Der ultimative Leitfaden – DMARC DKIM SPF

Wie man DMARC/DKIM/SPF implementiert, um die Kompromittierung von Geschäfts-E-Mails zu stoppen

In diesem ultimativen Leitfaden erfahren Sie, wie Sie DMARC, DKIM und SPF implementieren können, um sich vor der Kompromittierung von Geschäfts-E-Mails (Business Email Compromise, BEC) zu schützen und die E-Mail-Zustellung zu verbessern. Wir empfehlen Ihnen die Best Practices zum Einrichten dieser E-Mail-Authentifizierungsprotokolle und klären Sie über DMARC, DKIM und SPF auf.

Außerdem werden wir die Vorteile der Implementierung von DMARC, DKIM und SPF erörtern, wie z. B. das Unterbinden von E-Mail-Phishing- oder Spoofing-Angriffen von Ihrer Domain und die Verbesserung Ihres Rufs als E-Mail-Versender.

Dieser Leitfaden ist für die folgenden Zielgruppen von Nutzen:

  • Markeninhaber
  • Vermarkter
  • Domain-Inhaber und -Administratoren
  • IT-Netzwerke
  • Jeder, der Cyberkriminelle davon abhalten möchte, betrügerische E-Mails von seiner Domain aus zu versenden
  • Personen, die von BEC betroffen waren

Hinweis: Wenn Sie feststellen möchten, ob Ihre Domain mit den Richtlinien DMARC, SPF und DKIM konform ist, senden Sie eine E-Mail an HIER EMAIL EINFÜGEN. Wir senden Ihnen dann einen Bericht mit den gewünschten Informationen zu.

Was ist eine Kompromittierung von Geschäfts-E-Mails?

Die Kompromittierung von Geschäfts-E-Mails (Business Email Compromise, BEC) bezieht sich auf jede Art von betrügerischer Aktivität, die Ihre E-Mail Domain betrifft. Gängige Beispiele sind Phishing- oder Spoofing-Angriffe, bei denen ein E-Mail-Header gefälscht wird und eine andere Person eine E-Mail in Ihrem Namen sendet. Phishing liegt vor, wenn eine betrügerische Website oder E-Mail verwendet wird, um Ihre Daten zu stehlen. Diese E-Mails scheinen von Ihnen zu stammen, werden aber stattdessen von einem Cyberkriminellen versandt. Ziel dieser Angriffe ist es in der Regel, an vertrauliche Informationen zu gelangen, z. B. an die Finanzdaten oder Passwörter des Empfängers.

Diese Art von E-Mails enthält in der Regel eine Nachricht, die darauf hinweist, dass es eine Sicherheitsverletzung gegeben hat und der Empfänger sofort Maßnahmen ergreifen muss, um das Problem zu beheben. Die Absenderadresse scheint von einer seriösen Quelle zu stammen, z. B. von [email protected] Der Empfänger klickt dann auf den in der E-Mail angegebenen Link und wird auf eine betrügerische Website geleitet, die wie die offizielle Website der Bank aussieht. Hier geben die Empfänger fälschlicherweise ihre personenbezogenen Daten ein, und die Website verwendet diese Anmeldedaten, um Geld vom Konto des Empfängers abzuheben.

Gefälschte E-Mails können auch so aussehen, als kämen sie von einem Geschäftspartner. Diese Art von E-Mails kann eine Rechnung enthalten, die Sie bezahlen sollen. Auch hier klickt der Empfänger auf einen Link und wird auf eine gefälschte Website weitergeleitet, auf der die Finanzdaten des Empfängers gestohlen werden. Phishing-E-Mails sind bei Geldüberweisungen weit verbreitet, da dies für Angreifer eine einfache Möglichkeit ist, an Ihr Geld zu gelangen.

Hier ein weiteres Szenario. Ein Cyberkrimineller gibt sich als jemand aus der Geschäftsleitung aus und verschickt E-Mails an seine Mitarbeiter, einschließlich der Buchhaltungsleiter. Es wird behauptet, dass Sie Geld auf ein anderes Konto (in der Regel im Ausland) an einen der Investoren des Unternehmens überweisen sollen. Ein Angestellter kann den Fehler machen, das Geld des Unternehmens an den Cyberkriminellen zu überweisen, da die E-Mail den Anschein erweckt, rechtmäßig von der Geschäftsleitung zu stammen.

Hier ist ein Beispiel für eine gefälschte E-Mail:

BEISPIEL HIER EINFÜGEN

In dieser E-Mail gibt sich der Cyberkriminelle als Google aus und warnt den Nutzer vor einem verdächtigen Anmeldeversuch. In der E-Mail wird der Empfänger dann aufgefordert, den Versuch durch Klicken auf den Link zu bestätigen, wodurch der Angreifer die Anmeldedaten stehlen kann. Spoofing-E-Mails können auch eingesetzt werden, um Ransomware zu verbreiten. Das Öffnen einer dieser E-Mails kann einen ganzen Geschäftsbetrieb lahm legen.

Auch diese E-Mails scheinen immer von vertrauenswürdigen Quellen zu stammen. Sobald der Empfänger die E-Mail öffnet, wird er möglicherweise aufgefordert, auf einen Link zu klicken oder Anhänge herunterzuladen. Die Ransomware übernimmt dann die Kontrolle über das Gerät und sperrt alle Mitarbeiter des Unternehmens aus. Der Hacker kann Geld verlangen, bevor er Ihr Konto freigibt. Einem Bericht zufolge enthalten etwa 90% aller Phishing-E-Mails Ransomware im Anhang.

Highlights des Abschnitts:

  • Die Kompromittierung von Geschäfts-E-Mails (Business Email Compromise, BEC) kann E-Mail-Phishing oder Spoofing beinhalten. Dabei verwendet jemand eine gefälschte E-Mail, die legitim aussieht und den Empfänger dazu bringt, Geld zu überweisen, wichtige Informationen preiszugeben oder Ransomware herunterzuladen.
  • Cyberkriminelle können Ihre E-Mail-Adresse nutzen, um betrügerische E-Mails an Kunden, Mitarbeiter und Geschäftspartner zu senden, selbst wenn Sie sich dessen nicht bewusst sind.

Was sind die Folgen von BEC?

Einer der Hauptgründe, warum BEC so weit verbreitet ist, liegt darin, dass es relativ einfach zu bewerkstelligen ist. Es erfordert kein umfangreiches technisches Hintergrundwissen. Jeder mit grundlegenden administrativen E-Mail-Server-Kenntnissen kann es tun, und es hat eine hohe Rendite. Heute verlassen sich viele Unternehmen auf Spam-Filter, um diese Angriffe zu verhindern. Allerdings halten Spam-Filter bestimmte Phishing-Angriffe nicht immer ab, und viele E-Mails können einen Spam-Filter unentdeckt passieren. Spam-Filter sind nicht dafür ausgelegt, Spoofing zu verhindern. Sie benötigen einen anderen Mechanismus, um zu verhindern, dass Phishing-Angriffe Ihre Empfänger erreichen.

Wenn eine Phishing-E-Mail Ihren Posteingang erreicht, gefährdet sie viele Dinge, z. B. den Ruf Ihres Unternehmens oder Ihrer Marke. Weitere Risikofaktoren sind gestohlenes geistiges Eigentum, finanzielle Verluste, die Einstellung der Geschäftstätigkeit aufgrund von Ransomware, die Ihr Unternehmen lahmlegt, und vieles mehr.

E-Mails sind für jeden Geschäftsbetrieb von entscheidender Bedeutung. Sie sind das wichtigste Kommunikationsmittel für die meisten Unternehmen. E-Mails sind aber auch für das Marketing, den Kundendienst, den Vertrieb, die interne Kommunikation und die Übertragung von Finanzdaten zuständig. Daher müssen geschäftliche E-Mails unbedingt sicher sein. Wenn Sie Ihre geschäftlichen E-Mails nicht schützen, kann dies zu Sicherheitsverletzungen führen, die schwere Verluste verursachen. Das ist so, als würde man einen Tresor mit Geld und personenbezogenen Daten unverschlossen lassen, sodass jeder ihn stehlen kann, oder ein Firmenkonto ohne Passwort eröffnen.

Highlights des Abschnitts:

  • BEC hat irreversible Folgen für Ihr Unternehmen und Ihren Ruf, einschließlich Ransomware, die Ihr Konto sperrt, finanzielle Verluste und gestohlenes geistiges Eigentum.

Wie kann man die Kompromittierung von Geschäfts-E-Mails stoppen?

Obwohl E-Mail-Spoofing und Phishing-Angriffe beängstigend erscheinen mögen, ist die gute Nachricht, dass Sie viele dieser Angriffsversuche durch die Implementierung von DMARC, SPF und DKIM verhindern können. Diese modernen E-Mail-Sicherheitsmaßnahmen sind der Goldstandard, wenn es um E-Mail-Authentifizierung geht, vorausgesetzt, sie werden korrekt implementiert.

Bei korrekter Implementierung arbeiten DMARC, SPF und DKIM zusammen, indem sie DNS-Einträge zur Sicherung der Domain veröffentlichen. Gemeinsam arbeiten diese Systeme mit E-Mail-Dienstanbietern wie Google Mail zusammen und verhindern, dass unbefugte Angreifer betrügerische Nachrichten von Ihrer Domain versenden. In diesem Leitfaden wird erläutert, was DMARC, SPF und DKIM sind, wie sie zusammen und einzeln funktionieren und vor allem, wie sie Ihre Domain vor BEC schützen.

Highlights des Abschnitts:

  • Die richtige Einrichtung von DMARC, DKIM und SPF ist der beste Weg, um Ihre Domain vor BEC zu schützen und Hacker vom Versand betrügerischer E-Mails abzuhalten.

Brauche ich DMARC, SPF und DKIM wirklich?

Die kurze Antwort lautet: Ja! Sie brauchen DMARC, SPF und DKIM unbedingt, wenn es Ihnen mit dem Schutz Ihres Unternehmens und Ihrer sensiblen Daten ernst ist. Selbst wenn Ihr Unternehmen das Glück hatte, nicht von E-Mail-Phishing oder Spoofing betroffen zu sein, bietet die Implementierung von DMARC, DKIM und SPF viele unmittelbare Vorteile, darunter die folgenden:

  • Kürzlich hat Microsoft Office 365 seine Richtlinie zum Schutz vor Spoofing so angepasst, dass authentifizierte E-Mails automatisch in Ihrem Spam-Ordner landen. Das bedeutet, dass E-Mails, die von Ihrer Domain kommen, möglicherweise nicht im Posteingang landen, wenn Sie DMARC, DKIM oder SPF nicht installiert haben. Es kann eine Warnung wie die folgende angezeigt werden:

WARNUNG HIER EINFÜGEN

  • Gmail verwendet das folgende rote Fragezeichen, um anzuzeigen, dass eine E-Mail nicht authentifiziert ist, was ein Gefühl der Unsicherheit und des Misstrauens erzeugt:

BILD EINFÜGEN

  • Untersuchungen haben gezeigt, dass die Einführung einer p=reject DMARC-Richtlinie die Zustellbarkeit Ihrer E-Mails um bis zu 10% erhöhen kann, was bedeutet, dass mehr Ihrer E-Mails den Posteingang erreichen werden. Denken Sie daran, dass DMARC, DKIM und SPF zusammenarbeiten, um Ihre Domain vor BEC zu schützen.

Ein weiterer Grund, warum die Implementierung von DMARC absolut notwendig ist, ist die Verbesserung der Zustellbarkeit Ihrer E-Mails. Viele Menschen gehen davon aus, dass alle ihre legitimen E-Mails im Posteingang ankommen. Dies ist jedoch nicht immer der Fall. Es kann sein, dass seriöse E-Mails aus verschiedenen Gründen nicht in den Posteingang gelangen, z. B:

  • SPF- oder DKIM-Aktualisierungen in Ihrem DNS, einschließlich derer von Drittanbietern.
  • Neue E-Mail-Domains von Drittanbietern werden hinzugefügt.
  • Der SPF-Eintrag überschreitet das Limit von 10 DNS-Abfragen.
  • Und vieles mehr!

E-Mails, die nicht authentifiziert sind, werden in der Regel als Spam behandelt oder ganz abgelehnt, was bedeutet, dass Ihre völlig legitime E-Mail möglicherweise gar nicht im Posteingang landet. Sie können dies verhindern, indem Sie ein Auge auf Ihre legitimen E-Mails werfen und sicherstellen, dass sie ordnungsgemäß authentifiziert sind. Die Aktivierung von DMARC hilft dabei. Wenn Sie die Überwachung Ihrer DMARC-Richtlinie jedoch vernachlässigen, können auch einige legitime E-Mails abgelehnt werden.

