Zurück zum Absender: E-Mail-Sicherheit mit DMARC, SPF und DKIM

Sie benötigen sichere E-Mail-Kommunikation? Mit diesen Tipps zu DMARC, DKIM und SPF schützen Sie Ihre Mail-Server erfolgreich vor Cyberkriminellen.

Moderne Exploits fangen oft mit einer einfachen E-Mail an. Der Sender versucht den Empfänger dabei zu überzeugen, dass es sich um die Nachricht eines vertrauenswürdigen Business-Partners oder eines Kollegen handelt, womit die E-Mail legitim zu sein scheint. Traditionell gibt es bei E-Mails nicht viel, was die Authentizität des Senders verifiziert. Header lassen sich recht einfach fälschen (Spoofing), und der Empfänger ist dem Angriff ohne Verteidigungs-Möglichkeiten ausgesetzt und kann nicht wirklich abschätzen, ob es sich um eine echte oder gefälschte E-Mail handelt.

Mit digitalen Signaturen und Server-zu-Server-Authentifizierung E-Mails absichern

Grob gesagt lassen sich E-Mails auf zwei Arten authentifizieren: Person-zu-Person- oder Server-zu-Server-Authentifizierung. Bei der ersten Variante wird eine digitale Signatur genutzt, die der Sender hinzufügt und der Empfänger verifizieren muss. Diese Herangehensweise findet allerdings keinen großflächigen Einsatz, weil es oft Probleme damit gibt die digitalen Signaturen sicher und effizient an eine breite Anwender-Basis auszurollen. Verwenden Personen beispielsweise mehrere Geräte für das Lesen und Senden von E-Mails, dann ist eine konsistente Verwendung von Zertifikaten problematisch. Webmail-Clients werden zudem oftmals gar nicht unterstützt.

Deswegen ist es für Unternehmen einfacher, Authentifizierungs-Methoden auf Ebene von Mail-Servern zu implementieren. In der Regel verwendet man hier zwei Mechanismen, nämlich DomainKeys Identified Mail (DKIM) und Sender Policy Framework (SPF). Kürzlich wurden diese Standards in die neue technische Spezifikation Domain-based Messaging Authentication, Reporting and Conformance (DMARC) aufgenommen, die Google, Yahoo!, Microsoft und viele andere nutzen, um E-Mails durch ein Abgleichen der Sender- und Empfänger-Informationen sicherer zu machen.

Um den Vorteil von DMARC nutzen zu können müssen Unternehmen zuerst mithilfe spezieller DNS-Einträge DKIM- und SPF-Informationen veröffentlichen. DKIM verwendet daraufhin Public-Private-Key-Kryptografie, um E-Mail-Header auf dem Server zu unterzeichnen. Ein Unternehmen stellt nun die öffentlichen Schlüssel via DNS zur Verfügung und verwendet den privaten Schlüssel auf dem eigenen E-Mail-Server. Die Header von ausgehenden E-Mails werden dann digital unterzeichnet. Dies stellt sicher, dass der Server die E-Mail im Auftrag der hinterlegten Domain auch verschicken darf. Allerdings kann DKIM recht schwierig zu implementieren sein, vor allem wenn E-Mail-Dienste Dritter im Spiel sind. Einige E-Mail-Provider, wie zum Beispiel Google, erlauben es kommerziellen Anwendern aber inzwischen, entsprechende Schlüssel zu hinterlegen.

SPF dagegen hängt nicht von Kryptographie ab und ist daher einfacher zu konfigurieren. Der SPF-DNS-Eintrag listet alle Mail-Server auf, die E-Mails im Auftrag der entsprechenden Domäne versenden dürfen. Das funktioniert vor allem dann gut, wenn nur wenige Mail-Server im Einsatz sind. Mail-Server von Drittanbietern lassen sich zudem einfach hinzufügen und  entsprechende SPF-Einträge referenzieren.

