DMARC-Prüfung

DMARC-Prüfung

DMARC-Prüfung und Berichterstellung aktivieren

Ist diese Option aktiv, so fragt MDaemon die DMARC-Einträge aus dem DNS für die Domänen ab, die in den Absenderkopfzeilen From: der eingehenden Nachrichten als Absender genannt sind. Falls Sie die entsprechenden Optionen im Konfigurationsdialog DMARC-Berichte aktivieren, sendet MDaemon auch zusammengefasste Berichte und Fehlerberichte. DMARC nutzt SPF und DKIM zur Echtheitsbestätigung von Nachrichten. Es muss daher mindestens eines dieser beiden Leistungsmerkmale aktiv sein, bevor DMARC genutzt werden kann. Die DMARC-Prüfung und die DMARC-Berichte sind per Voreinstellung aktiv. Ihre Nutzung empfiehlt sich in den meisten Einsatzbedingungen.

Falls Sie DMARC deaktivieren, kann dies Ihre Benutzer einem erhöhten Aufkommen an Spam, Phishing-Nachrichten und überhaupt Nachrichten mit gefälschten Absenderinformationen aussetzen. Es kann auch dazu führen, dass manche Listennachrichten Ihres Systems durch andere Server abgewiesen werden, und dass Benutzer aus Ihren Listen automatisch entfernt werden. Sie sollten DMARC daher nur dann deaktivieren, wenn Sie sich ganz sicher sind, dass Sie dieses Leistungsmerkmal nicht benötigen.

Nachrichten aus Verbindungen mit Echtheitsbestätigung nicht prüfen

Per Voreinstellung führt MDaemon für Nachrichten, die über Verbindungen mit Echtheitsbestätigung empfangen wurden, keine DMARC-Prüfung aus. Mögliche Arten der Echtheitsbestätigung sind dabei die SMTP-Echtheitsbestätigung, POP vor SMTP und die IP -Abschirmung.

Nachrichten von vertrauten IPs nicht prüfen

Per Voreinstellung führt MDaemon für Nachrichten, die von Vertrauten IP-Adressen aus eingehen, keine DMARC-Prüfung aus. Um die DMARC-Prüfung auch für solche Nachrichten auszuführen, deaktivieren Sie diese Option.

DMARC-Einträge zwischenspeichern

Per Voreinstellung speichert MDaemon die Daten aus den DMARC-Ressourceneinträgen zwischen, die im Rahmen der DNS-Abfrage übermittelt wurden. Diese Zwischenspeicherung erhöht die Verarbeitungsgeschwindigkeit, wenn Nachrichten mit derselben Absenderdomäne kurz hintereinander verarbeitet werden.

Cache

Durch Anklicken dieses Steuerelements öffnen Sie die Datendatei für den DMARC-Cache, in der die DMARC-Ressourceneinträge zwischengespeichert sind.

Weiße Liste

Durch Anklicken dieses Steuerelements öffnen Sie die Ausschlussliste für die DMARC-Prüfung. Eine DMARC-Prüfung unterbleibt für Nachrichten, die von IP-Adressen empfangen wurden, die in dieser Liste erfasst sind.

Die DMARC-Prüfung berücksichtigt auch die VBR-Zertifizierung und die Liste zugelassener Domänen. Diese Leistungsmerkmale können Nachrichten aufgrund der DKIM-Identifikationsmerkmale und der SPF-Pfade als Nachrichten behandeln, die von vertrauenswürdigen Quellen stammen. Geht beispielsweise eine Nachricht ein, die die DMARC-Prüfung nicht besteht, und hat diese Nachricht aber eine gültige DKIM-Signatur einer Domäne auf der Liste zugelassener Domänen, dann wird die Nachricht keinen aufgrund von DMARC zu treffenden Abwehrmaßnahmen unterworfen. Sie wird so behandelt, wie wenn die DMARC-Richtlinie "p=none" anwendbar wäre. Entsprechendes gilt, wenn die Prüfung des Absenders über das SPF bestätigt, dass die Nachricht von einer Domäne auf der Liste zugelassener Domänen stammt.

DMARC-gesteuerte Behandlung von Nachrichten

Richtlinie p=reject befolgen, falls DMARC das Ergebnis "FAIL" meldet

Diese Option ist per Voreinstellung aktiv. Sie bewirkt, dass die DMARC-Richtlinie p=reject befolgt wird, falls sie für die Domäne in der Absenderkopfzeile From: einer eingehenden Nachricht veröffentlicht ist und die Nachricht die DMARC-Prüfung nicht besteht. Die Nachricht wird dann während der SMTP-Verbindung abgewiesen.

Ist diese Option deaktiviert, und besteht eine Nachricht die DMARC-Prüfung nicht, so weist MDaemon die Nachricht nicht ab, sondern fügt die Kopfzeile "X-MDDMARC-Fail-policy: reject" in die Nachricht ein. Sie können dann mithilfe des Inhaltsfilters Aktionen für Nachrichten durchführen lassen, die diese Kopfzeile enthalten, etwa die Nachricht zur genaueren Prüfung in einen bestimmten Ordner verschieben. Sie können auch mithilfe der Option "Nachrichten nach Fehlschlagen der DMARC-Prüfung in die Spam-Ordner verschieben" solche Nachrichten in die Spam-Ordner der Empfänger verschieben lassen.

Auch wenn diese Option deaktiviert ist, können Nachrichten aus anderen Gründen als der DMARC-Prüfung abgewiesen werden, etwa, wenn die Spam-Bewertung den Schwellwert überschreitet.

Nachrichten nach Fehlschlagen der DMARC-Prüfung in die Spam-Ordner verschieben

Diese Option bewirkt, dass MDaemon Nachrichten automatisch in die Spam-Ordner der Empfänger verschiebt, falls sie die DMARC-Prüfung nicht bestehen. Falls dieser Ordner für einen Empfänger noch nicht besteht, legt MDaemon den Ordner automatisch an, sobald er zum ersten Mal gebraucht wird.

Ist diese Option aktiv, so werden Nachrichten nur dann verschoben, wenn für die Domäne in der Absenderkopfzeile From: eine restriktive DMARC-Richtlinie veröffentlicht ist, also p=quarantine oder p=reject. Ist für die Domäne die Richtlinie p=none veröffentlicht, dann geht MDaemon davon aus, dass DMARC nur beobachtend betrieben wird, und dass keine Abwehrmaßnahmen getroffen werden sollen.

Siehe auch: