Auf dieser Seite erfahren Sie, was Domain-based Message Authentication ist, und wie es für die RWTH-E-Mail Kommunikation eingestellt ist.

Aufgrund der aktuell anhaltenden Bedrohungslage von Phishing Mails, die die RWTH Aachen erreicht, wurde entschieden die DMARC Policy von p=none auf p=reject zu konfigurieren.

• Definition
• Auswirkungen

Definition

Domain-based Message Authentication bezeichnet ein Verfahren zur Authentifizierung von E-Mails anhand der Absender-Domain. Ziel ist es, zu verhindern, dass E-Mails mit gefälschter Absenderadresse (z. B. bei Phishing oder Spoofing) im Namen einer Domain versendet werden.
Damit wird im besten Fall die Sicherheit des E-Mail-Verkehrs erhöht, Missbrauch von Domains verhindert und die Zustellbarkeit legitimer E-Mails vereinfacht.
In der Praxis wird Domain-based Message Authentication durch das Protokoll DMARC (Domain-based Message Authentication, Reporting and Conformance) umgesetzt.

DMARC baut auf den beiden etablierten E-Mail-Authentifizierungsverfahren auf:

• SPF (Sender Policy Framework): Prüft, ob der versendende Mailserver für die Absender-Domain autorisiert ist.
• DKIM (DomainKeys Identified Mail): Stellt mithilfe kryptografischer Signaturen sicher, dass die E-Mail unverändert ist und zur Domain des Absenders gehört.

DMARC verknüpft diese Prüfungen mit einer Domain-Policy, die im DNS der Domain veröffentlicht wird. Empfangende Mailserver nutzen diese Policy, um zu entscheiden, wie mit E-Mails umzugehen ist, die die Prüfungen nicht bestehen.
Abhängig von der Konfiguration kann festgelegt werden, dass nicht korrekt authentifizierte E-Mails:

• normal zugestellt werden (none),
• als Spam behandelt werden (quarantine),
• oder vollständig abgewiesen werden (reject).

Die DMARC Policy der RWTH wurde nun auf reject umgestellt.

Auswirkungen

Die Änderung hat zur Auswirkung, dass E-Mails, die von Externen versendet werden, die die Maildomäne aus der RWTH jedoch imitieren (z. B. @rwth-aachen.de), von den Mailservern der RWTH abgelehnt werden.
Ausnahmen hiervon bilden die Maildomänen über die in der Vergangenheit entsprechende Prozesse mit dem IT Center abgestimmt wurden.
Sollten derartige Prozesse in Ihrer Einrichtung aktiv sein, so nehmen Sie bitte Kontakt mit dem IT-ServiceDesk auf.

Bitte achten Sie darauf, das Mails vorzugsweise authentifiziertes SMTP über mail.rwth-aachen.de verwenden.
Sollte das aus technischen Gründen nicht möglich sein, so nutzen Sie bitte smarthost-tls.rwth-aachen.de oder smarthost.rwth-aachen.de ums Mails zu versenden.
Eine Kurzanleitung dazu finden Sie in unserem RWTH-E-Mail FAQ.

Darüber hinaus funktionieren konfigurierte Umleitungen auf RWTH externe E-Mail-Adressen ggf. nicht mehr. Sofern E-Mails an RWTH externe E-Mail-Adressen umgeleitet werden und dann wieder zurück auf die RWTH E-Mail-Adresse gesendet werden, werden diese E-Mails abgelehnt, da die DMARC Überprüfung nicht erfolgreich durchgeführt werden kann. Wir würden Sie bitten Umleitungen zu entfernen und stattdessen Weiterleitungen zu konfigurieren.