Open Source im professionellen Einsatz
Linux-Magazin 02/2015
© kzenon, 123RF

© kzenon, 123RF

E-Mail-Absenderverifikation mit Dmarc

Ausweis-Kontrolle

Dmarc soll bei E-Mails die fehlende Absenderverifikation nachrüsten, um ein brauchbares Mittel gegen Spam zu bieten. Die Idee ist gut, aber manche Mailinglisten-Manager sind dafür noch nicht bereit.

474

Der Fehler liegt im Design: E-Mail-Absender zu fälschen ist ein Kinderspiel. Erst Zusatzfunktionen rüsten das Mailprotokoll mit sinnvoller Absenderverifikation aus. So soll das aus einer Kooperation von Google, Yahoo und anderen größeren Unternehmen entstandene Dmarc [1] das Problem lösen.

Dmarc (Domain-based Message Authentication, Reporting and Conformance) will anhand der genutzten Domain einer Adresse überprüfen, ob der Versender legitim ist oder nicht. Dazu setzt Dmarc auf zwei etablierte Technologien: DKIM (Domain Keys Identified Mail) und SPF-Einträge (Sender Policy Framework).

DKIM und SPF

DKIM macht aus DNS-Servern gewissermaßen eine Zertifizierungsstelle, die über asymmetrische Verschlüsselung die Verifizierung einer E-Mail erlaubt. Wenn der empfangende Mailserver eine E-Mail erhält, ist diese mit einem digitalen Key signiert. Anhand des öffentlichen Schlüssels, den der DNS-Server der Domain des Absenders zur Verfügung stellt, lässt sich die Herkunft der Mail sicher verifizieren oder widerlegen. SPF legt über »TXT« -Einträge in Domain-Zonen darüber hinaus fest, welche Server E-Mails von dieser Domain versenden dürfen.

Dmarc kombiniert die beiden Features und legt noch eine neue Funktion oben drauf: Es erlaubt den Admins, ein Regelwerk festzulegen, falls eintrudelnde E-Mails SPF oder DKIM nicht erfolgreich hinter sich gebracht haben.

Zusätzlich zu den bestehenden TXT-Einträgen für DKIM und SPF erstellen Admins für Dmarc einfach einen TXT-Eintrag, der beschreibt, wie mit Mails zu verfahren ist, die an SPF oder DKIM scheitern. Bei Yahoo lautet der:

v=Dmarc1; p=reject; sp=none; pct=100; rua=mailto:Dmarc-yahoo-rua@yahoo-inc.com, mailto:Dmarc_y_rua@yahoo.com;

Der Eintrag sorgt dafür, dass eingehende E-Mails für http://yahoo.com immer dann zurückgewiesen werden, wenn DKIM oder SPF fehlschlagen (»p=reject« ). Für Subdomains gilt die Regel nicht (»sp=none« ), »pct« gibt in Prozent an, wie hoch der Anteil an zurückgewiesenen Mails werden darf (Abbildung 1). Der »rua« -Parameter legt fest, dass für jede zurückgewiesene Mail ein Report an den Absender geht.

Abbildung 1: In Sachen Spam versteht Yahoo keinen Spaß. Wer an DKIM und SPF scheitert, muss draußen bleiben.

Dmarc hat sich bereits bei vielen Anbietern durchgesetzt und ist bei der IETF zur Standardisierung eingereicht. Dennoch sind bei Weitem noch nicht alle Probleme gelöst: Vor allem ältere Versionen der Mailinglisten-Manager können mit DKIM und SPF nichts anfangen. Sie nehmen eingehende E-Mails und leiten sie an alle Listenteilnehmer weiter, ohne dabei das »From« -Feld der Mail anzupassen – worauf DKIM und SPF scheitern.

Wer sein Mailkonto bei Yahoo hat und an Mailinglisten teilnimmt, deren Software nicht aktuell ist, bekommt wahrscheinlich ein Problem. Hier sind vor allem die Admins in der Pflicht, die Server mit Mailinglisten betreiben: Mailman & Co. bieten in ihren aktuellen Versionen Dmarc-Support, sodass ein Upgrade die gewünschte Funktion bringt.

Infos

  1. Dmarc: http://Dmarc.org

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 1 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Mail in a Box

    Einen All-inclusive-Mailserver versprechen die Macher von Mail in a Box. Damit auch unbedarfte User damit elektronische Post verschicken, soll er auch einfach aufzusetzen sein. Das macht neugierig: E-Mail-Kenner Patrick Koetter wirft für das Linux-Magazin einen ausführlichen Blick in den Briefkasten.

  • Mailserver in a Box: Simple Mailserver-Appliance

    Mailserver-in-a-Box richtet sich als Public-Domain-Projekt an Anwender, die ihren Mailserver auf eigener Hardware betreiben möchten, ohne sich in die Details der Mailserver-Administration einzuarbeiten.

  • Exim 4.70 mit Domainkeys, ohne PCRE

    Version 4.70 des an der englischen Universität Cambridge entwickelten Mailservers Exim kombiniert neue Features und Bugfixes.

  • Spamassassin 3.3.0 trennt Regeln vom Kern

    Mit Version 3.3.0 erfährt der freie Spamfilter Spamassassin seine erste größere Release seit Mai 2007.

  • Phishers Fritze

    Spamassassin ist das Rückgrat zahlloser Müllmail-Vermeidungsstrategien. Eher behutsam gepflegt, gibt es jetzt zum ersten Mal seit 2007 ein großes Update. Es lohnt sich.

     

comments powered by Disqus

Ausgabe 11/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.