Wie können kleine Unternehmen mit E-Mail-Authentifizierung vor BEC geschützt werden?
von
Lesezeit: 5 min
Business Email Compromise (BEC) ist eine Form von E-Mail-Sicherheitsverletzungen oder Imitationsangriffen, die kommerzielle, staatliche und gemeinnützige Organisationen, kleine Unternehmen und Start-ups sowie multinationale Konzerne und Unternehmen betreffen, um vertrauliche Daten zu erlangen, die sich negativ auf die Marke oder Organisation auswirken können. Spear-Phishing-Angriffe, Rechnungsbetrug und Spoofing-Angriffe sind alles Beispiele für BEC.
Cyberkriminelle sind erfahrene Intriganten, die es absichtlich auf bestimmte Personen innerhalb einer Organisation abgesehen haben, insbesondere auf Personen in autoritären Positionen wie den CEO oder eine ähnliche Person oder sogar auf vertrauenswürdige Kunden. Die weltweiten finanziellen Auswirkungen durch BEC sind enorm, insbesondere in den USA, die sich als Hauptumschlagplatz herauskristallisiert haben. Lesen Sie mehr über das weltweite BEC-Betrugsvolumen. Die Lösung? Wechseln Sie zu DMARC!
Was ist DMARC?
Domain-based Message Authentication, Reporting and Conformance (DMARC) ist ein Industriestandard für die E-Mail-Authentifizierung. Dieser Authentifizierungsmechanismus gibt den empfangenden Servern vor, wie sie auf E-Mails reagieren sollen, die die SPF- und DKIM-Authentifizierungsprüfungen nicht bestehen. DMARC kann die Wahrscheinlichkeit, dass Ihre Marke Opfer von BEC-Angriffen wird, um einen erheblichen Prozentsatz verringern und dazu beitragen, den Ruf Ihrer Marke, vertrauliche Informationen und finanzielle Vermögenswerte zu schützen.
Beachten Sie, dass Sie vor der Veröffentlichung eines DMARC-Eintrags SPF und DKIM für Ihre Domäne implementieren müssen, da die DMARC-Authentifizierung diese beiden Standard-Authentifizierungsprotokolle für die Validierung der im Namen Ihrer Domäne gesendeten Nachrichten verwendet.
Sie können unseren kostenlosen SPF-Record-Generator und DKIM-Record-Generator verwenden, um Einträge zu generieren, die im DNS Ihrer Domain veröffentlicht werden.
Wie können Sie Ihren DMARC-Datensatz zum Schutz vor BEC optimieren?
Um Ihre Domain vor Business Email Compromise zu schützen sowie einen umfangreichen Reporting-Mechanismus zur Überwachung der Authentifizierungsergebnisse und einen vollständigen Einblick in Ihr E-Mail-Ökosystem zu ermöglichen, empfehlen wir Ihnen, die folgende DMARC-Eintragssyntax im DNS Ihrer Domain zu veröffentlichen:
v=DMARC1; p=ablehnen; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1;
Verstehen der Tags, die beim Erzeugen eines DMARC-Datensatzes verwendet werden:
| v (obligatorisch) | Dieser Mechanismus gibt die Version des Protokolls an. |
| p (obligatorisch) | Dieser Mechanismus spezifiziert die DMARC-Richtlinie verwendet werden. Sie können Ihre DMARC-Richtlinie so einstellen:
p=none (DMARC nur auf Überwachungsebene, wobei E-Mails, die die Authentifizierungsprüfung nicht bestehen, trotzdem im Posteingang des Empfängers landen). p=quarantine (DMARC auf Durchsetzungsebene, wobei E-Mails, die die Authentifizierungsprüfung nicht bestehen, unter Quarantäne gestellt oder in den Spam-Ordner verschoben werden). p=reject (DMARC bei maximaler Durchsetzung, wobei E-Mails, die die Authentifizierungsprüfung nicht bestehen, verworfen oder gar nicht zugestellt werden). Für Authentifizierungs-Neulinge ist es empfehlenswert, mit Ihrer Richtlinie nur mit der Überwachung zu beginnen (p=none) und dann langsam zur Durchsetzung überzugehen. p=reject ist jedoch für die Zwecke dieses Blogs die empfohlene Richtlinie für Sie, wenn Sie Ihre Domain gegen BEC schützen wollen, um maximalen Schutz zu gewährleisten. |
| sp (optional) | Dieses Tag gibt die Subdomänen-Richtlinie an, die auf sp=none/quarantine/reject gesetzt werden kann, um eine Richtlinie für alle Subdomänen anzufordern, in denen E-Mails die DMARC-Authentifizierung nicht bestehen.
Dieses Tag ist nur dann sinnvoll, wenn Sie eine unterschiedliche Richtlinie für Ihre Hauptdomain und Subdomains festlegen möchten. Wenn es nicht angegeben wird, wird standardmäßig dieselbe Richtlinie für alle Ihre Subdomains angewendet. |
| adkim (optional) | Dieser Mechanismus gibt den DKIM-Bezeichner-Ausrichtungsmodus an, der auf s (strict) oder r (relaxed) eingestellt werden kann.
Strikte Ausrichtung bedeutet, dass das d=-Feld in der DKIM-Signatur des E-Mail-Headers genau mit der Domäne im From-Header übereinstimmen muss. Beim Relaxed Alignment müssen die beiden Domänen jedoch nur die gleiche organisatorische Domäne teilen. |
| aspf (optional) | Dieser Mechanismus gibt den SPF-Bezeichner-Ausrichtungsmodus an, der auf s (strict) oder r (relaxed) eingestellt werden kann.
Strikte Ausrichtung legt fest, dass die Domäne im "Return-path"-Header genau mit der Domäne im from-Header übereinstimmen und ausgerichtet sein muss. Beim Relaxed Alignment müssen die beiden Domänen jedoch nur die gleiche organisatorische Domäne teilen. |
| rua (optional, aber empfohlen) | Dieses Tag gibt die DMARC-Aggregatberichte an, die an die nach dem mailto:-Feld angegebene Adresse gesendet werden und Aufschluss über E-Mails geben, die DMARC passieren und nicht bestehen. |
| ruf (optional, aber empfohlen) | Dieses Tag gibt die DMARC-Forensikberichte an, die an die hinter dem Feld mailto: angegebene Adresse gesendet werden sollen. Forensische Berichte sind Berichte auf Nachrichtenebene, die detailliertere Informationen zu Authentifizierungsfehlern enthalten. Da diese Berichte E-Mail-Inhalte enthalten können, ist es am besten, sie zu verschlüsseln. |
| pct (optional) | Dieses Tag gibt den Prozentsatz der E-Mails an, auf die die DMARC-Richtlinie anwendbar ist. Der Standardwert ist auf 100 eingestellt. |
| fo (optional, aber empfohlen) | Die forensischen Optionen für Ihren DMARC-Datensatz können wie folgt eingestellt werden:
->DKIM und SPF passen nicht oder stimmen nicht überein (0) ->DKIM oder SPF nicht passieren oder abgleichen (1) ->DKIM nicht passieren oder ausrichten (d) ->SPF nicht passieren oder ausrichten (s) Der empfohlene Modus ist fo=1, der angibt, dass forensische Berichte generiert und an Ihre Domain gesendet werden sollen, wenn E-Mails entweder DKIM- oder SPF-Authentifizierungsprüfungen nicht bestehen. |
Sie können Ihren DMARC-Datensatz mit dem kostenlosen DMARC-Datensatz-Generator von PowerDMARC erstellen, bei dem Sie die Felder entsprechend dem gewünschten Durchsetzungsgrad auswählen können.
Beachten Sie, dass nur eine Ablehnungsrichtlinie BEC minimieren und Ihre Domain vor Spoofing- und Phishing-Angriffen schützen kann.
DMARC kann zwar ein wirksamer Standard zum Schutz Ihres Unternehmens vor BEC sein, aber die korrekte Implementierung von DMARC erfordert Aufwand und Ressourcen. Egal, ob Sie ein Authentifizierungs-Neuling oder ein Authentifizierungs-Aficionado sind, als Pioniere im Bereich E-Mail-Authentifizierung ist PowerDMARC eine einzige E-Mail-Authentifizierungs-SaaS-Plattform, die alle bewährten E-Mail-Authentifizierungsverfahren wie DMARC, SPF, DKIM, BIMI, MTA-STS und TLS-RPT unter einem Dach für Sie vereint. Wir helfen Ihnen:
- Umstellung von Überwachung auf Durchsetzung in kürzester Zeit, um BEC in Schach zu halten
- Unsere aggregierten Berichte werden in Form von vereinfachten Diagrammen und Tabellen erstellt, damit Sie sie leicht verstehen können, ohne komplexe XML-Dateien lesen zu müssen
- Wir verschlüsseln Ihre forensischen Berichte, um den Schutz Ihrer Daten zu gewährleisten
- Zeigen Sie Ihre Authentifizierungsergebnisse in 7 verschiedenen Formaten (pro Ergebnis, pro Sendequelle, pro Organisation, pro Host, detaillierte Statistiken, Geolokalisierungsberichte, pro Land) auf unserem benutzerfreundlichen Dashboard an, um eine optimale Benutzerfreundlichkeit zu gewährleisten
- Erreichen Sie 100%ige DMARC-Konformität, indem Sie Ihre E-Mails sowohl mit SPF als auch mit DKIM abgleichen, so dass E-Mails, die einen der beiden Authentifizierungsprüfpunkte nicht erfüllen, nicht in den Posteingang Ihrer Empfänger gelangen
Wie schützt DMARC vor BEC?
Sobald Sie Ihre DMARC-Richtlinie auf maximale Durchsetzung (p=reject) eingestellt haben, schützt DMARC Ihre Marke vor E-Mail-Betrug, indem es die Wahrscheinlichkeit von Impersonation-Attacken und Domain-Missbrauch verringert. Alle eingehenden Nachrichten werden anhand von SPF- und DKIM-E-Mail-Authentifizierungsprüfungen validiert, um sicherzustellen, dass sie von gültigen Quellen stammen.
SPF ist in Ihrem DNS als TXT-Eintrag vorhanden und zeigt alle gültigen Quellen an, die berechtigt sind, E-Mails von Ihrer Domain zu senden. Der Mailserver des Empfängers validiert die E-Mail anhand Ihres SPF-Eintrags, um sie zu authentifizieren. DKIM weist eine kryptografische Signatur zu, die mit einem privaten Schlüssel erstellt wird, um E-Mails im Empfangsserver zu validieren, wobei der Empfänger den öffentlichen Schlüssel aus dem DNS des Absenders abrufen kann, um die Nachrichten zu authentifizieren.
Mit Ihrer Richtlinie bei Ablehnung werden E-Mails gar nicht erst an das Postfach Ihres Empfängers zugestellt, wenn die Authentifizierungsprüfungen fehlschlagen, was darauf hindeutet, dass Ihre Marke nachgeahmt wird. Dies hält letztlich BEC wie Spoofing und Phishing-Angriffe in Schach.
PowerDMARCs Basisplan für kleine Unternehmen
Unser Basisplan beginnt bei nur 8 USD pro Monat, so dass kleine Unternehmen und Startups, die sichere Protokolle wie DMARC einführen möchten, diesen Plan leicht in Anspruch nehmen können. Die Vorteile, die Sie mit diesem Plan zur Verfügung haben, sind wie folgt:
- Sparen Sie 20 % auf Ihren Jahresplan
- Bis zu 2.000.000 DMARC-konforme E-Mails
- Bis zu 5 Domains
- 1-Jahres-Datenhistorie
- 2 Plattform-Benutzer
- Gehostetes BIMI
- Gehostetes MTA-STS
- TLS-RPT
Melden Sie sich noch heutebei PowerDMARC an und schützen Sie die Domain Ihrer Marke, indem Sie das Risiko von Business Email Compromise und E-Mail-Betrug minimieren!
Experte für Domain- und E-Mail-Sicherheit bei PowerDMARC
Ahona ist Marketing-Managerin bei PowerDMARC und verfügt über mehr als 5 Jahre Erfahrung im Schreiben über Cybersicherheitsthemen, insbesondere im Bereich Domain- und E-Mail-Sicherheit. Ahona hat einen Postgraduierten-Abschluss in Journalismus und Kommunikation und ist seit 2019 in der Sicherheitsbranche tätig.
Neueste Beiträge von Ahona Rudra (alle anzeigen)
