DMARC: Sinnvoll oder nicht?

classic Classic list List threaded Threaded
7 messages Options
Reply | Threaded
Open this post in threaded view
|

DMARC: Sinnvoll oder nicht?

Marco Dickert-2
Moin,

ich hätte da noch eine ganz andere Frage. Und zwar habe ich bis gerade eben
folgenden DMARC-Eintrag gesetzt gehabt:

_DMARC  IN  TXT  "v=DMARC1; p=reject; rua=mailto:[hidden email]; ruf=mailto:[hidden email]"

Offenbar ist das keine gute Idee, wenn man Mailing-Listen benutzt, wie ich
gerade feststellen durfte. Daher habe ich den Eintrag jetzt "entschärft":

_DMARC  IN  TXT  "v=DMARC1; p=none; rua=mailto:[hidden email]; ruf=mailto:[hidden email]"

Die Frage die bleibt: Ist DMARC generell sinnvoll? Ich habe aus Interesse mal
bei der Domain sys4.de geschaut, dort ist mehr oder weniger nur ein
Dummy-Eintrag aktiv:

-----
$ dig _dmarc.sys4.de TXT +short
"v=DMARC1; p=none;"
-----

Was ist dort die "best practice"?

--
Marco Dickert
[hidden email]
https://misterunknown.de

smime.p7s (4K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: DMARC: Sinnvoll oder nicht?

Patrick Ben Koetter-2
* Marco Dickert <[hidden email]>:

> ich hätte da noch eine ganz andere Frage. Und zwar habe ich bis gerade eben
> folgenden DMARC-Eintrag gesetzt gehabt:
>
> _DMARC  IN  TXT  "v=DMARC1; p=reject; rua=mailto:[hidden email]; ruf=mailto:[hidden email]"
>
> Offenbar ist das keine gute Idee, wenn man Mailing-Listen benutzt, wie ich
> gerade feststellen durfte. Daher habe ich den Eintrag jetzt "entschärft":
>
> _DMARC  IN  TXT  "v=DMARC1; p=none; rua=mailto:[hidden email]; ruf=mailto:[hidden email]"
>
> Die Frage die bleibt: Ist DMARC generell sinnvoll? Ich habe aus Interesse mal
> bei der Domain sys4.de geschaut, dort ist mehr oder weniger nur ein
> Dummy-Eintrag aktiv:
>
> -----
> $ dig _dmarc.sys4.de TXT +short
> "v=DMARC1; p=none;"
> -----

Es ist kein Dummy. Den habe ich mit Absicht gesetzt. Die Policy lautet:

    Ja, wir kennen DMARC
    Ja, wir haben eine DMARC-Policy
    Die Policy lautet: Wir machen nichts.

> Was ist dort die "best practice"?

Meiner Auffassung nach gibt es keine best practice, die für alle anwendbar
ist. Welche Policy sinnvoll ist, hängt IMO vom Kommunikationsverhalten der
Senderdomain ab. Wenn man, wie Du und ich, auf Mailinglisten sendet, dann ist
eine reject-Policy fatal, weil es eben zu den bekannten Problemen kommen wird.

Der Betrieber einer ML kann den Sender umschreiben und damit DMARC-Probleme
vermeiden, aber das machen nicht alle, manche absichtlich nicht und widerum
andere finden, sie sollten nicht die Probleme lösen, die andere verursacht
haben.

Wenn Du eine Senderdomain hast, bei der Du klar weißt, niemand wird gegen
SPF-Regeln verstoßen oder DKIM-Signaturen zerstören, kannst Du eine
reject-Policy fahren.

Grundsätzlich musst Du/sollte man sich aber auch noch fragen, wie wichtig
DMARC für einen selbst ist. DMARC ist vor allem brand-protection für die
eigene Domain. Es wird mich nicht davor schützen, dass Phisher E-Mails als
syṣ4.de oder als s¥s4.de senden. Diese Domains habe ich nicht
konnektiert und wenn da ein Recipient nicht genau hinsieht wird er leicht
gephished...

p@rick


--
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein
 
Reply | Threaded
Open this post in threaded view
|

Re: DMARC: Sinnvoll oder nicht?

Marco Dickert-2
Moin,

On 2018-03-08 16:03:06, Patrick Ben Koetter wrote:
> Es ist kein Dummy. Den habe ich mit Absicht gesetzt. Die Policy lautet:
>
>     Ja, wir kennen DMARC
>     Ja, wir haben eine DMARC-Policy
>     Die Policy lautet: Wir machen nichts.

ah, ok.

> Grundsätzlich musst Du/sollte man sich aber auch noch fragen, wie wichtig
> DMARC für einen selbst ist. DMARC ist vor allem brand-protection für die
> eigene Domain. Es wird mich nicht davor schützen, dass Phisher E-Mails als
> sy???4.de oder als s¥s4.de senden. Diese Domains habe ich nicht
> konnektiert und wenn da ein Recipient nicht genau hinsieht wird er leicht
> gephished...

