Die beliebteste DMARC-Policy: Nichts tun

Ein DMARC-Record enthält einen Wert für eine Policy, die entscheidet, was ein Empfänger mit einer Mail tun soll, bei der Checks fehlschlagen. Die Policy kann einen von drei Werte enthalten - "reject", "quarantine" oder "none". Die stehen jeweils dafür, die Mail abzulehnen ("reject"), die Mail anzunehmen, aber in einen Quarantäneordner zu verschieben ("quarantine") oder überhaupt nichts zu tun ("none") und die Mail normal zuzustellen.

Von den größeren Freemail-Providern nutzt als einziger Yahoo eine Reject-Policy. Gmail, unbestritten der Marktführer im E-Mail-Markt, nutzt als Policy für gmail.com "none", die Domains outlook.com und hotmail.com von Microsofts Freemail-Service ebenfalls. Die in Deutschland beliebten Freemail-Dienste von GMX und Web.de nutzen DMARC überhaupt nicht, Mailbox.org und Posteo nutzen so wie Gmail "none".

Im Klartext: Bei großen Mailanbietern wird auf DMARC entweder ganz verzichtet oder es wird in einer Form angewandt, in der man das Spoofing von Mails zwar prüfen kann, im Fall einer fehlgeschlagenen Prüfung aber nichts tun und die Mail trotzdem zustellen soll.

Kein Druck, Mailinglisten anzupassen

Das führt wiederum umgekehrt dazu, dass viele Mailinglistenbetreiber keinen Druck verspüren, ihre Software und Services an DMARC anzupassen. In den allermeisten Fällen funktioniert es weiterhin. Den wenigen Nutzern, deren Anbieter DMARC wirklich scharf gestellt haben, wird häufig empfohlen, doch einfach eine andere Mailadresse zu nutzen.

Google hatte 2016 angekündigt, die Policy der Gmail-Domains auf "reject" zu ändern, von Microsoft gab es ähnliche Pläne. Das hätte angesichts der Marktmacht sehr wahrscheinlich dazu geführt, dass alle Mailinglistenbetreiber sich angepasst hätten. Doch umgesetzt wurde diese Ankündigung nicht. Zunächst wurde die Änderung verschoben, dann verlief das Vorhaben im Sande. Eine offizielle Erklärung dazu gibt es nicht, es ist aber zu vermuten, dass Google die Kompatibilitätsprobleme abschreckten.

DMARC in einem Schwebezustand

Das führt dazu, dass sich DMARC in einem Schwebezustand befindet. Es wird nur von wenigen wirksam genutzt, führt aber zu Inkompatibilitäten mit bestehender Infrastruktur. Es gibt aber so wenige Nutzer, dass man über vereinzelt verlorene Mails hinwegsehen kann. Trotzdem dürften Administratoren unzählige Stunden damit zugebracht haben, unerklärlich nicht zugestellten Mails nachzurecherchieren.

Wünschenswert wäre, dass sich die großen Mailanbieter koordinieren und eine Entscheidung treffen. Entweder man entschließt sich dazu, DMARC fallen zu lassen und überlegt sich, ob man einen neuen Standard zur Verhinderung von Spoofing braucht, bei dessen Entwicklung man sich mehr Gedanken über Kompatibilität und einen Plan zur Einführung macht.

Oder man entscheidet sich, das bestehende System durchzuziehen, DMARC scharf zu stellen und zwingt damit verbleibende Mailinglisten, sich anzupassen. Dann müssten aber die großen Anbieter und natürlich insbesondere Gmail mitziehen.

Bis dahin ist DMARC vor allem eins: Ein Ärgernis, das gelegentlich zu verlorenen Mails führt und dabei Spoofing in aller Regel nicht verhindert - und ein Beispiel dafür, was man bei der Einführung von Internetstandards alles falsch machen kann.