Praxisbeispiel für die Kompromittierung von Geschäfts-E-Mails

Im Folgenden zeigen wir Ihnen ein Praxisbeispiel für die Kompromittierung von Geschäfts-E-Mails. Jedes Mal, wenn Ihr Unternehmen mit jemandem kommuniziert, z. B. mit einem Kunden oder einem Mitarbeiter, ist es sehr wahrscheinlich, dass Sie eine dritte Partei damit beauftragt haben. Falls nicht, ist es eine gute Idee, dies zu tun, da Sie dadurch eine bessere Zustellbarkeit und bessere Anti-Spam-Funktionen erhalten.

Wenn Sie eine geschäftliche E-Mail über einen Drittanbieterdienst an jemanden senden, geschieht Folgendes:

  • Der Drittanbieter-Zustelldienst wird mit Anweisungen wie E-Mail-Adresse, Nachrichtentext, Betreff und Anhängen kontaktiert.
  • Sobald der Drittanbieter alle benötigten Informationen erhalten hat, initiiert er eine SMTP-Sitzung (Simple Mail Transfer Protocol) mit einem Server, der vom E-Mail-Dienstanbieter des Empfängers (z. B. Yahoo oder Gmail) gehostet wird.
  • Als Nächstes prüft der E-Mail-Anbieter die eingehende E-Mail, bestimmt die Domain, sucht die DMARC-, SPF- und DKIM-Einträge der Domain des Absenders und unterzieht sie einer Reihe von Authentifizierungsprüfungen.
  • Sobald die Ergebnisse vorliegen, wird die E-Mail entweder an den Posteingang oder den Spam-Ordner weitergeleitet oder ganz abgewiesen.

Eine einfache Möglichkeit, das E-Mail-Protokoll zu verstehen, besteht darin, es sich wie die Schneckenpost vorzustellen. Beide Formen der Nachrichtenübermittlung weisen Ähnlichkeiten in Bezug auf Zerstörung und Anatomie auf. Die folgende Abbildung zeigt die Unterschiede und Gemeinsamkeiten zwischen normaler Post (einem Brief) und E-Mails:

BILD HIER

Wie auf dem Bild zu sehen ist, besteht eine Postsendung aus einem Umschlag und einem Brief. Jeder Brief hat seinen eigenen Absender und Empfänger. Meistens sind diese Informationen identisch, manchmal aber auch unterschiedlich. Darüber hinaus enthält die E-Mail-Nachricht auch einen Empfänger und einen Absender.

Der Nachrichtenteil einer E-Mail ist selbst ein Brief, und der Umschlag enthält die Anweisungen, die in der SMTP-Konversation zwischen zwei Computern erteilt werden. Sowohl der Brief als auch der Umschlag der E-Mail haben ihre eigenen Informationen zu Empfänger und Absender. Die Informationen in der Nachricht können sich jedoch von den Angaben auf dem Umschlag unterscheiden.

Das Hinzufügen des Absenders zum Brief und zum Umschlag ist für das ordnungsgemäße Funktionieren von SMTP notwendig. Da diese jedoch unterschiedlich sein können, sind Spoofing-Angriffe möglich. Eine E-Mail durchläuft beim Versand mehrere Prozesse, genau wie die Post. Hier ist zum Beispiel die Kette, die die Schneckenpost durchläuft:

  1. Der Absender schickt einen Brief über das Postamt oder den Briefkasten.
  2. Das örtliche Postamt holt den Brief ab und bringt ihn in ein Verteilzentrum.
  3. Der Brief wird an das Zielpostamt weitergeleitet.
  4. Schließlich erreicht er den Empfänger.
  5. In ähnlicher Weise durchläuft eine E-Mail mehrere Server im Internet, bevor sie ihr endgültiges Ziel erreicht. Darauf werden wir später eingehen, wenn wir über die Kopfzeile einer E-Mail sprechen.

Was passiert bei SMTP-Transaktionen?

Das folgende Beispiel zeigt eine SMTP-Transaktion, die zwischen einem sendenden und einem empfangenden Server stattfindet. In diesem Beispiel stellen wir zunächst eine Verbindung zu einem der Gmail-Server her. Dann geben wir einige SMTP-Regeln ein, um beispielsweise eine E-Mail zu versenden. Hier ist die Transaktion:

Trying 74.125.126.26…

Connected to alt2.gmail-smtp-in.l.google.com.

Escape character is ‘^]’.

220 mx.google.com ESMTP p7si628819iom.85 – gsmtp

hello easydmarc.com

250 mx.google.com at your service

mail from: <[email protected]>

250 2.1.0 OK p7si628819iom.85 – gsmtp

rcpt to: <[email protected]>

250 2.1.5 OK p7si628819iom.85 – gsmtp

data

354  Go ahead p7si628819iom.85 – gsmtp

From: Doug <[email protected]>

Reply-to: <[email protected]>

Subject: Test

This is an example.

.250 2.0.0 wDSAAusO0109812 Message accepted for delivery

Im Folgenden wird das obige Beispiel aufgeschlüsselt und erläutert, was die einzelnen Zeilen bedeuten:

  1. Zunächst gibt der sendende Host einen Befehl (in diesem Fall „hello“) aus, um sich zu identifizieren. Dies ist dasselbe, als würde er sagen: „Hallo, mein Name ist …“
  2. Dann leitet der Host die E-Mail-Übertragung ein und identifiziert den Absender, indem er den Befehl „mail from the command“ ausgibt. Die Adresse wird in diesem Beispiel „envelope from“ genannt. Sie teilt dem Mailserver mit, wohin er die Nachricht zurückschicken soll, wenn sie aus irgendeinem Grund nicht zugestellt werden kann. Dies kann der Fall sein, wenn die E-Mail-Adresse nicht gefunden werden kann. Sie ist vergleichbar mit der Absenderadresse, die man auf einen Briefumschlag schreibt. Wenn die Adresse, an die Sie den Brief senden, nicht gefunden wird, erhalten Sie den Brief an die Absenderadresse mit dem Stempel „return to sender“ auf der Vorderseite.
  3. Als nächstes wird der Empfänger angegeben. Dieser Befehl kann mehrmals wiederholt werden, wenn in der ausgehenden E-Mail mehrere Empfänger aufgeführt sind.
  4. Schließlich beginnt der Versand der E-Mail. Die Domain akzeptiert alle Daten in einem Befehl, bis sie einen Punkt gefolgt von einer Leerzeile sieht. Sie können diesen Befehl verwenden, um viele Endbenutzer anzugeben. Die Bedeutung dieser Zeile ist folgende:

„From“ – Diese Kopfzeile stammt von einer Adresse. Sie erscheint als Absender, wenn Sie eine E-Mail an einen Client senden. Wird diese Angabe weggelassen, handelt es sich um die gleiche Adresse wie der Umschlag. In diesem Beispiel ist der Empfänger [email protected]

„Reply to“ – Dies ist eine optionale Kopfzeile, an die Sie direkte Antworten senden können.

„Subject“ – Diese Zeile gibt den Betreff der E-Mail an.

Der Rest des Textes ist der Nachrichtentext, also die eigentliche Nachricht selbst.

Bei der E-Mail-Authentifizierung wird normalerweise nicht die E-Mail-Nachricht geprüft. DMARC befasst sich hauptsächlich mit dem Kopfzeilenfeld und den SMTP-Befehlen, da diese am häufigsten gehackt werden.

Was ist eine E-Mail-Nachricht?

Eine E-Mail-Nachricht besteht aus einer Kopfzeile (die mehrere Felder enthalten kann) und einem Hauptteil. In der Kopfzeile werden die Informationen eingetragen, die den Ursprung der E-Mail anzeigen. Hier wird auch die Authentizität geprüft. Der Textkörper ist der eigentliche Inhalt der Nachricht. DMARC konzentriert sich auf den Schutz Ihrer E-Mail-Kopfzeile, da diese Informationen zur Verifizierung Ihrer Domain benötigt werden.

Wenn Sie Gmail als E-Mail-Anbieter verwenden, können Sie die Funktion „Original anzeigen“ verwenden, um die Bestandteile Ihrer E-Mail-Nachricht zu analysieren. Bei der Analyse einer E-Mail-Kopfzeile ist es wichtig zu beachten, dass die Reihenfolge der Ereignisse am Anfang steht. Wenn Sie also die E-Mail vom Zeitpunkt des Versands bis zum Empfang zurückverfolgen wollen, müssen Sie ganz unten beginnen. Eine E-Mail durchläuft auf ihrer Reise mehrere Server, und bei jedem Zwischenstopp können weitere Informationen zur Kopfzeile hinzugefügt werden.

Im Folgenden finden Sie eine Übersicht über die verschiedenen Stationen, die eine E-Mail nach dem Versand durchlaufen kann:

  1. Erster Stopp: Der erste „Stopp“ ist eigentlich gar kein Stopp. Er findet statt, wenn Sie die E-Mail von Ihrem Computer aus verfassen.
  2. Zweiter Stopp: Während des zweiten Stopps empfängt Ihr E-Mail-Zustelldienst die E-Mail und bereitet sie zum Versand vor.
  3. Dritter Stopp: Während des dritten Stopps empfängt der Empfänger-E-Mail-Server die E-Mail. Hier erhält der Empfänger-SMTP die E-Mail-Nachrichten, authentifiziert sie und fügt die entsprechenden Authentifizierungsfelder in die Kopfzeile ein.
  4. Letzter Stopp: Der letzte Stopp erfolgt, wenn die E-Mail-Nachricht zugestellt wird.

Was ist der Unterschied zwischen „Envelope From“ und „Header From“?

Jede E-Mail enthält zwei verschiedene Absenderadressen, nämlich „envelope from“ und „header from“. Die E-Mail-Adresse, die in einer SMTP-Transaktion mit dem Befehl „mail from“ angegeben wird, ist die „envelope from“. Sie wird u.a. auch als „Bounce-Back-Adresse“, „Mail From“, „RFC5321“, „Reverse Path“, „Return Path“, „Return Address“, „Envelope Sender“ bezeichnet.

Die Absenderadresse ist die Adresse im Kopfzeilenbereich „from“, wenn Sie eine E-Mail verfassen. Sie wird u.a. auch als „display from“, „from“, „RFC5322“ bezeichnet. Die Absenderadresse ist die Adresse, die Sie sehen, wenn Sie jemandem eine E-Mail schicken. Die Absenderadresse ist auch das, was die Empfänger einer E-Mail sehen, wenn sie herausfinden wollen, von wem die E-Mail stammt.

Hier ist ein Beispiel:

HIER EINFÜGEN

Wie Sie sehen können, ist die Adresse „envelope from“ Teil der SMTP-Transaktion und die Adresse „header from“ ist Teil der E-Mail-Nachricht. Die meisten Leute würden denken, dass die Adresse „envelope from“ und die Kopfzeile immer identisch sind. Dies ist jedoch nicht immer der Fall. Manchmal, z. B. wenn eine E-Mail weitergeleitet wird, können sie unterschiedlich sein.

Nehmen wir zum Beispiel an, jemand namens Joe sendet eine E-Mail mit der gleichen Umschlag- und Kopfzeilenadresse ([email protected]) an einen Kunden unter [email protected] Der E-Mail-Server von help.com hat in seinen Richtlinien eine Regel eingerichtet, die alle Nachrichten an eine andere E-Mail-Adresse von [email protected] weiterleitet.

Wenn die E-Mail auf dem ersten Server (@help) eintrifft, wird sie mit dem zweiten Server (@outsourcedhelp) verbunden, wo die Nachricht zugestellt wird. Dabei unterscheidet sich der Umschlag von der ursprünglichen Adresse, während die Nachricht selbst gleich bleibt (einschließlich der Kopfzeile von der Adresse).

Der Zweck dieses Verfahrens ist, dass Joe immer den ursprünglichen Inhalt sehen kann, der gesendet wurde. Die endgültige Nachricht wird jedoch einen anderen Umschlag von der Adresse enthalten, da die beiden Server unterschiedliche Adressen enthalten. Cyberkriminelle können die Kopfzeile „envelope from“ ändern, um eine gefälschte E-Mail von Ihrer Domain zu senden. Wie das funktioniert, werden wir später besprechen.

Was ist SPF?

