Bei der E-Mail-Sicherheit gibt es viel mehr, als man auf den ersten Blick sieht. Wir sind uns alle bewusst, dass E-Mails einer der am stärksten betroffenen Bereiche für Phishing nach persönlichen Daten und sensiblen Informationen sind.

Hacker werden immer besser darin, authentisch aussehende Nachrichten zu erstellen, die so viele Menschen dazu verleiten, auf einen Call-to-Action zu klicken und den Spoofern die Informationen zu liefern, nach denen sie suchen - oft Anmeldedaten und finanziellen Zugang.

E-Mail-Authentifizierung - was ist das?

E-Mail-Authentifizierung ist das System, das Ihren Ruf schützen soll, indem es beim Versenden einer E-Mail-Kampagne überprüft, ob Sie derjenige sind, der Sie vorgeben zu sein. Die vier Konzepte sind einfach genug, doch die Einstellung jeder der Methoden kann knifflig sein. Der Schutz, der sich aus der Kombination ergibt, ist jedoch so gut, wie Sie ihn mit unseren aktuellen Systemen einrichten können.

Was sind die möglichen Methoden?

Die vier typischen E-Mail-Authentifizierungsmethoden sind heute die folgenden

  1. SPF - Sender Policy Framework
    Dieser Standard führt die ursprüngliche Prüfung durch, um sicherzustellen, dass jede E-Mail von einer vertrauenswürdigen IP-Adresse stammt.
  2. DKIM - DomainKeys Identified Mail
    Eine weitere Identitätsprüfung, aber dieses Mal unter Verwendung eines Chiffrierschlüssels als digitale Signatur.
  3. DMARC - Domain Message Authentication Reporting und Konformität
    DMARC stellt sicher, dass die E-Mails sowohl SPF als auch DKIM erfüllen, bevor sie zugestellt werden.
  4. BIMI - Markenindikatoren zur Identifizierung von Meldungen
    BIMI liefert eine letzte Prüfung, die sich auf die Glaubwürdigkeit des Absenders konzentriert und das Markenimage des Absenders im Posteingang des Empfängers anzeigt (sofern derzeit unterstützt).

Wir werden im weiteren Verlauf einen genaueren Blick auf jede dieser Funktionen werfen, aber zunächst werden wir erklären, warum sie so wichtig sind und ein wenig über ihre Funktionsweise berichten.

Wie funktioniert die E-Mail-Authentifizierung?

Jede der Authentifizierungsmethoden (SPF DKIM DMARC BIMI) wendet eine Sicherheitsebene auf Ihre E-Mails an, die Ihre E-Mail-Domäne verwendet, um zu verifizieren, dass Sie derjenige sind, der Sie vorgeben zu sein.

  1. Der Absender definiert die Richtlinien/Regeln, wie seine Domain authentifiziert wird.
  2. Sie konfigurieren dann die Domain-DNS- und E-Mail-Server, um diese Regeln zu implementieren.
  3. Empfängerserver verifizieren eingehende E-Mails, indem sie sie mit den im DNS der Domain festgelegten Regeln abgleichen.
  4. Bei Authentifizierung verarbeitet der Empfängerserver die E-Mail sicher. Schlägt die Authentifizierung fehl, wird die Nachricht blockiert oder unter Quarantäne gestellt oder entsprechend der Authentifizierungsregelung verwaltet.

Was sind die Vorteile?

Wie Sie sehen, riskieren Sie, wenn Sie keine E-Mail-Authentifizierung einrichten, abgelehnte E-Mails, höhere Spam-Raten und niedrigere Zustellungsraten.

Ihre sorgfältig durchdachten, schön gestalteten und erstellten Nachrichten haben eine weitaus geringere Chance, in den Posteingängen zu landen, für die sie bestimmt sind.

Schlimmer noch: Ohne Ihre E-Mail-Authentifizierungsmethoden ist Ihre Marke viel leichter zu fälschen, was Sie und Ihre Kunden weit offen für E-Mail-Angriffe, Hacks und Phishing lässt.

Einrichten der E-Mail-Authentifizierung

Um Ihre Domain für die Verwaltung der einzelnen Authentifizierungsmethoden einzurichten, benötigen Sie über Ihren Domain-Registrierungsdienst Zugriff auf die DNS-Einstellungen (Domain Name System).

Sobald Sie auf die DNS-Einstellungen zugreifen, fügen Sie verschiedene TXT- und CNAME-Einträge zu Ihrer Domain hinzu.

Um die Werte Ihrer Domain-Einstellungen herauszufinden, müssen Sie sich an Ihren E-Mail-Host wenden. Er wird Ihnen die Einstellungen für Ihre SPF-Einträge zur Verfügung stellen, Ihren DKIM-Selektor in seinem Hosting-Bereich generieren und Ihnen zeigen, wie Sie Ihre DMARC-Richtlinie implementieren, da sich die Hosts oft in ihrer Konfiguration unterscheiden.

Sie fügen einen weiteren TXT-Datensatz hinzu, der einen BIMI-Datensatz mit dem Pfad zu Ihrer Markenbilddatei enthält.

SPF - Sender Policy Framework

SPF ist die Standard-Authentifizierung, die in den frühen Tagen der E-Mail-Entwicklung geschaffen wurde. Wo er einst für frühe E-Mail-Systeme geeignet war, birgt er für moderne Mail-Methoden einige Probleme. Deshalb ist es notwendig, alle vier Methoden zu verwenden, um eine Form der vollständigen Abdeckung zu liefern.

SPF-Einträge werden im Klartext innerhalb des Domain-DNS gespeichert und geben die IP-Adressen vor, die die Erlaubnis haben, von der Domain zu senden.

Wenn der E-Mail-Server des Empfängers einen DNS-Lookup durchführt, um den SPF-Eintrag abzurufen, verwendet er den Wert im Rückkanal der Nachricht.

Probleme mit der SPF-Authentifizierung

Syntax - Obwohl es sich um Textdatensätze handelt, kann die Syntax bei der Eingabe der DNS-Datensätze knifflig werden. Wenn sie nicht präzise sind, schlägt die Authentifizierung fehl, auch wenn die Nachricht und der Absender echt sind.

Identifizieren von genehmigten IP-Adressen - Gemeinsam genutzte Systeme, wie z. B. Cloud-Plattformen, können mehrere Dienste mit dynamisch zugewiesenen IP-Adressen hosten. Obwohl die IP bestimmt und autorisiert werden kann, kann sie auch jedem anderen erlauben, dieselbe freigegebene IP zu verwenden, indem Ihr SPF-Eintrag verwendet wird.

SPF kann gefälscht werden - SPF verwendet das versteckte Feld "Return Path" zur Authentifizierung, nicht das Feld "From", das der Empfänger eindeutig sehen kann. Ein Hacker, der nach Informationen phishing, kann eine gültig Domäne und E-Mail-Adresse im "Von"-Feld suchen, aber ihre eigene E-Mail als Rückweg haben und ihr eigenes Authentifizierungssystem verwenden, um durch die Serverprüfungen zu kommen.

SPF unterstützt keine E-Mail-Weiterleitung - Ein Empfängerserver kann eine weitergeleitete Nachricht nicht validieren, weil die identifizierende Domäne die des weiterleitenden Servers zu sein scheint und nicht die ursprüngliche Domäne.

Wie Sie sehen, ist das, was einmal eine akzeptable Methode war jetzt signifikant mangelhaft. Es bietet die Grundlagen, auf denen man für eine größere Allround-Sicherheit aufbauen kann. Als eigenständige Methode reicht sie jedoch bei der heutigen Technologie einfach nicht mehr aus.

 

DKIM - DomainKeys Identified Mail

DKIM verwendet die Verschlüsselung mit öffentlichen/privaten Schlüsseln, um E-Mails zu signieren. Es verifiziert, dass E-Mails von der Domain gesendet wurden und dass die E-Mail während der Übertragung nicht verändert wurde.

Es ist eine sicherere Authentifizierungsmethode, da sie sicherstellt, dass die Nachricht während der Zustellung nicht verändert wurde. Ein weiterer Vorteil ist, dass die DKIM-Authentifizierung die Weiterleitung von E-Mails überlebt.

Der Domaininhaber erstellt kryptografische Schlüssel in Paaren: öffentlich und privat. Der öffentliche Schlüssel wird als TXT-Eintrag im DNS der Domain hinterlegt. Wenn eine E-Mail gesendet wird, wird ein "Hash" basierend auf dem Inhalt der Nachricht erzeugt. Dieser Hash wird mit dem privaten Schlüssel der Domain verschlüsselt und an die Kopfzeile der E-Mail angehängt.

Der E-Mail-Server des Empfängers liest die verschlüsselten Informationen mithilfe des im DNS gehosteten öffentlichen Schlüssels, und wenn alles übereinstimmt, wird die Authentifizierung gewährt.

DKIM-Selektoren

Jede Domäne kann mehrere Selektoren verwenden. Diese Werte werden verwendet, um eindeutige Eigenschaften zu identifizieren, z. B. Subdomänen, Benutzer, Standorte und Dienste. Jeder Selektor arbeitet mit einem eigenen öffentlichen Schlüssel und verzichtet auf einen einzigen, gemeinsamen Schlüssel für alle Eventualitäten.

