Zunehmend werden SPF, DKIM und DMARC zur Absicherung der von Mail-Domains eingesetzt. Secumail beherrscht diese Techniken und holt das Optimum zur Erweiterung der eigenen Filterleistung für Sie als Kunde heraus. Wir möchten Ihnen hier einen Überblick über die Technik geben – und zwar ohne die Details, mit denen sich letztendlich Ihr Administrator auseinander setzen muss.

Wo ist der Nutzen?

Sowohl SPF, DKIM und DMARC sind dazu gedacht, Mails korrekt zu authentifizieren. Die Notwendigkeit zeigt sich an der Tatsache, dass die Absender in E-Mails prinzipiell frei setzbar bzw. fälschbar ist. Es kann also jeder eine E-Mail verfassen und sich beispielsweise als Sie ausgeben, indem, er Ihre E-Mail-Adresse als Absender setzt. In Ihrem Falle ist das sicherlich ärgerlich, gefährlich wird es dann, wenn als Absender eine  Ihnen bekannte Adresse @sparkasse.de oder bestellung@amazon.de gewählt wurde. Damit wird versucht Vertrauen zu erschleichen, um den Empfänger zu einer Handlung zu bewegen, die im Sinne des Absenders liegt – meistens zum Schaden des Empfängers.
Um nachträglich den E-Mail-Standard um Mechanismen zu erweitern, die eine Validierung des Absenders automatisch ermöglichen, wurden diverse Standards erschaffen. Diese heißen DKIM, SPF und DMARC. Wird eine Mail-Domain mit allen drei Mechanismen ausgestattet, dann ist Sie durch Fremde nicht mehr fälschbar, vorausgesetzt der eingesetzte Spamfilter weiß exakt damit umzugehen.

SPF

Das Sender Policy Framework (SPF) dient zur Verifikation des Absenders in einer Nachricht. Im passenden DNS-Eintrag kann der Inhaber der Mail-Domain xyz.de mitteilen, von welchen Mail-Servern eine Mail mit dem Absender @xyz.de stammen darf. Das ist eine erste Sicherheitsstufe, die die Authentizität der Mail erhöht. Der empfangende Mail-Server kann nun den SPF-Eintrag im DNS anfordern und so feststellen, ob die Mail von einem erlaubten Mail-Server stammt.

Die Sache hat aber einen Haken: Mails haben wie echte Briefe auch einen Umschlag (Envelope in Fachsprache). In Ihrem Mail-Programm sehen Sie typischerweise, statt der Adresse auf dem Umschlag, die Adresse aus dem Nachrichtenkopf. Diese kann sich wie bei einem echten Brief von der Adresse auf dem Umschlag unterscheiden. SPF prüft auch nur auf die Adresse auf dem Umschlag.

Ein vollständiger Schutz vor Fälschungen ist SPF daher nicht. Ein Spammer kann einfach auf dem Umschlag eine Adresse verwenden, die keinen SPF-Eintrag im DNS besitzt. In der Mail verwendet er dann die Adresse, die er hinfälschen möchte. Eine substanzielle Lücke also.

DKIM

DomainKeys Identified Mail dient dazu, den Nachrichtenkopf und den Text einer Mail abzusichern. Zusätzlich zum Absender im Nachrichtenkopf können auch andere Bestandteile wie Betreff und Empfänger verifiziert werden. Technisch funktioniert das mit Signaturen, die mithilfe eines Eintrags im DNS überprüft werden können. Ist die Signatur falsch, kann die Mail bedenkenlos als gefälscht erkannt werden. Sie können also mit einer Prüfung der DKIM-Signatur sicherstellen, dass die angezeigten Daten korrekt sind.

Aber auch DKIM hat eine Lücke: es fehlt eine Möglichkeit zu spezifizieren, ob alle Nachrichten der Absender-Adressen @xyz.de signiert sein müssen. Ein Spammer kann seine Nachrichten also einfach ohne Signatur versenden und so auf einfachstem Weg DKIM umgehen.

DMARC

Nachdem SPF und DKIM für sich genommen Lücken haben, musste eine Korrektur her. Domain-based Message Authentication, Reporting & Conformance, kurz DMARC, bietet einen Ansatz hierfür. das Rad wurde an der Stelle aber nicht neu erfunden, sondern auf DKIM und SPF aufgebaut. Mit dem DMARC-Eintrag im DNS kann der Administrator einer Mail-Domain den empfangenden Mail-Servern mitteilen, welche Kriterien eine Mail erfüllen muss, damit sie auch tatsächlich von der Domain stammt. Das beinhaltet eine Policy für SPF und/oder DKIM. Je nach gesetzter Einstellung kann der Mail-Server des Empfängers so auch E-Mails als Spam entsorgen, die mangels DKIM-Signatur gefälscht sind oder deren SPF nicht überprüfbar ist. Dabei checkt DMARC gegen den Absender @xyz.de in den Kopfzeilen, ihr Mail-Client zeigt damit auch eine geprüfte Adresse an.

Erst mit DMARC bekommt DKIM und SPF echte Zähne. Ein Administrator einer Mail-Domain kann via DMARC bekannt machen, dass er alle seine Mails mit DKIM und SPF versendet. Alles andere ist damit offiziell nicht von Ihm und darf somit als Spam entsorgt werden. Genau dies erledigt Secumail für Sie. Neben Ihrem Geschäftspartner kann so jeder professionelle Administrator den Mail-Verkehr für seine Organisation absichern. Es werden laut der Statistik auf dmarc.org immer mehr Unternehmen und Organisationen, die DMARC und SPF einsetzen. Im Juli 2017 besaßen 69 der Alexa Top 100 eine Policy, die mit DMARC über DNS einsehbar ist. Secumail kann damit Mails von diesen Anbietern besonders gegen Fälschungen absichern.

Wie profitiere ich als Secumail-Kunde?

Secumail-Kunden profitieren als Empfänger automatisch davon, ohne selbst etwas an der eigenen Domain verändern zu müssen. Besonders von großen Unternehmen wird der Mail-Verkehr so auf sichere Weise authentifiziert. Sie erhalten so kein Phishing oder Spam mehr mit gefälschten Absendern, sofern die Absender-Domain SPF, DKIM oder DMARC unterstützt.

Wir hoffen Ihnen einen guten und verständlichen Einblick in SPF, DKIM und DMARC geboten zu haben. Sollten Sie Fragen haben, möchten selbst SPF, DKIM oder DMARC umsetzen möchten, kontaktieren Sie uns gerne mit einer Mail an support@secumail.de oder telefonisch 08171-246920!

Michael Wodniok

Weiterführende Seiten und Artikel:

• RFC 7208: „Sender Policy Framework (SPF) for Authorizing Use of Domains in Email, Version 1“
• RFC 5585: „DomainKeys Identified Mail (DKIM) Service Overview“
• dmarc.org
• „Absender, auf die man sich verlassen kann“ von Stefan Cink, erschienen als Themenbeilage „Sicherheit & Datenschutz, Ausgabe 2/2017“ in iX-Ausgabe 12/2017 (EAN: 4018837015674)