DMARC initial einrichten - ein paar Anfängerfragen

    Hallo Forum,


    ich habe für meine Domain erfolgreich SPF & DKIM eingerichtet, nun fehlt nur noch DMARC. Zu letzterem habe ich mich schon ein wenig eingelesen, habe aber noch ein paar kurze Fragen.


    Randinfo: ich habe meine Domain-Emails nicht direkt bei netcup (hier liegt nur meine Website), sondern habe sie zu Mailbox.org gezogen (per MX-Record & über ein Alias eingebunden). Sollte aber für den DMARC Teil nicht relevant sein.


    1. Ist es empfehlenswert eine dedizierte Email Adresse für den DMARC Eintrag zu nehmen? Ich kann überhaupt nicht einschätzen, wieviel an DMARC Reports hier reinkommen wird, möchte aber vermeiden mit Report "zugeflutet" zu werden. Ich gehe davon aus, dass es keine gute Idee ist, seine "Hauptemail" dafür zu nehmen?
    2. (an 1. anlehnend): Kann es eine beliebige Email sein oder muss es "postmaster@mydomain.com" sein? In den meisten Beispielen die ich online gesehen habe, wurde überall die postmaster@... verwendet.
    3. Ist es sinnvoll die Policy vorerst auf "p=none" zu lassen für einige Zeit und dann mglw. erst später auf eine verwerfende, striktere Policy zu wechseln? Wie sind da Eure Erfahrungen gewesen?
    4. An mein initial beschriebenes Mailsetup anlehnend: spricht irgendetwas dagegen, mir ein Mailalias speziell für DMARC Mails anzulegen und per Sieve-Filter direkt auf dem Server vorzufiltern um diese DMARC Mails in einen separaten Ordner meines Mailaccounts zu schieben? Wie handhabt ihr dies?

    Freue mich über Feedback!

    1) Schon alleine um die Hauptadresse nicht (weiter) öffentlich zu machen, würde ich ein anderes Postfach verwenden.

    2) Du kannst eine beliebige Adresse verwenden.

    3) Das kann man machen. Wenn du dir sicher bist, dass DKIM und SPF korrekt konfiguriert sind, kannst du aber auch direkt eine striktere Policy verwenden.

    4) Letztlich ist das nur eine Frage, wie du es organisieren willst. Technisch ist das wohl ziemlich egal.

    Zitat von Telly

    ich habe für meine Domain erfolgreich SPF & DKIM eingerichtet, nun fehlt nur noch DMARC. Zu letzterem habe ich mich schon ein wenig eingelesen, habe aber noch ein paar kurze Fragen. […] Freue mich über Feedback!

    1. Ja, es ist keine gute Idee. Insbesondere, wenn man auf größeren Mailinglisten aktiv ist.
    2. Es kann eine beliebige E-Mail-Adresse sein. Ich verwende gerne "dmarc@". "postmaster@" wird wahrscheinlich häufig verwendet, weil sie laut RFC vorgeschrieben ist. (Filtern kann man ja immer, vgl. 4)
    3. Das ist durchaus sinnvoll für erste Tests. Bei Unternehmensdomänen würde ich mit der Umstellung ggf. allerdings nicht lange warten.
    4. Genau so handhabe ich das auch.

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

    Danke 1

    Lieben Dank für das Feedback, Dragon  m_ueberall !


    Ich habe den DMARC Einträg gestern gesetzt und erstmal folgende Policy verwendet:


    v=DMARC1; p=none; fo=1; rua=mailto:dmarc@mydomain.com;


    Bisher kam noch nichts rein auf die Mail. 2 Fragen noch weitergehend:


    1. mailbox.org empfiehlt eine relativ niedrige TTL für den DMARC TXT Record (ca. 5 Minuten). Wenn ich keine Änderungen an dem Eintrag längerfristig plane vorzunehmen, wieso die kurze TTL? Habt ihr die TTL bei Eurem Registrar auf “Automatik” gelassen?
    2. Ich habe heute mal ein paar DMARC Checker auf meine Domain geprüft. Was mich etwas wundert ist, dass zwar kommt, dass ein valider DMARC Eintrag vorliegt, aber gleichzeitig die Meldung erscheint:

    "Your domain has a valid DMARC record but the DMARC policy does not prevent abuse of your domain by phishers and spammers."


    Ist das auf die “p=none” Policy zurückzuführen? Sollten keinerlei Reports an die DMARC-EMail kommen, macht es dann Sinn auf "quarantine" oder "reject" zu wechseln? Irgendwelche Empfehlungen diesbezüglich?


    Noch mal Danke für Eure Hilfe!

