DMARC Fail ADAC mit P=None

Inhaltsverzeichnis

Die Mail
DNS: SPF und DMARC
SMTP-Header
Auswertung
Einschätzung
Weitere Links

Eine Spam-Mail, die angeblich vom ADAC stammt, dient mir als Anlass die DMARC-Fehlkonfiguration "p=none" zu erläutern.

Die Mail

Mein Mailempfänger (IONOS) hat zu dem Zeitpunkt der Mail anscheinend keine strenge DMARC-Unterstützung implementiert, wie ich auf DMARC Fail mit IONOS beschrieben habe, so dass die Mail nicht im Postfach sondern in meiner Quarantäne bei IONOS gelandet ist. IONOS nutzt sicher eigene weitere Kriterien, z.B. Content-Analysen etc., um Spam zu finden.

Die Mail selbst, sollte sie im Postfach landen, sieht erst einmal nicht so falsch aus.

Die Absender passen, die Texte sind nicht offensichtlich falsch. Der geübte Anwender wird beim Thema "Sicherheitsaktualisierung", der fehlenden Individuellen Ansprache und dem Link auf eine fremde Seite natürlich zurückschrecken.

DNS: SPF und DMARC

Auch hier schaue ich mir die DNS-Einträge des angeblichen Absenders "ADAC.DE" an.

SPF "v=spf1 a:b2b-fahrsicherheit.de ip4:194.45.37.22/32 ip4:213.252.185.26/32 ip4:69.169.230.135/31 
            ip4:54.240.55.133/32 ip4:185.204.120.68/32 ip4:195.201.107.105/32 
            include:cds-dialog.de include:spf.mailjet.com 
            include:spf.adac.de include:_spf.general.transactional-mail-a.com 
            include:_spf.rexx-suite.com include:_spf-dc55.sapsf.eu -all"

DMARC: _dmarc.adac.de text = "v=DMARC1; p=none; rua=mailto:dmarc@25reports.com"

Bei SPF gibt der ADAC ein "-all" vor, womit Empfänger, die nur SPF-Prüfungen machen, die Mail anhand des Absender im Envelope ablehnen sollten.

Das ist aber kein Schutz, denn die Hürde können Spammer einfach nehmen und interessanter ist ja der vorgebliche Absender im Header, den der Anwender sieht

Envelope und Header

Erst der DMARC-Eintrag steuert ein "Alignment", damit die Domain im Header und Envelope zueinander passen müssen (Siehe DMARC-Validation). Hier patzt ADAC.DE aber (Stand Jun 2025), denn gleichzeitig weist das "p=none" dem Empfänger an, keine Aktion bei einem Fehler vorzunehmen. Ob der ADAC mit DKIM arbeitet, kann ich mangels legitimer Mail nicht sagen.

Insofern wundert es mich natürlich nicht, dass Spammer genau diese Domain so gerne verwenden.

SMTP-Header

Der Header zeigt wieder das gleiche Verhalten, wie bei der Spam-Mail mit dem Absender der Commerzbank an IONOS. DMARC Fail mit IONOS

Received: from [191.96.207.91] (78-3-7-49.adsl.net.t-com.hr [78.3.7.49])
	by ls265.t-com.hr (Qmali) with ESMTP id 23C9220B022A;
	Thu, 12 Jun 2025 21:34:29 +0200 (CEST)
Received: from ls229.t-com.hr ([195.29.150.14]) by mx.kundenserver.de
 (mxeue103 [217.72.192.67]) with ESMTP (Nemesis) id 1Maw6n-1uw6Ao1mBf-00mbY5
 for ; Thu, 12 Jun 2025 21:34:37 +0200
Received: from ls229.t-com.hr (localhost.localdomain [127.0.0.1])
	by ls229.t-com.hr (Samdnail) with ESMTP id CA0816586C2;
	Thu, 12 Jun 2025 21:34:36 +0200 (CEST)
Received: from ls265.t-com.hr (localhost.localdomain [127.0.0.1])
	by ls229.t-com.hr (Samdnail) with ESMTP id 40D926586BD;
	Thu, 12 Jun 2025 21:34:36 +0200 (CEST)
From: "ADAC" 
To: "ADAC | Kundenservice" 
Subject: =?utf-8?Q?Neue_Sicherheitsrichtlinien_=E2=80=93_bi?=
	=?utf-8?Q?tte_jetzt_best=C3=A4tigen.?=
Date: Thu, 12 Jun 2025 21:34:21 +0200
Message-ID: <20250612193429.23C9220B022A@ls265.t-com.hr>
MIME-Version: 1.0
Content-Type: multipart/alternative;
	boundary="----=_NextPart_000_0018_01DBDBE4.9EE7F630"
X-Mailer: Microsoft Outlook 16.0
Thread-Index: AQG25TubR+b3LGqpQ6WjOa/BI6CpaQ==
Authentication-Results: kundenserver.de; dkim=none
X-Spam-Flag: YES
X-OlkEid: 00000000C2D59....F1BDFDD5FF041BF18527FDA7744B0
X-Envelope-Sender: team-service@adac.de
X-Envelope-Sender: team-service@adac.de
...
(50 mal wurde diese Zeile insgesamt wiederholt)
...
X-Envelope-Sender: team-service@adac.de
X-Envelope-Sender: team-service@adac.de
X-TM-AS-Product-Ver: IMSS-7.1.0.1224-8.2.0.1013-25850.005
X-TM-AS-Result: No--11.327-10.0-31-1
X-imss-scan-details: No--11.327-10.0-31-1

This is a multipart message in MIME format.

------=_NextPart_000_0018_01DBDBE4.9EE7F630
Content-Type: text/plain;
	charset="utf-8"
Content-Transfer-Encoding: 8bit


ADAC - Kundenservice


ðŸ”” Wichtige Sicherheitsaktualisierung â€“ Jetzt handeln !

Sehr geehrte Damen und Herren,
...

Die einliefernde IP-Adresse ist wieder vermutlich ein privater PC oder Server in Kroatien über den Provider T-Com.hr (Telekom), der sich direkt per MX-Record an IONOS wendet.

Auswertung

Auf der Seite DMARC-Validation habe ich ein Flussdiagramm zum Entscheidung mit SPF, DKIM und DMARC veröffentlicht. Leider schreibt IONOS weder das Ergebnis der SPF-Prüfung noch die Mailadresse aus dem Envelope als "Return-Path" in den Header. Es dürfte aber ein SPF=FAIL. Der Header der Spam-Mails hat natürlich keine DKIM-Signatur. Mangels einer regulären Mail des ADAC kann ich nichts dazu sagen, ob der ADAC eine DKIM-Signatur an ihre Mails aufbringt.

Nun wissen wir ja schon von DMARC Fail mit IONOS, dass IONOS zu dem Zeitpunkt zwar seinen Kunden viele Informationen gibt, wie Sie ihre Mails per DKIM signieren und die Domains mit DMARC absichern aber liefert keine Informationen zur ihrer eingehenden Konfiguration.

Aber selbst wenn IONOS hier die DMARC-Vorgaben des ADAC nicht ignorieren würde, hilft es nicht, denn das "p=none" der Domain ADAC.DE würde IONOS sogar explizit anweisen, bei einem FAIL diesen zu ignorieren. Spamfilter, die aber DMARC auswerte und dem "p=none" folgen, würden die Mail sogar zustellen. Nur "schlechte Spamfilter", die nichts von DMARC wissen und daher vielleicht nur den SPF-Check machen, könnte die Mail ablehnen, wenn der Spammer so dumm ist und die Domain auch im Envelope verwendet.

Einschätzung

Wie können es drehen wir wir es wollen. Das Beispiel zeigt, dass die Ergebnisse kaum vorhersehbar sind, wenn sich Empfänger nicht an den DMARC-Vorgaben orientiert und der Absender seine kostbare Domain nur sehr unzureichend schützt. Diesmal ist eine Phishing-Mail mit ADAC-Bezug in der Spam-Quarantäne gelandet, wo sie anhand eines SPF-Check eigentlich abgewiesen werden müsste. Die Tatsache, dass Sie in trotz einem "DMARC:p=none" der Quarantäne gelandet ist, muss man dem Empfänger ankreiden.

Für legitime Mails erwarte ich, dass Sie den SPF-Check mit einem PASS bestehen und hoffentlich auch DKIM-signiert ist und dann der Spamfilter des Empfängers diese Vorarbeiten auch entsprechend honoriert. SPF=PASS und DKIM=PASS sind aber keine Garantie, dass eine Mail ankommt. Aber ein SPF=FAIL und DKIM=FAIL sollte hier vor Phishing schützen.