Für E-Mail-Empfänger ist es oft schwierig zu erkennen, ob Nachrichten tatsächlich vom vorgegebenen Absender stammen. Noch schwieriger ist es einzuschätzen, ob diese auf dem Übertragungsweg unverändert geblieben sind. Die Standards SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail) nehmen sich dieser Thematik bereits seit längerem an.
Ergänzt und abgerundet werden beide Verfahren letztlich jedoch meist erst durch die Anwendung von DMARC (Domain-based Message Authentication, Reporting and Conformance). Auch diese Spezifikation hat zum Ziel, Sender und Empfänger von E-Mails besser vor gefälschten Absendern zu schützen. Dabei stellt DMARC gewissermaßen das Bindeglied zu SPF und DKIM dar. Entstanden ist es auf Initiative von Branchengrößen wie Google, Yahoo, Microsoft, Facebook, AOL, PayPal und LinkedIn. Mit zunehmender Akzeptanz und Verbreitung unter seinen Enterprise-Kunden setzt auch Retarus den Standard künftig im Rahmen der E-Mail Security Services entsprechend um. Warum es für Sie als Unternehmen sinnvoll sein kann, beim E-Mailempfang auf alle drei Standards gleichermaßen zu setzen, wollen wir im Folgenden kurz beleuchten.
DMARC rundet SPF und DKIM ab
Die DMARC-Spezifikation wurde entwickelt, um das Fälschen von Absendern beziehungsweise Domains einzudämmen, namentlich in erster Linie das so genannte E-Mail-Spoofing. Technisch setzt DMARC auf SPF und DKIM auf und versucht gewissermaßen, dessen „Unzulänglichkeiten“ zu beheben. Während SPF festlegt, wer eine E-Mail im Namen der eigenen Domain versenden darf, stellt DKIM sicher, dass diese Nachricht unverändert vom Absender stammt. Mittels DMARC kann nun zusätzlich für jede Absender-Domain vom jeweiligen Domain-Inhaber festlegelegt werden, wie das Empfänger-E-Mailsystem die Ergebnisse zur Authentifizierung verarbeitet. Und noch wichtiger: wie im Falle eines Fehlers zu verfahren ist.
Missbrauch automatisiert an Domain-Inhaber melden
E-Mails werden dann beispielsweise automatisiert abgelehnt oder in die Quarantäne verschoben. Darüber hinaus kann der Empfänger den Inhaber über den mutmaßlichen Missbrauch seiner Domain und Probleme mit der Authentifizierung informieren. Gerade dieser Teil schafft auch auf Absenderseite einen Anreiz, DMARC einzusetzen, um so Angriffe unter dem eigenen Namen frühzeitig zu identifizieren. Die DMARC-Richtlinien können für jede Domain ohne größeren Aufwand im jeweiligen Eintrag des Domain Name System (DNS) für jedermann sichtbar hinterlegt werden. Auch Retarus validiert zukünftig diese Informationen – soweit vom Kunden gewünscht und konfiguriert – und stellt so eine durchgängige Überprüfung der Authentizität von E-Mails sicher.
Ergänzung durch Advanced Threat Protection sinnvoll
Ein Problem jedoch bleibt zunächst bestehen: Grundsätzlich kann jeder Domain-Inhaber DMARC-Einträge festlegen. Eine unabhängige Prüfung, ob es sich um eine rechtmäßig genutzte beziehungsweise seriöse Webseite handelt, findet dabei nicht statt. Eine E-Mail kann also weiter von einer täuschend ähnlichen Domain (sog. Domain Similarity, etwa durch Austausch einzelner Buchstaben oder Verwendung anderer Zeichensätze) versendet werden – und dabei sogar einen mittels DMARC bestätigten, korrekten SPF- und DKIM-Eintrag vorweisen. Für optimalen Schutz auch in solchen Fällen empfiehlt sich als zusätzliche Sicherheitsmaßnahme der Einsatz von Methoden wie CxO Fraud Protection zur Abwehr im Kontext von Business Email Compromise (BEC).
Mehr zu diesem Thema erfahren Sie jederzeit direkt bei Ihrem persönlichen Ansprechpartner sowie dem technischen Retarus Support.
