DMARC ohne rua … richtiges Format?

TL;DR: v=DMARC1; p=none;ist syntaktisch gültig, macht in der Praxis aber keinen Sinn.

Sie wählen den einfachen Weg und es wird nach hinten losgehen. Es ist wahr, dass dieGoogles Anforderungen vom 1. Februar 2024bezüglich DMARC sind locker. Andererseits sieht die nächste Anforderung so aus, als würde Google verlangenAusrichtung sogar mit der p=nonePolitik.

• Richten Sie die DMARC-E-Mail-Authentifizierung für Ihre sendende Domain ein. Ihre DMARCDurchsetzungsrichtliniekann auf eingestellt werden none.Erfahren Sie mehr
• Bei Direktwerbung muss die Domäne im From:-Header des Absenders entweder mit der SPF-Domäne oder der DKIM-Domäne übereinstimmen. Dies ist erforderlich, umDMARC-Ausrichtung.

Aber das ist erst der Anfang der Verwendung von DMARC-Richtlinien. Das p=noneist für die Übergangsphase, in der Sie noch nicht wissen, ob die Zustellung legitimer E-Mails eine tatsächliche DMARC-Durchsetzung bestehen würde. Sie sagen, dass Sie die aggregierten Berichte nicht benötigen, aber ich bin anderer Meinung. Das Abrufen und Lesen der aggregierten Berichte ist die einzige Möglichkeit, das Wissen zu erlangen, das für eine reibungslose E-Mail-Zustellung in der nächsten Phase erforderlich ist. Darüber hinaus könnten Google und Yahoo als nächstes damit beginnen, dies ebenfalls durchzusetzen.

Sie sagen auch, dass die Unternehmen in der Lage sein sollten, „bei Bedarf den legitimen Absender zu verifizieren“. Das p=noneist nicht der Fall; es heißt, dass wir bei der Durchsetzung von DMARC einen Schritt nach vorne machen, aber an diesem Punkt ist es uns egal, wie der Empfänger mit gefälschten E-Mails aus unserer Domain umgeht.

Später, wenn Sie mindestens haben p=quarantineund Ihre E-Mail-Infrastruktur statisch und stabil ist,könnteEntfernen Sie die rua=mit der Folge, dass Sie nicht wissen, wann legitime E-Mails unter Quarantäne gestellt werden. Mit p=rejectwürden Sie das anhand der abgelehnten Nachrichten wissen. Allerdings, z. B.Microsoft behandelt p=rejectgenauso wie es war p=quarantine.

Sie erhalten nur dann DMARC-Berichte, wenn Sie das rua-Tag setzen. Ein minimaler DMARC-Eintrag zur Einhaltung sieht folgendermaßen aus:

v=DMARC1; p=none;

DerStichwortedie für die Aufzeichnung verwendet werden können, sind:

• v (erforderlich) – Das Versionstag. Der einzige zulässige Wert ist „DMARC1“. Wenn es falsch ist oder das Tag fehlt, wird der DMARC-Eintrag ignoriert. Listenelement
• p (erforderlich) – Die DMARC-Richtlinie. Zulässige Werte sind „keine“, „Quarantäne“ oder „Ablehnen“. Der Standardwert ist „keine“, wodurch keine Maßnahmen gegen nicht authentifizierte E-Mails ergriffen werden. Es hilft nur beim Sammeln von DMARC-Berichten und beim Erhalten von Einblicken in Ihre aktuellen E-Mail-Flüsse und deren Authentifizierungsstatus. „Quarantäne“ markiert die fehlgeschlagenen E-Mails als verdächtig, während „Ablehnen“ sie blockiert.
• rua – Ziel für das Senden aggregierter Berichte. Dies ist die „mailto:“-URI, die ESPs zum Senden von Fehlerberichten verwenden. Das Tag ist optional, aber Sie erhalten keine Berichte, wenn Sie es überspringen.
• ruf - Ziel für das Senden von forensischen (Fehler-)Berichten. Dies ist die „mailto:“-URI, die ESPs zum Senden von Fehlerberichten verwenden. Das Tag ist optional, aber Sie erhalten keine Berichte, wenn Sie es überspringen.
• sp – Die Subdomänenrichtlinie. Die Subdomäne erbt das oben erläuterte Domänenrichtlinien-Tag (p=), sofern es hier nicht ausdrücklich definiert ist. Wie bei der Domänenrichtlinie sind die zulässigen Werte „none“, „quarantine“ oder „reject“. Diese Option wird heutzutage nicht mehr häufig verwendet.
• adkim – Die DKIM-Signaturausrichtung. Dieses Tag folgt der Ausrichtung zwischen der DKIM-Domäne und der übergeordneten Header-From-Domäne. Zulässige Werte sind „r“ (relaxed) oder „s“ (strict). „r“ ist der Standardwert und erlaubt eine teilweise Übereinstimmung, während das „s“-Tag erfordert, dass die Domänen identisch sind.
• aspf - Die SPF-Ausrichtung. Dieses Tag folgt der Ausrichtung zwischen der SPF-Domäne (dem Absender) und der Header-From-Domäne. Zulässige Werte sind „r“ (relaxed) oder „s“ (strict). „r“ ist der Standardwert und erlaubt eine teilweise Übereinstimmung, während das „s“-Tag erfordert, dass die Domänen genau gleich sind.
• fo – Optionen für forensische Berichte. Zulässige Werte sind „0“, „1“, „d“ und „s“. „0“ ist der Standardwert, der einen forensischen Bericht generiert, wenn weder SPF noch DKIM einen übereinstimmenden Pass erzeugen. Wenn eines der Protokollergebnisse etwas anderes als Pass ist, verwenden Sie „1“. „d“ generiert einen Bericht, wenn DKIM ungültig ist, während „s“ dasselbe für SPF tut. Definieren Sie das Ruf-Tag, um forensische Berichte zu erhalten.
• rf – Das Berichtsformat für Fehlerberichte. Zulässige Werte sind „afrf“ und „iodef“. pct Das Prozent-Tag. Dieses Tag funktioniert nur auf Domänen mit der Richtlinie „Quarantäne“ oder „Ablehnen“. Es markiert den Prozentsatz der fehlgeschlagenen E-Mails, auf die eine bestimmte Richtlinie angewendet werden soll. Der Rest fällt unter eine niedrigere Richtlinie. Wenn beispielsweise „pct=70“ auf einer Domäne mit der Richtlinie „Quarantäne“ gilt, gilt sie nur in 70 % der Fälle. Die restlichen 30 % fallen unter „p=none“. Ähnlich verhält es sich, wenn „p=Ablehnen“ und „pct=70“ gilt: „Ablehnen“ gilt für die 70 % der fehlgeschlagenen E-Mails und die 30 % gehen in „Quarantäne“.
• ri - Berichtsintervall. Markiert die Häufigkeit empfangener XML-Berichte in Sekunden. Der Standardwert ist 86400 (einmal täglich). Unabhängig vom eingestellten Intervall senden ISPs die Berichte in den meisten Fällen in unterschiedlichen Intervallen (normalerweise einmal täglich). v Das Versionstag. Der einzige zulässige Wert ist „DMARC1“. Wenn dieser falsch ist oder das Tag fehlt, wird der DMARC-Eintrag ignoriert.

Vergessen Sie nicht, SPF und DKIM zu verwenden, da DMARC sonst nicht funktioniert.

Sie sollten die Verwendung eines DMARC-Verarbeitungsdienstes in Betracht ziehen, um eine unbefugte Nutzung Ihrer Domain zu erkennen und die Zustellbarkeit in Zukunft zu gewährleisten.

Bitte nehmen Sie sich etwas Zeit, um mehr über DMARC zu lesen unterhttps://dmarc.org/