Aktuelles

Sicherheit geht vor: Mit DMARC, DKIM und SPF gegen Spam- und Fake-Mails

Wenn man den IT-Historikern Glauben schenken darf, wurde die erste E-Mail schon 1971 versendet - und zwar von einem Computer zum nächsten - der wohl genau daneben stand. Es dauerte gar nicht so lange, da wurde die erste Spam-Mail verschickt - und zwar am 3. Mai 1978. Der Inhalt war eine Werbebotschaft der Firma Digital Equipment Corporation (DEC), seinerzeit nach IBM einer der führenden Computerhersteller der Welt. Seither hat sich das Spam-Aufkommen exponentiell vervielfacht, Ende 2022 lag der Anteil der Spam-Mails am gesamten E-Mail-Verkehr weltweit bei rund 45,2 Prozent (!). Mit knapp 30 Prozent kam der Großteil der Spam-Mails im Jahr 2022 aus Russland.

Ein wirksames Rezept gegen die Spammerei wurde bis jetzt nicht gefunden, so unterschiedlich sind die Interessenlagen und die IT-Strukturen weltweit. Und schließlich darf man nicht vergessen, dass mit den nervenden Plagegeistern auch ordentlich Geld verdient wird. Und so gehen immer mehr E-Mail-Dienstleister wie etwa Google (Gmail) dazu über, restriktive Policies zu definieren, an denen kaum ein Spammer vorbeikommt - allerdings bewirken die strengen Einlaßregeln, das durchaus auch E-Mails blockiert werden können, die der geneigte Empfänger eigentlich lesen wollte. Wer sich als Absender nicht zu erkennen gibt, bleibt draussen - so einfach ist das.

Zugegeben, das hört sich stellenweise wie eine Vorschlaghammer-Methode an - aber die ist wirksam. Vor 5 Jahren lag der Spam-Anteil im E-Mail-Verkehr noch bei knapp 60 Prozent - nicht nur ITler werten das als einen ordentlichen Rückgang - natürlich mit noch genügend Luft nach oben.

Aber was ist mit meinen digitalen Sendungen? Was ist, wenn meine Anschreiben im virtuellen Mülleimer landen? Damit Ihre E-Mails und Newsletter nicht den strengen Spam-Filtern auf der Empfänger-Seite zum Opfer fallen, können Sie mit DMARC, DKIM und SPF selbst dazu beitragen, dass Sie als vertrauenswürdiger Versender eingestuft und "durchgewunken" werden. Die Werkzeuge dafür sind DMARC, DKIM und SPF - sozusagen die "Superhelden" in der Welt der E-Mail-Sicherheit. Doch worin bestehen ihre Superkräfte, wie richtet man sie ein und wie wirksam sind sie?

Versuchen wir mal, Licht ins Dunkel zu bringen.

DMARC – Domain-based Message Authentication, Reporting, and Conformance

DMARC wurde von einer Allianz aus Cybersecurity-Gurus entwickelt und hilft dabei, Phishing- und Spoofing-Angriffe zu verhindern.

• Berichterstattung: DMARC sammelt Berichte über E-Mails, die in deinem Namen gesendet wurden. In entsprechenden Reports erhalten Sie wertvolle Informationen über einen eventuellen Missbrauch Ihrer Domain.
• Durchsetzung: DMARC ermöglicht Ihnen die Kontrolle darüber, wie E-Mails behandelt werden, die von deiner Domain stammen. Du kannst entscheiden, ob sie zugestellt, in den Spam-Ordner verschoben oder abgelehnt werden sollen.
• Einrichtung: Keine Magie, die Einrichtung von DMARC ist nur mit ein wenig Tipparbeit verbunden. Ein guter Internet-Provider wird Ihnen alle benötigten Werkzeuge dafür zur Verfügung stellen, die Vorgehensweise kann sich allerdings von Provider zu Provider unterscheiden. Die Billigheimer werden Ihnen überhaupt keinen Zugriff auf Ihre DNS-Einstellungen geben, glücklich ist hingegen, wer einen Server sein eigen nennen kann. Zunächst erstellen Sie einen speziellen DMARC-TXT-Eintrag in Ihrem DNS (Domain Name System). Dieser Eintrag enthält Ihre  Richtlinien und eine E-Mail-Adresse, um Berichte zu empfangen. Zuerst empfiehlt es sich, den Modus auf "none" zu setzen, um nur Berichte zu sammeln, ohne den E-Mail-Verkehr zu beeinflussen. Sie können dann die Berichte überwachen und ggf. Ihre Einstellungen anpassen - "quarantine" oder "reject", um sicherzustellen, dass nur legitime E-Mails zugestellt werden.
• Fehler und Fallstricke: Vorsicht, DMARC ist nicht ohne Tücken. Wenn Sie es zu restriktiv einstellen, könnten legitime E-Mails abgelehnt werden. Sie müssen also sorgfältig abwägen, wie Sie bestimmte Parameter justieren.

DKIM – DomainKeys Identified Mail

DKIM ist der Geheimagent unter den Superhelden. Die Methodik wurde von Cisco und Yahoo entwickelt und sorgt für die Echtheit der Nachrichten.

• Digitale Signatur: DKIM fügt Ihren E-Mails eine digitale Signatur hinzu. Diese Signatur wird dann überprüft, um sicherzustellen, dass die E-Mail unverändert ist und tatsächlich von Ihnen stammt. Alles andere wäre ein Ausschlusskriterium.
• Einrichtung: Zunächst erzeugen Sie einen öffentlichen und einen privaten Schlüssel. Der private Schlüssel bleibt gut geschützt, während der öffentliche Schlüssel in Ihrem DNS hinterlegt wird. Natürlich muss der E-Mail-Server so konfiguriert werden, dass die Signatur versendeten E-Mails hinzugefügt wird. Anschließend wird ein öffentlicher Schlüssel als TXT-Eintrag in IhremDNS erstellt.

SPF – Sender Policy Framework

SPF ist gewissermaßen der Türsteher für Ihre E-Mails. Es wurde von Internet-Technologie-Guru Meng Weng Wong von der Singapore Management University ins Leben gerufen und hilft wirksam dabei, gefälschte Absenderadressen zu verhindern.

• Überprüfung des Senders: SPF ermöglicht dem empfangenden E-Mail-Server, den Absender der E-Mail zu überprüfen. Wenn der Absender nicht auf der genehmigten Liste steht, wird die E-Mail abgelehnt.
• Einrichtung: Sie erstellen einen speziellen SPF-TXT-Eintrag in Ihrem DNS, der angibt, welche Server berechtigt sind, E-Mails von Ihrer Domain zu senden. Dringend notwendig insbesondere dann, wenn Sie Tools von Dritten für den E-Mail-Versand verwenden, etwa Standalone-Newsmailer oder Newsletter-Plugins beispielsweise unter WordPress. Stellen Sie vor allem sicher, dass Ihre E-Mail-Server so konfiguriert sind, dass sie mit dem SPF-Eintrag übereinstimmen.

Der Clou ist das Teamwork, unsere E-Mail-Superhelden DMARC, DKIM und SPF können nämlich ganz gut zusammenarbeiten, um eine unschlagbare E-Mail-Sicherheitsallianz zu bilden. Wenn Sie alle drei einrichten, können Sie sicherstellen, dass Ihre E-Mails authentisch und sicher sind - also vom Türsteher beim Empfänger durchgewunken werden.

Aber Vorsicht, die Einrichtung aller drei Komponenten erfordert schon etwas Sorgfalt und Geduld. Zu restriktive Einstellungen können über das Ziel hinausschießen und legitime E-Mails blockieren. Und natürlich erfordert das Setting regelmäßige Überwachung und Pflege, einfach um sicherzustellen, dass alles reibungslos funktioniert und nicht doch an irgendeiner Stelle etwas hängen bleibt

Also, seien auch Sie heldenhaft und schützen Sie Ihre E-Mails vor den bösen Mächten des Internets! DMARC, DKIM und SPF sind Ihre treuen Begleiter für mehr E-Mail-Sicherheit.

Aber was hindert Spammer daran, sich ebenfalls dieser Methoden zu bedienen? Eigentlich nichts, aber diese Methoden dienen vor allem dazu, IHRE Post als "sauber" zu deklarieren. Alles andere wird im Idealfall ausgesondert, und was die Superhelden nicht schaffen, erledigen Spam-Datenbanken wie abuseat.org, manitu.net, spamcop.net oder barracudacentral.org. Klar, auch die müssen eingerichtet und gepflegt werden - aber das ist eine andere Superheldengeschichte.

19.10.2023