Beiträge

E-Mail-Authentifizierungsstandards: SPF, DKIM und DMARC sind vielversprechend, um E-Mail-Spoofing-Versuche einzudämmen und die Zustellbarkeit von E-Mails zu verbessern. Während Spoofing-E-Mails (gefälschte E-Mails) von legitimen E-Mails unterschieden werden, gehen E-Mail-Authentifizierungsstandards bei der Unterscheidung, ob eine E-Mail legitim ist, noch weiter, indem sie die Identität des Absenders verifizieren.

Je mehr Unternehmen diese Standards übernehmen, desto mehr Vertrauen und Autorität wird sich in der E-Mail-Kommunikation durchsetzen. Jedes Unternehmen, das auf E-Mail-Marketing, Projektanfragen, Finanztransaktionen und den allgemeinen Informationsaustausch innerhalb oder zwischen Unternehmen angewiesen ist, muss die Grundlagen dessen verstehen, was diese Lösungen leisten sollen und welchen Nutzen sie daraus ziehen können.

Was ist E-Mail-Spoofing?

E-Mail-Spoofing ist ein häufiges Cybersecurity-Problem, mit dem Unternehmen heute konfrontiert sind. In diesem Artikel werden wir verstehen, wie Spoofing funktioniert und die verschiedenen Methoden zu seiner Bekämpfung. Wir lernen die drei Authentifizierungsstandards kennen, die von E-Mail-Anbietern verwendet werden - SPF, DKIM und DMARC, um dies zu verhindern.

E-Mail-Spoofing kann als fortgeschrittener Social-Engineering-Angriff eingestuft werden, der eine Kombination aus ausgeklügelten Techniken verwendet, um die Messaging-Umgebung zu manipulieren und legitime Funktionen von E-Mails auszunutzen. Diese E-Mails erscheinen oft völlig legitim, sind aber mit der Absicht entworfen, Zugang zu Ihren Informationen und/oder Ressourcen zu erhalten. E-Mail-Spoofing wird für eine Vielzahl von Zwecken eingesetzt, von Betrugsversuchen über Sicherheitsverletzungen bis hin zu Versuchen, Zugang zu vertraulichen Geschäftsinformationen zu erlangen. Als eine sehr beliebte Form der E-Mail-Fälschung zielen Spoofing-Angriffe darauf ab, den Empfängern vorzugaukeln, dass eine E-Mail von einem Unternehmen gesendet wurde, das sie nutzen und dem sie vertrauen können, und nicht vom tatsächlichen Absender. Da E-Mails zunehmend in großen Mengen versendet und empfangen werden, hat diese bösartige Form des E-Mail-Betrugs in den letzten Jahren dramatisch zugenommen.

Wie kann die E-Mail-Authentifizierung Spoofing verhindern?

Die E-Mail-Authentifizierung hilft Ihnen dabei, E-Mail-Sendequellen mit Protokollen wie SPF, DKIM und DMARC zu verifizieren, um Angreifer daran zu hindern, Domänennamen zu fälschen und Spoofing-Angriffe zu starten, um ahnungslose Benutzer zu täuschen. Sie liefert überprüfbare Informationen über E-Mail-Absender, die zum Nachweis ihrer Legitimität verwendet werden können, und legt für empfangende MTAs fest, was mit E-Mails zu tun ist, die die Authentifizierung nicht bestehen.

Um also die verschiedenen Vorteile der E-Mail-Authentifizierung aufzuzählen, können wir bestätigen, dass SPF, DKIM und DMARC dabei helfen:

  • Schützen Sie Ihre Domain vor Phishing-Angriffen, Domain-Spoofing und BEC
  • Bereitstellung granularer Informationen und Einblicke in E-Mail-Versandquellen
  • Verbesserung der Domain-Reputation und der E-Mail-Zustellbarkeitsraten
  • Verhindern, dass Ihre legitimen E-Mails als Spam markiert werden

Wie arbeiten SPF, DKIM und DMARC zusammen, um Spoofing zu stoppen?

Rahmen der Senderichtlinie

SPF ist eine E-Mail-Authentifizierungstechnik, die dazu dient, Spammer daran zu hindern, Nachrichten im Namen Ihrer Domain zu versenden. Mit ihr können Sie autorisierte Mailserver veröffentlichen und so festlegen, welche E-Mail-Server im Namen Ihrer Domain E-Mails versenden dürfen. Ein SPF-Eintrag wird im DNS gespeichert und listet alle IP-Adressen auf, die berechtigt sind, E-Mails für Ihre Organisation zu versenden.

Wenn Sie SPF so nutzen möchten, dass es ordnungsgemäß funktioniert, müssen Sie sicherstellen, dass SPF für Ihre E-Mails nicht unterbrochen wird. Dies könnte passieren, wenn Sie das Limit von 10 DNS-Lookups überschreiten, was zu SPF-Permerror führt. SPF-Flattening kann Ihnen helfen, unter dem Limit zu bleiben und Ihre E-Mails nahtlos zu authentifizieren.

DomainKeys Identifizierte Mail

Das Imitieren eines vertrauenswürdigen Absenders kann dazu verwendet werden, Ihren Empfänger auszutricksen, damit er unvorsichtig wird. DKIM ist eine E-Mail-Sicherheitslösung, die jeder Nachricht, die aus dem Posteingang Ihres Kunden kommt, eine digitale Signatur hinzufügt, mit der der Empfänger überprüfen kann, ob sie tatsächlich von Ihrer Domain autorisiert wurde und in die Liste der vertrauenswürdigen Absender Ihrer Website aufgenommen wurde.

DKIM versieht jede ausgehende E-Mail-Nachricht mit einem eindeutigen Hash-Wert, der mit einem Domain-Namen verknüpft ist, so dass der Empfänger überprüfen kann, ob eine E-Mail, die behauptet, von einer bestimmten Domain zu stammen, tatsächlich vom Eigentümer dieser Domain autorisiert wurde oder nicht. Dies hilft letztlich dabei, Spoofing-Versuche zu erkennen.

Domänenbasierte Nachrichtenauthentifizierung, Reporting und Konformität

Die einfache Implementierung von SPF und DKIM kann helfen, die Absender zu verifizieren, ist aber nicht effektiv genug, um Spoofing allein zu stoppen. Um Cyberkriminelle daran zu hindern, Ihren Empfängern gefälschte E-Mails zuzustellen, müssen Sie heute DMARC implementieren. DMARC hilft Ihnen, E-Mail-Header abzugleichen, um E-Mail-Absenderadressen zu verifizieren und Spoofing-Versuche und die betrügerische Verwendung von Domainnamen zu entlarven. Darüber hinaus gibt es Domain-Besitzern die Möglichkeit, den E-Mail-Empfangsservern mitzuteilen, wie sie auf E-Mails reagieren sollen, die die SPF- und DKIM-Authentifizierung nicht bestehen. Domain-Besitzer können wählen, ob sie gefälschte E-Mails zustellen, unter Quarantäne stellen oder zurückweisen wollen, je nach dem Grad der DMARC-Durchsetzung, den sie benötigen.

Hinweis: Nur mit einer DMARC-Richtlinie von " reject" können Sie Spoofing unterbinden.

Darüber hinaus bietet DMARC auch einen Berichtsmechanismus, um Domain-Besitzern einen Überblick über ihre E-Mail-Kanäle und Authentifizierungsergebnisse zu geben. Durch die Konfiguration Ihres DMARC-Report-Analyzers können Sie Ihre E-Mail-Domains regelmäßig mit detaillierten Informationen zu E-Mail-Sendequellen, E-Mail-Authentifizierungsergebnissen, Geolokationen von betrügerischen IP-Adressen und der Gesamtleistung Ihrer E-Mails überwachen. Es hilft Ihnen, Ihre DMARC-Daten in einem organisierten und lesbaren Format zu analysieren und schneller Maßnahmen gegen Angreifer zu ergreifen.

Letztendlich können SPF, DKIM und DMARC zusammenarbeiten, um die E-Mail-Sicherheit Ihres Unternehmens in neue Höhen zu katapultieren und Angreifer davon abzuhalten, Ihren Domainnamen zu fälschen, um den Ruf und die Glaubwürdigkeit Ihres Unternehmens zu schützen.

