E-Mail Sicherheit erhöhen durch
SPF, DKIM und DMARC

// 30. November 2020

Der Grundschutz gegen Phishing und Spam

Weniger Phishing und Spam E-Mails sorgen für mehr E-Mail Sicherheit im täglichen Geschäft.

Die Werkzeuge SPF, DKIM und DMARC verhindern, dass Ihr Mailserver gefälschte Mails überhaupt erst annehmen –
egal, wie gut eine Phishing-Mail gemacht ist.

Wir erläutern hier die Funktionsweise und erläutern, wie auch Sie diese Techniken nutzen können.

Schutz gegen dubiose Mails

Nicht immer werden Phishing-Mails erkannt. Eine Mischung aus Vorsichtsmaßnahmen, Regeln und auch dem Bauchgefühle helfen.

Phishing-Mails können Ihre Kreditkartendaten auslesen oder auch Ihr gesamtes System verschlüsseln. Manchmal reicht eine scheinbare Bestellbestätigung von Amazon.

Betrüger versuchen Sie mit Phishing-Mails anzugreifen. Mit den hier beschrieben technischen Maßnahmen können Sie solche Mails bereits aussortieren, bevor Sie Ihr Postfach erreichen.

Phishing-Arten

Generell können wir Phishing Angriffe in zwei Bereiche einteilen:

In erster Linie möchten die Diebe Zugriff auf Daten, Passwörter, Informationen zu Bankkonten oder auch Kreditkarten Daten.

Im zweiten Schritt wollen Betrüger Sie durch einen Link verleiten eine Software zu installieren, welche bösartig ist und Ihrem System erheblich schaden kann.

Bei beiden Varianten sind die Konsequenzen ärgerlich und geschäftsschädigend. Diese können relativ harmlose Konto-Abbuchungen per Lastschrift sein oder aber auch der Komplettverlust Ihrer IT-Infrastruktur.

Die Werkzeuge SPF, DKIM und DMARC

Phishing-Mails sollten bereits auf dem E-Mail-Server oder den genutzten Clients erkannt werden.
Es spielt keine Rolle, ob bei der Arbeit, dem privaten Laptop oder dem Handy:

Ihr Programm sollte etwaige fragwürdige Mails erkennen und in einen Spam-Ordner schieben – oder gleich ablehnen.
Hosten Sie Ihren eigenen Mail-Server, können Sie sich mit folgenden Techniken schützen: SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) und DMARC (Domain-based Message Authentication, Reporting and Conformance).

Das Ziel: Gefälschte Absenderadressen von Mails erkennen.

SPF prüft Sendedomain

SPF prüft, ob eine eingehende E-Mail von einem Mailserver verschickt wurde, den ein Admin der Sendedomain vorher autorisiert hat. Vereinfacht gesagt prüft SPF, ob die Mail vom zuständigen Mailserver kam.

(SPF) ist ein Sender-Authentifizierungs-Verfahren. Es hilft dem Empfänger-Server eine E-Mail, welche von einem nicht zum Versand autorisierten E-Mail Server gesendet wurde, zu erkennen.
SPAM, Phishing oder Spoofing E-Mails nutzen beispielsweise gefälschte Absenderadressen, welche nicht zum Versand im Namen einer Domain berechtigt sind.

Die Funktionsweise ist relativ einfach. In einer Domäne wird ein spezieller TXT Ressource Record Eintrag angelegt. Dieser definiert, welcher E-Mail-Server im Namen der Domäne senden darf. Der Empfänger prüft, sofern er beim Eingehen einer E-Mail die SPF Prüfung durchführt, inwieweit der versendende Server die Versandrechte für die Absender Domäne besitzt.
Ist ein E-Mail Server nicht im Domain SPF Eintrag genannt, versendet jedoch eine E-Mail im Namen dieser Domain, so kann der empfangende E-Mail-Server diese ablehnen.

DKIM sichert Transportweg

Wurde der Inhalt einer Mail auf dem Transportweg verändert? Dieses wird durch DKIM überprüft. Der sendende Server fügt dem Header einer E-Mail eine Signatur hinzu. In diesen Header werden Metadaten wie Empfänger, Absender oder Sendezeitpunkt eingefügt. Den Inhalt der Mail, also die eigentliche Nachricht, findet man dagegen im Body.
DKIM (DomainKeys Identified Mail) beschreibt eine erweiterte Methode zur Sender-Authentifizierung, die ähnlich SPF helfen soll, eine unerwünschte von einer erwünschten E-Mail zu unterscheiden.

DKIM gleicht einem Fingerabdruck. Der private Schlüssel auf dem E-Mai-Server des Absenders signiert jede E-Mail (DKIM-Signatur). Die Signatur ist verschlüsselt. Daher muss beim Entschlüsseln derselbe Hash-Wert in der Prüfsumme herauskommen, wie vor dem Versand errechnet wurde. Geringste Änderungen der Signatur-Daten verändert bereits den Hash-Wert der Prüfsumme. Dieses lässt damit auf eine Fälschung der E-Mail oder einen Eingriff während des Nachrichtentransports schließen. Der empfangende E-Mail-Server ruft beim Nachrichteneingang den öffentlich verfügbaren Schlüssel ab, dieser befindet sich als TXT-Resource Record in der DNS-Zone der Absende-Domain. Mit dem öffentlichen Schlüssel wird vom empfangenden E-Mail-Server überprüft, ob die Signatur (Fingerabdruck) korrekt ist. Ist der Fingerabdruck korrekt, wird die E-Mail an den Empfänger zugestellt. Stimmt der Fingerabdruck nicht, muss anhand des DMARC Eintrag vom Empfängersystem abgefragt werden, welche weiteren Verarbeitungsschritte danach erfolgen sollen.

DMARC das Kontrollsystem

DMARC definiert, wie mit den geprüften Mails umgegangen werden soll. DMARC (Domain-based Message Authentication, Reporting and Conformance) ist ein Kontrollsystem.
Im Gegensatz zu DKIM und SPF kann ein DMARC-Eintrag dem Empfänger E-Mail-Server sagen, ob er die E-Mail bei fehlerhafter Prüfung auf SPF und/oder DKIM annehmen soll oder nicht.

Es ist entsprechend zu vergleichen, mit einem persönlichen Sicherheitsbeauftragten für die eigene Domain.
E-Mails, welche durch die SPF bzw. DKIM Prüfung beim empfangenden E-Mail Server durchgefallen sind, werden entsprechend der Anweisungen des DMARC Eintrages gelöscht, zurückgewiesen oder in dem Spam-Ordner verschoben. Zudem kann der Empfänger der E-Mail dem Domaininhaber über den Missbrauch und Probleme mit der Authentifizierung durch Versand eines Berichtes an eine im DMARC Eintrag festgelegte E-Mail Adresse aktiv informieren.

Mit Nutzung eines DMARC Eintrages in seiner DNS-Zone, kann der Domaininhaber wichtige Informationen erlangen – wer versucht E-Mails im Namen des Domaininhabers zu versenden.

Vereinbaren Sie einen kostenlosen Erstberatungstermin mit einem unserer Sicherheitsexperten.

Wir helfen Ihnen dabei, kritische Sicherheitslücken zu finden.