorbereitungen für eine bessere Verwaltung der Domänenauthentifizierung treffen.
Experte für Domain- und E-Mail-Sicherheit bei PowerDMARC
Yunes ist Operations Team Lead bei PowerDMARC und verfügt über Expertenwissen im Bereich E-Mail-Authentifizierung und -Sicherheit. Yunes ist ein Microsoft-zertifizierter Azure Administrator Associate mit Zertifizierungen in CompTIA A+ und vielen mehr.
Neueste Beiträge von Yunes Tarada (alle anzeigen)