Bevor wir uns damit beschäftigen, wie Sie DKIM für Ihre Domain einrichten, lassen Sie uns ein wenig darüber sprechen, was DKIM ist. DKIM, oder DomainKeys Identified Mail, ist ein E-Mail-Authentifizierungsprotokoll, das zur Überprüfung der Authentizität ausgehender E-Mails verwendet wird. Der Prozess beinhaltet die Verwendung eines privaten kryptografischen Schlüssels, der von Ihrem Mailserver generiert wird und jede ausgehende E-Mail-Nachricht signiert. Dies stellt sicher, dass Ihre Empfänger überprüfen können, ob die E-Mails, die sie erhalten, von Ihrem Mailserver gesendet wurden und nicht gefälscht sind. Dies kann die Zustellbarkeit verbessern und helfen, Spam auszusortieren. Vereinfacht ausgedrückt enthält eine E-Mail von einem DKIM-aktivierten Mailserver eine digitale Signatur oder besser gesagt eine kryptografische Signatur, die vom E-Mail-Server des Empfängers validiert werden kann.

DKIM wurde durch die Kombination bestehender Technologien wie DomainKeys (von Yahoo) und Identified Internet Mail (von Cisco) geschaffen. Es hat sich zu einer weit verbreiteten Authentifizierungsmethode entwickelt, die als DKIM bekannt ist und auch als RFC (Request for Comments) bei der IETF (Internet Engineering Task Force) registriert ist. Alle großen ISPs wie Google, Microsoft und Yahoo erstellen eine digitale Signatur, die in den E-Mail-Header von ausgehenden E-Mails eingebettet wird, und validieren eingehende E-Mails mit ihren eigenen Richtlinien.

In diesem Blog werden wir uns mit dem Mechanismus, der in DKIM zur Validierung Ihrer E-Mails verwendet wird, und seinen verschiedenen Vorteilen befassen und erfahren, wie Sie DKIM für Ihre eigene Domain einrichten können.

Wie richtet man DKIM ein, um die eigene Domain vor Spoofing zu schützen?

Die DKIM-Signatur wird vom MTA erzeugt und in der Listendomäne gespeichert. Nach dem Empfang der E-Mail kann die DKIM-Signatur anhand des öffentlichen Schlüssels verifiziert werden. DKIM als Authentifizierungsmechanismus, der die Identität einer Nachricht nachweisen kann. Diese Signatur beweist, dass die Nachricht von einem legitimen Server erzeugt wurde.

Dies ist insbesondere erforderlich, da Domain-Spoofing-Angriffe in letzter Zeit zunehmen.

Was ist eine DKIM-Signatur?

Um DKIM verwenden zu können, müssen Sie entscheiden, was in der Signatur enthalten sein soll. Typischerweise sind dies der Text der E-Mail und einige Standard-Header. Sie können diese Elemente nicht mehr ändern, wenn sie einmal festgelegt sind, also wählen Sie sie sorgfältig aus. Sobald Sie entschieden haben, welche Teile der E-Mail in die DKIM-Signatur aufgenommen werden sollen, müssen diese Elemente unverändert bleiben, um eine gültige DKIM-Signatur zu erhalten.

Nicht zu verwechseln mit dem DKIM-Selektor. Die DKIM-Signatur ist nichts anderes als ein Zusammenschluss beliebiger Zeichenkettenwerte, die auch als "Hash-Werte" bezeichnet werden. Wenn Ihre Domain mit DKIM konfiguriert ist, verschlüsselt Ihr sendender E-Mail-Server diesen Wert mit einem privaten Schlüssel, auf den nur Sie Zugriff haben. Diese Signatur stellt sicher, dass die von Ihnen gesendete E-Mail nach dem Versand nicht verändert oder verfälscht wurde. Um die DKIM-Signatur zu überprüfen, führt der E-Mail-Empfänger eine DNS-Abfrage durch, um nach dem öffentlichen Schlüssel zu suchen. Der öffentliche Schlüssel wird von der Organisation zur Verfügung gestellt, die Eigentümer der Domain ist. Wenn sie übereinstimmen, wird Ihre E-Mail als authentisch eingestuft.

Wie richtet man DKIM in 3 einfachen Schritten ein?

Um DKIM einfach mit PowerDMARC zu implementieren, müssen Sie nur Ihren DKIM-Eintrag mit unserem kostenlosen DKIM-Eintragsgenerator erzeugen. Ihr DKIM-Eintrag ist ein DNS-TXT-Eintrag, der im DNS Ihrer Domain veröffentlicht wird. Als nächstes können Sie einen kostenlosen DKIM-Lookup durchführen, indem Sie unser DKIM-Record-Lookup-Tool verwenden. Dieses kostenlose Tool bietet eine DKIM-Prüfung mit einem Klick und stellt sicher, dass Ihr DKIM-Eintrag fehlerfrei und gültig ist. Um den Datensatz zu generieren, müssen Sie jedoch zunächst Ihren DKIM-Selektor identifizieren.

Wie identifiziere ich meinen DKIM-Selektor?

Eine häufig gestellte Frage von Domaininhabern ist: Wie finde ich meinen DKIM? Um Ihren DKIM-Selektor zu finden, müssen Sie nur Folgendes tun:

1) Senden Sie eine Testmail an Ihr gmail-Konto 

2) Klicken Sie auf die 3 Punkte neben der E-Mail in Ihrem Google Mail-Posteingang

3) Wählen Sie "Original anzeigen". 

4) Navigieren Sie auf der Seite "Originalnachricht" zum unteren Ende der Seite zum Abschnitt "DKIM-Signatur" und versuchen Sie, das Tag "s=" zu finden; der Wert dieses Tags ist Ihr DKIM-Selektor. 

DMARC und DKIM

Eine häufige Frage, die Sie sich vielleicht stellen, ist, ob es ausreicht, DKIM zu implementieren? Die Antwort ist nein. DKIM hilft Ihnen zwar dabei, Ihre E-Mail-Nachrichten mit einer kryptografischen Signatur zu verschlüsseln, um die Legitimität Ihrer Absender zu überprüfen, aber es bietet keine Möglichkeit für E-Mail-Empfänger, auf Nachrichten zu reagieren, die DKIM nicht bestehen. An dieser Stelle kommt DMARC ins Spiel!

Domain-Based Message Authentication, Reporting and Conformance (DMARC) ist ein E-Mail-Authentifizierungsprotokoll, das Domain-Besitzern hilft, gegen Nachrichten vorzugehen, die die SPF/DKIM-Authentifizierung nicht bestehen. Dies wiederum minimiert die Chancen von Domain-Spoofing-Angriffen und BEC. DMARC kann zusammen mit SPF und DKIM die Zustellbarkeit von E-Mails im Laufe der Zeit um 10 % verbessern und die Reputation Ihrer Domain steigern.

Melden Sie sich noch heute bei PowerDMARC an und nutzen Sie Ihren kostenlosen DMARC-Analyzer-Test!

Warum brauche ich DKIM? Reicht SPF nicht aus?

Gerade durch die Fernarbeit sind die Menschen einer erhöhten Anzahl von Phishing- und Cyberattacken ausgesetzt. Meistens sind die schlimmsten Phishing-Angriffe diejenigen, die man nicht ignorieren kann. Unabhängig von der Menge der empfangenen und gesendeten Arbeits-E-Mails und trotz der Zunahme von Chat- und Instant-Messaging-Apps am Arbeitsplatz dominiert die E-Mail für die meisten Menschen, die in Büros arbeiten, weiterhin die geschäftliche Kommunikation sowohl intern als auch extern.

Es ist jedoch kein Geheimnis, dass E-Mails in der Regel der häufigste Einstiegspunkt für Cyberangriffe sind, bei denen Malware und Exploits in das Netzwerk und die Anmeldedaten eingeschleust werden und die sensiblen Daten offenlegen. Laut Daten aus den SophosLabs im September 2020 waren rund 97 % der von den Spam-Fallen abgefangenen schädlichen Spam-Mails Phishing-Mails, die auf der Jagd nach Zugangsdaten oder anderen Informationen waren.

Die verbleibenden 3 % enthielten eine bunte Mischung von Nachrichten mit Links zu bösartigen Websites oder mit Anhängen, die mit Sprengfallen versehen waren. Diese hofften meist auf die Installation von Backdoors, Remote-Access-Trojanern (RATs), Informationsdiebstahl, Exploits oder das Herunterladen anderer bösartiger Dateien.

Unabhängig von der Quelle bleibt Phishing eine ziemlich erschreckend effektive Taktik für die Angreifer, was auch immer ihr endgültiges Ziel sein mag. Es gibt einige robuste Maßnahmen, die alle Organisationen anwenden können, um zu überprüfen, ob eine E-Mail von der Person und der Quelle stammt, von der sie behauptet, zu stammen.

Wie kommt DKIM zur Rettung?

Es muss sichergestellt werden, dass die E-Mail-Sicherheit einer Organisation in der Lage ist, jede eingehende E-Mail zu überprüfen, die gegen die Authentifizierungsregeln der Domain verstößt, von der die E-Mail zu kommen scheint. DomainKeys Identified Mail (DKIM) hilft dabei, eine eingehende E-Mail zu untersuchen, um zu prüfen, ob nichts verändert wurde. Im Falle von E-Mails, die legitim sind, würde DKIM definitiv eine digitale Signatur finden, die mit einem bestimmten Domain-Namen verknüpft wäre.

Dieser Domain-Name würde an den Header der E-Mail angehängt werden, und es gäbe einen entsprechenden Verschlüsselungsschlüssel zurück bei der Quell-Domain. Der größte Vorteil von DKIM ist, dass es eine digitale Signatur auf Ihren E-Mail-Kopfzeilen bereitstellt, so dass die Server, die sie empfangen, diese Kopfzeilen kryptografisch authentifizieren können und sie als gültig und original betrachten.

Diese Kopfzeilen sind typischerweise mit "Von", "An", "Betreff" und "Datum"gekennzeichnet.

Warum brauchen Sie DKIM?

Experten auf dem Gebiet der Cybersicherheit sind der Meinung, dass DKIM in der täglichen Praxis für die Sicherung offizieller E-Mails benötigt wird. Bei DKIM wird die Signatur vom MTA (Mail Transfer Agent) generiert, der eine eindeutige Zeichenfolge, den sogenannten Hash-Wert, erstellt.

Außerdem wird der Hash-Wert in der aufgelisteten Domain gespeichert. Nach dem Empfang der E-Mail kann der Empfänger die DKIM-Signatur mit dem öffentlichen Schlüssel überprüfen, der im Domain Name System (DNS) registriert ist. Danach wird dieser Schlüssel verwendet, um den Hash-Wert im Header zu entschlüsseln und auch den Hash-Wert aus der empfangenen E-Mail neu zu berechnen.

Wenn diese beiden DKIM-Signaturen übereinstimmen, dann weiß der MTA, dass die E-Mail nicht verändert wurde. Zusätzlich erhält der Benutzer eine weitere Bestätigung, dass die E-Mail tatsächlich von der aufgeführten Domain gesendet wurde.

DKIM, das ursprünglich aus der Verschmelzung von zwei Stationsschlüsseln, dem Domain-Schlüssel (von Yahoo) und dem Identified Internet Mail-Schlüssel (von Cisco) im Jahr 2004 entstanden ist, hat sich zu einer neuen, weit verbreiteten Authentifizierungstechnik entwickelt, die das E-Mail-Verfahren eines Unternehmens ziemlich vertrauenswürdig macht, und die genau der Grund ist, warum führende Tech-Unternehmen wie Google, Microsoft und Yahoo eingehende E-Mails immer auf DKIM-Signaturen überprüfen.

DKIM Vs. SPF

Sender Policy Framework (SPF) ist eine Form der E-Mail-Authentifizierung, die einen Prozess definiert, um eine E-Mail-Nachricht zu validieren, die von einem autorisierten Mail-Server gesendet wurde, um Fälschungen zu erkennen und Betrug zu verhindern.

Die meisten Leute sind zwar der Meinung, dass sowohl SPF als auch DKIM in Unternehmen verwendet werden müssen, aber DKIM hat sicherlich einen zusätzlichen Vorteil gegenüber den anderen. Die Gründe dafür sind wie folgt:

  • Bei DKIM veröffentlicht der Domaininhaber einen kryptografischen Schlüssel, der speziell als TXT-Eintrag im gesamten DNS-Eintrag formatiert wird
  • Die eindeutige DKIM-Signatur, die an die Kopfzeile der Nachricht angehängt wird, macht sie authentischer
  • Die Verwendung von DKIM erweist sich als fruchtbarer, da der DKIM-Schlüssel, der von eingehenden Mailservern zum Erkennen und Entschlüsseln der Signatur der Nachricht verwendet wird, die Nachricht als authentischer und unverfälscht ausweist.

Zum Schluss

Für die meisten Unternehmen wäre DKIM nicht nur ein Schutz vor Phishing- und Spoofing-Angriffen, sondern auch ein Beitrag zum Schutz der Kundenbeziehungen und der Markenreputation.

Dies ist besonders wichtig, da DKIM einen Verschlüsselungsschlüssel und eine digitale Signatur bereitstellt, die doppelt beweisen, dass eine E-Mail nicht gefälscht oder verändert wurde. Diese Praktiken würden Organisationen und Unternehmen dabei helfen, ihre E-Mail-Zustellbarkeit zu verbessern und eine sichere E-Mail zu versenden, die bei der Generierung von Einnahmen helfen würde. Es hängt vor allem von den Unternehmen ab, wie sie diese Verfahren einsetzen und implementieren. Dies ist sehr wichtig und nachvollziehbar, da die meisten Organisationen sich von Cyber-Angriffen und Bedrohungen befreien wollen.

Als Anbieter von DMARC-Diensten wird uns diese Frage oft gestellt: "Wenn DMARC nur SPF- und DKIM-Authentifizierung verwendet, warum sollten wir uns dann mit DMARC beschäftigen? Ist das nicht einfach unnötig?"

Oberflächlich betrachtet mag es den Anschein haben, dass es kaum einen Unterschied macht, aber die Realität ist ganz anders. DMARC ist nicht nur eine Kombination aus SPF- und DKIM-Technologien, sondern ein völlig neues, eigenständiges Protokoll. Es hat mehrere Funktionen, die es zu einem der fortschrittlichsten E-Mail-Authentifizierungsstandards der Welt und zu einer absoluten Notwendigkeit für Unternehmen machen.

Aber warten Sie einen Moment. Wir haben noch nicht genau beantwortet, warum Sie DMARC brauchen. Was bietet es, was SPF und DKIM nicht können? Nun, das ist eine ziemlich lange Antwort; zu lang für nur einen Blogbeitrag. Lassen Sie uns also aufteilen und zuerst über SPF sprechen. Für den Fall, dass Sie damit nicht vertraut sind, hier eine kurze Einführung.

Was ist SPF?

SPF, oder Sender Policy Framework, ist ein E-Mail-Authentifizierungsprotokoll, das den E-Mail-Empfänger vor gefälschten E-Mails schützt. Es handelt sich im Wesentlichen um eine Liste aller IP-Adressen, die berechtigt sind, E-Mails über Ihre Kanäle (die des Domaininhabers) zu versenden. Wenn der empfangende Server eine Nachricht von Ihrer Domain sieht, überprüft er den SPF-Eintrag, der in Ihrem DNS veröffentlicht ist. Wenn die IP des Absenders in dieser "Liste" enthalten ist, wird die E-Mail zugestellt. Wenn nicht, lehnt der Server die E-Mail ab.

Wie Sie sehen können, leistet SPF eine ziemlich gute Arbeit, um viele unappetitliche E-Mails fernzuhalten, die Ihrem Gerät schaden oder die Sicherheitssysteme Ihres Unternehmens gefährden könnten. Aber SPF ist nicht annähernd so gut, wie manche Leute vielleicht denken. Das liegt daran, dass es einige sehr große Nachteile hat. Lassen Sie uns über einige dieser Probleme sprechen.

