Alle wollen jetzt DMARC.
Natürlich.
E-Mail-Sicherheit. Domain-Schutz. Spoofing verhindern. Reputation verbessern. Zustellbarkeit optimieren. Klingt alles wichtig. Ist es auch.
Nur blöd, wenn dieselben Leute, die ganz dringend DMARC wollen, gleichzeitig nicht mal ein funktionierendes Postfach am Start haben.
Man schickt eine Mail.
Zurück kommt ein Fehler.
Postfach voll.
Oder Empfänger unbekannt.
Oder Mailserver fühlt sich heute nicht.
Oder SPF falsch.
Oder DKIM kaputt.
Oder DMARC so konfiguriert, als hätte jemand drei Blogartikel gelesen, zwei davon missverstanden und dann mutig DNS angefasst.
Aber Hauptsache:
p=reject
Sehr sicher.
Sehr erwachsen.
Sehr „wir haben jetzt Cyber gemacht“.
DMARC ist sinnvoll. Keine Frage. SPF, DKIM und DMARC sind wichtig, wenn man verhindern will, dass die eigene Domain aussieht wie ein offener Selbstbedienungsladen für Spam-Versand.
Aber E-Mail-Sicherheit ist kein Aufkleber.
Man kann nicht einfach drei DNS-Records setzen, sich innerlich einen Hoodie mit „Security“ anziehen und dann erwarten, dass der Rest durch Magie funktioniert.
E-Mail ist alt.
E-Mail ist kompliziert.
E-Mail ist ein historisch gewachsener Kabelsalat aus Standards, Workarounds, Servern, Weiterleitungen, Filtern, Gateways, Signaturen, Blacklists, Greylisting, Quarantäne, Zustellversuchen und Menschen, die immer noch Anhänge mit „scan_final_neu_wirklich.pdf“ verschicken.
Und genau in dieses Biotop stolpert jetzt jeder mit DMARC.
Schön.
Nur wäre es hilfreich, vorher wenigstens die Grundlagen im Griff zu haben.
Zum Beispiel:
Ist das Postfach erreichbar?
Radikale Frage, ich weiß.
Hat das Postfach Platz?
Noch radikaler.
Stimmen MX-Records?
Ist SPF nicht länger als ein Roman von Tolstoi?
Signiert DKIM wirklich?
Passt die Absenderdomain?
Gibt es eine Adresse für Reports, die nicht direkt selbst Bounces produziert?
Und liest irgendwer diese Reports eigentlich?
Oder landen die schön sicher in einem Postfach, das seit März voll ist?
Das ist mein Lieblingsmoment:
DMARC-Reports einrichten, aber die Report-Adresse ist kaputt.
Das ist wie eine Alarmanlage, die bei Einbruch einen Brief an ein abgerissenes Haus schickt.
Technisch ambitioniert.
Praktisch Quatsch mit Zertifikat.
Und dann diese Fehlermails.
Man bekommt sie zurück wie kleine digitale Ohrfeigen.
„Mailbox quota exceeded.“
„Recipient address rejected.“
„Authentication failed.“
„Message not accepted.“
„Domain has no valid MX.“
Wunderschön.
Das ist die Realität hinter der ganzen Sicherheitsfolie.
Alle reden über Policies, Alignment und Enforcement.
Aber irgendwo ist das Postfach von info@ voll, weil seit 2019 niemand die Bewerbungs-PDFs gelöscht hat.
Natürlich will jeder sichere Mail.
Aber sicher heißt nicht: möglichst streng konfigurieren und dann nicht mehr hinschauen.
Sicher heißt: verstehen, was man tut.
Beobachten.
Testen.
Reports lesen.
Langsam von p=none über quarantine zu reject.
Nicht direkt mit dem Vorschlaghammer in DNS rein und danach wundern, warum legitime Mails im Graben liegen.
DMARC ist kein Zauberstab.
DMARC ist eher ein Rauchmelder.
Hilfreich, wenn korrekt montiert.
Nervig, wenn er falsch hängt.
Komplett sinnlos, wenn niemand reagiert, sobald er piept.
Und genau das ist das Problem:
Viele wollen das Sicherheitsgefühl.
Nicht die Arbeit.
Sie wollen den Haken auf der Checkliste.
Nicht die Pflege danach.
Sie wollen sagen können: „Wir haben DMARC.“
Aber sie wollen nicht hören, dass ihre Mail-Infrastruktur aussieht wie ein Schuppen voller Mehrfachsteckdosen.
Am Ende bleibt E-Mail eben E-Mail.
Ein System, das seit Jahrzehnten irgendwie funktioniert, obwohl gefühlt jeder zweite Server anders beleidigt ist.
DMARC kann helfen.
Sehr sogar.
Aber bevor man die große Sicherheitsflagge hisst, könnte man vielleicht kurz prüfen, ob die eigene Mailadresse überhaupt Mails annimmt.
Nur so als Idee.
Ganz wild.
Fortschritt beginnt manchmal mit einem leeren Postfach.