DMARCbis: Die nächste Evolutionsstufe der E-Mail-Authentifizierung
Seit der Einführung von DMARC (Domain-based Message Authentication, Reporting and Conformance) im Jahr 2015 hat sich das Protokoll als integraler Bestandteil der E-Mail-Sicherheit etabliert. Doch mit zunehmender Komplexität von E-Mail-Infrastrukturen und immer neuen Anforderungen an Interoperabilität und Klarheit war es Zeit für ein Update. Dieses Update trägt den Namen DMARCbis und bringt einige bedeutende Änderungen mit sich.
Was ist DMARCbis?
DMARCbis ist eine überarbeitete Version des ursprünglichen DMARC-Standards und wird aktuell als Entwurf bei der IETF (Internet Engineering Taskforce) geführt. Die neue Version zielt darauf ab, den ursprünglichen DMARC-Standard aus dem Jahr 2015 (RFC 7489) zu verbessern und zu modernisieren.
Warum DMARCbis?
DMARCbis ist nicht als radikale Neuerfindung gedacht, sondern als evolutionäre Weiterentwicklung. Ziel ist es, die Spezifikation klarer, robuster und einfacher implementierbar zu machen. Während bestehende DMARC-Einträge weiterhin gültig bleiben, profitieren Organisationen von einer Anpassung an die neuen Standards durch:
Was ist neu in DMARCbis?
1. DNS Treewalk statt Public Suffix List (PSL)
Die wohl bedeutendste Änderung betrifft die Bestimmung der sogenannten Organizational Domain (OrgDomain). Diese ist ein essenzieller Baustein von DMARC. Zum einen dient sie als Fallback, falls unter der im Header-From angegebenen Domain kein DMARC Record zu finden ist. Zum anderen wird die Rolle der OrgDomain als Referenzdomäne klarer definiert, insbesondere für den Vergleich bei aktiviertem ‚relaxed‘- oder ‚strict‘-Modus.
Bisher wurde für die Bestimmung der OrgDomain die Public Suffix List (PSL) verwendet – eine extern gepflegte Liste von Domainendungen wie .com, .de, .co.uk oder .gov. Dieses Verfahren erfordert beim Einsatz von Subdomains wie news.mail.example.com, dass entweder für jede einzelne Subdomain, die für den Versand von E-Mails verwendet wird, jeweils ein DMARC-Eintrag hinterlegt wird, oder aber der DMARC-Eintrag der OrgDomain für alle Subdomains, egal auf welchem Level, gültig ist. Dieses Verfahren lässt wenig Platz für Flexibilität.
DMARCbis ersetzt diese durch ein DNS-basiertes Treewalk-Verfahren:
Der Treewalk beginnt beim vollständigen Domainnamen, der im Header-From angegeben ist (z. B. _dmarc.news.mail.example.com) und arbeitet sich in der Hierarchie Schritt für Schritt nach oben, bis ein gültiger DMARC-Eintrag gefunden wird. Es gibt jedoch eine maximale Hierarchie-Tiefe von 8 Ebenen. Falls also die im Header-From angegebene Domain mehr als 8 Ebenen aufweist – wie z.B. bei a.b.c.d.e.f.g.h.i.j.mail.example.com – fängt der Treewalk bei _dmarc.g.h.i.j.mail.example.com an zu suchen, sofern unter _dmarc.a.b.c.d.e.f.g.h.i.j.mail.example.com kein DMARC-Eintrag gefunden wurde.
Neue Tags wie psd=y oder psd=n helfen dabei, Domain-Grenzen explizit zu definieren. Dieses Verfahren ist DNS-nativ, robuster und reduziert die externe Abhängigkeit von der PSL.
Ein gültiger DMARC Record mit psd=n zeigt an, dass dies die Organisationsdomain und der Auswahlprozess abgeschlossen ist. Ein gültiger DMARC Record mit psd=y, der nicht für die Domain bestimmt ist, in der der Treewalk beginnt, zeigt an, dass die Organisationsdomain die Domain eine Ebene unter dieser in der DNS-Hierarchie und der Auswahlprozess abgeschlossen ist.
2. Vereinfachung der Tags
DMARCbis räumt mit einigen Altlasten auf.
Hier sind einige Beispiele:
| veraltete Tags | neue/alternative Tags | Zweck |
|---|---|---|
| pct | t (Testmodus) | Prozentuale Anwendung entfällt zugunsten klarer Testsignale |
| rf, ri | entfällt | Vereinfachung der Reporting-Mechanismen |
| – | np | Richtlinie für nicht existierende Subdomains |
| – | psd | Markierung von Public Suffix Domains |
| veraltete Tags | neue/alternative Tags | Zweck |
|---|---|---|
| pct | t (Testmodus) | Prozentuale Anwendung entfällt zugunsten klarer Testsignale |
| rf, ri | entfällt | Vereinfachung der Reporting-Mechanismen |
| – | np | Richtlinie für nicht existierende Subdomains |
| – | psd | Markierung von Public Suffix Domains |
3. Klarere Spezifikation
Die gesamte Spezifikation wurde neu strukturiert, mit besseren Beispielen und einer neuen Sektion zu „Full DMARC Participation“, die beschreibt, was vollständige Teilnahme an DMARC bedeutet – sowohl für Domaininhaber als auch für empfangende Mailserver.
Was bedeutet das für Unternehmen?
Fazit: Evolution statt Revolution
DMARCbis bringt keine disruptiven Änderungen, aber wichtige Verbesserungen in Bezug auf Klarheit, Sicherheit und Zukunftsfähigkeit. Das neue Treewalk-Verfahren ist ein Meilenstein in der DNS-basierten Authentifizierung und macht DMARC robuster gegen Missbrauch durch Subdomain-Spoofing.
Weitere Artikel zum Thema Absenderreputation und E-Mail-Sicherheit
Teil 1: Authenticated Received Chain (ARC)
Teil 2: Sender Policy Framework (SPF)
Teil 3: DomainKeys Identified Mail (DKIM)
Teil 4: Domain-based Message Authentication, Reporting and Conformance (DMARC)
Teil 5: DNS-based Authentication of Named Entities (DANE)
Teil 6: DMARCbis
Sie haben NoSpamProxy noch nicht im Einsatz?
Mit NoSpamProxy können Sie Ihr Unternehmen zuverlässig vor Spoofing-Angriffen schützen und von vielen weiteren Sicherheitsfunktionen profitieren. Fordern Sie jetzt Ihre kostenlose Testversion an!
