DMARC: Sinnvoll oder nicht?

Patrick Ben Koetter p at sys4.de
Do Mär 8 16:03:06 CET 2018 

* Marco Dickert <marco at misterunknown.de>:
> ich hätte da noch eine ganz andere Frage. Und zwar habe ich bis gerade eben
> folgenden DMARC-Eintrag gesetzt gehabt:
> 
> _DMARC  IN  TXT  "v=DMARC1; p=reject; rua=mailto:postmaster at misterunknown.de; ruf=mailto:postmaster at misterunknown.de"
> 
> Offenbar ist das keine gute Idee, wenn man Mailing-Listen benutzt, wie ich
> gerade feststellen durfte. Daher habe ich den Eintrag jetzt "entschärft":
> 
> _DMARC  IN  TXT  "v=DMARC1; p=none; rua=mailto:postmaster at misterunknown.de; ruf=mailto:postmaster at misterunknown.de"
> 
> Die Frage die bleibt: Ist DMARC generell sinnvoll? Ich habe aus Interesse mal
> bei der Domain sys4.de geschaut, dort ist mehr oder weniger nur ein
> Dummy-Eintrag aktiv:
> 
> -----
> $ dig _dmarc.sys4.de TXT +short
> "v=DMARC1; p=none;"
> -----

Es ist kein Dummy. Den habe ich mit Absicht gesetzt. Die Policy lautet:

    Ja, wir kennen DMARC
    Ja, wir haben eine DMARC-Policy
    Die Policy lautet: Wir machen nichts.

> Was ist dort die "best practice"?

Meiner Auffassung nach gibt es keine best practice, die für alle anwendbar
ist. Welche Policy sinnvoll ist, hängt IMO vom Kommunikationsverhalten der
Senderdomain ab. Wenn man, wie Du und ich, auf Mailinglisten sendet, dann ist
eine reject-Policy fatal, weil es eben zu den bekannten Problemen kommen wird.

Der Betrieber einer ML kann den Sender umschreiben und damit DMARC-Probleme
vermeiden, aber das machen nicht alle, manche absichtlich nicht und widerum
andere finden, sie sollten nicht die Probleme lösen, die andere verursacht
haben.

Wenn Du eine Senderdomain hast, bei der Du klar weißt, niemand wird gegen
SPF-Regeln verstoßen oder DKIM-Signaturen zerstören, kannst Du eine
reject-Policy fahren.

Grundsätzlich musst Du/sollte man sich aber auch noch fragen, wie wichtig
DMARC für einen selbst ist. DMARC ist vor allem brand-protection für die
eigene Domain. Es wird mich nicht davor schützen, dass Phisher E-Mails als
syṣ4.de oder als s¥s4.de senden. Diese Domains habe ich nicht
konnektiert und wenn da ein Recipient nicht genau hinsieht wird er leicht
gephished...

p at rick


-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein

Mehr Informationen über die Mailingliste postfix-users