Die Protokolle SPF, DKIM und DMARC helfen, Spoofing- und Phishing-Angriffe einzudämmen. Dennoch fehlen bei vielen Unternehmen die Einträge. Da die IT-Sicherheitsanalyse von LocateRisk unter anderem die Existenz und Konfiguration von SPF und DMARC prüft, bringen wir jetzt mal Licht ins Dunkel der abstrakten Begriffe.
Phishing
Phishing ist ein fester Begriff in der Cybersecurity-Welt, speziell im Bereich E-Mail-Sicherheit. Da Angreifer hier eher auf psychologische Tricks anstatt technisches Können setzen, zählt Phishing zu den Angriffsmethoden durch Manipulation (Social-Engineering-Methode). Dabei nutzen die Hacker eine gefälschte Identität, unter deren Namen sie E-Mails an die Opfer senden bzw. geben sich als Absender einer vertrauenswürdigen Domain aus. Ziel ist es, Zugriff auf Kreditkartennummern, Passwörter und andere private Informationen zu erhalten.
SPF, DKIM und DMARC
Die Abkürzungen bezeichnen drei wichtige E-Mail-Authentifizierungsprotokolle, die Internetdienstleistern und E-Mail-Servern bestätigen, dass ein Absender tatsächlich berechtigt ist, E-Mails von einer bestimmten Domain zu versenden. Der Identitätsnachweis hilft, Phishing- und Spoofing-Angriffen vorzubeugen. Organisationen, die SPF, DKIM und DMARC zur Verifizierung Ihrer E-Mail-Konten einsetzen, werden von den Servern auf Empfängerseite als vertrauenswürdig erkannt. Die Abkürzungen stehen für:
SPF: Sender Policy Framework
DKIM: Domainkeys Identified Mail
DMARC: Domain-based Message Authentication Reporting and Conformance
Was ist SPF?
Über den SPF-Eintrag legen Sie fest, welche Postausgangsserver E-Mails im Namen Ihrer Domain senden dürfen. Der empfangende Mailserver erhält dann eine Liste der autorisierten IP-Adressen (SPF-Record). Wenn ein sendender Server nicht im SPF-Eintrag Ihrer Domain aufgeführt ist, schlägt die E-Mail-Authentifizierung fehl. In der Regel warnt das Mailsystem dann den Empfänger vor dem Öffnen der E-Mail, verwirft die Nachricht oder sendet sie direkt an den Spam-Eingang.
Der SPF-Eintrag wird durch einen txt-Eintrag im Domain-Name-System (DNS) Ihrer Domainregistrierungsstelle erstellt. Im Dashboard können Sie die Einträge hinzufügen und löschen. Hier ein Beispiel für einen SPF-Eintrag: v=spf1 ip4:1.2.3.4 ip4:200.199.198.197 include:spf.mailjet.com include:_spf.google.com ~all
Step 1
Legen Sie einen txt-Eintrag an und tragen Sie als Version v=spf1 ein.
Step 2
Tragen Sie die IP-Adressen aller Mailserver ein, die Ihre Domain zum Versenden von E-Mails verwenden dürfen. Diese können als eine Reihe von IP-Adressen oder als einzelne IP-Adressen aufgeführt werden. Alle müssen mit dem Präfix ip4: oder ip6: beginnen.
Step 3
Drittanbieter, die Ihre Domain nutzen dürfen, werden mit include: aufgeführt. Im oberen Bild-Beispiel sind mailjet.com und google.com die Mailserver von Drittanbietern, die E-Mails im Namen Ihrer Organisation versenden dürfen.
Step 4
Wenn Sie alle Server hinzugefügt haben, können Sie Ihren SPF-Eintrag entweder mit ~all (softfail) oder mit -all (hardfail) abschließen und speichern.
Softfail bedeutet, dass E-Mails von nicht autorisierten Servern (Servern, die nicht im SPF-Eintrag enthalten sind) trotzdem durchgelassen werden, aber als Spam oder verdächtig markiert werden. Hardfail hingegen bedeutet, dass die nicht autorisierte E-Mail verworfen wird. Sobald der SPF-Eintrag erstellt ist, kann er von Ihrem Domain-Administrator veröffentlicht werden. Beachten Sie, dass es 24 Stunden und mehr dauern kann, bis die Änderungen wirksam ist.
Der DKIM-Eintrag stellt sicher, dass der Inhalt einer gesendeten Nachricht nicht verändert wird, während sie von Server zu Server über das Internet an den gewünschten Empfänger weitergeleitet wird. Hierzu wird aus der E-Mail-Nachricht ein Hashwert berechnet. Wird auch nur ein Komma im Inhalt geändert, verändert sich der Hashwert. Um die Integrität einer Nachricht zu verifizieren, müssen der mit der E-Mail übermittelte Hashwert und der vom Empfänger-Server selbst erstellte Hashwert übereinstimmen. Ist dies nicht der Fall wurde die Nachricht manipuliert.
Ähnlich wie SPF benötigt auch DKIM einen txt-Eintrag in der Domain. Allerdings müssen ein öffentlicher und ein privater Schlüssel erstellt werden (asymmetrische Verschlüsselung).
