© kzenon, 123RF

Dmarc soll bei E-Mails die fehlende Absenderverifikation nachrüsten, um ein brauchbares Mittel gegen Spam zu bieten. Die Idee ist gut, aber manche Mailinglisten-Manager sind dafür noch nicht bereit.

Der Fehler liegt im Design: E-Mail-Absender zu fälschen ist ein Kinderspiel. Erst Zusatzfunktionen rüsten das Mailprotokoll mit sinnvoller Absenderverifikation aus. So soll das aus einer Kooperation von Google, Yahoo und anderen größeren Unternehmen entstandene Dmarc [1] das Problem lösen.

Dmarc (Domain-based Message Authentication, Reporting and Conformance) will anhand der genutzten Domain einer Adresse überprüfen, ob der Versender legitim ist oder nicht. Dazu setzt Dmarc auf zwei etablierte Technologien: DKIM (Domain Keys Identified Mail) und SPF-Einträge (Sender Policy Framework).

DKIM und SPF

DKIM macht aus DNS-Servern gewissermaßen eine Zertifizierungsstelle, die über asymmetrische Verschlüsselung die Verifizierung einer E-Mail erlaubt. Wenn der empfangende Mailserver eine E-Mail erhält, ist diese mit einem digitalen Key signiert. Anhand des öffentlichen Schlüssels, den der DNS-Server der Domain des Absenders zur Verfügung stellt, lässt sich die Herkunft der Mail sicher verifizieren oder widerlegen. SPF legt über »TXT« -Einträge in Domain-Zonen darüber hinaus fest, welche Server E-Mails von dieser Domain versenden dürfen.

Dmarc kombiniert die beiden Features und legt noch eine neue Funktion oben drauf: Es erlaubt den Admins, ein Regelwerk festzulegen, falls eintrudelnde E-Mails SPF oder DKIM nicht erfolgreich hinter sich gebracht haben.

Zusätzlich zu den bestehenden TXT-Einträgen für DKIM und SPF erstellen Admins für Dmarc einfach einen TXT-Eintrag, der beschreibt, wie mit Mails zu verfahren ist, die an SPF oder DKIM scheitern. Bei Yahoo lautet der:

v=Dmarc1; p=reject; sp=none; pct=100; rua=mailto:Dmarc-yahoo-rua@yahoo-inc.com, mailto:Dmarc_y_rua@yahoo.com;

Der Eintrag sorgt dafür, dass eingehende E-Mails für http://yahoo.com immer dann zurückgewiesen werden, wenn DKIM oder SPF fehlschlagen (»p=reject« ). Für Subdomains gilt die Regel nicht (»sp=none« ), »pct« gibt in Prozent an, wie hoch der Anteil an zurückgewiesenen Mails werden darf (Abbildung 1). Der »rua« -Parameter legt fest, dass für jede zurückgewiesene Mail ein Report an den Absender geht.

Abbildung 1: In Sachen Spam versteht Yahoo keinen Spaß. Wer an DKIM und SPF scheitert, muss draußen bleiben.

Dmarc hat sich bereits bei vielen Anbietern durchgesetzt und ist bei der IETF zur Standardisierung eingereicht. Dennoch sind bei Weitem noch nicht alle Probleme gelöst: Vor allem ältere Versionen der Mailinglisten-Manager können mit DKIM und SPF nichts anfangen. Sie nehmen eingehende E-Mails und leiten sie an alle Listenteilnehmer weiter, ohne dabei das »From« -Feld der Mail anzupassen – worauf DKIM und SPF scheitern.

Wer sein Mailkonto bei Yahoo hat und an Mailinglisten teilnimmt, deren Software nicht aktuell ist, bekommt wahrscheinlich ein Problem. Hier sind vor allem die Admins in der Pflicht, die Server mit Mailinglisten betreiben: Mailman & Co. bieten in ihren aktuellen Versionen Dmarc-Support, sodass ein Upgrade die gewünschte Funktion bringt.