Danke für die Ausführungen. Ich werde das für mich erstmal deaktiviert lassen,
da ich einige Mailinglisten abonniert habe.

Viele Grüße,
--
Marco Dickert
[hidden email]
https://misterunknown.de

smime.p7s (4K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: DMARC: Sinnvoll oder nicht?

Walter H.
In reply to this post by Patrick Ben Koetter-2
On 08.03.2018 16:03, Patrick Ben Koetter wrote:

> * Marco Dickert<[hidden email]>:
>> -----
>> $ dig _dmarc.sys4.de TXT +short
>> "v=DMARC1; p=none;"
>> -----
> Es ist kein Dummy. Den habe ich mit Absicht gesetzt. Die Policy lautet:
>
>      Ja, wir kennen DMARC
>      Ja, wir haben eine DMARC-Policy
>      Die Policy lautet: Wir machen nichts.
>
>
wodurch unterscheidet sich diese Policy, die ihr angegeben habt
von jeder, welche z.B. so lautet

"v=DMARC1; p=none; ruf=mailaddr; rua=mailaddr;"

Danke,
Walter


smime.p7s (4K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: DMARC: Sinnvoll oder nicht?

Patrick Ben Koetter-2
* Walter H. <[hidden email]>:

> On 08.03.2018 16:03, Patrick Ben Koetter wrote:
> > * Marco Dickert<[hidden email]>:
> > > -----
> > > $ dig _dmarc.sys4.de TXT +short
> > > "v=DMARC1; p=none;"
> > > -----
> > Es ist kein Dummy. Den habe ich mit Absicht gesetzt. Die Policy lautet:
> >
> >      Ja, wir kennen DMARC
> >      Ja, wir haben eine DMARC-Policy
> >      Die Policy lautet: Wir machen nichts.
> >
> >
> wodurch unterscheidet sich diese Policy, die ihr angegeben habt
> von jeder, welche z.B. so lautet
>
> "v=DMARC1; p=none; ruf=mailaddr; rua=mailaddr;"

Mit $ruf und $rua teilst Du DMARC-Prüfenden mit, wohin sie _r_eports senden
sollen. Der $ruf ist für _f_ailure reports und der $rua für
_a_ggregierte Reports.

Beim Reporten musst Du darauf achten, *was* Du mitteilst, denn einige Daten,
wie z.B. die IP-Adresse, sind aus Sicht des dt. Datenschutzes personenbezogene
Merkmale.

Das sahen einige amerikanische Unternehmen nicht so, als sie uns („KG email“
der eco) DMARC schmackhaft machen wollten. Ich kann mich noch sehr gut an die
… ehrm … lebhafte Diskussion erinnern.

Wir haben dann intern ein Rechtsgutachten in Auftrag gegeben. Es hat uns in
unserem laienhaften Verständnis bestätigt:

    Die Implementierung von DMARC ist vereinbar mit deutschem Recht unter
    Beachtung von teilweise erheblichen Einschränkungen.

    Während die rechtmäßige Umsetzung von Aggregated Reports einfacher zu
    realisieren ist, begegnet hingegen die zweckmäßige Implementierung von
    Failure Reports erheblichen datenschutzrechtlichen Bedenken.
    -- https://web.eco.de/wp-content/blogs.dir/26/files/dmarc_rechtsgutachten.pdf

Unsere (sys4) Policy interessiert sich im Moment nicht für reporting.
Erstaunlicherweise erhalten wir ab und an dennoch Reports an unsere
abuse-Adresse.

Wenn Du DMARC testweise warmfahren willst, ist die Angabe einer report-Adresse
sinnvoll, denn dann kannst Du sehen, welche Verstösse andere wahrnehmen und
dann ggf. von einer DMARC-policy Abstand nehmen oder die Plattform so
anpassen, dass es zu keinen oder weniger Verstössen kommt.

Andreas (Schulze) von der DATEV hatte da mal ein paar nette Gedanken
zusammengefasst und in der KG email vorgetragen.

p@rick

--
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein
 
Reply | Threaded
Open this post in threaded view
|

Re: DMARC: Sinnvoll oder nicht?