Ein DKIM-Eintrag sieht beispielsweise so aus:
v=DKIM1\;k=rsa\;p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC3QEKyU1fSma0axspqYK5iAj+54lsAg4qRRCnpKK68hawSd8zpsDz77ntGCR0X2mHVvkf0WEOIqaspaG/A5IGxieiWer+wBX8lW2tE4NHTE0PLhHqL0uD2sif2pKoPR3Wr6n/rbiihGYCIzvuY4/U5GigNUGls/QUbCPRyzho30wIDAQAB
Ein DKIM-Eintrag besteht aus der DKIM-Version v=DKIM1, dem verwendeten Verschlüsselungsalgorithmus RSA k=rsa und dem öffentlichen Schlüssel p=.. Der private Schlüssel wird zur Verschlüsselung der gehashten E-Mail verwendet und verlässt nie den sendenden Server. Der öffentliche Schlüssel wird im DKIM-Eintrag der Domain veröffentlicht und in der Kopfzeile der E-Mail mitgeschickt. Wenn der empfangende Server die E-Mail erhält, geht er wie folgt vor:
Step 1
Legen Sie in den DNS-Einstellungen für Ihre Domain einen neuen txt-Eintrag an. Den domainkey erhalten Sie von Ihrem E-Mail-Provider. Zum Beispiel: newsletter2022._domainkey.yourdomainname.com
Tragen Sie den Namen in das entsprechende Feld ein.
Step 2
Erzeugen Sie über Ihren E-Mail-Provider einen DKIM-Schlüssel und kopieren Sie den Wert, beispielsweise k=rsa; p=… (Zeichenfolge des öffentlichen Schlüssels p einsetzen) in das txt-Feld bei Ihrem Domainanbieter.
Step 3
Prüfen Sie nach dem Speichern, ob die Signierung auch funktioniert, indem Sie eine E-Mail beispielsweise an eine Adresse bei Gmail oder Outlook.com versenden. Dort können Sie den rohen Inhalt der Nachricht einsehen. Im Header müsste sich ein dkim=pass finden.
Bei Gmail klicken Sie auf die drei Punkte rechts oben in der Nachricht und gehen dann auf Original anzeigen.
DMARC vervollständigt die E-Mail-Authentifizierung durch den Abgleich der Gültigkeit von SPF- und DKIM-Einträgen. Mit dem DMARC-Eintrag erhält der Empfänger-Server Anweisungen, wie mit E-Mails verfahren werden soll, die den Authentifizierungstest nicht bestehen. Diese Regeln werden vom Inhaber der Domain über die E-Mails versendet werden, vorgegeben: z.B. in Spam-Ordner verschieben oder verwerfen. DMARC zeigt auch an, welche Protokolle SPF, DKIM oder beide implementiert wurden und erstellt einen Bericht für den Absender.
Damit Sie einen DMARC-Eintrag einrichten können, müssen entweder DKIM, SPF oder beide aktiv sein. Ein typischer DMARC-Eintrag sieht wie folgt aus: v=DMARC1; p=reject; rua=mailto:dmarc_reports@yourdomainname.com
v – gibt die DMARC-Protokollversion an.
p – gibt an, wie mit der Nachricht verfahren werden soll:
None – Richtlinie ignorieren
Quarantäne – Mails in den Spam-Ordner stellen
Reject – E-Mail verwerfen
rua – gibt vor, an welche E-Mail-Adresse die Berichtsdaten jener Nachrichten gesendet werden sollen, die DMARC-Prüfung nicht bestanden haben.
Step 1
Legen Sie in den DNS-Einstellungen Ihrer Domain einen neuen txt-Eintrag an.
Step 2
Kopieren Sie den Host/Name und Wert/Ziel, die von Ihrem E-Mail-Provider bereitgestellt werden und fügen Sie diese in die entsprechenden Felder ein.
Step 3
Testen Sie Ihre Einstellungen wie schon unter DKIM (Step3) beschrieben über eine E-Mail an eine Gmail- oder Outlook-Adresse. Im Idealfall sieht der Header der versendeten E-Mail dann so aus.
SPF, DKIM und DMARC dienen der IT-Sicherheit und sollten als Bestandteil Ihres Sicherheitskonzeptes aktiviert sein. Im Rahmen einer LocateRisk-Analyse wird in der Kategorie „DNS“ geprüft, ob SPF und DKIM-Einträge vorhanden sind und Ihr Mailversand gut geschützt ist. Wenn Sie nicht sicher sind, ob Ihre Organisation SPF und DMARC verwendet, sollten sie das unbedingt überprüfen. Wir sind immer wieder erstaunt, wieviele Unternehmen ihre Sicherheit durch nicht gesetzte Einträge aufs Spiel setzen.
Erkennen und reduzieren Sie Ihre Cyberrisiken durch einen vergleichbaren und verständlichen Überblick Ihrer IT-Sicherheit. Lassen Sie sich von unseren Experten beraten und finden Sie heraus, wie LocateRisk Ihnen bei der Lösung Ihrer Cyberrisiken helfen kann.
Deutsch 
English 
Français