ADSP oder Author Domain Signing Practices ist eine optionale Erweiterung von DomainKeys Identified Mail, die es der Autorendomäne ermöglicht, Signierpraktiken anzugeben. Als eine Obermenge der DKIM Signierungsrichtlinie helfen Signierungspraktiken wie diese, die Autorität von Nachrichten zu bestimmen, die keinen DKIM-Signatur-Header enthalten.

Was ist ADSP? 

Wir haben bereits besprochen, dass DKIM ein Sicherheitsprotokoll ist, das es E-Mail-Absendern ermöglicht, ihre Nachrichten kryptografisch zu signieren, um zu bestätigen, dass sie von der richtigen Domäne stammen. Auf diese Weise können die Empfänger überprüfen, ob die Nachricht authentisch ist und während der Übertragung nicht verändert wurde.

Manchmal, wenn diese Signatur fehlt, springt Author Domain SIgning Practices (ADSP) als Zusatz zu DKIM ein, um diese unsignierten Nachrichten zu bewerten. Dazu wird im DNS ein Eintrag mit bestimmten, von der Autorendomäne festgelegten Anweisungen zu den Signierpraktiken definiert. 

Relevante Begriffe und Definitionen

Bevor wir uns mit den betrieblichen Praktiken der ADSP befassen, sollten wir einige Begriffe zu diesem Thema erläutern: 

Wie lautet die Adresse des Autors?

Wenn Sie eine E-Mail öffnen, finden Sie oben links in der Kopfzeile der Nachricht die Adresse Von:. Diese Adresse enthält die E-Mail-Adresse des Absenders (der sendenden Domäne) der E-Mail. Sie wird auch als Autorenadresse bezeichnet. Sie ist ein Teil der sichtbaren Kopfzeile. 

Nicht zu verwechseln mit der Rücksprungadresse, die Informationen über die Server-IP-Adresse des Absenders enthält und Teil des versteckten Headers ist. 

Was ist eine Autorensignatur?

Die Signatur der Autorendomäne bezieht sich auf das d=-Tag in der Kopfzeile der E-Mail, das die DKIM-Signatur zur Überprüfung der Nachricht enthält. Wenn die Signatur gültig ist, sollte der im Signatur-Header genannte Domänenname idealerweise mit dem Namen in der Adresse des Autors (From: Header) übereinstimmen.

Wenn es keine Übereinstimmung gibt, kann dies bedeuten, dass die Nachricht während der Übertragung verändert wurde oder dass die Domäne des Absenders gefälscht wurde. 

Konfigurieren von Autorendomänen-Signaturverfahren (ADSP)

Arten von definierbaren Signierpraktiken 

• unbekannt: Sie können eine unbekannte Praxis definieren oder sich dafür entscheiden, gar nichts zu definieren, da beide den gleichen Zweck erfüllen. Unbekannt bezieht sich auf eine nicht offengelegte oder nicht spezifizierte Signierregel, die die Flexibilität bietet, jede beliebige Menge von E-Mails zu signieren.
• alle: Diese Praxis sieht vor, dass alle E-Mails mit einer DKIM-Signatur versehen werden müssen.
• Verwerfbar: Ähnlich wie p=reject bei DMARC bezieht sich die Discardable-Praxis auf eine erzwungene Richtlinie, bei der nicht nur das gesamte von der Autorendomäne stammende E-Mail-Volumen mit DKIM signiert wird, sondern die E-Mail im Falle eines Fehlers vom empfangenden Server zurückgewiesen (verworfen) wird.

ADSP TXT-Eintrag: Festlegen von Praktiken im DNS

Um die Signierpraxis für Autorendomänen einzurichten, müssen Sie den folgenden TXT-Eintrag in Ihrem DNS veröffentlichen: 

_adsp._domainkey.ihredomain.com. IN TXT "dkim=discardable"

Ersetzen Sie yourdomain.com durch den Namen der sendenden Domäne und den Wert dkim= durch eine Signierpraxis Ihrer Wahl aus den oben genannten Optionen.

Haftungsausschluss 

Die "unbekannt" ist die empfohlene Praxis für Domänen, in denen die Benutzer nicht verpflichtet sind, E-Mails von bestimmten Mailservern zu senden, die in den Bereich der Autorendomäne fallen. Eine andere Richtlinie als "unknown" führt in solchen Fällen zu Authentifizierungsfehlern und/oder unerwünschten Ablehnungen von Nachrichten.

ADSP und DMARC: Eine moderne Lösung zur Umgehung der ADSP-Beschränkungen

Alles, was mit einem Haftungsausschluss versehen ist, kann nicht als 100%ig narrensicher und effektiv bezeichnet werden. ADSP ist zwar eine wirksame Ergänzung des DKIM-Protokolls, weist aber eine Reihe von Einschränkungen und Komplikationen auf, die seine Bedeutung in letzter Zeit verringert haben. 

Eine bessere Möglichkeit, diese Nachteile zu umgehen, ist die Einrichtung von DMARC. Ein modernes, effektives und sich weiterentwickelndes E-Mail-Authentifizierungsprotokoll, das Ihnen helfen wird:

• Richtlinien im DNS für Nachrichten definieren, die DKIM nicht bestehen
• den gewünschten Grad der Durchsetzung konfigurieren
• einen Berichtsmechanismus einrichten, um Authentifizierungsergebnisse, Fehlerberichte und Zustellungsprobleme anzuzeigen 

Benötigen Sie Hilfe bei der Einrichtung Ihrer E-Mail-Sicherheitstools? Wir sind für Sie da! Das PowerDMARC-Expertenteam für E-Mail-Authentifizierung unterstützt Sie dabei, Ihre Sicherheitslage mit einer kompletten Suite von Tools auf einer automatisierten Cloud-Plattform neu zu definieren. Setzen Sie sich noch heute mit uns in Verbindung!

• Über
• Neueste Beiträge

Yunes Tarada

Yunes ist Operations Team Lead bei PowerDMARC und verfügt über Expertenwissen im Bereich E-Mail-Authentifizierung und -Sicherheit. Yunes ist ein Microsoft-zertifizierter Azure Administrator Associate mit Zertifizierungen in CompTIA A+ und vielen mehr.

Neueste Beiträge von Yunes Tarada (alle anzeigen)

• Wie richtet man DMARC in Office 365 ein? Schritt-für-Schritt-Anleitung - 6. Mai 2024
• SMTP Yahoo Fehler Codes erklärt - 1. Mai 2024
• SPF Softfail vs. Hardfail: Was ist der Unterschied? - April 26, 2024