search
Das Medium für diejenigen, die das Unternehmen neu erfinden
Software anbieten

Wie können Sie die Authentifizierung Ihrer E-Mails mithilfe von DMARC sicherstellen?

Wie können Sie die Authentifizierung Ihrer E-Mails mithilfe von DMARC sicherstellen?

Von Jennifer Montérémal

Am 29. Oktober 2024

Das Sicherheitsprotokoll DMARC (Domain-based Message Authentication), das beim Versenden von E-Mails angewendet wird, wird für Unternehmen immer interessanter. Es schützt nicht nur die Empfänger vor betrügerischen und bösartigen E-Mails, sondern trägt auch dazu bei, den Ruf des Absenders zu verbessern, was wiederum zu einer besseren Zustellbarkeit der E-Mails führt.

Doch wie unterscheidet sich DMARC von anderen Sicherheitsstandards wie DKIM oder SPF, die bereits von vielen Organisationen eingesetzt werden? Was sind seine Vorteile?

Um die Vorteile der Domain-based Message Authentication zu verstehen, konzentrieren wir uns auf ihre Definition, ihre Funktionsweise, aber auch ihre Implementierung.

DMARC: Definition

Was ist DMARC?

DMARC wird als technische Spezifikation definiert, die von einer Gruppe von Gründungsmitwirkenden (Gmail, Hotmail, AOL usw.) erstellt wurde.

Das Ziel dieses Standards ist es, die Sicherheitsprobleme im Zusammenhang mit der Authentifizierung von E-Mails zu beheben, indem insbesondere der Missbrauch von Domainnamen des Absenders aufgedeckt wird.

Wozu dient der Standard?

In der Welt der Mailings ist der Identitätsdiebstahl leider zu einer gängigen Praxis geworden. Jeder von uns ist schon einmal mit dieser Art bösartiger E-Mails konfrontiert worden. Für Betrüger besteht die Praxis darin, die Domain eines Unternehmens und die von ihm verbreiteten E-Mails zu fälschen, um den Empfänger glauben zu machen, sie stammten von einem vertrauten und/oder legitimen Absender. Was ist das Ziel? Die Opfer dazu zu bringen, Malware zu installieren oder vertrauliche Informationen wie Bankdaten preiszugeben.

Das Ziel von DMARC ist es, diesen Missbrauch zu bekämpfen, indem es überprüft, ob der Absender vertrauenswürdig ist. Insgesamt ist diese technische Spezifikation ein hervorragendes Mittel zur Bekämpfung von Spam und anderen Phishing-Versuchen.

Für Unternehmen geht es dabei um zwei Dinge:

  • Vermeidung von Identitätsdiebstahl durch böswillige Personen ;
  • die Zustellbarkeit von E-Mails zu erhöhen. Mithilfe von DMARC können Unternehmen den E-Mail-Servern ihrer Empfänger "weiße Flecken" zeigen. So vermeiden sie, dass sie auf schwarzen Listen landen (weil sie sich ihre Domain angeeignet haben) und ihre E-Mails abgewiesen oder in den Junk-Mail-Ordner verschoben werden.

Wie funktioniert DMARC?

Die Protokolle DKIM und SPF

Um zu funktionieren, stützt sich DMARC auf zwei weitere Sicherheitsprotokolle :

Die DKIM (DomainKeys Identified Mail).

Mithilfe von DKIM stellt der Empfänger sicher, dass die Mail von einer bestimmten Domain auch tatsächlich von dieser Domain genehmigt wurde.

Dies wird durch eine kryptografische Signatur erreicht. Sobald die Signatur angebracht wurde, garantiert sie, dass die gesendete Nachricht nicht verändert wurde.

Am Zielort kann die Qualität der E-Mail dann anhand der Übereinstimmung zwischen :

  • dem privaten Schlüssel, der zum Speichern der Nachricht verwendet wurde,
  • und dem öffentlichen Schlüssel, der im DNS-Eintrag (Domain Name System) verfügbar ist.

Das Sender Policy Framework (SPF)

Mithilfe des SPF-Protokolls können Unternehmen und Organisationen festlegen, wer E-Mails mit ihrem Domainnamen versenden darf.

Sie tragen dann die von ihnen genehmigten IP-Adressen (z. B. die IP-Adressen ihres E-Mail-Dienstleisters) in ihr DNS ein.

SPF eignet sich daher hervorragend, um die Authentizität des Absenders zu überprüfen und betrügerische E-Mails zu identifizieren, die sich als "from"-Adressen und Domainnamen ausgeben.

Die Grenzen der Protokolle DKIM und SPF.

Die alleinige Verwendung der DKIM- und SPF-Protokolle hat jedoch einige Grenzen aufgezeigt. Sie setzen nämlich voraus, dass der empfangende MTA (Mail Transfer Agent) genau weiß, welche Maßnahmen er ergreifen muss, falls die Authentifizierung fehlschlägt. Darüber hinaus fehlt dem Absender der Einblick in die ergriffenen Maßnahmen.

Hier kommt der Wert von DMARC zum Tragen: Der Absender legt im Vorfeld fest, welche Maßnahmen der Empfänger-MTA ergreifen muss, d. h. wie er reagieren soll, wenn die DKIM- und SPF-Überprüfung fehlschlägt.

Der DMARC-Prozess

Die Aufgabe der DMARC-Konfiguration ist es, sicherzustellen, dass die gesendeten E-Mails mindestens eines der beiden folgenden Protokolle einhalten:

  • die SPF-Authentifizierung und -Ausrichtung,
  • die Authentifizierung und Ausrichtung DKIM.

Dazu informiert der Besitzer des Domainnamens die Mailserver über die Einrichtung der DKIM- und SPF-Techniken. Wenn die Mail auf der Serverseite ankommt, überprüft der Server die erfolgreiche Authentifizierung durch mindestens eine dieser beiden Techniken.

DMARC wird also nur dann handeln, wenn mindestens eines der beiden oben genannten Protokolle nicht eingehalten wurde, da die betreffende Mail dann als verdächtig eingestuft wird. In diesem Fall hängt die ergriffene Maßnahme von den Sicherheitsregeln ab, die der Domaininhaber im Vorfeld gewählt hat. Es gibt drei verschiedene:

  • DMARC policy none: Hier wird die Mail dem Empfänger trotzdem zugestellt. Parallel dazu wird ein DMARC-Bericht an den Domaininhaber gesendet, der den Status meldet und ihn über die fehlende Ausrichtung informiert.
  • DMARC policy quarantine: Die betroffene E-Mail wird unter "Quarantäne" gestellt, in einem speziellen Ordner. Sie kann zu einem späteren Zeitpunkt bearbeitet werden.
  • DMARC policy reject: Die E-Mail wird verworfen, d. h. sie wird nicht an den Empfänger weitergeleitet.

DMARC ist also eine zu bevorzugende Lösung für die Authentifizierungspolitik, da der Absender dem Empfänger vorgibt, wie er sich im Verdachtsfall zu verhalten hat. Sie lässt keinen Raum für Zweifel.

Außerdem verhindert das Protokoll dank der Möglichkeiten, Nachrichten in Quarantäne zu stellen oder abzulehnen, dass man gefährlichen Nachrichten ausgesetzt wird.

Wie implementiert man DMARC?

Da die DMARC-Richtlinie auf SPF und DKIM basiert, müssen Sie zunächst diese beiden Protokolle implementieren.

Dann müssen Sie in das TXT-Feld Ihrer Domain gehen, um den Tag einzustellen. Dieser muss zwingend die beiden folgenden Elemente enthalten:

  • v: Hierbei handelt es sich um die Version des Protokolls. Der Eintrag muss mit "v=DMARC1;" beginnen,
  • p: Dieser Buchstabe steht für die Sicherheitsregel, die aus den drei oben beschriebenen ausgewählt wurde:
    • " none ",
    • " quarantine ",
    • " reject ".

Hinzu kommen nicht obligatorische Elemente, für die Sie sich entscheiden, ob sie ausgefüllt werden sollen oder nicht:

  • pct: der Prozentsatz der gefilterten Nachrichten,
  • adkim: die Anpassung an das DKIM-Protokoll :
    • " s " für strict,
    • "r" für relax,
  • aspf: die Ausrichtung mit dem SPF-Protokoll:
    • " s " für strict,
    • "r" für relax,
  • sp: das Verfahren, das für die Subdomains Ihrer Domain gilt ("none", "quarantine" und "reject"). Wenn Sie diese Angabe nicht machen, dann wird standardmäßig der Wert "p" angewendet,
  • ruf: Die E-Mail-Adresse, die den Bericht im Falle eines Fehlschlags erhalten soll,
  • fo: die Bedingungen, unter denen der Bericht gesendet wird:
    • "1" für DKIM- und/oder SPF-Fehler,
    • "d" für DKIM-Fehler,
    • "s" für SPF-Fehler,
    • "0" für DKIM- und SPF-Fehler, Standard,
  • rua: Die E-Mail-Adresse, die die aggregierten Berichte empfangen wird.

💡 Um konkret zu sehen, wie ein Tag-Parameter aussehen kann, hier ein von Wikipedia bereitgestelltes Beispiel :

v=DMARC1;pct=42;adkim=s;aspf=s;p=Quarantäne;sp=none;ruf=mailto:forensik@example.org;fo=1;rua=mailto:postmaster@example.org!50m

Beachten Sie jedoch, dass die erfolgreiche Umsetzung Ihrer DMARC-Richtlinie eine komplexe Angelegenheit sein kann. Denn eine gute Verwaltung bedeutet, dass Sie über die einfache Konfiguration Ihres DNS hinausgehen müssen. Aus diesem Grund gibt es Software wie Merox. Diese unterstützt Sie nämlich bei der Einführung und den Aktualisierungen Ihres DMARC-Protokolls, indem sie insbesondere vereinfacht :

  • seine Konfiguration,
  • das Sammeln von Berichten,
  • die Aggregation von Berichten,
  • die Visualisierung der Daten.

So können Sie nicht nur Ihre Domains optimal schützen, sondern auch den Erfolg Ihrer Marketingkampagnen durch eine optimale E-Mail-Zustellbarkeitsrate sicherstellen!

Artikel übersetzt aus dem Französischen