    Schick mal was an Microsoft-Adressen (outlook.de, outlook.com etc) oder gmail-Adressen. Da sind Mailserver, die auch Protokolle liefern. Das zu tun ist ja für den empfangenden Mailserver keine Verpflichtung, viele tun es nicht. Die TTL bestimmt eben, wie schnell eventuelle Änderungen von anderen Nameservern weltweit übernommen werden. Ich nehme meist etwa eine Stunde. Bei deSEC werden die aber von öffentlichen Resolver von Google/Cloudflare etc trotzdem schneller aktualisiert.


    Ja, die Meldung liegt an "p=none". Damit wird ja die Auslieferung von gefälschten Mails nicht unterbunden. Damit schaust du dir derzeit nur durch die Protokolle an, was so alles passiert. Also ob deine eigenen Mails von deiner Domain die Tests bestehen und wer sonst noch so alles mit deiner Domain sendet. Zu letzterem ist bisher meine Erfahrung, dass ich Meldungen über unberechtigte Mails nur von mail.ru bekomme. Letztens muss wohl ein Mailserver in Gambia eine Mail von einer meiner Domains an eine mail.ru Adresse geschickt haben, die dann als Spam ausgeliefert wurde(p=quarantine war ingestellt, aber viele Mailserver weisen auch dann nicht ab, wenn man p=reject verwendet).

    Zitat von tab

    Schick mal was an Microsoft-Adressen (outlook.de, outlook.com etc) oder gmail-Adressen. Da sind Mailserver, die auch Protokolle liefern. Das zu tun ist ja für den empfangenden Mailserver keine Verpflichtung, viele tun es nicht. Die TTL bestimmt eben, wie schnell eventuelle Änderungen von anderen Nameservern weltweit übernommen werden. Ich nehme meist etwa eine Stunde. Bei deSEC werden die aber von öffentlichen Resolver von Google/Cloudflare etc trotzdem schneller aktualisiert.


    Ja, die Meldung liegt an "p=none". Damit wird ja die Auslieferung von gefälschten Mails nicht unterbunden. Damit schaust du dir derzeit nur durch die Protokolle an, was so alles passiert. Also ob deine eigenen Mails von deiner Domain die Tests bestehen und wer sonst noch so alles mit deiner Domain sendet. Zu letzterem ist bisher meine Erfahrung, dass ich Meldungen über unberechtigte Mails nur von mail.ru bekomme. Letztens muss wohl ein Mailserver in Gambia eine Mail von einer meiner Domains an eine mail.ru Adresse geschickt haben, die dann als Spam ausgeliefert wurde(p=quarantine war ingestellt, aber viele Mailserver weisen auch dann nicht ab, wenn man p=reject verwendet).

    Danke Dir tab! Bez. TTL: ja, generell kenne ich den Wert in Bezug auf DNS, mich hat nur gewundert, dass mein Mailhost (mailbox.org) in diesem speziellen Fall für den DMARC TXT Record eine geringe TTL empfiehlt - siehe Screenshot anbei. Gibt es dazu irgendeinen besonderen Grund?


    Zur Policy noch mal eine generelle Verständnisfrage: wenn ich keine Reports erhalte, kann ich davon ausgehen, dass meine Maildomain schlicht nicht "misbraucht" wird und mehr oder weniger sauber ist?


    Ich würde dann demnächst die Policy umstellen auf:


    v=DMARC1; p=reject; fo=1; rua=mailto:dmarc@mydomain.com


    Letzte Frage dazu: ist es sinnvoll mittels "fo=1" das Kriterium etwas strikter zu machen (bei 1 reicht es aus wenn SPF oder DKIM bei der Überprüfung fehlschlägt, bei 0 muss SPF und DKIM fehlschlagen)?


    Ich kann den Impact wie gesagt mangels Erfahrung nicht abschätzen...

    Ich nehme an, die empfehlen die kurze TTL, damit man nötigenfalls schneller den Eintrag ändern kann. Man könnte ja im Falle von häufiger vorkommenden Missbräuchen z.B. auch "forensische Reports" anfordern wollen. Oder speziell zu Beginn, die eigenen Mails kommen nicht mehr an. Dann ist man froh, nur eine kurze TTL eingestellt zu haben.


    Grundsätzlich kannst du zwar nie sicher sein, dass deine Domain nicht missbraucht wird, weil eben nicht jeder Mailserver Reports schickt. Von Microsoft bekomme ich grundsätzlich immer Reports, wenn ich eine oder mehrere Mails an eine Micosoft-Adresse verschickt habe. Auch wenn es wie bei meinen Mails keine Schwierigkeiten gegeben hat. Das sieht dann (auszugsweise) so aus:

    Deswegen empfehle ich das ja zum Testen. Die Reports kommen aber schon zeitversetzt, meist ca. zwei Tage nach Versand einer Mail. Wenn du also eine Mail dahin geschickt hast und es kommt nach ein paar Tagen kein Report von Microsoft, dann läuft was schief.

