Einleitung
In diesem Dokument werden die allgemeinen DMARC-Architekturkonzepte (Domain-based Message Authentication, Reporting and Conformance) sowie die Alignment-Anforderungen von Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM) in Bezug auf DMARC beschrieben.
Terminologie
In diesem Abschnitt werden einige der in diesem Dokument verwendeten Schlüsselbegriffe beschrieben und definiert.
- EHLO/HELO - Die Befehle, die die Identität eines SMTP-Clients während der Initialisierung einer SMTP-Sitzung gemäß RFC 5321 bereitstellen.
- Von-Header - Das Feld Von: gibt den/die Autor(en) einer Nachricht an. Normalerweise enthält es den Anzeigenamen (was einem Endbenutzer vom E-Mail-Client angezeigt wird) sowie eine E-Mail-Adresse, die einen lokalen Teil und einen Domänennamen (z. B. "Karl Müller" <johndoe@example.com>) gemäß RFC 5322 enthält.
- MAIL FROM: Dieser Wert wird vom MAIL-Befehl zu Beginn einer SMTP-Sitzung abgeleitet und stellt die Absender-ID gemäß RFC 5321 bereit. Er wird auch als Umschlagabsender, Rückgabepfad oder Bounce-Adresse bezeichnet.
DMARC = Identifier Alignment
DMARC verknüpft die DKIM- und SPF-Authentifizierung mit den Angaben im Von-Header. Dies erfolgt durch Alignment. Für die Ausrichtung muss die von SPF und DKIM authentifizierte Domänenidentität mit der Domäne in der E-Mail-Adresse übereinstimmen, die für den Endbenutzer sichtbar ist.
Beginnen wir damit, was eine Kennung ist und warum sie in Bezug auf DMARC wichtig ist.
Bezeichner
Bezeichner identifizieren einen zu authentifizierenden Domänennamen.
Bezeichner in Bezug auf DMARC:
- SPF:
SPF authentifiziert die Domäne, die entweder im MAIL FROM- oder EHLO/HELO-Abschnitt der SMTP-Konversation oder in beiden vorkommt. Dabei kann es sich um verschiedene Domänen handeln, die für den Endbenutzer normalerweise nicht sichtbar sind.
- DKIM:
DKIM authentifiziert die Signaturdomäne, die an eine Signatur innerhalb des d=-Tags angeheftet ist.
Diese Identifikatoren (SPF und DKIM) werden anhand der im Von-Header abgeleiteten Domänenkennung authentifiziert. Die Von-Header-Domäne wird verwendet, da es sich um das gängigste MUA-Feld (Mail User Agent) für den Absender der Nachricht handelt und von den Endbenutzern verwendet wird, um die Quelle der Nachricht (einen Absender) zu identifizieren. Dadurch wird der Von-Header auch zum primären Ziel für Missbrauch.
Achtung: DMARC kann Missbrauch nur gegen einen gültigen From-Header schützen.
DMARC kann nicht ausgeführt werden auf:
- Ungültige, fehlende oder wiederholte RFC 5322-Header
- Header sind nicht konform, da sie nicht validiert werden
- Wenn der Header mehr als eine Domänenidentität enthält (*)
Daher sollte zusätzlich zu DMARC ein Prozess vorhanden sein, um Nachrichten mit nicht konformen, falsch geformten Headern zu identifizieren und eine Möglichkeit zu implementieren, diese als nicht DMARC-konforme Header zu markieren und sichtbar zu machen.
(*) DMARC muss eine einzelne Domänenidentität aus dem Header extrahieren. Wenn mehr als eine E-Mail-Adresse im Header vorhanden ist, wird dieser Header in den meisten DMARC-Implementierungen übersprungen. Verarbeitungs-Header mit mehr als einer Domänenidentität werden in der DMARC-Spezifikation als außerhalb des Gültigkeitsbereichs liegend angegeben.
