DMARC-Berichte

Die DMARC-Einträge, die MDaemon aus dem DNS abfragt, können Tags enthalten, durch die der Domäneninhaber anzeigt, dass er bestimmte zusammengefasste Statistik- und Fehlerberichte über die DMARC-gestützte Behandlung solcher Nachrichten erhalten will, die angeblich aus seiner Domäne stammen. Die Optionen im Konfigurationsdialog DMARC-Berichte bestimmen, ob Ihr System die angeforderten Arten von Berichten versenden soll, und welche Metadaten die Berichte enthalten sollen. Die Optionen in diesem Konfigurationsdialog stehen nur zur Verfügung, wenn die Option "DMARC-Prüfung und -Berichterstellung" im Konfigurationsdialog DMARC-Prüfung ebenfalls aktiv ist. Die Spezifikation für DMARC verlangt außerdem due Nutzung von STARTTLS, sofern die Empfänger der Berichte dieses Verfahren unterstützen. Sie sollten daher STARTTLS aktivieren, falls das möglich ist.

DMARC-Berichte

Zusammengefasste DMARC-Berichte senden

Diese Option bewirkt, dass MDaemon zusammengefasste DMARC-Berichte an die Domänen sendet, die sie anfordern. Ergibt eine DNS-Abfrage nach den DMARC-Ressourceneinträgen der Domäne in der Absenderkopfzeile From: einer eingehenden Nachricht, dass der DMARC-Eintrag der Domäne den Tag "rua=" enthält (z.B. rua=mailto:dmarc-berichte@example.com), so zeigt dies an, dass der Inhaber der Domäne zusammengefasste DMARC-Berichte erhalten will. MDaemon speichert dann die DMARC-Daten für die Domäne und die eingehenden Nachrichten, die einen Absender der Domäne ausweisen. MDaemon speichert außerdem die E-Mail-Adressen, an die die Berichte gesandt werden sollen, das auf die Nachrichten angewendete Prüfverfahren (SPF, DKIM oder beide), das Prüfergebnis (bestanden oder nicht bestanden), den übermittelnden Server mit IP-Adresse, die angewendete DMARC-Richtlinie und weitere relevante Daten. Jeden Tag um Mitternacht (UTC-Zeit) nutzt MDaemon die gespeicherten Daten, um für die erfassten Domänen Berichte zu erstellen und sie an die angegebenen E-Mail-Adressen zu senden. Nach dem Versand löscht MDaemon die DMARC-Daten und beginnt die Speicherung erneut.

MDaemon unterstützt nicht den DMARC-Tag "ri=", der das Intervall für den Versand der zusammengefassten Berichte festlegt. MDaemon sendet die zusammengefassten Berichte stets um Mitternacht (UTC-Zeit) an alle Domänen, für die DMARC-Daten seit dem letzten Versand neu gespeichert wurden.

Zusammengefasste Berichte jetzt senden

Durch Anklicken dieses Steuerelements können Sie die zusammengefassten Berichte auf Grundlage der derzeit gespeicherten DMARC-Daten erstellen und sofort versenden lassen. Die Berichte werden sofort versandt, und die DMARC-Daten werden anschließend gelöscht; das Verfahren gleicht dem Verfahren, das MDaemon um Mitternacht (UTC-Zeit) automatisch ausführt. Nach dem sofortigen Versand und der Löschung der DMARC-Daten beginnt MDaemon erneut mit der Speicherung der Daten und erstellt und versendet die Berichte wieder um Mitternacht (UTC-Zeit) oder wenn das Steuerelement das nächste Mal angeklickt wird, je nachdem, welches Ereignis früher eintritt.

Um aus den gespeicherten DMARC-Daten die Berichte automatisch zu erstellen und zu versenden und die Daten danach zu löschen, muss MDaemon um Mitternacht (UTC-Zeit) ausgeführt werden. Läuft MDaemon zu diesem Zeitpunkt nicht, so werden keine Berichte erstellt und die DMARC-Daten nicht gelöscht; dies wird auch nicht nachgeholt, wenn MDaemon wieder gestartet wird. Die Speicherung der DMARC-Daten wird fortgesetzt, sobald MDaemon wieder läuft, die Berichte werden aber erst wieder um Mitternacht (UTC-Zeit) oder beim nächsten Anklicken des Steuerelements "Zusammengefasste Berichte jetzt senden" erstellt und versandt.

DMARC-Fehlerberichte senden (Berichte werden jeweils nach Auftreten von Fehlern gesendet)

Diese Option bewirkt, dass MDaemon DMARC-Fehlerberichte an die Domänen sendet, die sie anfordern. Ergibt eine DNS-Abfrage nach den DMARC-Ressourceneinträgen der Domäne in der Absenderkopfzeile From: einer eingehenden Nachricht, dass der DMARC-Eintrag der Domäne den Tag "ruf=" enthält (z.B. ruf=mailto:dmarc-fehler@example.com), so zeigt dies an, dass der Inhaber der Domäne DMARC-Fehlerberichte erhalten will. Anders als die zusammengefassten Berichte werden die Fehlerberichte in Echtzeit unmittelbar nach dem Auftreten der sie auslösenden Fehler erstellt, und sie enthalten ausführliche Einzelheiten über den Vorgang und die Fehler, die zum Fehlschlagen der Prüfung geführt haben. Die Administratoren der betroffenen Domänen können diese Berichte verwenden, um die Fehler zu analysieren, Probleme in ihren E-Mail-Systemen und deren Konfiguration zu beseitigen und andere Probleme festzustellen, etwa auf laufende Phishing-Angriffe aufmerksam zu werden.

Der Tag "fo=" im DMARC-Eintrag einer Domäne bestimmt, auf welche Arten von Fehlern hin ein Fehlerbericht erstellt wird. Per Voreinstellung wird ein Fehlerbericht nur erstellt, wenn sowohl die SPF- wie auch die DKIM-Prüfung fehlschlagen. Domänen können aber verschiedene Parameter im Tag "fo=" angeben und damit bestimmen, dass sie Berichte nur erhalten wollen, falls SPF fehlschlägt, falls DKIM fehlschlägt, oder falls eine Kombination der Prüfverfahren fehlschlägt. Aus diesem Grund können nach dem Fehlschlagen der DMARC-Prüfung für eine Nachricht auch mehrere Fehlerberichte erstellt werden. Ihre Zahl hängt von der Anzahl der Empfänger im Tag "ruf=", den Parameter im Tag "fo=" sowie der Anzahl fehlgeschlagener Versuche zur Echtheitsbestätigung ab, die während der Prüfung der Nachricht aufgetreten sind. Falls Sie die Anzahl der Empfänger begrenzen wollen, an die MDaemon die Berichte sendet, können Sie dazu die Option "Höchstzahl zu berücksichtigender DMARC-Empfänger 'rua' und 'ruf'" weiter unten nutzen.

Zur Festlegung des Formats der Fehlerberichte beachtet MDaemon nur den Tag rf=afrf (Berichte über Fehler in der Echtheitsbestätigung mithilfe des Formats für Berichte über missbräuchliche Nutzung ARF); dies entspricht auch der Vorgabe bei DMARC. Alle Berichte werden in diesem Format gesendet, und zwar auch dann, wenn der DMARC-Eintrag der betreffenden Domäne den Tag rf=iodef enthält.

Für die DMARC-Fehlerberichte unterstützt MDaemon folgende Standards vollständig: RFC 5965: Ein erweiterbares Format für E-Mail-Feedback-Berichte, RFC 6591: Berichte über Fehler in der Echtheitsbestätigung mithilfe des Formats für Berichte über missbräuchliche Nutzung ARF, RFC 6652: Berichte über Fehler bei der SPF-Verarbeitung mithilfe des Formats für Berichte über missbräuchliche Nutzung ARF, RFC 6651: Erweiterungen für Fehlerberichte bei DomainKeys Identified Mail (DKIM) und RFC 6692: Ursprungsports im Format für Berichte über missbräuchliche Nutzung ARF.

Verlangt der DMARC-Tag "fo=" auch Berichte über Fehler bei der SPF-Prüfung, so sendet MDaemon SPF-Fehlerberichte nach RFC 6522. Aus diesem Grund müssen die Erweiterungen für diese Spezifikation im SPF-Eintrag der Domäne enthalten sein. SPF-Fehlerberichte werden nicht unabhängig von der DMARC-Verarbeitung gesendet; sie werden ferner nicht gesendet, falls die Erweiterungen nach RFC 6522 fehlen.

Verlangt der DMARC-Tag "fo=" auch Berichte über Fehler bei der DKIM-Prüfung, so sendet MDaemon DKIM-Fehlerberichte nach RFC 6651. Aus diesem Grund müssen die Erweiterungen für diese Spezifikation in der Kopfzeile für die DKIM-Signatur enthalten sein, und für die Domäne muss ein gültiger TXT-Eintrag zu den DKIM-Berichten im DNS veröffentlicht sein. Die DKIM-Fehlerberichte werden nicht unabhängig von der DMARC-Verarbeitung gesendet; sie werden ferner nicht gesendet, falls die Erweiterungen nach RFC 6651 fehlen.

Höchstzahl zu berücksichtigender DMARC-Empfänger "rua" und "ruf" (0 = keine Begrenzung)

Falls Sie die Anzahl der Empfänger begrenzen wollen, an die MDaemon zusammengefasste DMARC-Berichte und DMARC-Fehlerberichte sendet, geben Sie hier die zulässige Höchstzahl der Empfänger ein. Enthalten die Tags "rua=" oder "ruf=" im DMARC-Eintrag einer Domäne mehr Empfänger, als hier zugelassen sind, dann sendet MDaemon die Berichte an die angegebenen Empfänger in der Reihenfolge, in der sie in den Tags erscheinen, bis die Höchstzahl erreicht ist. Per Voreinstellung ist die Zahl der Empfänger nicht begrenzt.

Kopien aller Berichte per E-Mail senden an:

Falls Sie Kopien aller zusammengefassten DMARC-Berichte und DMARC-Fehlerberichte (nur bei Nutzung der Tags fo=0 und fo=1) per E-Mail an bestimmte Empfänger senden lassen wollen, tragen Sie die E-Mail-Adressen der Empfänger hier ein. Trennen Sie mehrere Adressen durch Kommata.

Metadaten für DMARC-Berichte

Die folgenden Optionen dienen dazu, Informationen und Angaben zu Ihrer Organisation, sog. Metadaten, zu erfassen, die in die DMARC-Berichte aufgenommen werden.

Name der Organisation

Dies ist die Organisation, die für die Erstellung der DMARC-Berichte verantwortlich ist. Sie müssen eine der eigenen MDaemon-Domänen angeben; Sie können die Domäne aus dem Rollmenü auswählen.

Kontakt-E-Mail-Adresse

Hier können Sie eine lokale E-Mail-Adresse angeben, mit der sich die Empfänger der Berichte bei Fragen zum Bericht in Verbindung setzen können. Trennen Sie mehrere Adressen durch Kommata.

Kontaktdaten

Hier können Sie zusätzliche Kontaktdaten für die Empfänger der Berichte angeben, etwa eine Website oder Rufnummer.

Antwortpfad für Berichte

Hier können Sie den SMTP-Antwortpfad (die Bounce-Adresse) für die Nachrichten angeben, mit denen MDaemon die DMARC-Berichte versendet. Dieser Antwortpfad ist für Zustellfehler relevant; um solche Fehler zu ignorieren, geben Sie hiernoreply@<meinedomäne.com> an.

Siehe auch: