Was ist SPF?
SPF steht für Sender Policy Framework. Es ist ein Authentifizierungsprotokoll, welches IP-Adressen in einem DNS TXT Record auflistet und somit festlegt, welche Mailserver für die Domain E-Mails verschicken dürfen.
Ein standardisierter SPF-Eintrag sieht wie folgt aus:
“v=spf1 ip4:64.54.192.63 ip4:64.54.192.64 include:testdomain.de -all”
v = SPF Version; Ist immer spf1
ip4 = IP-Adresse des Mailservers
include = inkludiert Maildomains von Drittanbietern.
Wie genau macht es den E-Mail-Verkehr sicherer?
SPF prüft beim E-Mailversand zwei Elemente:
- Ist die Sende-IP-Adresse im TXT-Record?
- Ist ein gültiger SPF-Eintrag vorhanden?
Ist nun also bei der Prüfung ein gültiger SPF-Eintrag vorhanden und Ihre Sende-IP-Adresse teil dieses Records, gilt diese als bestanden. Wenn die IP-Adresse nicht auf der Liste ist, wurde die Prüfung nicht bestanden und die E-Mail könnte entweder abgelehnt werden oder im Spam Ordner landen. Google und andere große Mail-Empfänger lehnen mittlerweile sogar alle E-Mails ab, welche keinen gültigen SPF-Eintrag gesetzt haben.
Ist der Mailversand somit sicher?
Nicht ganz. Das ist der erste Schritt in die richtige und sichere Richtung, allerdings ist man hier noch nicht am Ziel angekommen.
Leider hat SPF ein paar Limitierungen. SPF macht beispielsweise dann Probleme, wenn der E-Mail-Empfänger eine Weiterleitung eingetragen hat, da dann nicht mehr die Absenderdomain des ursprünglichen Empfängers, sondern die des weiterleitenden Servers eingetragen ist (welche natürlich standardmäßig nicht im SPF-Eintrag hinterlegt ist).
Auch schützt SPF nur bedingt vor Spoofing und Phishing. SPF kontrolliert nur den Envelope Sender (der im E-Mail-Header genannte Absender). Ein E-Mail-Empfänger betrachtet allerdings den Anzeigenamen ("Von:" Feld im Mailprogramm). So könnten Angreifer bspw. den E-Mail Header manipulieren, um die SPF-Prüfung zu bestehen.
Diese Limitierung ist einer der Gründe, weshalb DKIM entwickelt wurde.
Was ist DKIM?
DKIM steht für DomainKeys Identified Mail. Das ist ein Protokoll welches zuerst den Mail-Header und zum Teil auch den Body mit einem Public-Key Verschlüsselungsverfahren signiert. Dieser referenzierte Key wird ebenfalls in einem DNS TXT Eintrag publiziert.
Die DKIM-Signatur bindet sozusagen die Identität des Signierenden an die gesendete E-Mailadresse, was dafür spricht, dass die E-Mail von dem entsprechenden Mailserver verarbeitet wurde. Die DKIM-Signatur bestätigt damit nur, dass der Header seit der Signierung nicht geändert wurde. Leider gibt es primär keinen Zusammenhang zwischen dem (angeblichen) Absender und dem verwendeten DKIM Key. Auch sagt DKIM nichts darüber, was mit gültigen oder ungültigen Signaturen geschehen soll.
Der DKIM-Eintrag kann beispielweise wie folgt aussehen:
„v=DKIM1; k=rsa;
p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCgDtUlAoLt9O61tEw0y+nX0+mHeYoVzz0Ejh4HThTDQIqXiPw2deIM8KA/lvtb/ OCKMB57A/EZNmE2dGAjqgyGGxluRpKFvxJrnmNgnqLVwZ/6VfBFEC+92tZ7gKy1UldtQfbYX2K1M5l25EBMi3Jmb76BLhfdk7z21VRxtkJBnwIDAQAB;“
v = DKIM-Version; fast immer DKIM1
a = Verschlüsselungsalgorithmus; Ist immer RSA
p = der öffentliche Schlüssel; lange Zeichenkette
Der Eintrag wird in den DNS Einstellungen des eigenen Domain Providers hinterlegt (Der Key kann i.d.R. auf dem Email Server erzeugt werden). Der Eintrag ist einmalig und es wird durch das Hinterlegen eines DKIM-Eintrags (der den Schlüssel enthält) sichergestellt, dass die E-Mail mit der Signatur zu der entsprechenden Domain gehört.
Ist der E-Mail-Versand jetzt sicher?
Auch hier ist die Antwort „Nicht ganz“. DKIM kann indirekt gegen Spam helfen, wenn der DKIM-Identität eine Reputation zugewiesen wurde („Diese Identität hat uns noch keinen Spam geschickt und wird es künftig auch nicht tun“), allerdings macht DKIM Probleme bei Systemen, welche E-Mails verändern (z.B. Veränderung von Links in der Signatur). Zudem hilft die Signatur auch nicht gegen Spoofing und Phishing, da der Mailsignierende nichts mit dem angeblichen Absender (der Domain im "header from") zu tun hat.
Was ist DMARC?
DMARC steht für Domain-based Message Authentication, Reporting and Conformance. Dieses Verfahren basiert auf SPF und DKIM. Die DMARC Authentifizierung gilt als bestanden, wenn sowohl SPF als auch DKIM erfolgreich bestanden wurde. Dies prüft DMARC mit dem sogenannten „Identifier Alignment“. Das Identifier Alignment prüft unter Verwendung von SPF nicht nur den „Envelope Sender“ sondern auch das im Mail Programm angezeigte „header from“. Des Weiteren muss die in der DKIM-Signatur verwendete Domain mit dem „header from“ übereinstimmen. Sollte beides übereinstimmen, kann damit sichergestellt werden, dass es sich um den Absender handelt. Dieses Verfahren schützt damit vor Absenderfälschungen.
Weitere Vorteile von DMARC sind zum einen, dass anhand eines DNS TXT Records angegeben werden kann, was mit E-Mails passiert, welche die DMARC Prüfungen nicht bestehen: nichts unternehmen, in Quarantäne schieben, oder ablehnen. Zum anderen bietet DMARC die Möglichkeit, dass die empfangenen Mailserver eine Rückmeldung an eine oder mehrere Personen (z.B. IT-Admins) übermitteln, ob die Prüfungen erfolgreich waren oder fehlgeschlagen sind. So kann der Admin prüfen, ob z.B. die Domain missbraucht wird oder eine Konfiguration fehlt.
Ein DMARC Eintrag kann beispielsweise wie folgt aussehen:
„v=DMARC1;p=quarantine;rua=mailto:reports@domain.de;ruf=mailto:forensik@domain.de;“
v = DMARC Version; Ist immer DMARC1
p = DMARC Policy; 3 Auswahlmöglichkeiten: „none“, „quarantine“, „reject“
rua = An diese E-Mailadresse werden sogenannte „Aggregate Reports“ gesendet (Tagesbericht/Zusammenfassung)
ruf = DMARC Forensic Reporting; dort werden detaillierte Berichte über E-mails, welche über Ihre Domain gesendet werden und die DMARC-, SPF- oder DKIM-Validierung nicht bestehen, hingesendet. (optional)
Ist der E-Mail-Versand jetzt sicher?
DMARC macht den E-Mail-Versand um einiges sicherer, bringt allerdings auch Einschränkungen mit sich. DMARC schaut sich ganz bewusst nur die „Header from“ Mailadressen an und ignoriert andere Bestandteile der E-Mail, wie z.B. „Sender“ und andere Header. Auch macht dieses Verfahren ebenfalls Probleme bei E-Mail-Weiterleitungen.
Was schließen wir daraus?
Zusammenfassend kann man sagen, dass SPF, DKIM und DMARC die E-Mail-Sicherheit erheblich verbessern können. Immer mehr E-Mail-Empfänger setzen auf einen validen SPF-Eintrag, weshalb dieser Mechanismus schon fast zum Standard gehört.
Durch DMARC und die erzeugten Reports kann festgestellt werden, ob eine Konfiguration im eigenen Unternehmen noch fehlerhaft oder nicht vollständig ist. In Verbindung mit SPF und DKIM kann festgestellt werden, ob es zu einem Identitätsmissbrauch (wenn man sich auf den „Header from“ beschränkt“) kam. Leider sind viele Unternehmen noch nicht so weit, um diese Sicherheitsfeatures zu nutzen und es gibt zudem auch noch technische Beschränkungen, z.B. Mailinglisten-Tools welche mit DMARC noch nicht kompatibel sind.
Benötigen Sie Unterstützung oder Beratung zum Thema E-Mail-Sicherheit? Dann wenden Sie sich gerne an unser Support-Team.