WIE FREMDE PERSONEN IN IHREM NAMEN E-MAILS VERSENDEN UND WIE SIE DIES VERHINDERN KÖNNEN.
WAS SIE AUS DIESEM ARTIKEL MITNEHMEN:
Was ist SPF, DKIM & DMARC?
Welche Auswirkungen haben SPF, DKIM & DMARC?
Gratis Ratgeber "Security Awareness ist nicht nur E-Learning und Phishing Test: 63 ultimative Awareness Hacks" zum Download
Mal angenommen Ihr Telefon klingelt und auf dem Bildschirm wird die Rufnummer eines/r Bekannten angezeigt. Sie nehmen den Hörer ab, zu Ihrer Überraschung ist es nicht Ihr:e Bekannte/r, sondern die sanfte Stimme eines kommerziellen Call-Center-Mitarbeiters, der Ihnen anbietet, das neueste Modell eines Geräts zu kaufen, das Sie absolut nicht benötigen.
Unmöglich, könnte man sagen!
Mit Ihrem Telefon ist dies in der Tat unmöglich. Wenn es allerdings um E-Mails geht, könnte nichts einfacher sein. Sie können kinderleicht eine E-Mail im Namen von jemand anderem an eine beliebige Person senden, denn im Grunde bietet das SMTP (Simple Mail Transfer Protocol, auf Deutsch etwa Einfaches E-Mail-Transportprotokoll) keinen Authentifizierungsmechanismus. Somit ist jede:r dazu in der Lage eine E-Mail im Namen von jemand anderem zu senden. Doch wie kann ich es verhindern, dass meine Domain verwendet wird oder meine E-Mails verändert werden?
Die technischen Verfahren SPF, DKIM und DMARC können Sie dabei unterstützen, dass Dritte nicht ungefragt in Ihrem Namen agieren. Nachfolgend werde ich Ihnen diese Verfahren kurz erläutern.
Jedoch möchte ich an dieser Stelle bereits anmerken, dass re4ming kein IT-Dienstleister ist, sondern Expertise im Bereich Awareness anbietet. Das bedeutet im Umkehrschluss: Da diese Verfahren - SPF, DKIM und DMARC – oft in Vergessenheit geraten, möchte ich Sie mit diesem Beitrag darauf aufmerksam machen. Es ist mir wichtig, dass Sie verstehen, was dahintersteckt und ein Bewusstsein dafür entwickeln, was machbar ist. Im Anschluss können Sie diese Themen mit Ihren IT-Verantwortlichen besprechen und die technischen Einstellungen im Detail mit Ihnen vornehmen. Alternativ bieten auch Anbieter für Domain-Hosting entsprechende Hilfe an.
SENDER POLICY FRAMEWORK (SPF).
Mit dem Anstieg der Anzahl der versendeten E-Mails und insbesondere der Anzahl von Spam (und anderem Phishing) bestand Handlungsbedarf. Es musste eine Lösung gefunden werden, um sicherzustellen, dass Domains nicht ungefragt von Dritten verwendet und E-Mails verändert werden. Die Diskussionen begannen in den frühen 2000er Jahren und führten zur Veröffentlichung von SPF (Sender Policy Framework) im Jahr 2006. SPF ist ein Authentifizierungsverfahren, das die Konformität des Absenders einer E-Mail sicherstellt. Mit SPF können Sie bestimmen welche IP-Adressen berechtigt sind Ihren Domainnamen zu verwenden und somit E-Mails in Ihrem Namen zu versenden.
Zur Identifizierung des Absenders einer E-Mail ist die Hauptquelle die E-Mail-Adresse des Absenders, die im Feld VON: (FROM:) enthalten ist. Diese E-Mail-Adresse besteht aus zwei Teilen: dem Teil rechts vom "@"-Zeichen, dem Domainnamen und dem Teil links davon, dem Namen des Benutzers. SPF definiert, welche Server das Recht haben, eine E-Mail für den Domainnamen (d.h. den richtigen Teil der Adresse) zu versenden. Wie bereits erwähnt, wird hierbei die IP-Adresse verwendet.
Nehmen wir beispielsweise den viel genutzten Webmail-Anbieter GMX. Um den Ruf und die Seriosität zu wahren, ist es sehr wichtig, dass niemand versucht die Identität des Dienstleisters anzunehmen. Also beschloss GMX für ihre Domains SPF-Einträge auf ihren DNS-Servern (Domain-Name-System-Server) zu veröffentlichen.
Für „gmx.com“ kann es beispielsweise so aussehen:
Was bedeutet aber nun dieser Datensatz?
Es bedeutet, dass Server mit den aufgelisteten IP-Adressen E-Mails im Namen von „gmx.com“ versenden dürfen. Das "v" bezeichnet hierbei die Version des SPF-Eintrags. Das "-all" bedeutet, dass alle anderen IP-Adressen abgelehnt werden müssen ("SPF=FAIL").
