Discussion:
[Postfixbuch-users] DMARC
Christian Felsing
2014-08-29 16:13:00 UTC
Permalink
Hallo zusammen,

nutzt jemand von Euch bereits DMARC?

Auf den ersten Blick wirkt es zumindest eher durchdacht, als SPF.

Viele Grüßen
Christian
Patrick Ben Koetter
2014-08-29 17:23:10 UTC
Permalink
* Christian Felsing <postfixbuch-users at listen.jpberlin.de>:
> nutzt jemand von Euch bereits DMARC?
>
> Auf den ersten Blick wirkt es zumindest eher durchdacht, als SPF.

Wir nutzen es nur inbound, d.h. wir publizieren keine DMARC policy.

DMARC ist nicht so durchdacht wie es nötig wäre. Es fehlt vor allem an einer
brauchbaren Interop mit Mailinglisten. Die neu gegründete IETF WG soll eine
Lösung erarbeiten. Bis dahin würde ich von einer eigenen Policy absehen.

p at rick

--
[*] sys4 AG

https://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
&quot;Jörg Sitek&quot;
2014-09-03 11:25:37 UTC
Permalink
Hallo p at trick,

> Wir nutzen es nur inbound

Wie genau macht ihr das? Gibt es da schon einen Deamon für, oder wie lässt sich das mit Postfix abbilden? Würde es auch gerne nutzen um etwas ristriktive Regeln in den smtpd_recipient_restrictions ablösen zu können.
Wie versendet ihr die XML-Report Mails zu denen, die einen DMARC-Eintrag haben?



> DMARC ist nicht so durchdacht wie es nötig wäre. Es fehlt vor allem an einer
> brauchbaren Interop mit Mailinglisten. Die neu gegründete IETF WG soll eine
> Lösung erarbeiten. Bis dahin würde ich von einer eigenen Policy absehen.

Ich finde den Ansatz sehr interessant und unterstützenswert. Da wir nicht groß mit Mailinglisten interagieren habe ich für unsere Hauptdomains und Newsletterdomains DMARC Einträge gesetzt. Ich finde, zumindest mit der Option monitor gibt es einen interssanten Einblick, ob und woher mit der eigenen Domain gespammt wird. Auch wenn sich bisher nur gefühlt 10% der Provider daran beteiligen.

Ohne Werbung machen zu wollen, beim Anbieter https://dmarcian.com/ können dann die XML-Reports in eine grafische Ansicht ausgewertet werden. Wer sich registriert, kann dann sogar die Reports direkt an den Anbieter schicken und bekommst so eine 90 Tage Statistik. Die XML-Reports manuell auszuwerten finde ich doch etwas mühsam.

Viele Grüße,
Jörg
Andreas Schulze
2014-09-03 11:45:17 UTC
Permalink
Am 03.09.2014 13:25 schrieb "Jörg Sitek":
> Wie genau macht ihr das? Gibt es da schon einen Deamon für, oder wie lässt sich das mit Postfix abbilden? Würde es auch gerne nutzen um etwas ristriktive Regeln in den smtpd_recipient_restrictions ablösen zu können.
> Wie versendet ihr die XML-Report Mails zu denen, die einen DMARC-Eintrag haben?

schau Dir OpenDMARC (http://www.trusteddomain.org/opendmarc.html) an.
Das ist ein Milter, der DMARC beim Empfang validieren kann und daraus auch die Reports zum Versand erzeugt.

Mailing-Listen: http://www.trusteddomain.org/mailman/listinfo

> Ich finde den Ansatz sehr interessant und unterstützenswert. Da wir nicht groß mit Mailinglisten interagieren habe ich für unsere Hauptdomains und Newsletterdomains DMARC Einträge gesetzt. Ich finde, zumindest mit der Option monitor gibt es einen interssanten Einblick, ob und woher mit der eigenen Domain gespammt wird. Auch wenn sich bisher nur gefühlt 10% der Provider daran beteiligen.
Provider/Firmen sind recht scheu, solche Reports zu versenden:

Szenario bei dem jeder Datenschützer erstmal im Dreieck springt:
- Provider P berichtet dem Domaineigner D, dass sein Kunde K eine Mail von einem externen Dritten X
bekommen hat/sollte wobei X die Identität von D gefälscht hat.

Und das sind nur die "harmlosen" aggregieren Reports...

> Ohne Werbung machen zu wollen, beim Anbieter https://dmarcian.com/ können dann die XML-Reports in eine grafische Ansicht ausgewertet werden. Wer sich registriert, kann dann sogar die Reports direkt an den Anbieter schicken und bekommst so eine 90 Tage Statistik. Die XML-Reports manuell auszuwerten finde ich doch etwas mühsam.
Yep, da ist man gut aufgehoben. Dennoch sollte man sich bewusst sein, dass die Server in Nordamerika stehen...

--
Andreas Schulze
Internetdienste | P252

DATEV eG
90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196
E-Mail info at datev.de | Internet www.datev.de
Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70

Vorstand
Prof. Dieter Kempf (Vorsitzender)
Dr. Robert Mayr (stellv. Vorsitzender)
Eckhard Schwarzer (stellv. Vorsitzender)
Dr. Peter Krug
Jörg Rabe von Pappenheim

Vorsitzender des Aufsichtsrates: Dirk Schmale
Lesen Sie weiter auf narkive:
Loading...