Das Sender Policy Framework (SPF) ist das erste der drei modernen E-Mail-Authentifizierungsverfahren. SPF ist ein E-Mail-Authentifizierungsprotokoll, das nur autorisierten Absendern erlaubt, E-Mails im Namen einer Domain zu versenden. Alle nicht autorisierten Benutzer sind nicht in der Lage, eine E-Mail von dieser Domain zu senden. SPF ermöglicht es den empfangenden E-Mail-Servern außerdem, jede von einer Domain eingehende E-Mail auf Übereinstimmung mit der IP-Adresse der Domain zu überprüfen, um sicherzustellen, dass sie autorisiert ist.

Wie funktioniert SPF?

Um zu verstehen, wie SPF funktioniert, eignet sich ein Beispiel. Nehmen wir an, Ihre geschäftliche E-Mail-Domain lautet company.com. Die E-Mail-Domain, von der aus Sie E-Mails an Ihre Kunden und Mitarbeiter senden, lautet [email protected] Ihr E-Mail-Zustellungsserver (der Dienst, den Sie zum Senden von E-Mails verwenden) hat die IP-Adresse 192.168.02. Ein Cyberkrimineller verwendet eine betrügerische E-Mail mit der IP-Adresse 2.3.4.5, um zu versuchen, eine E-Mail von Ihrer Domain zu senden.

Wenn Ihr E-Mail-Zustelldienst (Gmail, Yahoo usw.) Ihre E-Mail mit der Domain des Empfängers verbindet, passieren mehrere Dinge. Zunächst übernimmt der E-Mail-Server einige der Domain-Namen aus der Umschlagabsenderadresse. In diesem Fall ist es company.com. Als Nächstes prüft der E-Mail-Server die IP-Adresse des Hosts, um festzustellen, ob die Domain in den SPF-Einträgen veröffentlicht ist. Die SPF-Prüfung wird bestanden, wenn die IP-Adresse aufgeführt ist. Die Prüfung schlägt fehl, wenn die IP-Adresse nicht aufgeführt ist.

Ihr SPF-Eintrag enthält beispielsweise den folgenden Eintrag: v=spf ip3:193.167.0.2 -all. Dies bedeutet, dass IP-Adressen, die 193.167.0.2 enthalten, die SPF-Prüfung bestehen. Alle anderen E-Mails von anderen IP-Adressen werden nicht geprüft. Das bedeutet, dass E-Mails von Servern mit der IP-Adresse 2.3.4.5 nicht akzeptiert werden.

Es ist hilfreich, sich SPF-Einträge als eine Liste sicherer IP-Adressen vorzustellen, die in einem exklusiven Club zugelassen sind. Nur IP-Adressen aus dieser Liste erhalten grünes Licht für den Posteingang. SPF-Einträge stellen auch sicher, dass keine anderen Hosts eine E-Mail von Ihrer Domain senden können. Dieser Prozess ist einer der ersten Schritte bei der DMARC-Authentifizierung, die wir später beschreiben werden.

Wenn Sie beispielsweise Gmail als E-Mail-Zustelldienst verwenden, können Sie überprüfen, ob eine E-Mail eine SPF-Prüfung besteht oder nicht, indem Sie sich bei Ihrem Konto anmelden, auf die Nachricht klicken und die Funktion „Original anzeigen“ verwenden. Dadurch werden Ihnen alle Details der Nachricht angezeigt.

Wie erstellt man einen SPF-Eintrag?

Ein SPF-Eintrag ermöglicht es Domain-Inhabern, bestimmte IP-Adressen auf einzigartige Weise zu nutzen, indem sie Qualifikatoren, Modifikatoren und Mechanismen bereitstellen. Im Beispiel v=spf1 ip4:190.168.0.1 – all wird erläutert, was jeder Abschnitt bedeutet:

  •  v=spf1 bezieht sich auf die Version von SPF, die Sie verwenden. Im Moment ist SPF1 die aktuelle Version.
  • Alles, was auf SPF1 folgt, bezieht sich auf eine Reihe von Qualifikatoren, Modifikatoren und Mechanismen, die bestimmen, ob der Host E-Mails senden darf.
  • ip4 bezieht sich auf eine IPv4-Adresse, die für den Versand von E-Mails von dieser Domain zugelassen ist. In diesem Beispiel ist die IP-Adresse 190.168.01 eine qualifizierte Domain, die E-Mails senden darf.
  • Der Mechanismus -all bezieht sich auf die Einstellungen der Domain. In diesem Fall schlägt die Prüfung fehl, wenn keiner der zuvor aufgeführten Mechanismen mit dem SPF-Eintrag übereinstimmt.

Was bedeuten die SPF-Mechanismen?

Es gibt insgesamt acht SPF-Mechanismen, die sich auf eine bestimmte Art und Weise zur Identifizierung einer IP-Adresse beziehen. Wir haben ihre Bedeutungen unten aufgeführt:

  • IP4: Gibt an, dass der SPF-Eintrag übereinstimmt, wenn der Absender in einem IPv4-Bereich liegt.
  • IP6: Der SPF-Eintrag wird übereinstimmen, wenn der Domain-Benutzer aus einem IPv6-Bereich sendet.
  • A: Domain-Adressen, die ein A oder AAAA haben, können mit der Adresse des Absenders abgeglichen werden.
  • MX: Domain-Adressen, die einen MX-Eintrag haben, werden abgeglichen (z. B. wenn die E-Mail von einem der Eingangsserver der Domain stammt).
  • PTR: Wenn sich der PTR-Eintrag der Domain für Ihre Adresse in der angegebenen Domain befindet und diese Domain auf Ihre Adresse verweist, ist dies ein Treffer. Es ist zu beachten, dass dieser Mechanismus nicht mehr verwendet werden sollte, da er veraltet ist.
  • EXISTS: Dieser Mechanismus wird selten verwendet, da er komplexe Übereinstimmungen enthält. Er bezieht sich auf Domain-Namen, die mit jeder Adresse übereinstimmen, unabhängig von der Adresse.
  • INCLUDE: Dies bezieht sich auf die Richtlinie einer anderen Domain. Wenn die Domain der anderen Richtlinie die Prüfung besteht, dann ist dieser Mechanismus erfolgreich. Schlägt die Richtlinie jedoch fehl, wird die Verarbeitung fortgesetzt. Die Redirect-Erweiterung muss verwendet werden, um die Richtlinie einer anderen Domain vollständig zu delegieren.
  • ALL: Dies bedeutet immer eine Übereinstimmung und wird als Standard verwendet, wie z. B. -all für alle IPs, die nicht durch andere Mechanismen übereinstimmen.

Was sind SPF-Qualifikatoren?

An SPF qualifier determines the result of the mechanism evaluation. Every SPF qualifier is combined with any of the above mechanisms. 

Hier ist eine Aufschlüsselung der SPF-Qualifikatoren:

  • + bedeutet, dass die SPF-Prüfungen bestanden wurden; es kann weggelassen werden.
  • ? ist ein neutrales Ergebnis, das als NONE oder keine Richtlinie definiert werden kann.
  • ~ (Tilde) bezieht sich auf Soft-Fail, ein Hilfsmittel, das zwischen neutral und fail liegt. Nachrichten, die mit einem Soft-Fail gekennzeichnet sind, werden akzeptiert, aber gekennzeichnet.
  • – steht für fail, d. h. die SPF-Prüfung schlägt fehl.

Was sind SPF-Modifikatoren?

Es gibt zwei SPF-Modifikatoren, die weit verbreitet sind.

  1. Exp=any.example.com – Dies gibt uns die Domain der Domain zusammen mit einem DNS-TXT-Eintrag und liefert eine Erklärung für fehlgeschlagene Prüfungen. Diese Art von Modifikator wird selten verwendet.
  2. Redirect-any.example.com – Dieser Modifikator wird anstelle des Mechanismus „all“ verwendet. Er verweist auf die Richtlinie einer anderen Domain.

SPF-Modifikatoren ermöglichen es dem Framework, in Zukunft Erweiterungen zu enthalten. Umleitungsmodifikatoren funktionieren anders. Zum Beispiel ist „include“ ein Mechanismus, und wenn er fehlschlägt, wird der nächste Mechanismus im SPF-Eintrag geprüft. Außerdem ist „redirect“ ein Modifikator, der sich auf die Bewertung des SPF-Eintrags stützt, um seinen Einfluss auf die Ergebnisse zu bestimmen.

Beispiel für einen SPF-Eintrag

Hier ist ein allgemeines Beispiel für einen SPF-Eintrag, damit Sie verstehen, wie SPF funktioniert. Sie können ihn nach Bedarf anpassen:

v=spf1 a mx include:_spf.record.com – all

In diesem Beispiel sind die folgenden IP-Adressen berechtigt, E-Mails im Namen Ihrer Domain zu versenden:

  • Wenn die Domain-Adresse einen Adresseintrag von A oder AAAA hat, der aufgelöst wird, dann ist der aufgelöste Wert erlaubt (das ist der a-Mechanismus).
  • Wenn die Domain einen mx-Eintrag hat, der aufgelöst werden kann, dann ist der aufgelöste Wert erlaubt (das ist der mx-Mechanismus).
  • IP-Adressen, die den SPF-Mechanismus unter Verwendung des SPF-Eintrags einer anderen Domain passieren, können zugelassen werden, solange sie _spf.record.com enthalten (sie müssen den _spf.domain.com-Mechanismus enthalten).

Wenn Sie einen E-Mail-Zustellungsdienst eines Drittanbieters verwenden, wird dieser Sie wahrscheinlich bitten, seinen SPF-Eintrag mit dem „include“-Mechanismus zu den Einträgen Ihrer Domain hinzuzufügen. Google bittet Sie beispielsweise, include:google.com zu Ihrem SPF-Eintrag hinzuzufügen, damit E-Mails, die von hier aus gesendet werden, die SPF-Prüfung bestehen.

Hier ein Beispiel für einen speziellen SPF-Eintrag, der verhindern würde, dass E-Mails im Namen einer Domain versendet werden:

v=spf1 – all

Dieser Eintrag zeigt an, dass keine IP-Adresse E-Mails von dieser Domain senden darf. Es ist hilfreich, einen SPF-Eintrag für alle Domains zu veröffentlichen, die keine E-Mails senden dürfen, auch für geparkte Domains. Wenn Sie dies nicht tun, werden sie zu einem Ziel für Spoofing-Angriffe und können dazu führen, dass die Domain, mit der sie verbunden sind, ihren vertrauenswürdigen Ruf verliert. Es kann auch die Zustellbarkeit der Domain beeinträchtigen, wenn Sie sie später verwenden möchten.

Highlights des Abschnitts

Es ist wichtig, einen SPF-Eintrag für alle IPs zu erstellen, die E-Mails von Ihrer Domain senden werden. Andernfalls können E-Mails, die von einigen der E-Mail-Domains gesendet werden, die SPF-Eintragsprüfung nicht bestehen und die Zustellbarkeit von E-Mails und Ihren Ruf beeinträchtigen.

Wie veröffentlicht man SPF-Einträge?

Nachdem Sie einen SPF-Eintrag erstellt haben, müssen Sie ihn in Ihrem DNS veröffentlichen, damit er von einem Empfangsserver abgeholt werden kann. Dazu müssen Sie einen speziellen TXT-Eintrag in Ihrer Domain erstellen. Ein Beispiel dafür finden Sie weiter unten. Hier erfahren Sie, wie Sie einen SPF-Eintrag veröffentlichen, wenn Sie Google als Domain-Provider verwenden.

  1. Melden Sie sich bei Google oder Gmail an und klicken Sie auf die Schaltfläche DNS. Wenn Sie noch nie einen SPF-Eintrag für Ihre Domain veröffentlicht haben, müssen Sie auf die Schaltfläche „Hinzufügen“ klicken, die sich unter dem Abschnitt „Einträge“ befindet. Wenn Sie bereits einen SPF-Eintrag veröffentlicht haben, müssen Sie stattdessen auf „Bearbeiten“ klicken. Sie können überprüfen, ob bereits ein SPF-Eintrag veröffentlicht wurde, indem Sie einen TXT-Eintrag mit einem Mechanismus suchen, der mit „v=spf1“ beginnt.
  2. Klicken Sie auf den TXT-Eintrag, um das Dropdown-Menü anzuzeigen. Geben Sie für das Host-Feld „@“ ein, geben Sie den SPF-Eintrag als TXT-Wert ein und speichern Sie.

Sie haben nun Ihren ersten SPF-Eintrag veröffentlicht. Sie können zurückgehen und sich vergewissern, dass Sie es richtig gemacht haben. Aufgrund der DNS-Regeln kann es jedoch bis zu einer Stunde dauern, bis er erscheint.

Was ist das DNS-Abfragen-Limit?

Jedes Mal, wenn eine E-Mail den Host des E-Mail-Dienstes erreicht, sucht der Host im DNS nach ihr, um eine SPF-Prüfung durchzuführen. Während dieses Vorgangs sind die SPF-Einträge gegen Denial-of-Service-Angriffe (DOS) geschützt. Bei SPF-Einträgen wird davon ausgegangen, dass die Anzahl der Modifikatoren und Mechanismen, die DNS-Abfragen durchführen, zehn Mal pro Prüfung nicht überschreitet. Dies schließt alle Abfragen ein, die den „include“-Mechanismus oder den „redirect“-Modifikator verwenden.

Ein PermError wird zurückgegeben, wenn diese Anzahl während einer Prüfung überschritten wird. Die Mechanismen „a“, „mx“, „ptr“ und „exists“ sowie der Modifikator „redirect“ werden jedoch nicht auf diese Zahl angerechnet. Auch die Mechanismen „ip4“, „ip6“ und „all“ erfordern keine DNS-Abfrage. Sie werden daher nicht auf die Anzahl der SPF-Abfragen angerechnet. Und schließlich zählt der Modifikator „exp“ nicht, da die Abfrage erfolgt, nachdem der SPF-Eintrag ausgewertet wurde.

Schauen wir uns das folgende Beispiel von Google an:

 v=spf1 include:_spf.google.com ~all

In diesem Beispiel wurde durch den „Include“-Mechanismus eine Zählung gegen das Limit erfasst.

Hier ist der SPF-Eintrag für _spf.google.com:

v=spf1 include:_netblocks.google.com include:_netblocks2.google.com include:_netblocks3.google.com ~all

In diesem Beispiel zählen die 3 „Include“-Mechanismen für drei Abfragen gegen das Limit. Die folgenden Einträge werden zu einer flachen Liste von IP-Adressen aufgelöst, was bedeutet, dass sie nicht auf das Limit angerechnet werden:

  • _netblocks.google.com
  • _netblocks2.google.com
  • _netblocks3.google.com

Das bedeutet, dass die Gesamtzahl der Modifikatoren und Mechanismen, die DNS-Abfragen erfordern, vier beträgt. Sie können den SPF-Eintrag-Checker auf der EasyDMARC-Website verwenden, um die SPF-Einträge zu überprüfen.

Was passiert, wenn Ihre SPF-Eintragsprüfung das Abfrage-Limit überschreitet?

Gemäß den SPF-Protokollen gibt die SPF-Authentifizierung einen Fehler zurück, wenn Ihr SPF-Eintrag mehr als zehn Versuche umfasst, was bedeutet, dass zu viele DNS-Abfragen stattgefunden haben. DMARC interpretiert permanente SPF-Fehler als Fehlschlag. Wenn Sie also das Limit von 10 DNS-Abfragen überschreiten, wirkt sich dies negativ auf die Zustellbarkeit Ihrer E-Mails aus.

Es ist eine gute Idee, den SPF-Eintrag-Checker von EasyDMARC zu verwenden, um die Anzahl der SPF-Einträge für Ihre Domain zu überprüfen. Auf diese Weise können Sie sicherstellen, dass Ihre SPF-Eintragsabfrage das Limit nicht überschreitet. Wenn Sie das Limit von 10 DNS-Abfragen überschreiten, müssen Sie Ihren SPF-Eintrag „glätten“, um sicherzustellen, dass Ihre legitimen E-Mails den Weg in den Posteingang finden.

Sie können Ihre SPF-Einträge manuell reduzieren. Diese Technik ist jedoch fehleranfällig und eher mühsam. Wir empfehlen die Verwendung eines Tools, um sicherzustellen, dass dieser Vorgang ordnungsgemäß durchgeführt wird. EasyDMARC verfügt über ein Tool, das die Reduzierung von SPF-Einträgen ermöglicht.

Hilfreiche SPF-Tools

EasyDMARC bietet kostenlose SPF-Tools für verschiedene Aufgaben an, z. B. zur Überprüfung eines bestehenden SPF-Eintrags und zur Erstellung eines SPF-Eintrags. Wir haben hier einige davon für Sie aufgelistet:

  • Rufen Sie den SPF-Eintrag-Generator auf, um einen SPF-Eintrag zu erstellen. Geben Sie den Qualifikator und die Mechanismen ein, die Ihren Anforderungen entsprechen, und klicken Sie dann auf die Schaltfläche „SPF-Eintrag generieren“. Das war’s! Sie haben nun einen SPF-Eintrag, der veröffentlicht werden kann.
  • Gehen Sie zur SPF-Eintragsabfrage, um den SPF-Eintrag für Ihre Domain zu überprüfen. Dazu müssen Sie die Domain eingeben, die Sie überprüfen möchten. Der SPF-Eintrag-Checker holt den SPF-Eintrag aus dem DNS, wenn es einen gibt. Dann wird geprüft, ob die Syntax des SPF-Eintrags korrekt ist. Er stellt auch sicher, dass die Anzahl der Modifikatoren und Mechanismen, die der DNS abfragt, nicht mehr als zehn beträgt. Schließlich wird der zurückgegebene SPF-Eintrag in eine Liste allgemeiner IP-Adressen umgewandelt, die Sie einzeln überprüfen können. Auf diese Weise können Sie feststellen, ob es Probleme mit Ihren SPF-Einträgen gibt.

Fazit zu SPF

Die Verwendung von SPF allein ist in mehrfacher Hinsicht falsch. Erinnern Sie sich, als wir darüber gesprochen haben, dass jede E-Mail zwei Absenderadressen hat (header from und envelope from)? Wenn diese Adressen unterschiedlich sind, wird SPF nur die Absenderadresse prüfen. SPF prüft NICHT die Absenderadresse, wenn sie sich von der Umschlagadresse unterscheidet, was bedeutet, dass die Absenderadresse leichter zu fälschen ist.

Dies ist gefährlich, da die Absenderadresse diejenige ist, von der der Domain-Benutzer glaubt, dass sie vom Absender stammt. Wenn Sie beispielsweise eine E-Mail von [email protected] in Ihrem Posteingang vorfinden, die in Wirklichkeit von [email protected] stammt, werden Sie sie wahrscheinlich öffnen, da Sie die erste Adresse sehen.

Um dies zu umgehen, verwendet DMARC ein Konzept namens Identifikator-Abgleich, das sicherstellt, dass die Umschlagadresse mit der Absenderadresse übereinstimmt. Dadurch wird verhindert, dass Hacker eine E-Mail von Ihrer Domain fälschen können.

Zu beachten ist auch, dass SPF nicht funktioniert, wenn eine E-Mail weitergeleitet wird. Wenn eine weitergeleitete E-Mail schließlich den Empfangsserver erreicht und die IP-Adresse des Servers nicht mit der auf der Whitelist aufgeführten übereinstimmt, schlägt die SPF-Prüfung fehl. Das passiert zwar nicht sehr oft, kann aber durch DMARC behoben werden. Auch darüber werden wir später noch sprechen.

Was ist DKIM?

Die Authentifizierung jeder E-Mail ist ein wichtiger Bestandteil der E-Mail-Sicherheit. E-Mail-Nachrichten durchlaufen in der Regel mehrere Server, bevor sie ihr endgültiges Ziel erreichen. Es ist möglich, dass E-Mails irgendwo auf ihrem Weg gehackt oder manipuliert werden.

Nehmen wir an, eine E-Mail wird zwischen zwei Unternehmen verschickt und bittet um eine Zahlung von 1.000 USD, die direkt auf das Bankkonto des ersten Unternehmens überwiesen werden soll. Wenn die E-Mail im weiteren Verlauf gehackt wird, so dass das Geld auf ein betrügerisches Konto in Höhe von 100.000 USD überwiesen wird. Ohne zusätzliche Sicherheitsmaßnahmen ist es schwer, diese Änderungen zu erkennen.

An dieser Stelle kommt DKIM ins Spiel. Domain Keys Identified Mail, kurz DKIM, ist ein E-Mail-Authentifizierungsverfahren, das gefälschte Kopfzeilen in E-Mails erkennt. Mit DKIM kann der empfangende Server feststellen, ob die E-Mail-Kopfzeilen auf ihrem Weg zum Posteingang irgendwo verändert wurden.

Die Funktionsweise von DKIM lässt sich am besten verstehen, wenn man eine DKIM-Signatur mit dem Siegel eines Briefumschlags vergleicht. Stellen Sie sich eine DKIM-Signatur in der Kopfzeile einer E-Mail wie ein Briefumschlagssiegel vor. Wenn Sie jemandem einen Brief schreiben und den Umschlag versiegeln, ist das ähnlich wie das Anbringen einer DKIM-Signatur in einer E-Mail-Adresse. Wenn Sie den Umschlag versiegeln und in den Briefkasten werfen, überprüft DKIM, ob jdas Siegel während des Versands gebrochen wurde.

  • DKIM verwendet asymmetrische Kryptographie, d. h. ein Paar privater Schlüssel, die nur dem Benutzer bekannt sind, und öffentliche Schlüssel, die überall verteilt werden können.

Digitale Signaturen sind eine der bekanntesten Anwendungen der asymmetrischen Kryptographie. Dabei wird eine Nachricht mit einem privaten Schlüssel signiert und kann von jedem, der Zugang zum öffentlichen Schlüssel des Absenders hat, überprüft werden. Dadurch wird sichergestellt, dass die Nachricht nicht gehackt wurde, da die Signatur an die Nachricht gebunden ist. Eine Verifizierung wird für keine andere Nachricht gewährt, auch wenn sie der ursprünglichen Nachricht sehr ähnlich ist.

Wie funktioniert DKIM?

DKIM hat zwei Authentifizierungskomponenten: Signierung und Überprüfung. Ein signierender Server (der DKIM-aktivierte Server) signiert E-Mail-Nachrichten auf ihrem Weg nach draußen mit einem privaten Schlüssel, der Teil eines generierten Schlüssels ist. Wenn die E-Mail den Posteingang des Empfängers erreicht, verwendet der empfangende Server den Verifizierungsteil von DKIM, um zu prüfen, ob eine DKIM-Signatur in der Kopfzeile vorhanden ist. Ist dies der Fall, verwendet er einen öffentlichen DKIM-Schlüssel, der im DNS gespeichert ist, um die Signatur zu autorisieren.

Je nach dem Ergebnis der DKIM-Signaturprüfung auf dem Empfangsserver können E-Mails die DKIM-Prüfung bestehen oder nicht. DMARC verwendet später das Ergebnis der DKIM-Authentifizierung.

Damit DKIM funktioniert, muss Folgendes geschehen:

  • Der Benutzer muss ein Schlüsselpaar erstellen, das sowohl einen privaten als auch einen öffentlichen Schlüssel enthält;
  • Der private Schlüssel muss beim signierenden Server aufbewahrt werden;
  • Der öffentliche Schlüssel muss im DNS in einem DKIM-Eintrag veröffentlicht werden, da er sicherstellt, dass der überprüfende Server Zugang zu ihm hat.

Was ist ein DKIM-Selektor?

Ein DKIM-Selektor bezieht sich auf eine Zeichenfolge, die der Ausgangsserver verwendet, um den privaten Schlüssel zu finden. Er wird benötigt, um eine E-Mail-Nachricht zu signieren. Der empfangende Server verwendet den DKIM-Selektor auch, um die öffentlichen Schlüssel im DNS zu finden und zu überprüfen, ob die E-Mail-Nachricht gültig ist. Beide Server (der empfangende und der sendende Server) müssen denselben DKIM-Selektor verwenden, um dasselbe private und öffentliche Schlüsselpaar zu verwenden.

Was bedeutet DKIM-Signierung?

Die DKIM-Signierung bezieht sich auf das Signieren einer E-Mail-Nachricht auf der Seite des ursprünglichen E-Mail-Servers. Bei der DKIM-Signierung müssen die Benutzer auswählen, welche Kopfzeilenfelder oder Körper in den Daten enthalten sein müssen, und die Hash-Summe der Daten, z. B. des Nachrichtenkörpers und der Kopfzeilen, berechnen. Außerdem müssen die Benutzer die Hash-Summe mit dem privaten Schlüssel verschlüsseln, was die „Signatur“ ergibt. Schließlich wird eine DKIM-Signaturkopfzeile erstellt, die die Signatur der E-Mail enthält.

Was passiert bei der DKIM-Verifizierung?

Wenn eine E-Mail gesendet wird, prüft der empfangende Server, ob ein DKIM-Signaturfeld in der Kopfzeile vorhanden ist. Die Signatur ist in dem Tag b= enthalten. Wenn ein DKIM-Signaturfeld vorhanden ist, wird der Server die Authentifizierungsprüfung bestehen.

Das funktioniert folgendermaßen. Zunächst sucht der empfangende Server den DKIM-Eintrag im DNS anhand des s=Tag-Selektors, der in der DKIM-Signatur enthalten ist. Wenn ein solcher Eintrag gefunden wird, extrahiert der Server den öffentlichen Schlüssel. Dieser ist im Schlüsselpaar des Eintrags zu finden. Der Tag p= enthält den öffentlichen DKIM-Schlüssel.

Als Nächstes erstellt der Server eine Hash-Summe unter Verwendung eines Algorithmus, der durch das Tag a= identifiziert wird und in den durch das Tag h= angegebenen eingehenden Daten zu finden ist. Die Signatur wird mit dem öffentlichen Schlüssel entschlüsselt, so dass die Hash-Summe vom Absender offengelegt wird. Wenn die Hash-Summe von 4 gleich der Hash-Summe von 3 ist, wird die Prüfung bestanden. Dies bedeutet, dass die Nachricht nicht gehackt wurde.

Es ist zu beachten, dass die DKIM-Prüfung nur die Kopfzeilenfelder im signierenden Teil überprüft und alle anderen Teile der E-Mail gleich sein müssen. Andernfalls wird die Prüfung fehlschlagen. Andererseits wird die DKIM-Authentifizierung fehlschlagen, wenn es keine Änderungen in den nicht ausgewählten Teilen gibt.

Tags in DKIM-Signatur und DKIM-DNS-Eintrag

Die Tag=value-Listen sind im DKIM-Signatur-Kopfzeilenfeld einer E-Mail-Nachricht zu finden. Hier ist ein Beispiel dafür, wie ein DKIM-Signatur-Kopfzeilenfeld aussieht:

DKIM-Signatur: v=1; a=rsa-sha256; d=example.net; s=brisbane;

  c=relaxed/simple; q=dns/txt; t=1117574938; x=1118006938;

     h=from:to:subject:date:keywords:keywords;

     bh=MTIzNDU2Nzg5MDEyMzQ1Njc4OTAxMjM0NTY3ODkwMTI=;

     b=dzdVyOfAKCdLXdJOc9G2q8LoXSlEniSbav+yuU4zGeeruD00lszZVoG4ZHRNiYzR

Nachfolgend finden Sie eine Liste der Tags, die in einem DKIM-Signatur-Kopfzeilenfeld auftauchen können:

  • x: Verfallszeit
  • v: Version
  • a: Signieralgorithmus
  • d: Domain
  • c: Kanonisierungsalgorithmus für die Kopfzeile und den Textkörper
  • q: Standardabfrageverfahren
  • s: Selektor
  • t: Zeitstempel der Signatur
  • h: Kopfzeilenfelder – Liste der Felder, die signiert wurden
  • bh: Body-Hash
  • b: Signatur von Kopfzeile und Textkörper

DKIM-Einträge werden im DNS mit tag=-Werten veröffentlicht. Hier ist ein Beispiel für einen DKIM-DNS-Eintrag:

 BEISPIEL HIER EINFÜGEN

Die Bedeutung der Tags in einem DKIM-Eintrag lautet wie folgt:

  • v: Version; muss DKIM1 sein
  • g: Granularität
  • l: Grenzwerte für die Textkörperlänge
  • h: Mechanismen, die zur Erzeugung von Nachrichtendaten verwendet werden können
  • n: DKIM-Hinweise
  • s: Diensttypen, für die der Sektor gelten muss
  • q: verschiedene Abfragemethoden
  • k: Mechanismen, die zur Dekodierung einer DKIM-Signatur verwendet werden können
  • t: Flags, die die Interpretation des Selektors verändern
  • p: Base64-kodierter öffentlicher Schlüssel

Wie erstellt man einen DKIM-Eintrag?

Die Erstellung eines DKIM-Eintrags über einen Drittanbieter von E-Mail-Diensten ist ziemlich einfach. Sie müssen lediglich deren Dienst nutzen, um ein Paar aus privatem und öffentlichem Schlüssel zu erstellen, das in deren Dienst gespeichert wird.

Sie können zum Beispiel die folgenden Schritte ausführen, um einen DKIM-Eintrag mit einem Drittanbieterdienst einzurichten:

  1. Melden Sie sich beim Dashboard Ihres Dienstanbieters an.
  2. Gehen Sie zur Option Einstellungen und klicken Sie auf Absenderauthentifizierung oder Authentifizierung Ihrer Domain.
  3. Wählen Sie Ihren DNS-Host und klicken Sie auf Weiter.
  4. Geben Sie die Domain ein, die Sie authentifizieren möchten (Ihre E-Mail-Adresse), und klicken Sie auf Weiter.
  5. Ihr Dienstanbieter sollte zwei DKIM-Einträge mit den Selektoren s1 und s1 für Sie erstellt haben.

Diese Methode ist sehr einfach, da Sie weder einen privaten noch einen öffentlichen Schlüssel verwalten müssen. Ihr Drittanbieter von E-Mail-Diensten erledigt dies alles für Sie. Sie müssen lediglich die beiden DKIM-Einträge, die er für Sie erstellt hat, in Ihrem DNS veröffentlichen.

Der DKIM-Eintrag, der erstellt wird, kann je nach dem von Ihnen verwendeten E-Mail-Zustelldienst unterschiedlich sein. SendGrid generiert zum Beispiel CNAME-Einträge, wenn Sie einen DKIM-Eintrag bei ihm installieren. Unabhängig davon, welchen Dienst Sie nutzen, sind Sie selbst für die Veröffentlichung der DKIM-Einträge verantwortlich. Außerdem generieren einige E-Mail-Dienstleister nur einen DKIM-Eintrag, während andere (wie das oben genannte Beispiel) zwei generieren.

Wie veröffentlicht man einen DKIM-Eintrag?

Sie müssen zuerst einen DKIM-Eintrag in Ihrem DNS veröffentlichen, bevor ein E-Mail-Empfänger Ihre Domain mit DKIM authentifizieren kann. Der Grund dafür ist, dass der empfangende Server nach DKIM-Einträgen im DNS sucht. Um einen DKIM-Eintrag zu veröffentlichen, müssen Sie einen CNAME-Eintrag auf (selector)._domainkey.example.com erstellen.

Hier finden Sie eine Schritt-für-Schritt-Anleitung, die Ihnen zeigt, wie Sie einen DKIM-Eintrag bei GoDaddy veröffentlichen können:

  1. Melden Sie sich bei GoDaddy an und klicken Sie auf die Domain, für die Sie einen DKIM-Eintrag veröffentlichen möchten. Klicken Sie dann auf die Schaltfläche „DNS“.
  2. Wenn keine DKIM-Einträge vorhanden sind, klicken Sie auf die Schaltfläche „Hinzufügen“ unter dem Abschnitt „Einträge“.
  3. Wenn Sie einen DKIM-Eintrag generiert haben, klicken Sie auf „Bearbeiten“. Sie können prüfen, ob der DKIM-Eintrag bereits existiert, indem Sie nach einem CNAME-Eintrag suchen, der wie folgt aussieht: (selector)._domainkey
  4. Klicken Sie im Dropdown-Menü des Typs auf „CNAME“ Geben Sie in das Host-Feld Folgendes ein: s1._domainkey. Dies bedeutet, dass s1 der Selektor ist. Geben Sie den Wert „POINTS TO“ in Schritt vier ein, der im Abschnitt „Erstellen“ eines DKIM-Eintrags aufgeführt ist. Speichern Sie dann.

Verstehen der DKIM-Schlüsselrotation

DKIM ist sehr effektiv, wenn es darum geht, zu überprüfen, dass die signierten Felder einer eingehenden E-Mail während der Übertragung nicht verändert wurden, bevor sie den Posteingang erreicht. Allerdings ist DKIM nur so sicher wie das schwächste Glied, nämlich der private Schlüssel.

Der private Schlüssel eines DKIM-Schlüsselpaares kann gestohlen werden, wenn ein Cyberkrimineller das System kompromittiert, in dem er gespeichert ist. Um das Risiko zu verringern, dass aktive DKIM-Schlüssel gehackt werden, ist es wichtig, sie häufig zu ändern, was als Schlüsselrotation bezeichnet wird.

Manuelle DKIM-Schlüsselrotationen sind erforderlich, wenn Sie Ihren eigenen E-Mail-Zustelldienst selbst betreiben wollen. Wenn Sie einen anderen Dienst für die Zustellung von E-Mails nutzen, z. B. Office 365 oder Google, müssen Sie Ihre Schlüssel nicht rotieren. Das liegt daran, dass die DKIM-Rotation automatisch für Sie durchgeführt wird.

Hilfreiche DKIM-Tools

Sie können das kostenlose Online-Tool für den DKIM-Generator auf der EasyDMARC-Website verwenden. Sie können auch unsere Tools verwenden, um einen DKIM-Eintrag zu veröffentlichen oder einen vorhandenen Eintrag zu überprüfen.

  • Rufen Sie den DKIM-Eintrag-Generator auf der EasyDMARC-Website auf. Geben Sie Ihre Domain und den Selektor ein und klicken Sie auf die Schaltfläche, um Ihren DKIM-Eintrag zu erstellen. Dieses Tool generiert einen privaten Schlüssel, der auf Ihrer Domain gespeichert werden kann, sowie einen DKIM-Eintrag, der im DNS veröffentlicht werden kann.
  • Sie können die DKIM-Eintrag-Abfrage auf der EasyDMARC-Website nutzen, indem Sie Ihre Domain und den Selektor eingeben. Dann wird der DKIM-Eintrag auf selector._domainkey.domain gesucht. Es wird auch überprüft, ob der DKIM-Eintrag korrekt aufgeführt ist.

Im Folgenden wird aufgelistet, was die einzelnen Tags in einem DKIM-Eintrag bedeuten:

  • v: Dies bezieht sich auf die DKIM-Protokollversion, die standardmäßig „DKIM1“ ist.
  • g: Einige Unternehmen ordnen eine Geschäftsfunktion einer bestimmten Gruppe zu, entweder intern oder extern. Das „g“-Tag wird verwendet, um die Gruppe einer E-Mail zuzuordnen und auch einzuschränken, welche Signaturen sie erstellen kann. Das DKIM-g-Tag hilft bei diesem Prozess.
  • h: Dieses Tag enthält eine Liste von Mechanismen, die zur Erstellung eines Teils der Nachrichtendaten verwendet werden können.
  • n: Dieser Abschnitt enthält Hinweise für Domain-Benutzer.
  • s: Dieses Tag enthält eine Liste von Diensttypen, für die der Sektor gelten kann.
  • q: Dieser Abschnitt enthält eine Liste von Abfragemethoden, wie z. B. „dns“.
  • l: Das Tag l= verweist auf Längenbeschränkungen für den Textkörper, die Gegenstand von Cyber-Angriffen sind.
  • k: Dieses Tag enthält eine Liste von Mechanismen, die zur Dekodierung einer DKIM-Signatur erforderlich sind, wie z. B. rsa.
  • t: Dieses Tag enthält eine Liste von Flags, die verwendet werden können, um die Interpretation des Selektors zu ändern (optional).
  • p: Dies bezieht sich auf einen kodierten öffentlichen Schlüssel (Base64).

Fazit zu DKIM

SPF zerlegt eine E-Mail-Nachricht, wenn sie weitergeleitet wird. DKIM-Signaturen werden bei der Weiterleitung nicht aufgelöst. Das liegt daran, dass DKIM-Signaturen Teil der Nachrichtenkopfzeile und nicht des SMTP-Umschlags sind. Nur der SMTP-Umschlag wird bei der Weiterleitung von E-Mails verändert.

Bei DKIM ist es jedoch nicht erforderlich, dass der d=-Wert in der Signatur mit der Kopfzeile und der Domain übereinstimmt. Deshalb müssen die Domains, die die E-Mails empfangen, die Kopfzeile prüfen, um festzustellen, woher die E-Mail stammt. Ein Hacker kann die DKIM-Signatur mit einem d-Wert ändern, der die E-Mail an eine vom Hacker kontrollierte Adresse sendet. Dadurch kann DKIM eine Prüfung bestehen, obwohl die Adresse für den Besitzer sichtbar ist.

Sie können dies durch die Verwendung von DMARC Identifikator-Abgleich beheben, das sicherstellt, dass der d=-Wert in einer DKIM-Signatur mit der „Header from“-Domain übereinstimmt, die erforderlich ist, damit die E-Mail DMARC besteht.

Was ist DMARC?

DMARC steht für Domain-Based Message Authentication, Reporting, and Conformance. Es handelt sich um ein E-Mail-Authentifizierungsprotokoll, das feststellt, ob eine E-Mail authentisch ist oder nicht. Mit anderen Worten: Es stellt sicher, dass jede E-Mail, die von Ihrer Domain gesendet wird, auch tatsächlich von Ihnen stammt. DMARC baut auf DKIM und SPF auf, weshalb wir diese zuerst erkläret haben, bevor wir auf die Funktionsweise von DMARC eingehen. Darüber hinaus führt DMARC Abgleichsprüfungen und Berichterstattungen an die Nutzer der Domain durch und verbessert und überwacht den Schutz der Domain vor Spoofing-Angriffen.

Wie funktioniert DMARC?

DMARC funktioniert im Huckepackverfahren mit SPF und DKIM. Die Kombination von SPF, DKIM und DMARC bietet einen langfristigen Schutz vor der Kompromittierung von geschäftlichen E-Mails. So funktioniert DMARC:

  1. Zunächst müssen Sie einen DMARC-Eintrag in Ihrem DNS für Ihre E-Mail-Domain veröffentlichen. Dadurch wird sichergestellt, dass die empfangende Domain den DMARC-Eintrag abruft und mit der E-Mail-Nachricht abgleicht, wenn eine E-Mail angibt, dass sie von Ihrer Domain stammt.
  2. Je nach Ergebnis der Prüfung wird die E-Mail entweder an den Posteingang gesendet, in Quarantäne gestellt (an Spam gesendet) oder ganz abgewiesen.
  3. DMARC sendet einen Bericht an die in Ihrem DMARC-Eintrag angegebene E-Mail-Adresse, um Sie über die Fortschritte zu informieren. Der DMARC-Bericht informiert Sie darüber, wie viele E-Mails an den Posteingang gesendet werden, welche unter Quarantäne gestellt werden (und warum) und welche abgelehnt werden.

DMARC funktioniert durch die Implementierung eines Identifikator-Abgleichs, der alle Diskrepanzen zwischen den Adressen in der Kopfzeile und im Umschlag in SPF beseitigt. Der Identifikator-Abgleich beseitigt auch alle Unterschiede zwischen der Kopfzeile und dem d=-Wert in DKIM.

Als Nächstes verwendet DMARC Berichtsfunktionen, um sicherzustellen, dass der Domain-Benutzer die E-Mail-Zustellbarkeit seiner E-Mail-Adresse versteht. Diese Berichtsfunktion trägt dazu bei, dass Sie einen vollständigen Schutz vor der Kompromittierung geschäftlicher E-Mails haben.

Highlight des Abschnitts

DMARC ermöglicht es Ihnen, eine DMARC-Richtlinie auf Ihrem DNS zu veröffentlichen, die eingehenden E-Mails mitteilt, was zu tun ist, wenn sie eine DMARC-Prüfung nicht bestehen. Die drei Optionen sind an den Posteingang senden, an Spam senden oder zurückweisen.

Wie wird DMARC implementiert?

Bevor wir uns mit der Implementierung von DMARC befassen, sollten wir die organisatorischen Domains und ihre Bedeutung kennenlernen. Der Begriff organisatorische Domain bezieht sich auf den Stamm oder zentralen Teil einer Domain. Die organisatorische Domain des Beispiels email.sender.com ist zum Beispiel sender.com. Organisatorische Domains werden verwendet, um den Abgleich von Identifikatoren im entspannten Modus zu überprüfen.

E-Mails müssen einen primären Identifikator enthalten, d. h. eine Information, anhand derer der Benutzer erkennen kann, woher die E-Mail stammt. DMARC verwendet die Domain in der Kopfzeile der Absenderadresse als zentrale Kennung, da sie ein Pflichtfeld ist. Das bedeutet, dass es garantiert in jeder E-Mail-Nachricht enthalten ist. Außerdem wird in den meisten E-Mail-Feldern die Absenderadresse als Absender der E-Mail angezeigt – oder wer die E-Mail gesendet hat.

Die zentrale Identität in einer E-Mail kann zum Beispiel wie folgt angezeigt werden:

BEISPIEL HIER EINFÜGEN

Highlight des Abschnitts

DMARC verwendet die Absenderadresse in der Domain, um festzustellen, von wo eine E-Mail gesendet wurde. Wenn also eine E-Mail eine DMARC-Prüfung besteht, stammt sie von der E-Mail, die in der Absenderadresse aufgeführt ist, die dem Empfangsserver angezeigt wird.

Was bedeutet Identifikator-Abgleich?

Bei der E-Mail-Authentifizierung wird geprüft, wie authentisch bestimmte Aspekte einer E-Mail sind. SPF prüft die Domain in der Absenderadresse des Umschlags, und DKIM prüft die Domain im d=-Tag in der Kopfzeile der DKIM-Signatur. In den meisten Fällen sind diese Domains für den empfangenden Server nicht sichtbar, was bedeutet, dass sie anfällig für Hacker sind.

DMARC erschwert den Prozess der E-Mail-Authentifizierung, da sowohl SPF als auch DKIM ihre Prüfungen bestehen müssen. DMARC geht noch einen Schritt weiter und verlangt, dass mindestens eine der von SPF oder DKIM verwendeten Domains mit der Domain im zentralen Identifikator (der Kopfzeile der Adresse) übereinstimmt. Dies wird als Identifikator-Abgleich oder Domain-Abgleich bezeichnet. Dies ist der Fall, wenn alle Aspekte der E-Mail-Authentifizierungsprozesse aufeinander abgestimmt sind und „übereinstimmen“.

  • Der SPF-Identifikator-Abgleich findet statt, wenn die Umschlagsadresse mit der Domain in der Kopfzeilenadresse übereinstimmt. Wenn das Feld „envelope from“ leer ist, wird die Domain mit der EHLO-Domain abgeglichen.
  • DKIM-Identifikator-Abgleich liegt vor, wenn die Domain im d=-Tag der DKIM-Signatur mit der Domain in der Kopfzeilenadresse übereinstimmt.

Kurz gesagt: Identifikator-Abgleich bedeutet, dass zwei Domains übereinstimmen. Es gibt zwei Arten, wie dies geschieht: strenger Abgleich und entspannter Abgleich.

Strenger Abgleich bedeutet, dass die beiden Domains identisch sein müssen, damit sie abgeglichen werden können. Ein Beispiel: Die E-Mail-Adresse net.domain stimmt im strengen Modus mit net.domain überein, nicht aber mit org.net.domain.

Die beiden Domains müssen im entspannten Modus nicht genau übereinstimmen. Sie werden aneinander ausgerichtet, solange die organisatorischen Domains übereinstimmen. Beispielsweise stimmt net.domain sowohl mit net.domain im entspannten Modus als auch mit org.net.domain überein.

Die E-Mail ist DMARC-abgeglichen, wenn eine der folgenden Bedingungen erfüllt ist:

  1. Die E-Mail ist SPF-konform und hat einen SPF-Identifikator-Abgleich.
  2. Die E-Mail ist DKIM-konform und hat einen SPF-Identifikator-Abgleich.

Mit anderen Worten: DMARC ist abgeglichen, wenn SPF und Identifikator-Abgleich oder DKIM und Identifikator-Abgleich bestanden sind. Die E-Mail ist DMARC-abgeglichen, wenn sie die DMARC-Authentifizierung besteht. Das bedeutet, dass die E-Mail von der E-Mail-Adresse stammt, die in der Kopfzeilenadresse steht (die den Empfangsservern angezeigt wird). Mit anderen Worten, die DMARC-Authentifizierung ist gehärtet.

DMARC-Richtlinien und -Einträge

DMARC-Richtlinien geben den E-Mail-Servern Anweisungen, was zu tun ist, wenn eine E-Mail eine DMARC-Prüfung nicht besteht. Die drei Optionen sind:

  • Nichts tun, was auch als Überwachungsmodus bezeichnet wird (in diesem Fall wird die E-Mail an den Posteingang gesendet, obwohl sie nicht bestanden wurde).
  • Quarantäne, d. h. die E-Mail wird an den Spam-Ordner gesendet.
  • Ablehnen, d. h. die E-Mail wird weder an den Posteingang noch an den Spam-Ordner zugestellt (der Empfänger wird sie nie zu Gesicht bekommen).

Im p-Tag können Sie Ihrem DMARC-Eintrag mitteilen, wie er E-Mails behandeln soll. Zum Beispiel bedeutet p=none, dass DMARC keine Maßnahmen ergreifen soll, wenn eine E-Mail eine DMARC-Prüfung nicht besteht, und sie trotzdem an den Posteingang gesendet werden soll.

DMARC-Einträge sind TXT-Einträge, die im DNS Ihrer Domain veröffentlicht werden. Sie werden unter _dmarc.youremailhere.com aufgeführt – nur dass Sie „youremailhere“ durch den Namen Ihrer Domain oder Subdomain ersetzen. DMARC-Einträge teilen der E-Mail mit, was zu tun ist, wenn sie eine DMARC-Prüfung nicht besteht. Außerdem wird eine E-Mail-Adresse angegeben, an die DMARC-Berichte für wichtige Informationen zur E-Mail-Zustellung gesendet werden können.

Jeder DMARC-Eintrag besteht aus einer Liste von Tags. Diese Tags haben folgende Bedeutung:

  • v=: Dieses Tag bezieht sich auf eine DMARC-Protokollversion – „DMARC1“ ist die Standardeinstellung.
  • p=: Dieses Tag bezieht sich auf Richtlinien, die angewendet werden können, wenn eine E-Mail eine DMARC-Prüfung nicht besteht. Sie können das p=-Tag zum Beispiel auf none, quarantine oder reject setzen.
  • Rua: Dieses Tag verweist auf eine Liste von URLs, an die E-Mail-Adressen Berichte senden können. Es ist zu beachten, dass es sich hierbei NICHT um eine Liste von E-Mail-Adressen handelt. DMARC verlangt, dass rua eine Liste von URLs in Form von „sendto:[email protected]“ bereitstellt.
  • Ruf: Dieses Tag bezieht sich auf eine Liste von URLs, an die forensische Berichte von ISPs gesendet werden. Wie bei rua handelt es sich nicht um eine Liste von E-Mail-Adressen. Das Format muss in Form der URLs im rua-Tag gesendet werden.
  • Sp: Dieses Tag bezieht sich auf eine Richtlinie, die auf eine Domain von einer Subdomain aus angewendet werden kann, wenn eine E-Mail die DMARC-Prüfung nicht besteht. Es ermöglicht den Domain-Benutzern, eine Art Wildcard für Subdomains festzulegen.
  • Fo: Dieses Tag steht für „forensische Optionen“. Sie können „0“ verwenden, um Berichte zu erstellen, wenn sowohl DKIM als auch SPF fehlschlagen. Sie können 1 verwenden, um Berichte zu erstellen, wenn entweder DKIM oder SPF fehlschlägt, um einen DMARC-Pass zu erstellen – „d“ kann verwendet werden, um einen Bericht zu erstellen, wenn DKIM fehlschlägt oder Sie können „s“ verwenden, wenn SPF fehlschlägt. Mit diesen Optionen wird eine DMARC-Prüfung als bestanden gewertet.
  • Rf: Dieses Tag bezieht sich auf die Formatierung des forensischen Berichts.
  • Pct: Dieses Tag weist die ISPs an, DMARC-Richtlinien nur auf einen bestimmten Prozentsatz der fehlgeschlagenen E-Mails anzuwenden. Beispiel: „pct=70“ weist den Empfänger an, das p=Richtlinien-Tag nur in 70% der Fälle auf E-Mails anzuwenden, die die DMARC-Prüfung nicht bestehen. Dieses Tag funktioniert nicht für das p=Tag „none“. Es funktioniert nur für Richtlinien, die auf „Zurückweisen“ oder „Quarantäne“ für fehlgeschlagene E-Mails eingestellt sind.
  • Adkim: Dieses Tag teilt DKIM-Signaturen mit, dass sie sich im „Abgleichmodus“ befinden müssen. Er kann entweder entspannt („r“) oder streng („s“) sein. Wenn sich die DKIM-Signatur im entspannten Modus befindet, werden E-Mails, die eine organisatorische Domain und eine „von“-Domain gemeinsam haben, die DMARC-Prüfungen bestehen. Im strengen Modus müssen diese beiden jedoch exakt übereinstimmen.
  • Aspf: Dies ist ein Tag, das den Abgleichmodus für SPF festlegt. Auch hier kann es entweder entspannt oder streng sein.
  • Ri: Dieses Tag bezieht sich auf die Häufigkeit, mit der Sie XML-Berichte erhalten möchten. Sie können dies auf der Grundlage Ihrer Präferenzen so einstellen, dass der ISP den Bericht täglich zu unterschiedlichen Zeiten sendet.

Wie erstellt man einen DMARC-Eintrag?

Sie können folgende Schritte ausführen, um einen DMARC-Eintrag zu erstellen:

  1. Überprüfen Sie zunächst die Domain, von der aus Sie Ihre geschäftlichen E-Mails versenden möchten. Wenn Sie vorhaben, E-Mails von [email protected] aus zu versenden, lautet Ihre Domain sales.com.
  2. Melden Sie sich beim EasyDMARC-Dashboard an und klicken Sie auf „DMARC-Eintrag veröffentlichen“. Sie finden dies im Abschnitt DNS-Einträge.

EasyDMARC übernimmt die Arbeit für Sie! Auf der Seite gibt es einen Abschnitt, in dem Sie Ihre Einstellungen für jeden DMARC-Eintrag anpassen können. Sie können den empfangenden Server anweisen, wie Sie E-Mails behandeln wollen, die die DMARC-Prüfung nicht bestehen.

Sie können zum Beispiel das Tag p= auf „none“, „quarantine“ oder „reject“ setzen. Wenn Sie das Tag p= auf „none“ setzen, wird die Domain in den Überwachungsmodus versetzt, d. h. Sie können sehen, wie viele E-Mails die DMARC-Prüfung bestehen oder nicht bestehen.

Das bedeutet, dass E-Mails im Überwachungsmodus nicht unter Quarantäne gestellt oder abgelehnt werden. Alles funktioniert genau wie vor der Aktivierung von DMARC. Ein großer Vorteil des Überwachungsmodus ist, dass Sie Berichte erhalten können, um einen Überblick über die Zustellbarkeit Ihrer E-Mails zu erhalten.

Wenn Sie DMARC noch nicht kennen, können Sie diese Einstellungen vorerst ignorieren und sie später bei Bedarf ändern.

Was ist die DMARC-Überprüfung externer Ziele?

Beim Einrichten einer DMARC-Richtlinie ist es wichtig, die Überprüfung externer Ziele zu verstehen. Nehmen wir zum Beispiel an, Sie verwenden das „rua“-Tag und veröffentlichen den folgenden DMARC-Eintrag:

v=DMARC1; p=none; rua=mailto:[email protected]

In diesem Beispiel fordern Sie die E-Mail-Dienstleister auf, Berichte an die im DMARC-Eintrag angegebene E-Mail-Adresse zu senden. Der Eigentümer der empfangenden Domain muss Ihnen jedoch vorher die Erlaubnis erteilen. Andernfalls werden diese Berichte nicht an die gewünschte Adresse gesendet. Dieser Vorgang wird als externe Zielüberprüfung (external destination verification, EDV) bezeichnet.

Und so funktioniert es:

  1. Der Eigentümer der Domain hat einen EDV-Eintrag veröffentlicht, z. B. example.com_report_dmarc.com, was bedeutet, dass das v=DMARC1-Tag im DNS EDV aktiviert.
  2. Bevor der Server Berichte an die im Beispiel aufgeführte E-Mail-Adresse senden kann, muss er überprüfen, ob die empfangende Domain das Senden von Berichten an sie erlaubt hat, indem er die Adresse im DNS abfragt. Wenn ein Eintrag vorhanden ist und der Wert v=DMARC1 lautet, wird der Bericht gesendet. Wenn nicht, wird er nicht gesendet.

Es ist zu beachten, dass das obige EDV-Beispiel pro Domain gilt. Mit anderen Worten, es können nur Berichte über die Beispiel-Domain an die angegebene Adresse gesendet werden. Wenn Sie Berichte an eine andere Domain senden möchten, müssen Sie einen DMARC-Eintrag für diese Adresse veröffentlichen. Sie können auch einen Wildcard-EDV-Eintrag veröffentlichen, damit Berichte über jede beliebige Domain an die Beispiel-Domain gesendet werden können.

Hier erfahren Sie, wie Sie einen Wildcard-EDV-Bericht veröffentlichen:

*._report._dmarc.reporting.com

Wenn dies für Sie verwirrend klingt, dann machen Sie sich keine Sorgen. Wenn Sie EasyDMARC verwenden, um einen DMARC-Eintrag zu veröffentlichen, müssen Sie dies nicht tun. Wir kümmern uns darum für Sie!

Wie kann man einen DMARC-Eintrag veröffentlichen?

Nachdem Sie einen DMARC-Eintrag erstellt haben, müssen Sie ihn im DNS veröffentlichen, bevor er angewendet werden kann. Im Folgenden erfahren Sie, warum es wichtig ist, einen DMARC-Eintrag zu veröffentlichen. Wenn eine E-Mail gesendet wird, nimmt der empfangende E-Mail-Server die Domain aus der E-Mail-Adresse und prüft, ob ein DMARC-Eintrag im DNS veröffentlicht wurde. Wenn er einen findet, führt er die im DMARC-Eintrag festgelegten Anweisungen aus.

Hier erfahren Sie, wie Sie einen DMARC-Eintrag veröffentlichen können:

  1. Gehen Sie zu den Verwaltungseinstellungen Ihres DNS und überprüfen Sie die Domain, für die Sie einen DMARC-Eintrag veröffentlichen möchten.
  2. Erstellen Sie eine TXT mit den folgenden Tags: Typ, Host, TXT-Wert und TTL.

Hier ist ein Beispiel dafür, wie dies aussehen wird:

BEISPIEL HIER EINFÜGEN

  1.    Veröffentlichen Sie Ihren Eintrag.

Das war’s! Ihr DMARC-Eintrag wird innerhalb weniger Tage veröffentlicht. Wenn Sie mehrere Domains haben, für die Sie einen DMARC-Eintrag veröffentlichen möchten, müssen Sie diese Schritte für jede einzelne Domain wiederholen.

DMARC-Berichte

Es gibt zwei Arten von Berichten, die DMARC senden kann: aggregierte und forensische Berichte. Aggregierte DMARC-Berichte enthalten Informationen über den Prozentsatz der E-Mails, die SPF-, DKIM- und DMARC-Prüfungen bestehen oder nicht bestehen.

Sie liefern nicht so viele Informationen über jede einzelne Nachricht. Allerdings liefern die aggregierten Berichte wertvolle Informationen über den allgemeinen Zustand Ihres E-Mail-Programms. Sie können Ihnen dabei helfen, Probleme mit Ihrem Authentifizierungsprotokoll zu erkennen oder betrügerische Aktivitäten zu identifizieren.

Um aggregierte Ports im DMARC-Eintrag anzugeben, müssen Sie das „rua“-Tag verwenden. Im folgenden Beispiel weist das „rua“-Tag den ESP an, aggregierte Berichte an [email protected] zu senden:

rua=mailto:[email protected]

Forensische DMARC-Berichte hingegen werden von E-Mail-Dienstanbietern erstellt, sobald eine E-Mail eine DMARC-Prüfung nicht bestanden hat. Forensische Berichte bestehen aus Nachrichtenkopf-Feldern, wie z. B. Authentifizierungsergebnissen, Quell-IP, Empfänger- und Absender-E-Mail-Adressen, und dem Nachrichtentext. Um den Empfänger des forensischen Berichts anzugeben (an wen diese Berichte gesendet werden sollen), verwenden Sie das „ruf“-Tag im DMARC-Eintrag.

Wenn Sie zum Beispiel „ruf=mailto:[email protected]“ verwenden, werden die forensischen Berichte an [email protected] gesendet.

Wie richtet man DMARC-Berichte ein?

Die Einrichtung der DMARC-Berichterstattung ist der letzte Schritt zur vollständigen Implementierung von DMARC. Um DMARC-Berichte einzurichten, müssen Sie Folgendes tun:

  1. Richten Sie ein Postfach ein, an das aggregierte und forensische Berichte gesendet werden.
  2. Veröffentlichen Sie den DMARC-Eintrag.
  3. Analysieren Sie die Daten, die diese Berichte enthalten.
  4. Geben Sie die Daten in Diagramme ein.

Wenn Sie mit DMARC nicht vertraut sind, kann dies viel Arbeit bedeuten, vor allem, wenn Sie vorhaben, diese Schritte jeden Tag zu wiederholen. Sie können EasyDMARC-Analysetools verwenden, um dies für Sie zu erledigen.

Wie aktualisiert man den E-Mail-Verkehr?

Der Hauptgrund für die Analyse von DMARC-Berichten besteht darin, festzustellen, welche E-Mail-Quellen, bei denen SPF- oder DKIM-Prüfungen fehlgeschlagen sind, tatsächlich legitim sind. Mit anderen Worten, welche E-Mail-Hosts, die Teil Ihrer E-Mail-Infrastruktur sind, scheitern, obwohl sie es nicht sollten.

Nachdem Sie diese fehlgeschlagenen, aber legitimen E-Mail-Absender identifiziert haben, müssen Sie Ihre SPF- und DKIM-Einstellungen aktualisieren, damit diese E-Mails beim nächsten Versand akzeptiert werden. Außerdem müssen Sie Hosts oder E-Mail-Adressen entfernen, die eigentlich keine Nachrichten in Ihrem Namen versenden sollten, aber dennoch durchgelassen werden (falls es welche gibt).

Einrichtung von DMARC – eine Schritt-für-Schritt-Anleitung

In dieser Kurzanleitung zeigen wir Ihnen, wie Sie DMARC sofort einrichten können. Wir haben diese Schritte zusammengefasst, um zu verhindern, dass Sie von den vielen Fachbegriffen überwältigt werden. Um DMARC schnell einzurichten, müssen Sie zunächst eine Bestandsaufnahme aller E-Mail-Domains machen, die Sie schützen möchten. Führen Sie dann die folgenden Schritte für jede einzelne Domain aus:

Schritt eins: SPF einrichten

Um SPF einzurichten, gehen Sie folgendermaßen vor:

  1. Erstellen Sie einen SPF-Eintrag. Sie können den SPF-Eintrag-Generator auf der EasyDMARC-Website verwenden.
  2. Veröffentlichen Sie den SPF-Eintrag. (Auch hierfür können Sie die EasyDMARC-Website verwenden.)
  3. Überprüfen Sie den SPF-Eintrag, um sicherzustellen, dass er korrekt eingerichtet ist, bevor Sie fortfahren.

Schritt zwei: DKIM einrichten  

Um DKIM einzurichten, gehen Sie folgendermaßen vor:

  1. Verwenden Sie die EasyDMARC-Website, um einen DKIM-Eintrag zu erstellen.
  2. Veröffentlichen Sie den SPF-Eintrag. (Auch hierfür können Sie die EasyDMARC-Website verwenden.)
  3. Überprüfen Sie den SPF-Eintrag, um sicherzustellen, dass er korrekt eingerichtet ist, bevor Sie fortfahren.

Schritt drei: DMARC-Eintrag veröffentlichen

Sobald Sie SPF und DKIM eingerichtet haben, müssen Sie DMARC einrichten. Dazu führen Sie die folgenden Schritte aus:

  1. Gehen Sie auf die EasyDMARC-Website und klicken Sie auf „DMARC-Eintrag erstellen“.
  2. Klicken Sie dann auf „DMARC-Eintrag veröffentlichen“.

Denken Sie daran, dass Sie die DMARC-Richtlinie zunächst auf p=none einstellen sollten. Dies ist Ihr „Überwachungsmodus“, was bedeutet, dass keine legitimen E-Mail-Nachrichten betroffen sind.

Überprüfen Sie den DMARC-Eintrag nach einer Stunde, um sicherzustellen, dass er korrekt veröffentlicht wurde. Wenn Sie damit fertig sind, denken Sie daran, dass Sie jeden Tag einen aggregierten DMARC-Bericht in Ihrem Posteingang erhalten. Es kann jedoch ein oder zwei Tage dauern, bis sie in Ihrem Posteingang auftauchen. Diese Aktion kann durch das „rua“-Tag in Ihrem DMARC-Eintrag gesteuert werden.

Schritt vier: DMARC-Berichte analysieren

Sobald Ihre Berichte fertig sind, können Sie sie auswerten. Verwenden Sie ein System wie EasyDMARC, um alle Ihre Berichte von nun an zu bearbeiten. Wir übernehmen die gesamte Wartungsarbeit für Sie. Sie können auch die Postfächer angeben, an die Sie DMARC-Berichte senden möchten.

Wenn Sie EasyDMARC mit der Analyse Ihrer Berichte beauftragen, ist Ihre Arbeit hier getan. Wir richten Ihre Postfächer ein, laden die Berichte herunter, parsen, rendern usw. Wenn Sie sich dafür entscheiden, diesen Teil selbst zu übernehmen, müssen Sie die oben genannten Aufgaben für jeden DMARC-Bericht manuell durchführen.

Schritt fünf: E-Mail-Verkehr berichtigen

Die Berichtigung Ihres Nachrichtenverkehr s bezieht sich auf die Einrichtung von DKIM und SPF als Quelle des Nachrichtenverkehrs. Dies bedeutet, dass alle E-Mails von der von Ihnen gewählten Quelle die DMARC-Prüfungen bestehen.

In diesem Schritt sollten Sie alle nicht autorisierten legitimen E-Mail-Quellen identifizieren. Fügen Sie diese E-Mail-Quellen zu Ihrem Nachrichtenverkehr hinzu und entfernen Sie alles andere.

Sie können dies ganz einfach über das EasyDMARC-Dashboard tun. Melden Sie sich einfach bei Ihrem Konto an und gehen Sie zu Ihren aggregierten Berichten. Klicken Sie auf die Registerkarte „Nicht zugeordnete Quellen“.

Gehen Sie dann die nicht abgeglichenen Quellen durch und fügen Sie die autorisierten Quellen zu Ihrem Nachrichtenverkehr hinzu, damit sie beim nächsten Mal die DMARC-Prüfungen bestehen.

Wenn Sie einen anderen E-Mail-Zustelldienst verwenden möchten, führen Sie ähnliche Schritte durch. Es ist jedoch ratsam, in den Dokumenten des jeweiligen Systems nachzuschlagen, wie SPF und DKIM eingerichtet werden, da diese Schritte möglicherweise anders aussehen.

Stellen Sie sicher, dass Sie Ihren E-Mail-Verkehr immer wieder überprüfen, um weitere nicht autorisierte, legitime E-Mail-Quellen ausfindig zu machen, und bearbeiten Sie diese, sobald Sie sie entdecken, um die Zustellbarkeit von E-Mails zu verbessern.

Wenn Sie E-Mails von autorisierten Quellen finden, die die DMARC-Prüfungen bestehen sollten, und alles andere darauf hindeutet, dass sie nicht zugestellt werden können, sollten Sie Ihre Richtlinie in den Quarantänemodus umschalten.

Dies bringt uns zum nächsten Schritt.

Schritt sechs: In den Quarantänemodus (und in den Ablehnungsmodus) wechseln

Wenn Sie Ihre DMARC-Einträge in den Quarantänemodus versetzen, bedeutet dies, dass jede E-Mail, die eine DMARC-Prüfung nicht besteht, in den Spam-Bereich verschoben wird. Dies ist eine Art Zwischenschritt, der Ihnen mehr Überwachungsmöglichkeiten bietet als die Richtlinien p=none oder p=reject.

Ziehen Sie in Erwägung, diese Richtlinie drei Monate lang im Quarantänemodus zu belassen. Wenn dann alles in Ordnung ist, können Sie den Ablehnungsmodus aktivieren. Im Ablehnungsmodus werden alle E-Mail-Nachrichten, die DMARC nicht bestehen, nicht zum Posteingang durchgelassen.

Dies ist die beste und effektivste Methode, um E-Mail-Phishing-Angriffe und Kompromittierungen von geschäftlichen E-Mails zu verhindern. Es ist jedoch wichtig, dass Sie sich vergewissern, dass Ihr E-Mail-Verkehr korrekt eingerichtet sind, bevor Sie diesen Modus aktivieren, da Sie nicht wollen, dass wichtige E-Mails ihre Empfänger verfehlen.

Schritt sieben: DMARC-Richtlinien überwachen und aktualisieren

Herzlichen Glückwunsch! Wenn Sie bis zu diesem Schritt gekommen sind, haben Sie DMARC erfolgreich implementiert. Aber Ihre Arbeit ist noch nicht getan.

Jetzt müssen Sie Ihren E-Mail-Verkehr überwachen, um sicherzustellen, dass alles weiterhin reibungslos funktioniert und keine geschäftlichen E-Mails gefährdet werden.

Es ist wichtig, Ihre DMARC-Einträge zu überwachen, da sich die Infrastruktur in Ihrem Unternehmen gelegentlich ändern kann. Das bedeutet, dass die in der Vergangenheit verwendeten Verfahren nach diesen Änderungen möglicherweise nicht mehr funktionieren.

Ihre DMARC-Einträge müssen entsprechend dieser neuen Regeln geändert werden, um sicherzustellen, dass sie weiterhin für Sie funktionieren. Sie können dies tun, indem Sie Ihre aggregierten Berichte analysieren und Ihre DMARC-Regeln entsprechend aktualisieren. Auf diese Weise können Sie sicherstellen, dass Ihre Domain weiterhin E-Mails ordnungsgemäß zustellt und einen guten Ruf als Absender genießt.

Andere zu berücksichtigende Faktoren

Um Ihr E-Mail-Authentifizierungssystem auf der Grundlage von SPF, DKIM und DMARC zu vervollständigen, sollten Sie diese Faktoren berücksichtigen, sofern sie zutreffen.

Wie richtet man Reverse-DNS-Einträge ein?

Wenn Sie E-Mails von einem anderen Server als dem, den Sie üblicherweise verwenden, versenden, sollten Sie einen Reverse-DNS-Eintrag einrichten. Andernfalls werden viele ESPs Ihre Nachrichten blockieren.

Ein Reverse-DNS-Eintrag funktioniert, indem eine IP-Adresse in einen Host-Namen eingefügt wird – was genau das Gegenteil von dem ist, was ein normaler DNS-Eintrag tut.

Tatsächlich sollten alle IP-Adressen, von denen Sie E-Mails versenden, einen solchen Eintrag haben. Er ermöglicht es Ihnen, eine numerische IP-Adresse in einen Host-Namen zu verwandeln. Dies ist von Vorteil, da ESPs Ihre E-Mail-Adresse blockieren, wenn kein PTR-Eintrag gefunden wird. Dadurch wird sichergestellt, dass Sie E-Mail-Quellen als Host-Namen und nicht als IP-Adressen anzeigen können.

Beachten Sie folgende wichtige Punkte

Stellen Sie sicher, dass Sie alle drei E-Mail-Authentifizierungsprotokolle – SPF, DKIM und DMARC – implementieren. Der Grund dafür ist, dass authentifizierte E-Mails den Ruf des Absenders aufbauen und überwachen können. Absender, die einen guten Ruf haben, werden leichter erkannt, während Absender, die keinen guten Ruf haben, anfangs im Nachteil sind.

Fazit zu SPF

SPF ist ein komplexer und leistungsfähiger Mechanismus, aber er sollte nicht schwierig zu handhaben sein. Wir empfehlen, Ihre SPF-Einträge so einfach wie möglich zu halten. Fügen Sie Ihren SPF-Einträgen nicht mehr Hosts als nötig hinzu.

Dies gilt auch für Ihre Mechanismen. Verwenden Sie so wenig wie möglich und vermeiden Sie alles, was Sie nicht brauchen. Verwenden Sie niemals so viele „Includes“, dass Sie das Limit von zehn Abfragen überschreiten. Wenn Sie Adressblöcke mithilfe der CIDR-Bereiche Ihrer SPF-Einträge identifizieren, sollten Sie nur Bereiche von /30 bis /16 verwenden. Sie können zum Beispiel 10.10.10.0/25 verwenden.

Mit anderen Worten: Je höher die Zahl nach dem Schrägstrich ist, desto besser. Dies bedeutet, dass es sich um eine kleinere Gruppe von Adressen handelt. Vermeiden Sie alles, was zwischen /1 und /15 liegt, da einige Server diese Blöcke vollständig ignorieren. Wir empfehlen Ihnen, niemals einen Eintrag mit „+all“ zu verwenden. Die einzige Möglichkeit, dies sicher zu verwenden, ist der „-all“-Mechanismus.

Fazit zu DKIM

Vergewissern Sie sich, dass Ihre DKIM-Schlüssel mindestens 1.024 Bit lang sind, da Signaturen, die mit kürzeren Schlüsseln erstellt wurden, ignoriert werden. Diese Methode wird immer beliebter, da immer mehr Absender Schlüssel verwenden, die mindestens 2.048 Schlüssel oder mehr enthalten.

Es ist jedoch ratsam, weder in die eine noch in die andere Richtung zu übertreiben. Verwenden Sie keine Schlüssel, die 4.096 Einheiten lang sind, da diese möglicherweise nicht in die meisten standardmäßigen 512-Byte-DNS-UDP-Pakete passen. Einige DNS-Einheiten lassen keine Pakete mit mehr als 512 Byte zu. Die Verwendung großer Schlüssel kann dazu führen, dass DKIM fehlschlägt.

Untersuchungen zeigen, dass sich die Wissenschaft hinter den kryptografischen digitalen Signaturen, auf denen DKIM aufbaut, im Laufe der Zeit ändert. Diese Technologie ändert sich unter anderem dadurch, dass die kryptografischen Schlüssel ständig geändert werden, um zu verhindern, dass Cyberkriminelle sie angreifen können.

Viele Leute verwenden jedoch immer noch Schlüssel, die vor Jahren erstellt wurden. Versuchen Sie stattdessen, zu einem neuen DKIM-Schlüssel zu wechseln oder Ihre Schlüssel häufig auszutauschen – mindestens einmal pro Jahr. Dies ist besonders dann von Vorteil, wenn Sie jeden Monat Millionen von Nachrichten versenden. Wenn Sie ein hohes E-Mail-Aufkommen haben, sollten Sie Ihre Schlüssel sogar öfter als einmal pro Jahr ändern.

Fazit DMARC

Wenn Sie einen DMARC-Eintrag veröffentlichen, ist es eine gute Idee, DMARC zuerst in p=none zu verwenden. So können Sie von den Berichtsaspekten von DMARC profitieren. Außerdem können Sie damit E-Mail-Dienstanbietern mitteilen, dass sie Nachrichten, die Ihre Domain verwenden, identifizieren sollen, wenn sie die Prüfungen nicht bestehen.

Sie können schrittweise zu p=quarantine oder p=reject übergehen, wenn Sie Ihr Konto einige Monate lang überwacht haben, um sicherzustellen, dass keine Fehler vorliegen. Auf diese Weise können betrügerische E-Mails, die Ihre Domain verwenden, verifiziert und blockiert werden, was die Zustellbarkeit von E-Mails verbessert und den Ruf Ihres Unternehmens intakt hält.

Viele Leute finden es verwirrend, DMARC-Berichte zu überwachen und zu verwalten. Aus diesem Grund empfehlen wir, diese Aufgabe den Profis zu überlassen. Wenn Sie Ihre DMARC-Anforderungen an EasyDMARC auslagern, können Sie viel Zeit und Mühe sparen. Außerdem stellen Sie damit sicher, dass Ihre Systeme richtig eingerichtet sind.

Wir hoffen, dass dieser ausführliche DMARC-Leitfaden Ihnen gezeigt hat, wie wichtig es ist, eine ordnungsgemäße E-Mail-Authentifizierung einzurichten, um die Kompromittierung geschäftlicher E-Mails zu verhindern und die Zustellbarkeit von E-Mails zu verbessern.

Wenn Sie Fragen haben, schicken Sie uns eine E-Mail an [email protected] und wir werden uns umgehend bei Ihnen melden!

Was sind Injektionsangriffe?

Was sind Injektionsangriffe?

Sie werden uns zustimmen, dass die Bandbreite der verschiedenen Arten von Cyberangriffen zunimmt und...

Read More
Was sind die Folgen einer Datenschutzverletzung?

Was sind die Folgen einer Datenschutzverletzung?

Das Jahr 2022 hat sich als das Jahr erwiesen, in dem es unmöglich ist,...

Read More
Die 8 häufigsten Arten von DNS-Einträgen

Die 8 häufigsten Arten von DNS-Einträgen

Was ist ein DNS-Eintrag? Ein Domain Name System-Eintrag ist ein Datenbankeintrag, der verwendet wird,...

Read More