Keine Sorge, Sie müssen den SPF-Eintrag in den meisten Fällen nicht selbst schreiben. Gute Hosting-Anbieter stellen Ihnen hierfür Tools zur Verfügung.
DOMAIN KEYS IDENTIFIED MAIL (DKIM).
DKIM (Domain Keys Identified Mail) ermöglicht es eine Nachricht kryptografisch zu signieren. Dadurch wird sichergestellt, dass die gesendete Nachricht bei der Zustellung nicht verändert wurde.
DKIM ist im Grunde eine Verschmelzung von zwei Technologien, von denen eine von Yahoo! (Domain Keys) und die andere von Cisco (Identified Internet-Mail) entwickelt wurde.
Während SPF versucht einen Domain-Namen mit der IP-Adresse zu verknüpfen, die die Nachricht sendet, versucht DKIM einen Domain-Namen mit einer Nachricht zu verknüpfen, indem eine digitale Signatur hinzugefügt wird. Die Signatur wird durch einen Schlüssel verifiziert, der sich in einem DNS-Eintrag befindet. Auf diese Weise kann DKIM prüfen, ob eine Nachricht während des Transports zwischen verschiedenen SMTP-Servern (wir erinnern uns: Kommunikationsprotokoll, welches von E-Mails an E-Mail-Server verwendet wird) verändert wurde und sicherstellen, dass der Inhalt den Empfänger unverändert erreicht.
DKIM wie auch SPF verhindern keinen SPAM, allerdings ermöglichen sie es die empfangenen Nachrichten als legitimer anzusehen. Security-Filter können sich dann beispielsweise auf unsignierte Nachrichten konzentrieren und diese einfacher einordnen bzw. aussortieren.
DOMAIN-BASED MESSAGE AUTHENTICATION, REPORTING AND CONFORMANCE (DMARC).
DMARC (Domain-based Message Authentication, Reporting, and Conformance) basiert auf dem Prinzip des "Alignment" und wurde von mehreren großen Namen (Return Path, Gmail, AOL, Microsoft u.a.) entwickelt.
Durch DMARC ist es möglich auf E-Mails zu reagieren, bei denen die SPF- und DKIM-Protokolle versagt haben, indem zusätzliche Anweisungen angewendet werden.
Es gibt zwei Hauptanwendungen von DMARC:
Sagen Sie Ihrem Internet Service Provider (ISP) bzw. Webmail-Anbieter, was mit einer Nachricht geschehen soll, wenn die Authentifizierung fehlschlägt (z.B. durchlassen, löschen oder als Spam klassifizieren).
Zulassen, dass der Absender benachrichtigt wird, wenn die Authentifizierung seiner E-Mail fehlschlägt.
In der Summe spielt DMARC auf die Synthese zwischen SPF und DKIM an, nicht indem es sie ersetzt, sondern indem es sie vereint und intelligenter macht.
Insgesamt lässt sich festhalten, dass die Folgen von betrügerischen E-Mails mit falscher Domain als Absender für Unternehmen, egal ob groß oder klein, schwerwiegend sind. Nicht nur intern durch Social Engineering Angriffe und versteckter Ransomware können Schäden entstehen. Es ist auch möglich, dass bestehende oder potenzielle Kund:innen durch gefälschte E-Mails betrogen werden und somit das Vertrauen in das Unternehmen verlieren. Es steht also auch die gute Reputation Ihres Unternehmens auf dem Spiel. Aufgrund dieser enormen Tragweite haben sich mittlerweile bekannte Unternehmen wie Paypal, Facebook oder LinkedIn in einer Initiative zusammengeschlossen, um das Betrügen mit gefälschten Domains zu verhindern, indem sie solche Verfahren wie SPF, DKIM und DMARC gemeinsam weiterentwickeln.
GRATIS DOWNLOAD.
Security Awareness ist nicht nur E-Learning und Phishing-Test. Für weitere Anregungen laden Sie sich gerne den kostenlosen Ratgeber „Security Awareness ist nicht nur E-Learning und Phishing Test: 63 ultimative Awareness Hacks“ herunter.
LASSEN SIE UNS ZUSAMMENARBEITEN.
Haben Sie Fragen zu effektiven und kostengünstigen Awareness Methoden? Fordern Sie noch heute eine kostenlose Erstberatung über das Formular auf meiner Website an, senden Sie mir eine E-Mail an hallo@re4ming.com oder melden Sie sich telefonisch +49 (0) 201 458 456 82. Ich freue mich auf Ihre Nachricht.
Alternativ halte ich Sie gerne mit Themen auf meinem Blog auf dem Laufenden. Hier berichte ich über aktuelle Trends, Best Practices und meine Learnings in den Bereichen Sensibilisierung für Fachthemen, E-Learning Prozesse, Projekt Management und Change Management sowie die Entwicklung von re4ming.
Folgen Sie re4ming auf den folgenden Plattformen, um keinen Beitrag zu verpassen: