E-Mails sind ein häufiger Unsicherheitsfaktor für eine unternehmerische IT-Infrastruktur. Bei unzureichenden Cybersicherheitsvorkehrungen und unerfahrenen Angestellten kann es schnell zur Ausführung von eingebettetem Schadcode oder Datenabfluss kommen. Es gibt jedoch verschiedene Methoden, um die Sicherheit und Authentizität Ihrer E-Mails zu erhöhen.
DKIM
DKIM steht für DomainKeys Identified Mail und läuft auf der Basis asymmetrischer Verschlüsselung. Dabei wird eine digitale Signatur an die zu verschickende E-Mail angehängt. Wenn diese Mail auf dem Zielserver angelangt, kann dieser die Signatur mit dem öffentlichen Schlüssel, der im DNS der Domäne abgelegt ist, verifizieren. Wenn dabei ein Fehler auftritt, kann das empfangende Mailprogramm den Empfang der E-Mail verweigern oder sie isoliert aussortieren. Eine Signatur mit DomainKeys sorgt also dafür, dass die Richtigkeit der Absenderdomäne überprüft werden kann und gewährleistet, dass die Mail während der Zustellung nicht verändert wurde.
DKIM dient der Authentifizierung einer E-Mail-Absenderadresse, nicht der Spamfilterung. In Verbindung mit dieser Funktion können jedoch Spamfilter wirkungsvoller eingerichtet werden und Phishing eingegrenzt werden, da Absenderadressen eindeutig zugeordnet werden können.
SPF
Mit dem SPF (Sender Policy Framework) kann das Fälschen einer Absenderadresse verhindert werden. Das wird erreicht, indem der Inhaber der entsprechenden Domain festlegt, welche IP-Adressen zum Versand von E-Mails mit dieser Domain berechtigt sind. Dadurch kann man verhindern, dass Dritte im Namen des Inhabers gefälschte E-Mails verschicken.
Dafür wird vom Admin der Domain im DNS ein sogenannter Resource Record des TXT-Typs angelegt. In diesem werden dann die IP-Adressen eingetragen, welche mit der Domain E-Mails versenden dürfen. Wird eine E-Mail mit dieser Domain verschickt, ruft der Empfänger diese Information über das DNS ab und vergleicht die erlaubten IP-Adressen mit der Absender-IP. Stimmt diese überein, kann die Mail empfangen werden; ist das nicht der Fall, kann die Mail abgelehnt werden.
DMARC
Hierbei handelt es sich nicht um den Krypto-Nachfolger der D-Mark, sondern um Domain-based Message Authentication, Reporting and Conformance. Diese Technik führt die bereits genannten DKIM und SPF zusammen. Auch hier wird für die Domain vom Admin ein entsprechender Eintrag ins DNS vorgenommen. Darin wird für die Absender-Domain festgelegt, wie der Empfänger die Authentifizierung einer E-Mail durchführen soll und was bei einem Fehler passiert.
Während mit SPF also definiert wird, wer eine Mail mit der Domain versenden darf und mit DKIM gesichert wird, dass diese unverändert von einem bestimmten Absender stammt, kann mit DMARC-Anweisungen bestimmt werden, wie mit der Mail verfahren wird, wenn SPF- und/oder DKIM-Anforderungen nicht erfüllt werden. Dadurch können Empfänger konsequent vor Spam, Phishing und Schadcode geschützt werden.