    Wenn du vorhast, irgendwann eine Adresse der Domain woanders hin weiterzuleiten, dann empfiehlt sich fo=0. Weil bei Weiterleitungen in der Regel entweder DKIM oder SPF fehlschlägt. Ist fo=0 gesetzt, ist das kein großes Problem. Bei fo=1 dagegen schon, weil das dann alle weitergeleiteten Mails betreffen würde.

    Hi tab , danke! Ich will das Thema nicht länger melken als nötig, Du hast ja quasi schon alles erläutert.


    TTL für DMARC: macht Sinn, ich lasse sie auf 5 Minuten. Ich beobachte weiterhin mal was an Reports kommt, leider habe ich keine Mircrosoft oder Google Mail Adressaten zum Testen.


    Ich habe nicht vor meine Mails umzuziehen, so lange Mailbox.org existiert (und ich hoffe, dass tun sie noch lange) würde ich gerne meine Mail dort weiterhosten. Ich bin mehr als zufrieden mit dem Mailhosting der eigenen Domain dort.


    Aufgrund dessen - und das hast Du ja in Deinem letzten Absatz bestätigt, läuft es bei mir nach der "Testphase" auf


    v=DMARC1; p=reject; fo=1; rua=mailto:dmarc@mydomain.com


    hinaus (also mit reject und fo=1). Macht das Sinn?


    Nochmals Danke für Deine Infos und Deinen langen Atem ;)

    Zitat von Valkyrie

    Erstell dir doch eben eine Adresse, man muss dafür ja nichts (sinnvolles) angeben :)

    tellyistoberkrass@gmail.com klingt doch gut ^^

    :) Irgendwie hatte ich Erinnerung, dass man für die Erstellung von Gmail Accounts eine valide Mobilnummer angeben musste zur Verifizierung des Mailaccounts (zumindest meine ich, dass das früher mal so war - da wäre ich dann jedenfalls raus). Wenn das inzwischen so easy ist: danke für den Hinweis, dann checke ich das mal.


    Du kannst ohne eine Mobilnummerverifizierung keinen Googleaccount erstellen, habs gerade getestet ... :( das wird jetzt aber zu sehr offtopic, ich schaue mal wie ich es teste. Ansonsten muss ja irgendwann mal früher oder später auch von einem Nicht-Google/Mircrosoft Mailserver so ein Report kommen.

    Yahoo versendet übrigens auch DMARC-Records.


    Schreib mir ansonsten mal ne PN, wenn du eine Microsoft-Adresse brauchst. Hab auch nur eine für genau diesen Zweck. ^^

    RS Brezn | VPS 500 G8 Plus | 2× VPS Karneval 2020 | VPS Pocket Admin | RS Cyber Quack | VPS 500 ARM


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*

    Danke 1 Gefällt mir 1
    Zitat von Telly

    Du kannst ohne eine Mobilnummerverifizierung keinen Googleaccount erstellen, habs gerade getestet

    dabei habe ich erst gestern am PC einen Google Account für ein Testgerät erstellt - und das ohne Handynr. Lediglich eine weitere Mailadresse zur Passwortwiederherstellung habe ich hinterlegt (gefühlt war das auch optional, aber da bin ich mir nicht sicher)


    pasted-from-clipboard.png


    Evtl. vom Endgerät abhängig o.ä.? Sag gern Bescheid wenn ich dir auch eine erstellen soll. ;)

    Zitat von DerRené

    dabei habe ich erst gestern am PC einen Google Account für ein Testgerät erstellt - und das ohne Handynr. Lediglich eine weitere Mailadresse zur Passwortwiederherstellung habe ich hinterlegt (gefühlt war das auch optional, aber da bin ich mir nicht sicher)


    pasted-from-clipboard.png


    Evtl. vom Endgerät abhängig o.ä.? Sag gern Bescheid wenn ich dir auch eine erstellen soll. ;)

    Danke Dir DerRené ! Kann auch sein, dass es an meinem VPN lag ... ich habs jetzt nicht weitergehend ausprobiert, aber es war bei mir nicht optional. Ich bin jetzt mit Virinum in Kontakt, der netterweise eine zum "DMARC Testing" bereitstellt. Aber lieben Dank, dass Du hier auch aushelfen kannst - ich seid alle wirklich super hilfsbereit. :saint: Finde ich klasse und hoffe, ich kann irgendwann auch mal Hilfe beisteuern.

    Alles klar, wollte es nur erwähnt haben, damit du ggf. selbst in Ruhe testen kannst. Würde mich tatsächlich nicht wundern wenn's am VPN lag.

    Aber durch die von Virinum zur Verfügung gestellte Test-Adresse kommst du ja genauso gut ans Ziel. :)


    Viel Glück euch beim Debugging. :thumbup: