Mit DMARC, DKIM, SPF & DANE - SPAM bekämpfen und für mehr E-Mail Sicherheit im täglichen Geschäft sorgen.

Die in deHOSTED Exchange integrierten Methoden zur sicheren Sender- und Empfängeridentifikation bieten ein erhebliches Plus an Sicherheit im geschäftlichen E-Mail Verkehr bei geringem Implementierungsaufwand.

Vermeiden von Absenderadress-Fälschungen mit SPF

(SPF) ist ein Sender-Authentifizierungs Verfahren. Es hilft dem Empfänger-Server eine E-Mail, welche von einem nicht zum Versand autorisierten E-Mail Server gesendet wurde, zu erkennen. Einige Arten von E-Mails, welche gefälschte Absenderadressen nutzen, können beispielsweise SPAM, Phishing oder Spoofing E-Mails sein. E-Mail Server, welche nicht zum Versand im Namen einer Domain berechtigt sind, können vom Empfänger E-Mail Server mit Hilfe von SPF erkannt werden..

Die Funktionsweise ist relativ einfach. Es wird in der DNS-Zone einer Domäne ein spezieller TXT Ressource Record Eintrag angelegt, welcher festlegt welche E-Mail Server im Namen der Domäne versenden dürfen. Der Empfänger kann, sofern er beim Eingehen einer E-Mail die SPF Prüfung durchführt prüfen, in wie weit der versendende Server die Versandrechte für die Absenderdomäne besitzt. Ist ein E-Mail Server nicht im Domain SPF Eintrag genannt, versendet jedoch eine E-Mail im Namen dieser Domain, so kann der empfangende E-Mail Server diese ablehnen.

SPF_schema_erklaerung
fingerprint_authentifizierung_dkim_signatur

DKIM (DomainKeys Identified Mail)

(DKIM) ist eine erweiterte Methode zur Sender-Authentifizierung, die ähnlich wie SPF helfen soll, eine unerwünschte von einer erwünschten E-Mail zu unterscheiden. DKIM ist mit einem Fingerabdruck zu vergleichen, denn der private Schlüssel auf dem Server des Absenders signiert jede E-Mail im Header (DKIM-Signatur). Diese digitale Signatur ist kryptografisch verschlüsselt. Daher muss beim Entschlüsseln derselbe Hash-Wert in der Prüfsumme herauskommen, wie vor dem Versand errechnet wurde. Eine kleine Änderung der Signaturdaten verändert bereits den Hash-Wert der Prüfsumme und lässt damit auf eine Fälschung der E-Mail oder einen Eingriff während des Nachrichtentransports  schließen. Der Empfangende Server ruft beim Nachrichteneingang den öffentlich verfügbaren Schlüssel ab, dieser befindet sich als TXT-Resource Record in der DNS-Zone der Absendedomain. Mit dem öffentlichen Schlüssel wird vom Empfangenden E-Mail Server überprüft, ob die Signatur (Fingerabdruck) korrekt ist. Ist der Fingerabdruck korrekt, wird die E-Mail an den Empfänger zugestellt. Stimmt der Fingerabdruck nicht, muss anhand des DMARC Eintrag vom Empfängersystem abgefragt werden, welche weiteren Verarbeitungsschritte danach erfolgen sollen.

DMARC (Domain-based Message Authentication, Reporting and Conformance)

DMARC ist ein Kontrollsystem und im Gegensatz zu SPF und DKIM kann ein DMARC-Eintrag dem Empfänger E-Mail Server sagen, ob er die E-Mail bei fehlerhafter Prüfung auf SPF und/oder DKIM annehmen soll oder nicht. Es ist entsprechend zu vergleichen, mit einem persönlichen Sicherheitsbeauftragten für die eigene Domain.
E-Mails, welche durch die SPF bzw. DKIM Prüfung beim empfangenden E-Mail Server durchgefallen sind, werden entsprechend der Anweisungen des DMARC Eintrages  gelöscht, zurückgewiesen oder in dem Spam-Ordner verschoben. Zudem kann der Empfänger der E-Mail dem Domaininhaber über den Missbrauch und Probleme mit der Authentifizierung durch Versand eines Berichtes an eine im DMARC Eintrag festgelegte E-Mail Adresse aktiv informieren.
Mit Nutzung eines DMARC Eintrages in seiner DNS-Zone, kann der Domaininhaber wichtige Informationen erlangen - wer versucht E-Mails im Namen des Domaininhabers zu versenden.

Verfassungsrichter Deutschland

SPF, DKIM, DMARC als Trio

Ein einzelner Einsatz von SPF, DKIM oder DMARC führt nicht automatisch zu einem erfolgreichen Schutz vor SPAM, Phishing und Spoofing. Beispielsweise muss der E-Mail-Administrator die Aktualität des SPF-Eintrags auf der DNS Zone stets sicherstellen. Hierbei müssen die internen oder externen E-Mail Server (z.B. Newsletter-Versanddienste) gemeinsam berücksichtigt werden. Wenn der SPF-Eintrag auf der DNS Zone nicht aktuell ist, kann es schnell zu Fehlern bei der E-Mail Zustellung kommen, was dazu führen kann, dass E-Mails von einem empfangenden Kommunikationspartner nicht angenommen werden. Eine weitere Herausforderung sind E-Mails, welche durch dritte E-Mail Server weitergeleitet werden. Es kann bei einem weiterleitenden E-Mail Server welcher nicht im SPF-Eintrag hinterlegt wurde vorkommen, dass ein empfangender E-Mail Server diese weitergeleitete E-Mail nur verzögert oder gar nicht zustellt. Grund hierfür ist in diesem Fall, dass der weiterleitende Server nicht im SPF-Eintrag der ursprünglichen Absender-Domain gelistet ist.

An dieser Stelle greift die DKIM-Signatur ein. Bei der DKIM Prüfung können auch weitergeleitete E-Mails identifiziert werden. Falls die SPF-Prüfung fehlschlägt, wird der empfangende Server erkennen, dass die E-Mail über eine gültige DKIM-Signatur verfügt. Jedoch muss darauf geachtet werden, dass bei der Erstellung der DKIM-Signatur die E-Mail nicht mehr verändert werden darf. Die DMARC Richtlinie legt nachfolgend entsprechend fest, welche Maßnahme vom empfangenden E-Mail Server bei einer nicht bestandenen Prüfung durchgeführt werden soll. Beispielsweise kann festgelegt werden, ob die E-Mail angenommen wird, in Quarantäne verschoben oder abgewiesen sowie ob eine Berichterstattung an den Domaininhaber der Absenderdomain erfolgen soll.

KONTAKTIEREN SIE UNS.

Sie haben Fragen oder möchten mehr zum Thema E-Mail Sicherheit mit DMARC, DKIM, SPF & DANE erfahren? Kontaktieren Sie unsere Experten. Wir rufen Sie auch gern zurück.

NetTask E-Mail Sicherheits Blog.