Wenn Mailserver mit DMARC Ping-Pong spielen

DMARC-Reports diverser Absender

DMARC ermöglicht durch Richtlinien und Reports bessere Kontrolle über Spoofing von Mailadressen und kann Nutzer entsprechend konfigurierter Mailserver besser vor authentisch wirkenden Phishingmails schützen.

Ablauf

Sende ich von marlon@mydomain.tld an max@mustermann.tld, prüft der Empfänger den TXT-DNS-Eintrag unter _dmarc.mydomain.tld, wendet die Richtlinie an und sendet von noreply-dmarc@mustermann.tld einen Report an die enthaltene E-Mail Adresse dmarc@mydomain.tld, um mich über Erfolg oder Probleme bei der Richlinienprüfung zu informieren.

Nun prüft mein Mailserver den Eintrag unter _dmarc.mustermann.tld, wendet die Richtlinie an und sendet von noreply-dmarc@mydomain.tld einen Report an die enthaltene E-Mail Adresse dmarc@mustermann.tld, um ihn über Erfolg oder Probleme bei der Richtlinienprüfung zu informieren. […]

Das Problem an dieser Konfiguration: die Mailserver hören nicht auf, Ping-Pong mit Reports zu spielen. Um die Schleife zu brechen, muss mindestens eine Seite Konfigurationsänderungen vornehmen.

Workaround

Ein einfacher Weg besteht in einer eigenen DMARC-Richtlinie für die Absenderadresse der Reports: für die Subdomain dmarc.mydomain.tld konfiguriere ich SPF, DKIM und DMARC, fordere jedoch kein Reporting an und hinterlege keine Empfängeradresse. Nach Änderung der Absenderadresse zu noreply-dmarc@dmarc.mydomain.tld erhalte ich nun keine Reports mehr als Antwort auf meine eigenen Reports, schütze jedoch weiterhin alle Domains und Subdomains mit SPF, DKIM und DMARC.

Ein genereller Verzicht auf den Versand von Reports als Antwort auf Reports ist nicht zu Empfehlen, denn ist für die Absenderadresse ein DMARC-Record mit angegebener Reportingadresse eingerichtet, würde dies eine Missachtung darstellen. Ein Beispiel: Google sendet DMARC-Reports von noreply-dmarc-support@google.com, unter _dmarc.google.com finde ich mailauth-reports@google.com. Entsprechend wünscht Google, Reports für im Namen von google.com versendete Mails zu erhalten.

Referenzen

RFC 7489 – Domain-based Message Authentication, Reporting, and Conformance (DMARC)

GitHub rspamd – [BUG] DMARC Reporting is playing ping pong