fabioberti.it - stock.adobe.com

E-Mail-Security: Schutz vor Phishing mit SPF, DKIM und DMARC

Phishing bleibt eines der größten Risiken weltweit. Leider versuchen zu wenige, sich wirksam zu schützen. Dabei gibt es erprobte und gültige Standards für die E-Mail-Sicherheit.

Es gibt drei globale E-Mail-Sicherheitsstandards, die jeder IT-Sicherheitsverantwortliche kennen sollte: Sender Policy Framework (SPF), Domain Keys Identified Mail (DKIM) und Domain-Based Message Authentication, Reporting, and Conformance (DMARC). SPF, DKIM und DMARC ermöglichen es Unternehmen, Phishing eindämmen.

Bei allen drei muss der Administrator die E-Mail-Domäne des Absenders im DNS über TXT-Einträge aktivieren (oder alternativ in der Verwaltungskonsole des E-Mail-Host-Providers). Wenn sie aktiviert sind, können Empfänger (eigentlich ihre E-Mail-Server oder Clients in ihrem Namen) von E-Mails von aktivierten Domänen zusätzliche Informationen prüfen, um zu verifizieren, ob eine bestimmte E-Mail tatsächlich von der E-Mail-Domäne stammt.

Absender-Domänen aktivieren diese Protokolle, damit Empfänger überprüfen können, ob die E-Mails tatsächlich echt sind. Absender versichern sich so, dass ihre E-Mails auch wirklich von ihnen stammen. Die Empfänger wiederum aktivieren sie, damit sie überprüfen können, ob eine bestimmte E-Mail wirklich von dem Absender stammt. Das heißt, es müssen beide Seiten die Protokolle aktiviert haben, damit es am Ende funktioniert. Die Alternative dazu ist, alle E-Mails abzublocken, die an der ersten Prüfung scheitern, dies ist aber nicht mit der gewünschten Nutzererfahrung vereinbar und führt darüber hinaus zu vielen Fehlarmen.

SPF verhindert das Spoofing der Absender-E-Mail-Adresse. Diese E-Mail-Adresse wird als 5321-Adresse bezeichnet. Dies weil sie in RFC 5321 definiert ist, die das Simple Mail Transfer Protocol (SMTP) definiert. Je nach E-Mail-Client wird die 5321-Adresse möglicherweise nicht immer angezeigt. Dies gilt insbesondere für E-Mail-Clients mit kleinem Formfaktor beispielsweise auf Smartphones.

DKIM verhindert das Spoofing der Domäne der „Display From“-E-Mail-Adresse (aus RFC 5322, Internet Message Form E-Mail-Standard). Die „Display From“-Adresse wird einem Endbenutzer fast immer angezeigt, wenn er eine E-Mail in der Vorschau anschaut oder öffnet, daher ihr Name.

Obwohl diese Adressen auch in legitimen E-Mails unterschiedlich sein können, ist es eher wahrscheinlich, dass sie in Phishing-E-Mails unterschiedlich sind. SPF und DKIM ermöglichen es Empfängern von E-Mails, sicherzustellen, dass die Domänen einer empfangenen E-Mail wirklich von den E-Mail-Servern dieser Domänen stammen. Allerdings tun sie dies auf ganz unterschiedliche Weise. DMARC wiederum ist ein zusätzlicher Standard, der Unternehmen, die sich auf ihre SPF- und DKIM-Einträge verlassen, mitteilt, wie sie fehlerhafte oder gefälschte E-Mails behandeln sollen.

Wie wird SPF eingesetzt?

Mit SPF können Empfänger überprüfen, ob die vom Absender angegebene E-Mail-Domäne (die 5321-Adressdomain) wirklich von den autorisierten E-Mail-Servern (nach IP-Adresse) dieser Domäne stammt. Absender aktivieren es für ihre Domäne, indem sie mindestens einen DNS-TXT-Eintrag erstellen.

Bei der Erstellung des SPF-DNS-TXT-Eintrags müssen allerdings einige Informationen vorliegen, unter anderem: welche(r) E-Mail-Server soll(en) jede definierte Domäne bearbeiten und wie lauten deren öffentliche IP-Adressen. Bei all diesen Technologien prüft nicht der Endbenutzer die Betreffzeilen oder entscheidet, ob eine bestimmte E-Mail geprüft werden soll oder nicht. Dies geschieht alles im Hintergrund durch den empfangenden E-Mail-Server oder -Dienst.

Jelle Wieringa, KnowBe4

„DMARC ist ein zusätzlicher Standard, der Unternehmen, die sich auf ihre SPF- und DKIM-Einträge verlassen, mitteilt, wie sie fehlerhafte oder gefälschte E-Mails behandeln sollen.“

Jelle Wieringa, KnowBe4

Der Einsatz von DKIM

DKIM wird verwendet, um zu verhindern, dass der Display Name (5322-Adresse) der E-Mail-Adressdomain des Absenders gefälscht wird. Der Empfänger verifiziert die digitale Signatur der E-Mail-Server-Domain, die mit jeder E-Mail gesendet wird. Die Einrichtung von DKIM ist allerdings etwas komplexer als bei SPF. Dafür muss der E-Mail-Server/Dienst des Absenders leicht modifiziert werden. Der Absender muss ein kryptografisches öffentliches und privates Schlüsselpaar erstellen oder erhalten.

Er muss es auf seinem E-Mail-Server oder -Dienst installieren und dann einen DNS-TXT-Eintrag erstellen, der seinen öffentlichen Schlüssel enthält. Jede ausgehende, gesendete E-Mail wird mit dem privaten Schlüssel des E-Mail-Servers signiert, und die Empfänger können dann die digital signierte E-Mail mit dem öffentlichen Schlüssel des Absenders überprüfen.

Wie sich DMARC verwenden lässt

DMARC ist ein Aggregationsdienst, ob der Absender SPF und DKIM verwendet oder nicht, und wie der Absender den Empfängern empfiehlt, fehlgeschlagene oder gefälschte E-Mails zu behandeln. Wie SPF und DKIM wird DMARC im DNS als TXT-Eintrag durch den Absender eingerichtet.

Legitime E-Mails werden routinemäßig die eine oder mehrere SPF-, DKIM- und DMARC-Prüfungen nicht bestehen und geblockt werden. Das liegt oft daran, dass ein Empfänger etwas falsch konfiguriert hat oder die E-Mail so manipuliert wurde, dass sie einen oder mehrere der Tests nicht besteht etc.

Um zu vermeiden, dass dadurch wichtige E-Mails verloren gehen oder nicht eintreffen, sollte stattdessen die Möglichkeit gewählt werden, die E-Mails in einer sicheren Umgebung öffnen zu können. Anstatt also E-Mails zu „rejecten“ sollten sie in „Quarantäne“ geschoben werden.

Fazit

SPF, DKIM und DMARC sind aus vielen Gründen nicht die perfekte Lösung für dieses komplexe Thema. Dennoch sind diese drei Standards eine erste Hilfe, um die Anzahl der gespooften Phishing-E-Mails zu reduzieren. Damit nicht auch legitime E-Mails abgeblockt werden, sollten die Standards so eingestellt werden, dass jede fehlgeschlagene E-Mail noch einmal in einer Quarantäne-Umgebung gründlich untersucht wird. Jeder Empfänger kann dann mit Hilfe der IT-Sicherheitsabteilung überprüfen, ob die E-Mail legitim ist oder nicht.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

ComputerWeekly.de
Close