In Gespr\u00e4chen mit den Security-Teams vieler unserer Enterprise-Kunden sto\u00dfen unsere Experten immer wieder auf ein oft \u00fcbersehenes Detail: Einige Mail-Sicherheitsl\u00f6sungen aktivieren standardm\u00e4\u00dfig das DKIM \u201el=\u201c-Tag (Length-Tag). Eine Option, die historisch sinnvoll erschien, heute aber erhebliche Sicherheitsrisiken birgt.<\/p>\n\n\n\n
DKIM (DomainKeys Identified Mail) ist ein bew\u00e4hrtes Verfahren, um sicherzustellen, dass E-Mails unterwegs nicht unbemerkt manipuliert werden. Der Empf\u00e4nger pr\u00fcft mithilfe eines \u00f6ffentlichen Schl\u00fcssels, ob der Inhalt und bestimmte Header unver\u00e4ndert geblieben sind.<\/p>\n\n\n\n
Das \u201el=\u201c-Tag legt fest, bis zu welchem Byte des Nachrichtentexts die Signatur reicht \u2013 der Rest bleibt ungesichert. Urspr\u00fcnglich war dies n\u00fctzlich f\u00fcr Mailing-Listen oder Weiterleitungen, bei denen der Nachrichtenk\u00f6rper ver\u00e4ndert wird (z.\u202fB. durch angeh\u00e4ngte Fu\u00dfzeilen), sodass der Kern der Mail trotzdem als g\u00fcltig erkannt wird.<\/p>\n\n\n\n
Gleichzeitig er\u00f6ffnet diese Mechanik erhebliche Angriffsfl\u00e4chen, etwa durch Phishing-Links oder unerw\u00fcnschte Inhalte, ohne dass die DKIM-Pr\u00fcfung anschl\u00e4gt. Auch DMARC-Checks werden dadurch geschw\u00e4cht, da die Signatur formal g\u00fcltig bleibt. Zudem lassen sich Angriffe mittels Weiterleitung durchf\u00fchren. Einige gro\u00dfe E-Mail-Anbieter reagieren bereits mit entsprechenden Warnhinweisen oder Ablehnungen.<\/p>\n\n\n\n
Besonders gef\u00e4hrlich: Manche Sicherheitsl\u00f6sungen aktivieren das \u201el=\u201c-Tag standardm\u00e4\u00dfig, ohne dass dies den Anwendern bewusst ist. Kunden gehen oft davon aus, ihre E-Mails seien vollst\u00e4ndig signiert und sicher.<\/p>\n\n\n\n
Dies Problem ist alles andere als theoretisch: Audits durch unsere Experten zeigen, dass DKIM-Signaturen mit dem \u201el=\u201c-Tag in einigen Organisationen immer noch verwendet werden. Sprich ihre E-Mails lassen sich manipulieren, ohne dass dies Auswirkungen auf die DKIM-Verifizierung hat.<\/p>\n\n\n\n
Empf\u00e4nger sollten Mails mit \u201el=\u201c-Tags kritisch pr\u00fcfen. Eine M\u00f6glichkeit ist, diese Nachrichten zun\u00e4chst standardm\u00e4\u00dfig mittels der eigenen E-Mail Security L\u00f6sung in die Quarant\u00e4ne zu verschieben oder die DKIM-Signatur zu ignorieren, sodass die Mail anderen Sicherheitsmechanismen wie SPF oder DMARC unterliegt.<\/p>\n\n\n\n
E-Mail-Versender sollten das \u201el=\u201c-Tag vermeiden und stattdessen den gesamten Nachrichteninhalt signieren. Regelm\u00e4\u00dfige Rotation der DKIM-Schl\u00fcssel, unterschiedliche Selektoren f\u00fcr verschiedene Mail-Str\u00f6me und ggf. Ablaufzeiten f\u00fcr Signaturen erh\u00f6hen die Sicherheit zus\u00e4tzlich.<\/p>\n","protected":false},"excerpt":{"rendered":"
In Gespr\u00e4chen mit den Security-Teams vieler unserer Enterprise-Kunden sto\u00dfen unsere Experten immer wieder auf ein oft \u00fcbersehenes Detail: Einige Mail-Sicherheitsl\u00f6sungen aktivieren standardm\u00e4\u00dfig das DKIM \u201el=\u201c-Tag (Length-Tag). Eine Option, die historisch sinnvoll erschien, heute aber erhebliche Sicherheitsrisiken birgt.<\/p>\n","protected":false},"author":12,"featured_media":19926,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","_s2mail":"yes","footnotes":""},"categories":[7],"tags":[159],"class_list":["post-19924","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-news","tag-email-security"],"acf":[],"yoast_head":"\n