DMARC: Sinnvoll oder nicht?

Patrick Ben Koetter p at sys4.de
Sa Mär 10 08:38:16 CET 2018 

* Walter H. <Walter.H at mathemainzel.info>:
> On 08.03.2018 16:03, Patrick Ben Koetter wrote:
> > * Marco Dickert<marco at misterunknown.de>:
> > > -----
> > > $ dig _dmarc.sys4.de TXT +short
> > > "v=DMARC1; p=none;"
> > > -----
> > Es ist kein Dummy. Den habe ich mit Absicht gesetzt. Die Policy lautet:
> > 
> >      Ja, wir kennen DMARC
> >      Ja, wir haben eine DMARC-Policy
> >      Die Policy lautet: Wir machen nichts.
> > 
> > 
> wodurch unterscheidet sich diese Policy, die ihr angegeben habt
> von jeder, welche z.B. so lautet
> 
> "v=DMARC1; p=none; ruf=mailaddr; rua=mailaddr;"

Mit $ruf und $rua teilst Du DMARC-Prüfenden mit, wohin sie _r_eports senden
sollen. Der $ruf ist für _f_ailure reports und der $rua für
_a_ggregierte Reports.

Beim Reporten musst Du darauf achten, *was* Du mitteilst, denn einige Daten,
wie z.B. die IP-Adresse, sind aus Sicht des dt. Datenschutzes personenbezogene
Merkmale.

Das sahen einige amerikanische Unternehmen nicht so, als sie uns („KG email“
der eco) DMARC schmackhaft machen wollten. Ich kann mich noch sehr gut an die
… ehrm … lebhafte Diskussion erinnern.

Wir haben dann intern ein Rechtsgutachten in Auftrag gegeben. Es hat uns in
unserem laienhaften Verständnis bestätigt:

    Die Implementierung von DMARC ist vereinbar mit deutschem Recht unter
    Beachtung von teilweise erheblichen Einschränkungen.

    Während die rechtmäßige Umsetzung von Aggregated Reports einfacher zu
    realisieren ist, begegnet hingegen die zweckmäßige Implementierung von
    Failure Reports erheblichen datenschutzrechtlichen Bedenken.
    -- https://web.eco.de/wp-content/blogs.dir/26/files/dmarc_rechtsgutachten.pdf

Unsere (sys4) Policy interessiert sich im Moment nicht für reporting.
Erstaunlicherweise erhalten wir ab und an dennoch Reports an unsere
abuse-Adresse.

Wenn Du DMARC testweise warmfahren willst, ist die Angabe einer report-Adresse
sinnvoll, denn dann kannst Du sehen, welche Verstösse andere wahrnehmen und
dann ggf. von einer DMARC-policy Abstand nehmen oder die Plattform so
anpassen, dass es zu keinen oder weniger Verstössen kommt.

Andreas (Schulze) von der DATEV hatte da mal ein paar nette Gedanken
zusammengefasst und in der KG email vorgetragen.

p at rick

-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein

Mehr Informationen über die Mailingliste postfix-users