Was ist SPF Permerror?

SPF=Permerror zeigt an, dass ein grundsätzliches Problem mit dem SPF-Datensatz vorliegt, das es unmöglich macht, festzustellen, ob der sendende Server autorisiert ist oder nicht.

Wie hoch ist das Limit von 10 DNS-Lookups?

Bei der SPF-Prüfung führt der E-Mail-Server des Empfängers jedes Mal, wenn eine E-Mail von Ihrer Domäne aus versandt wird, DNS-Abfragen durch, die auch als DNS-Lookups bezeichnet werden, um das Vorhandensein autorisierter IP-Adressen in Ihrem DNS zu überprüfen und sie mit den Adressen im Return-Path-Header der empfangenen E-Mail abzugleichen. Der RFC begrenzt jedoch die Anzahl der DNS-Abfragen auf 10. Dies ist als 10 DNS-Lookup-Limit bekannt.

Überschreite ich die SPF-Grenze für zu viele DNS-Lookups?

Wenn Sie sich Sorgen machen, dass Sie das SPF-Lookup-Limit überschreiten, können Sie Ihren Eintrag sofort mit unserem SPF-Datensatz-Checker-Tool überprüfen.

Wie behebt man SPF Permerror?

Eine effektivere Methode zur Vermeidung von SPF-Fehlern ist der Einsatz eines SPF-Flattening-Tools, das automatisch und mühelos funktioniert - wie PowerSPF!

Was ist eine DKIM-Schwachstelle? DKIM l= tag Beschränkung erklärt

Ahona Rudra

vor 4 Wochen

Lesezeit: 6 min

Das DKIM l=-Tag (Kleinbuchstabe "L") in DKIM ist ein optionales Tag, das die Länge des zu signierenden Nachrichtentextes angibt. Dies kann als DKIM-Schwachstelle betrachtet werden, da das l=-Tag eine teilweise Signierung des Nachrichtentextes ermöglicht. Dies kann es Bedrohungsakteuren erleichtern, DKIM-signierte Nachrichten zu missbrauchen.

Lassen Sie uns untersuchen, wie DKIM funktioniert und warum wir davon abraten, das DKIM-Tag l= in Ihrer DKIM-Signatur zu verwenden.

Der Zweck der DKIM-Body-Längenbeschränkungen (l=-Tag)

DKIM (DomainKeys Identified Mail) ist ein E-Mail-Authentifizierungsprotokoll, das sicherstellt, dass der Inhalt Ihrer E-Mails während der Übertragung nicht verändert wurde. Es ermöglicht dem Empfänger zu überprüfen, ob eine E-Mail tatsächlich vom Eigentümer dieser Domäne gesendet und autorisiert wurde.

Wenn Zwischenserver Ihre Nachrichten weiterleiten, können sie den Nachrichtentext ändern. Sie können zusätzliche Informationen in der Fußzeile oder zum Inhalt Ihrer Nachricht hinzufügen. Das DKIM l-Tag wurde eingeführt, um zu verhindern, dass Ihre legitimen Nachrichten bei DKIM durchfallen, falls der Inhalt während der Weiterleitung oder durch Mailinglisten verändert wurde.

Wie das DKIM l=-Tag funktioniert

Angabe der Länge: Die l= wird von einer ganzen Zahl gefolgt, die die Anzahl der Bytes im Nachrichtentext angibt, die von der DKIM-Signatur abgedeckt werden.
Teilkörper-Signierung: Durch Angabe einer Länge werden nur die ersten 'n' Bytes des Textkörpers in den Hash einbezogen, der zur Erstellung der DKIM-Signatur verwendet wird. Alle Änderungen am Textkörper, die über diese Länge hinausgehen, haben keinen Einfluss auf die DKIM-Signaturprüfung.

Beispiel: DKIM-Signatur mit der l-Tag DKIM-Schwachstelle

Nehmen wir eine E-Mail, deren Text 1000 Bytes lang ist, von der aber nur die ersten 500 Bytes signiert sind:

DKIM-Signatur: v=1; a=rsa-sha256; c=relaxed/relaxed; d=notify.domain.com; s=selector1; t=1718098168; i=@notify.domain.com; l=500; bh=SF9K/AZh8dO2XDYZlOtjrmHj5txv4H4qjhFr+q3ASuM=; h=Subject:Message-ID:To:Date:Content-Type:From:From:To:Cc:Subject; b=h0Jp5xjZSjUo06er2Gm5k0Fvt0cuC0xOnfobu1oYAFT2ugVxY0h/xly6x/E/pPT2S

In diesem Beispiel ist die l=500 bedeutet, dass nur die ersten 500 Bytes des E-Mail-Textes in die DKIM-Signatur aufgenommen werden.

Allerdings hat der führende europäische Domain-Registrar, Zone.eu's Team von Analysten eine schwerwiegende Sicherheitslücke im Zusammenhang mit dem l-Tag in der DKIM-Signatur aufgedeckt. Das l-Tag kann von Cyberkriminellen leicht ausgenutzt werden, um Phishing-E-Mails zu versenden, die die DKIM-Prüfung dennoch bestehen.

DKIM l= Tag-Schwachstelle

Wir raten davon ab, das DKIM l=-Tag zu verwenden, da es Ihre Sicherheitslage schwächen kann und Ihre Domain auch bei konfigurierter E-Mail-Authentifizierung anfällig für Angriffe ist.

Ein Angreifer kann den Inhalt Ihres Nachrichtentextes ändern und bösartige Dateien oder Links in den unsignierten Teil der E-Mail anhängen, der außerhalb des in Ihrem "l"-Tag definierten Byte-Bereichs liegt. Wenn diese E-Mail Ihren Empfänger erreicht, wird sie die DKIM-Verifizierung bestehen. Wenn Sie anschließend DMARC für Ihre Domäne aktiviert haben, wird sie ebenfalls geprüft.

Ihr Empfänger könnte diese E-Mail im Vertrauen auf Ihren Domänennamen öffnen und einem weiteren Phishing-Angriff zum Opfer fallen! Dies kann zu einer ernsthaften Verletzung der Privatsphäre, zum Diebstahl von Anmeldedaten und zum Verlust des Vertrauens in Ihre Glaubwürdigkeit führen. Wenn Ihr Kunde dabei Geld verliert, sind Sie möglicherweise sogar zu einer finanziellen Entschädigung verpflichtet.

Die Rolle von BIMI bei der Verschlimmerung dieser DKIM-Schwachstelle

BIMI ist ein aufstrebendes Protokoll, das sowohl in der Sicherheits- als auch in der Marketingbranche an Popularität gewinnt, da es die Möglichkeit bietet, E-Mails mit Markenlogos zu versehen. Es ist noch nicht lange her, dass große E-Mail-Anbieter wie Gmail und Apple Mail die Unterstützung für BIMI erweitert haben, damit Ihre E-Mails professionell aussehen und wirken und die Sicherheit durch visuelle Überprüfungen erhöht wird.

Da gefälschte Nachrichten, die von Domänen mit dem DKIM l-Tag in ihrer Signatur gesendet werden, DKIM- und DMARC-Prüfungen passieren, wird das BIMI-Logo der Marke auch an diese bösartigen E-Mails angehängt! Diese gefälschte Nachricht, die von Ihrem Domainnamen gesendet wird, passiert nicht nur alle Authentifizierungsfilter, sondern ist auch mit Ihrem Markenlogo versehen! Dies erhöht die Wahrscheinlichkeit, dass die Empfänger der Nachricht vertrauen.

Aufgrund dieses potenziell ausbeuterischen Charakters des DKIM l=-Tags rät Gmail in seinem Google Admin Workspace Help Centre dringend von dessen Verwendung ab. Hier ist was Google dazu zu sagen hat:

"Wenn Sie DKIM mit einem anderen E-Mail-System als Google Workspace einrichten, verwenden Sie nicht das DKIM-Längen-Tag (l=) in ausgehenden Nachrichten. Nachrichten, die dieses Tag verwenden, sind anfällig für Missbrauch.