Probleme mit der DKIM-Authentifizierung

Nicht übereinstimmende Signaturen - Eine gültige DKIM-Signatur könnte eine völlig andere Domäne verwenden als die, die im "Von"-Feld angegeben ist. Dies macht Phishing von einer anderen E-Mail-Domäne zu einem einfachen Prozess.

Schlüsselsicherheit - Ein Hacker, der Nachrichten mit der Domain eines anderen Benutzers signiert, könnte seine E-Mails perfekt mit dem privaten Schlüssel dieser Domain validieren lassen.

Implementierung und Verwaltung von Schlüsseln - Längere, sicherere Schlüssel können bei der Anwendung auf die Domain DNS problematisch sein. Diese langen Datenstrings können leicht falsch angewendet werden, auch beim Kopieren und Einfügen.

Um das Beste aus DKIM herauszuholen, muss es mit DMARC kombiniert werden, wodurch die im "Von"-Feld verwendete Domain ins Spiel kommt. Sie können nun sehen, wie jedes System von der vorherigen Methode abhängt, um ein vollständiges und effektives Authentifizierungssystem zu schaffen.

DMARC - Domain Message Authentication Reporting und Konformität

Wie bereits erwähnt, erzwingt DMARC die Verwendung der im from-Feld eingestellten Domain, um zu verhindern, dass Hacker und Angreifer alternative Domains verwenden, um die Sicherheitsprüfungen zu umgehen.

Es enthält auch einen Berichtsmechanismus, mit dem der Absender entscheiden kann, was er mit den Authentifizierungsergebnissen tun möchte. Der DMARC-Eintrag steuert, wohin und wie Empfänger-Server Berichte senden.

Tatsächlich schließt DMARC die Lücken zwischen SPF und DKIM und verbessert die E-Mail-Zustellbarkeit. Spammer können diese geschützten Domains nicht mehr missbrauchen; daher baut sich die Domain-Reputation auf, was die Zustellbarkeitsraten immer weiter verbessert.

DMARC-Durchsetzung

Der DMARC-Datensatz gibt vor, was mit E-Mails zu tun ist, die nicht autorisiert wurden. Die Richtlinie hat drei Ergebnisse: nichts tun, in Quarantäne stellen oder zurückweisen. Ein DMARC-Bericht informiert den Domain-Inhaber darüber, woher solche fehlgeschlagenen Nachrichten stammen, und liefert wichtige Informationen über die Verletzung und was er tun kann, um weitere Schutzmaßnahmen zu ergreifen.

BIMI - Markenindikatoren zur Identifizierung von Meldungen

Man hofft, dass die Einbindung der BIMI-E-Mail-Authentifizierung zu einer Steigerung des Engagements durch Zustellbarkeit um etwa 10% führt - das ist keine Zahl, die man auf die leichte Schulter nehmen sollte.

Da diese Authentifizierungsmethode noch in den Kinderschuhen steckt und viele E-Mail-Provider noch auf die Einführung warten, gibt es einige Schritte, die Benutzer unternehmen können, um sicherzustellen, dass sie für die große Einführung bereit sind, wenn sie endlich auf unseren Servern ankommt.

Eines ist sicher, angesichts der Tatsache, dass Google die BIMI-Integration in die G Suite integriert, sollte es nur eine Frage der Zeit sein, bis der Rest der Welt nachzieht.

Wie kann man sich auf BIMI vorbereiten?

Um die BIMI-E-Mail-Authentifizierung zu aktivieren, müssen Sie zunächst Ihre E-Mails mit SPF, DKIM und DMARC authentifizieren und dabei die Ausrichtung sicherstellen (die Domain ist durchgängig dieselbe). Die DMARC-Richtlinie muss entweder auf "Quarantäne" oder "Ablehnen" erzwungen werden, und der Domain-DNS muss den richtigen BIMI-Eintrag haben.

Sie müssen auch eine geeignete Logodatei als Link bereitstellen, damit die resultierende Authentifizierung in den Posteingängen Ihrer Empfänger angezeigt wird. Ihr Logo muss im richtigen SVG-Format vorliegen und möglicherweise ein VMC (Verified Mark Certificate) zur Authentifizierung der Datei enthalten.

Vollständige Authentifizierung für Ihre E-Mail-Kampagnen

Wir haben gelernt, dass jede dieser Methoden für sich genommen keine Lösung aus einer Hand bietet, die das Leben einfach macht. Doch mit ein wenig Arbeit, um jedes der Systeme zu einem zusammenzuführen, werden Sie bei der Zustellung Ihrer E-Mail-Kampagnen und Nachrichten viel sicherer sein, als Sie es könnten jemals ohne sie sein.

Es ist die Zeit und den Aufwand wert, wenn es den Schutz Ihres Dienstes und Ihrer Abonnenten gewährleistet und die Konnektivität und den Ertrag Ihres Marketings steigert.

Listenreinigung durch Bouncer