Walter H.
On 10.03.2018 08:38, Patrick Ben Koetter wrote:

> * Walter H.<[hidden email]>:
>> On 08.03.2018 16:03, Patrick Ben Koetter wrote:
>>> * Marco Dickert<[hidden email]>:
>>>> -----
>>>> $ dig _dmarc.sys4.de TXT +short
>>>> "v=DMARC1; p=none;"
>>>> -----
>>> Es ist kein Dummy. Den habe ich mit Absicht gesetzt. Die Policy lautet:
>>>
>>>       Ja, wir kennen DMARC
>>>       Ja, wir haben eine DMARC-Policy
>>>       Die Policy lautet: Wir machen nichts.
>>>
>>>
>> wodurch unterscheidet sich diese Policy, die ihr angegeben habt
>> von jeder, welche z.B. so lautet
>>
>> "v=DMARC1; p=none; ruf=mailaddr; rua=mailaddr;"
> Mit $ruf und $rua teilst Du DMARC-Prüfenden mit, wohin sie _r_eports senden
> sollen. Der $ruf ist für _f_ailure reports und der $rua für
> _a_ggregierte Reports.
und was teile ich denen mit wenn dies mit p=none angegeben ist?
(darauf wollte ich hinaus)

sprich der Unterschied zu eurer Policy, denn eure sagt, daß ihr nichts
macht;
und was macht dann diese?
> Beim Reporten musst Du darauf achten, *was* Du mitteilst, denn einige Daten,
> wie z.B. die IP-Adresse, sind aus Sicht des dt. Datenschutzes personenbezogene
> Merkmale.
meiner Meinung sind die Reports Käse, denn f. Menschen lesbar sieht
anders aus zum einem und zum anderen
so wie DMARC definiert ist, kann es nicht herhalten einen
eingeschriebenen Brief mit Rückschein nachzubilden ...
> Wenn Du DMARC testweise warmfahren willst, ist die Angabe einer report-Adresse
> sinnvoll, denn dann kannst Du sehen, welche Verstösse andere wahrnehmen und
> dann ggf. von einer DMARC-policy Abstand nehmen oder die Plattform so
> anpassen, dass es zu keinen oder weniger Verstössen kommt.
ich hab ein Autoreply mit dem Inhalt, daß es mich nicht interessiert :-)



smime.p7s (4K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: DMARC: Sinnvoll oder nicht?

Robert Schetterer-2
Am 10.03.2018 um 15:53 schrieb Walter H.:

> On 10.03.2018 08:38, Patrick Ben Koetter wrote:
>> * Walter H.<[hidden email]>:
>>> On 08.03.2018 16:03, Patrick Ben Koetter wrote:
>>>> * Marco Dickert<[hidden email]>:
>>>>> -----
>>>>> $ dig _dmarc.sys4.de TXT +short
>>>>> "v=DMARC1; p=none;"
>>>>> -----
>>>> Es ist kein Dummy. Den habe ich mit Absicht gesetzt. Die Policy lautet:
>>>>
>>>>       Ja, wir kennen DMARC
>>>>       Ja, wir haben eine DMARC-Policy
>>>>       Die Policy lautet: Wir machen nichts.
>>>>
>>>>
>>> wodurch unterscheidet sich diese Policy, die ihr angegeben habt
>>> von jeder, welche z.B. so lautet
>>>
>>> "v=DMARC1; p=none; ruf=mailaddr; rua=mailaddr;"
>> Mit $ruf und $rua teilst Du DMARC-Prüfenden mit, wohin sie _r_eports
>> senden
>> sollen. Der $ruf ist für _f_ailure reports und der $rua für
>> _a_ggregierte Reports.
> und was teile ich denen mit wenn dies mit p=none angegeben ist?
> (darauf wollte ich hinaus)

https://dmarc.org/wiki/FAQ#Does_DMARC_.E2.80.9Cp.3Dnone.E2.80.9D_affect_the_way_my_emails_get_delivered.3F

>
> sprich der Unterschied zu eurer Policy, denn eure sagt, daß ihr nichts
> macht;
> und was macht dann diese?
>> Beim Reporten musst Du darauf achten, *was* Du mitteilst, denn einige
>> Daten,
>> wie z.B. die IP-Adresse, sind aus Sicht des dt. Datenschutzes
>> personenbezogene
>> Merkmale.
> meiner Meinung sind die Reports Käse, denn f. Menschen lesbar sieht
> anders aus zum einem und zum anderen
> so wie DMARC definiert ist, kann es nicht herhalten einen
> eingeschriebenen Brief mit Rückschein nachzubilden ...
>> Wenn Du DMARC testweise warmfahren willst, ist die Angabe einer
>> report-Adresse
>> sinnvoll, denn dann kannst Du sehen, welche Verstösse andere
>> wahrnehmen und
>> dann ggf. von einer DMARC-policy Abstand nehmen oder die Plattform so
>> anpassen, dass es zu keinen oder weniger Verstössen kommt.

> ich hab ein Autoreply mit dem Inhalt, daß es mich nicht interessiert :-)

da dir das eine Software schickt wird das nicht gelesen
nutze die richtige Policy oder schmeiss den Bericht per sieve weg, ich
wuerde empfehlen ihn weg zu sortieren und nach 7 Tagen etc auto zu
loeschen, es kann schon sinnvoll sein zu wissen wie oft deine domain
gefaked wird, aber ich gebe zu ist eher selten sinnvoll


>
>



Best Regards
MfG Robert Schetterer

--
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG, 80333 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein