E-Mails mit Schadsoftware gehören zu den größeren Risiken für die IT-Sicherheit. Sie haben in der Regel gefälschte Absender, denn die Täter wollen unerkannt bleiben: Zur Abwehr solcher Fälschungen („e-mail spoofing“) wird oft angenommen, die beste Maßnahme dagegen wäre, Benutzer zu sensibilisieren. Gegen ausgefeilte Angriffe ist das unzureichend. Raffiniert gefälschte E-Mail-Absender sind für Nutzer nur durch Auswertung der (internen) Kopfzeilen von E-Mails zu erkennen. Das überfordert die meisten. Solche Mails haben oft Inhalte, die zu den scheinbaren Absendern passen. Deshalb kann auch der beste Admin durch Sensibilisierung der Benutzer nicht verhindern, dass einer seiner Benutzer auf den falschen „OK“ Button klickt.

Mindestens genauso wichtig, wie die Sensibilisierung der Benutzer, ist die technische Erkennung gefälschter Absender durch eine Konfiguration des Mail-Servers. Hier gibt es einige Standards, um das technisch umzusetzen. (sog. RFCs), die aber leider noch immer nicht flächendeckend genutzt werden. Das sind SPF, DKIM und DMARC. Da es sich hierbei aber leider nicht um eine Standardkonfiguration der Mailserver handelt, sind die Techniken nach wie vor nicht weit verbreitet. Zum Beispiel haben von den „Top 500 Europäischen Händlern“ nur rund 10 % damit einen angemessenen Schutz gegen gefälschte E-Mails implementiert. Mail-Administratoren gewichten traditionell die Kompatibilität (vor allem bei mandatory TLS, also erzwungener Transportverschlüsselung) und Performance höher als die Sicherheit. Das muss man in Frage stellen. Bei der Prüfung technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO könnte die Frage nach SPF, DKIM, DMARC, der sicheren Implementierung von TLS und ihrer Konfiguration auf dem Programm stehen.

SPF

Das Sender Policy Framework (SPF) ist ein Verfahren zur Abwehr von Spam-E-Mails, mit dem das Fälschen der Absenderadresse einer E-Mail verhindert werden soll.

Bei SPF trägt der Inhaber einer Domain in das Domain Name System (DNS) ein, welche IP-Adressen zum Versand von E-Mails für diese Domain berechtigt sind. Beim Empfang überprüft das empfangende Mail-System, ob die Absender-IP-Adresse für die Domain, die in der E-Mail-Adresse steht, zum Versand berechtigt ist. Dazu wird die SPF-Information der zulässigen IP-Adressen über das DNS abgerufen, und die IP-Adressen werden verglichen. Bei Übereinstimmung der IP-Adressen ist die SPF-Prüfung erfolgreich und die E-Mail kann zugestellt werden. Wenn die E-Mail die SPF-Prüfung auf dem empfangenden Server nicht besteht, ermittelt die Spamrichtlinie, die auf diesem Server konfiguriert ist, was mit der Nachricht geschieht. Sehr oft sind Mailserver unzureichend konfiguriert und es ist keine Reaktion darauf implementiert wenn die SPF-Prüfung fehlschlägt. Dadurch wird SPF oft wirkungslos.

Der Einsatz von SPF kann dann Probleme verursachen, wenn der Empfänger seine E-Mails an ein Postfach in einer anderen Domäne umleiten lässt: Die Nachricht besteht ursprünglich die SPF-Prüfung vom empfangenden System, besteht aber nicht mehr die SPF-Prüfung von dem System, an das die E-Mail weitergeleitet wurde – die IP-Adresse des weiterleitenden Systems ist in dem Fall ja nicht im SPF-Eintrag vom ursprünglich sendenden System vorhanden.

Zu beachten ist weiter, dass der Benutzer eines E-Mail-Programms als Absender der E-Mail normalerweise die „From“-Kopfzeile ansieht. Die SPF-Überprüfung läuft aber über die Domain aus dem E-Mail-Absender im SMTP Envelope, den Benutzer in der Regel nicht zu sehen bekommen.  Mit anderen Worten: die SPF-Überprüfung der Absenderdomain kann positiv ausfallen, der Benutzer sieht in der „From“-Kopfzeile aber eine vollkommen andere Absenderangabe – dies kann natürlich zu E-Mail-Spoofing führen. Diese Schwäche wird nur durch DMARC behoben (siehe unten).

DKIM

DomainKeys Identified Mail (DKIM) Signaturen sind ein weiteres Mittel, E-Mail-Fälschungen zu erkennen. Dabei wird jede versandte E-Mail vom Mail-Server mittels eines privaten Schlüssels mit einer digitalen kryptografischen Signatur versehen, die im Header der E-Mail mitgeschickt wird. Es handelt sich dabei um einen Hashcode – eine Art Quersumme – über den gesamten übrigen Text der Mail. Auch kleine Änderungen der E-Mail würden zu einem anderen Hash-Wert führen. Derselbe Hashcode der E-Mail wird vom Empfänger mit dem öffentlichen Schlüssel des Absenders neu berechnet. Der öffentliche Schlüssel wird im DNS der angegebenen Absender-Domäne der E-Mail-Adresse gefunden, er muss dort veröffentlicht sein. Stimmen der vom Empfänger berechnete Hashcode und derjenige in der E-Mail überein, dann stammt die E-Mail wirklich von der angegebenen Domäne und deren Inhalt ist nicht verändert worden. Schlägt die Prüfung dagegen fehl, ist davon auszugehen, dass es sich um eine gefälschte E-Mail handelt, und das empfangende System kann die E-Mail als Spam kennzeichnen.

DKIM bietet Voraussetzungen für einen guten Schutz. Allerdings haben bisher viele Mailserver dieses Verfahren nicht implementiert. Derzeit kann DKIM in der Regel nur Teil eines Schutzkonzepts sein.

DMARC

Domain-based Message Authentication Reporting and Conformance (kurz DMARC) ist die Ergänzung zu SPF und DKIM, da die Ergebnisse von SPF und DKIM als Basis für die weitere Behandlung von E-Mails dienen.

Wie schon erwähnt, sind DKIM und SPF für sich allein gesehen sind nicht zu 100% sicher. Das Problem hierbei ist, dass in der From-Zeile der E-Mail die für den Benutzer sichtbare Absenderadresse steht – und diese kann trotz SPF und DKIM gefälscht sein. Hier nun greift DMARC ein. Auf Basis der Ergebnisse der SPF- und DKIM-Überprüfungen führt DMARC zusätzlich eine Überprüfung der ‚From‘-Absenderangabe durch.

Für SPF und DKIM fordert die DMARC-Spezifikation, dass erstens die Überprüfungen positiv ausfallen und zweitens die From Kopfzeile der Mail dieselbe Domäne aufweist, wie sie im in dem jeweiligen DNS-Record hinterlegt ist.

Ebenso wie SPF und DKIM, verwendet DMARC Einträge im DNS, die die Plausibilitätsprüfung steuern. Je nach Einstellung muss eine E-Mail die SPF-Authentifizierung und/oder die DKIM-Authentifizierung sowie den Abgleich bestehen.

Falls bei den Prüfungen keine Fehler auftauchen, ist der Mail-Absender authentifiziert und die Empfänger-Messaging-Systeme können den von der Absender-Domain gesendeten Nachrichten vertrauen und es ist eine konsistente Überprüfung der Authentizität dieser E-Mail gesichert.

Wenn die Überprüfung fehlschlägt, sind im DNS-Record Empfehlungen hinterlegt, wie der Empfänger mit der E-Mail verfahren soll (vorgesehene Modi hierfür sind ’none‘, ‚quarantine‘ und ‚reject‘).

Die zweite DMARC-Funktion ermöglicht es, Berichte über erfolgreiche oder fehlgeschlagene Authentifizierung einer Domain an die E-Mail-Adressen zu senden, die im DNS-Record festgelegt sind (Reporting). Dadurch erhält der Domain-Inhaber einen Überblick darüber, ob gefälschte E-Mails im Namen der Domain versendet werden.

Sowohl SPF, DKIM als auch DMARC sind jeweils auf der sendenden als auch empfangenden Seite einzurichten.

Den besten Schutz bietet somit die Implementierung aller drei Protokolle. E-Mail-Administratoren sollten den Konfigurations-Aufwand nicht unterschätzen. Es wird empfohlen, bei der Konfiguration stufenweise vorzugehen und die Akzeptanzkriterien für E-Mais schrittweise zu verschärfen, bis zu viele angebliche Phishing- oder Spam-E-Mails erkannt werden, die in Wahrheit erwünschte E-Mails sind.

Eine Prüfung, ob diese Anti-Spam Protokolle in Betrieb sind, könnte in Zukunft Teil der Prüfung technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO sein. Die Schulung der Benutzer reicht nicht aus, um das Risiko der Einschleusung von Schadsoftware durch E-Mails in den Griff zu bekommen.

| | | , , , , , ,