Einschränkungen des SPF

SPF-Einträge gelten nicht für die Von-Adresse

E-Mails haben mehrere Adressen, um ihren Absender zu identifizieren: die Absenderadresse, die Sie normalerweise sehen, und die Rücksprungadresse, die versteckt ist und einen oder zwei Klicks erfordert, um sie anzuzeigen. Wenn SPF aktiviert ist, schaut der empfangende E-Mail-Server auf den Return Path und prüft die SPF-Einträge der Domain von dieser Adresse.

Das Problem dabei ist, dass Angreifer dies ausnutzen können, indem sie eine gefälschte Domäne in ihrer Return Path-Adresse und eine legitime (oder legitim aussehende) E-Mail-Adresse im From-Abschnitt verwenden. Selbst wenn der Empfänger die E-Mail-ID des Absenders überprüfen würde, würde er zuerst die Absenderadresse sehen und sich normalerweise nicht die Mühe machen, den Rückweg zu überprüfen. Tatsächlich wissen die meisten Leute nicht einmal, dass es so etwas wie eine Return Path-Adresse gibt.

SPF kann mit diesem einfachen Trick recht leicht umgangen werden und macht selbst mit SPF gesicherte Domains weitgehend angreifbar.

SPF-Einträge haben ein DNS-Lookup-Limit

SPF-Datensätze enthalten eine Liste aller IP-Adressen, die vom Domain-Besitzer autorisiert sind, E-Mails zu versenden. Sie haben jedoch einen entscheidenden Nachteil. Der empfangende Server muss den Datensatz überprüfen, um festzustellen, ob der Absender autorisiert ist. Um die Belastung des Servers zu reduzieren, haben SPF-Datensätze ein Limit von 10 DNS-Lookups.

Das bedeutet, dass, wenn Ihre Organisation mehrere Drittanbieter verwendet, die E-Mails über Ihre Domain senden, der SPF-Eintrag am Ende dieses Limit überschreiten kann. Wenn sie nicht richtig optimiert sind (was nicht einfach selbst zu machen ist), haben SPF-Einträge eine sehr restriktive Grenze. Wenn Sie diese Grenze überschreiten, wird die SPF-Implementierung als ungültig betrachtet und Ihre E-Mail schlägt bei SPF fehl. Dies kann Ihre E-Mail-Zustellungsraten möglicherweise beeinträchtigen.

 

SPF funktioniert nicht immer, wenn die E-Mail weitergeleitet wird

SPF hat einen weiteren kritischen Fehlerpunkt, der die Zustellbarkeit Ihrer E-Mails beeinträchtigen kann. Wenn Sie SPF auf Ihrer Domain implementiert haben und jemand Ihre E-Mail weiterleitet, kann die weitergeleitete E-Mail aufgrund Ihrer SPF-Richtlinie zurückgewiesen werden.

Das liegt daran, dass die weitergeleitete Nachricht den Empfänger der E-Mail geändert hat, die Adresse des E-Mail-Absenders aber gleich geblieben ist. Dies wird zu einem Problem, weil die Nachricht die Absenderadresse des ursprünglichen Absenders enthält, der empfangende Server aber eine andere IP sieht. Die IP-Adresse des weiterleitenden E-Mail-Servers ist nicht im SPF-Eintrag der Domain des ursprünglichen Absenders enthalten. Dies kann dazu führen, dass die E-Mail vom empfangenden Server zurückgewiesen wird.

Wie löst DMARC diese Probleme?

DMARC verwendet eine Kombination aus SPF und DKIM, um E-Mails zu authentifizieren. Eine E-Mail muss entweder SPF oder DKIM passieren, um DMARC zu passieren und erfolgreich zugestellt zu werden. Und es fügt auch eine Schlüsselfunktion hinzu, die es weitaus effektiver macht als SPF oder DKIM allein: Reporting.

Mit dem DMARC-Reporting erhalten Sie tägliches Feedback über den Status Ihrer E-Mail-Kanäle. Dazu gehören Informationen über Ihre DMARC-Ausrichtung, Daten über E-Mails, deren Authentifizierung fehlgeschlagen ist, und Details über mögliche Spoofing-Versuche.

Wenn Sie sich fragen, was Sie tun können, um nicht gespoofed zu werden, lesen Sie unseren praktischen Leitfaden mit den 5 besten Möglichkeiten, um E-Mail-Spoofing zu vermeiden.