DMARC verwendet DKIM und SPF aber nicht nur zur Authentifizierung empfangener E-Mails, die Technologie versorgt den Sender auch mit Feedback, wenn eine Zustellung nicht erfolgreich war. Die Sender-Domäne kann außerdem entscheiden, wie im Falle von Nicht-Compliance mit E-Mails umgegangen werden soll.

Egal ob DKIM oder SPF: Die Kommunikation läuft über DNS-Einträge

Genau wie bei DKIM- und SPF-Policies werden die für diese Entscheidungen benötigten Informationen mithilfe von DNS-Einträgen veröffentlicht. DNS ist in dieser Hinsicht eine sehr skalierbare Methode mit geringer Latenz, um solche Informationen bereit zu stellen. Ein zusätzlicher Vorteil ist die Möglichkeit, Informationen beim Empfänger zwischenzuspeichern (Caching), um so wiederholte Lookups zu reduzieren.

Bei DMARC veröffentlicht ein Unternehmen eine Liste in Form eines SPF-Eintrags mit Mail-Servern, die für das Senden von E-Mails autorisiert sind. Zusätzlich steht ein DMARC-Eintrag zur Verfügung, der spezifiziert, was mit einer E-Mail im Falle von Nicht-Compliance zu tun ist. In der Regel wandert die digitale Nachricht in Quarantäne oder in die digitale Mülltonne.

Im folgenden Beispiel identifiziert der SPF-Eintrag zwei Netzwerke, aus denen E-Mails aus dieser Domäne gesendet werden dürfen. Es könnte ja sein, dass einige Anwender Gmail-Konten für das Versenden von E-Mails verwenden.

v=spf1 mx ip4:192.0.2.0/24 ip6:2001:db8::/48 include:_spf.google.com

Sehen wir uns den DMARC Test-Ressourcen-Eintrag weiter unten an. Dieser weist Empfänger an, E-Mails abzuweisen, sofern sie nicht von DKIM und SPF validiert sind. Verweigert der Empfänger E-Mails, die gegen die Policiy verstoßen, wird ein täglicher Bericht an die Adresse dmarc@example.com gesendet. Das verwendete Format ist das einfache XML-basierte „afrf“.

v=DMARC1; p=reject; rua=mailto:dmarc@example.com; adkim=r\; aspf=r; pct=100; rf=afrf; ri=86400;

Viele Unternehmen gehen mit der Implementierung von SPF oder DKIM behutsam um. Sollte SPF oder DKIM falsch konfiguriert sein, könnten viele E-Mails in die digitalen Jagdgründe eingehen. Durch Hinzufügen eines DMARC-Eintrags können Unternehmen eine E-Mail-Adresse hinterlegen, an die tägliche Berichte gesendet werden. Somit ist die Firma im Falle von abgewiesenen E-Mails im Bilde. Google zum Beispiel unterstützt dieses Feature. Sollten hier abgewiesene E-Mails anfallen, bekommt der entsprechend hinterlegte Empfänger einen zusammengefassten Bericht. Anders als bei nicht-zugestellten E-Mails erhalten Sie also nicht lauter einzelne Nachrichten, sondern alle Informationen gebündelt in festgelegten Abständen, beispielsweise einmal am Tag. Das ist nicht nur bezüglich einer möglicherweise falschen Konfiguration nützlich, auf diese Weise erhalten Sie außerdem weitere Informationen, beispielsweise wenn Cyberkriminelle ein Spoofing mit Ihrer Domäne versuchen. Weist die teilnehmende Organisation gefälschte E-Mails ab, dann würde sich das in der Zusammenfassung zeigen.

Über den Autor: Johannes B. Ullrich, Ph.D., GIAC und GWEB, ist Dekan beim SANS Technology Institute und Chef der Untersuchungs-Abteilung des Internet Storm Center. Sie können ihm auf Twitter unter @johullrich folgen.

Artikel wurde zuletzt im März 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close