Die Risiken, die mit dem DKIM l-Tag verbunden sind, werden weiter hervorgehoben in RFC 6376 Abschnitt 8.2 mit dem Titel "Misuse of Body Length Limits ("l=" Tag)". RFC warnt Benutzer, dass die Angabe des l-Tags in ihrer DKIM-Signatur dazu führen kann, dass Benutzer ohne Warnung auf bösartige E-Mail-Inhalte zugreifen. Der RFC fordert DKIM-Signierer auf, bei Vorhandensein dieses Tags besonders vorsichtig zu sein, und rät Servern, DKIM-Signaturen mit einem l=-Tag vollständig zu ignorieren.

Prüfen Sie Ihre DKIM-Signatur auf l-Tag DKIM-Schwachstellen

Es ist wichtig, zunächst festzustellen, ob Ihre Domäne verwundbar ist. Dazu haben wir im Folgenden einige Methoden aufgeführt, die Sie anwenden können:

Manuelle Methode: Überprüfung der ursprünglichen DKIM-Signatur-Header

1. Senden Sie eine leere E-Mail an sich selbst (in diesem Fall nehmen wir das Beispiel eines Gmail-Benutzers)

2. Öffnen Sie diese E-Mail.

3. Gehen Sie zu "Weitere Optionen", das durch drei Punkte in der oberen rechten Ecke gekennzeichnet ist.

4. Klicken Sie auf "Original anzeigen".

5. Scrollen Sie auf der Seite "Originalnachricht" nach unten, um die rohen Kopfzeilen zu sehen.

6. Navigieren Sie zum Abschnitt "DKIM-Signatur:" und analysieren Sie die Syntax. Wenn Sie sehen, dass das DKIM l=-Tag im DKIM-Signatur-Header vorhanden ist, ist Ihre Domain anfällig. Wenn es fehlt, ist alles in Ordnung und es müssen keine Maßnahmen ergriffen werden.

Automatisierte Methode: Verwendung eines E-Mail-Kopfzeilen-Analysetools

1. Melden Sie sich bei PowerDMARC an, um eine kostenlose Testversion zu erhalten. Gehen Sie zu Analyse-Tools > MailAuth Analyzer.

2. Kopieren Sie die automatisch generierte E-Mail-Adresse und fügen Sie sie als Empfänger einer neuen Test-E-Mail in Ihr Google Mail ein. Senden Sie die Test-E-Mail.

3. Gehen Sie nun zurück zum Portal und aktualisieren Sie die Seite. Klicken Sie auf das Symbol "Ansicht" im Bereich "Aktionen", um Ihre Ergebnisse zu prüfen.

4. Wir erstellen sofort einen zusammenfassenden Bericht mit Informationen über Ihre DKIM-, SPF- und DMARC-Konfigurationen und vieles mehr!

5. Sie können nach unten scrollen, um den Header Ihrer DKIM-Signatur im Rohformat und im geparsten Format anzuzeigen. Hier können Sie feststellen, ob Ihre Signatur ein l=-Tag enthält. Wenn dies der Fall ist, müssen Sie Maßnahmen ergreifen, um diese Schwachstelle zu beseitigen.

Beispiel: Eine DKIM-Signatur ohne die l-Tag DKIM-Schwachstelle

DKIM-Signatur: v=1; a=rsa-sha256; c=relaxed/relaxed; d=notify.domain.com; s=selector1; t=1718098168; i=@notify.domain.com; bh=SF9K/AZh8dO2XDYZlOtjrmHj5txv4H4qjhFr+q3ASuM=; h=Subject:Message-ID:To:Date:Content-Type:From:From:To:Cc:Subject; b=h0Jp5xjZSjUo06er2Gm5k0Fvt0cuC0xOnfobu1oYAFT2ugVxY0h/xly6x/E/pPT2S

Verhindern von DKIM-Schwachstellen: Was sind die besten DKIM-Praktiken?

Wenn Sie Ihr DKIM-Protokoll optimal nutzen möchten, finden Sie hier einige Tipps, die unsere Experten empfehlen:

Vermeiden Sie die Verwendung des DKIM l=-Tags in Ihrem DKIM-Signatur-Header.
Wenden Sie sich an Ihren E-Mail-Anbieter, damit er Ihnen neue öffentliche DKIM-Schlüssel (ohne das l=-Tag) zur Verfügung stellt, die Sie Ihrem DNS hinzufügen können.
Wechseln Sie Ihre DKIM-Schlüssel regelmäßig, um sicherzustellen, dass alte Schlüssel mit der L-Tag-Schwachstelle durch neue Schlüssel ohne diese Schwachstelle ersetzt werden können.
Sie können starke DKIM-Schlüssel wie 2048-Bit-Schlüssel anstelle von 1024-Bit-Schlüsseln verwenden, um die Stärke Ihrer DKIM-E-Mail-Sicherheit zu erhöhen.
Verwenden Sie einen gehostete DKIM Lösung, um Ihre DKIM-Selektoren und -Schlüssel zu verwalten und Ihre DKIM-Authentifizierungsergebnisse über ein einziges zentrales Dashboard zu überwachen.
Erstellen Sie Ihre DKIM-Schlüssel mit einem automatischen DKIM-Generator Werkzeug. So vermeiden Sie Syntaxfehler, die leicht übersehen werden können.

Ergänzende Protokolle zur Verwendung mit DKIM

Um die Wirksamkeit von DKIM zu erhöhen, können Sie die folgenden Protokolle implementieren (mit einer zusätzlichen Empfehlung am Ende!):

Verwenden Sie ARC (Authentifizierte Empfangskette) um sicherzustellen, dass legitime E-Mails die Authentifizierungsprüfungen auch bei der Weiterleitung oder bei der Verwendung von Mailinglisten bestehen. Dadurch entfällt automatisch die Notwendigkeit des DKIM l=-Tags. ARC bewahrt automatisch die ursprünglichen Kopfzeilen Ihrer Nachricht, um falsche Negativmeldungen zu vermeiden.
Konfigurieren Sie Fallback-Mechanismen wie SPF und DMARC, um die Genauigkeit der Authentifizierung und die allgemeine Sicherheit zu erhöhen.
Aktivieren Sie DMARC-Berichte um den Überblick über Ihre E-Mail-Kanäle und Sendequellen zu behalten. DMARC-Berichte können Ihnen helfen, bösartige IP-Adressen und Absender zu erkennen, damit Sie schnell gegen sie vorgehen können.

Durch die Einhaltung dieser Best Practices können Unternehmen ihre E-Mail-Sicherheit erheblich verbessern und den Ruf ihrer Domain schützen. Das l=-Tag kann zwar Flexibilität bei der Behandlung von E-Mails bieten, die während der Übertragung verändert werden könnten, es kann aber die Sicherheit Ihrer Domain schwächen. Daher raten wir, wie auch verschiedene E-Mail-Anbieter, Branchenexperten und Organisationen, davon ab. Um mehr über Domainsicherheit und E-Mail-Authentifizierungsdienste zu erfahren, kontaktieren Sie uns noch heute!

Über
Neueste Beiträge

Ahona Rudra

Ahona ist Marketing-Managerin bei PowerDMARC und verfügt über mehr als 5 Jahre Erfahrung im Schreiben über Cybersicherheitsthemen, insbesondere im Bereich Domain- und E-Mail-Sicherheit. Ahona hat einen Postgraduierten-Abschluss in Journalismus und Kommunikation und ist seit 2019 in der Sicherheitsbranche tätig.

Neueste Beiträge von Ahona Rudra (alle anzeigen)

Wie Sie Ihr Logo zu Gmail-E-Mails hinzufügen: Gmail und Marken-E-Mails - 2. Juli 2024
Welche Gefahren für die Cybersicherheit bestehen, wenn Cookies von Drittanbietern auf dem Mac zugelassen werden? - Juni 29, 2024
DMARC: Das fehlende Glied in der Verteidigungsstrategie Ihres MSP - 27. Juni 2024