Wenn die Cisco ESA mehr als eine Domänenidentität erkennen kann, hinterlässt sie eine entsprechende Nachricht in den E-Mail-Protokollen:
(Machine esa.lab.local) (SERVICE)> grep -i "verification skipped" mail_logs
Tue Oct 16 14:13:52 2018 Info: MID 2003 DMARC: Verification skipped (Sending domain could not be determined)
Identifikator-Ausrichtung
Die Identifikatorausrichtung definiert eine Beziehung zwischen der durch SPF und/oder DKIM authentifizierten Domäne und dem From-Header. Alignment ist ein Abgleichprozess, der nach erfolgreicher Verifizierung von SPF und/oder DKIM zusätzlich erfüllt werden muss. Bei der DMARC-Authentifizierung muss mindestens einer der von SPF oder DKIM verwendeten Identifikatoren (Domänenidentität) mit dem Domänenabschnitt der Von-Header-Adresse abgeglichen werden.
DMARC führt zwei Ausrichtungsmodi ein:
- Der strikte Modus erfordert eine exakte Übereinstimmung (Ausrichtung) zwischen Domänennamen.
- entspannter Modus erlaubt die Subdomäne derselben Domäne
Eine Kennzeichnerausrichtung ist erforderlich, da eine Nachricht eine gültige Signatur von jeder Domäne tragen kann, einschließlich von einer Mailingliste verwendeter Domänen oder sogar eines Angreifers. Daher reicht es nicht aus, nur eine gültige Signatur zu tragen, um auf die Authentizität der Author Domain schließen zu können.
DKIM-Ausrichtung
Der DKIM-Domänenbezeichner wird durch Überprüfen des Tags d= in einer DKIM-Signatur ermittelt und mit der Von-Header-Domäne verglichen, um eine DKIM-Signatur erfolgreich zu überprüfen.
Beispielsweise kann die Nachricht im Namen der Domäne d=blog.cisco.com signiert werden, die die Domäne blog.cisco.com als Signierer identifiziert. DMARC verwendet diese Domäne und vergleicht sie mit dem Domänenteil des Von-Headers (z. B. noreply@cisco.com). Die Ausrichtung zwischen diesen Bezeichnern schlägt im strikten Modus fehl, wird jedoch im entspannten Modus erfolgreich durchgeführt.
Hinweis: Eine einzelne E-Mail kann mehrere DKIM-Signaturen enthalten. Sie gilt als DMARC-"Pass", wenn eine DKIM-Signatur übereinstimmt und verifiziert wird.
SPF-Ausrichtung
Der SPF (spfv1)-Mechanismus authentifiziert Domänenbezeichner, die von folgenden Geräten übermittelt werden:
- MAIL FROM identity (Befehl MAIL FROM)
- HELO/EHLO-Identität (HELO/EHLO-Befehl)
Die MAIL FROM-Domänenidentität versucht standardmäßig authentifiziert zu werden. Die HELO-Domänenidentität wird von DMARC nur für Nachrichten mit einer leeren MAIL FROM-Identität, wie Bounce-Nachrichten, authentifiziert.
Ein gängiges Beispiel hierfür ist, dass eine Nachricht mit einer anderen MAIL FROM-Adresse (noreply@blog.cisco.com) als im From-Header (noreply@cisco.com) versendet wird. Der MAIL FROM-Domänen-Identitätsteil von noreply@blog.cisco.com wird mit der From-Header-Domäne von noreply@cisco.com im entspannten Modus ausgerichtet, aber nicht im strikten Modus.
Ausrichtungsmodus-Tags
Die DMARC-Ausrichtungsmodi können in einem DMARC-Richtliniendatensatz mithilfe von Adkim- und ASPF-Ausrichtungsmodustags definiert werden. Diese Tags geben an, welcher Modus für die Ausrichtung von DKIM- oder SPF-Bezeichnern erforderlich ist.
Modi können auf relaxed oder strict gesetzt werden, wobei relaxed der Standardwert ist, wenn kein Tag vorhanden ist. Dies kann unter dem Tag-Wert wie folgt festgelegt werden:
- r: entspannter Betrieb
- s: strikter Modus
Referenz
Feedback