Beiträge

Die E-Mail-Authentifizierung ist ein wichtiger Aspekt der Arbeit eines E-Mail-Providers. E-Mail-Authentifizierung, auch bekannt als SPF und DKIM, überprüft die Identität eines E-Mail-Anbieters. DMARC ergänzt den Prozess der Verifizierung einer E-Mail, indem es prüft, ob eine E-Mail von einer legitimen Domain durch Abgleich gesendet wurde, und den empfangenden Servern vorgibt, wie auf Nachrichten zu reagieren ist, die die Authentifizierungsprüfung nicht bestehen. Heute werden wir die verschiedenen Szenarien besprechen, die Ihre Frage beantworten würden, warum DMARC fehlschlägt.

DMARC ist eine wichtige Aktivität in Ihrer E-Mail-Authentifizierungsrichtlinie, um zu verhindern, dass gefälschte "Spoofed"-E-Mails transaktionale Spam-Filter passieren. Aber es ist nur eine Säule eines umfassenden Anti-Spam-Programms und nicht alle DMARC-Berichte sind gleich. Einige geben Aufschluss über die genaue Aktion, die der Empfänger einer Nachricht durchgeführt hat, während andere nur angeben, ob eine Nachricht erfolgreich war oder nicht. Zu verstehen, warum eine Nachricht fehlgeschlagen ist, ist genauso wichtig wie zu wissen, ob sie es war. Der folgende Artikel erläutert die Gründe, aus denen Nachrichten die DMARC-Authentifizierungsprüfung nicht bestehen. Dies sind die häufigsten Gründe (von denen einige leicht behoben werden können), aus denen Nachrichten die DMARC-Authentifizierungsprüfungen nicht bestehen können.

Häufige Gründe, warum Nachrichten an DMARC scheitern können

Die Identifizierung, warum DMARC fehlschlägt, kann kompliziert sein. Ich werde jedoch einige typische Gründe und die Faktoren, die dazu beitragen, erläutern, damit Sie als Domain-Besitzer auf eine schnellere Behebung des Problems hinarbeiten können.

Fehler bei der DMARC-Ausrichtung

DMARC nutzt den Domain-Abgleich, um Ihre E-Mails zu authentifizieren. Das bedeutet, dass DMARC prüft, ob die in der Absenderadresse (im sichtbaren Header) genannte Domäne authentisch ist, indem sie mit der im verborgenen Return-path-Header (für SPF) und DKIM-Signatur-Header (für DKIM) genannten Domäne abgeglichen wird. Wenn beides übereinstimmt, besteht die E-Mail DMARC, andernfalls schlägt DMARC fehl.

Wenn Ihre E-Mails DMARC nicht bestehen, kann es sich also um einen Domain-Fehlalarm handeln. Das heißt, dass weder SPF- noch DKIM-Kennungen übereinstimmen und die E-Mail von einer nicht autorisierten Quelle zu stammen scheint. Dies ist jedoch nur einer der Gründe, warum DMARC fehlschlägt.

DMARC-Ausrichtungsmodus 

Ihr Protokollausrichtungsmodus spielt ebenfalls eine große Rolle dabei, ob Ihre Nachrichten DMARC passieren oder nicht. Sie können zwischen den folgenden Ausrichtungsmodi für die SPF-Authentifizierung wählen:

  • Entspannt: Dies bedeutet, dass wenn die Domain im Return-path-Header und die Domain im From-Header einfach organisatorisch übereinstimmen, auch dann SPF passieren wird.
  • Streng: Dies bedeutet, dass SPF nur dann erfolgreich ist, wenn die Domain im Return-path-Header und die Domain im From-Header exakt übereinstimmen.

Sie können zwischen den folgenden Ausrichtungsmodi für die DKIM-Authentifizierung wählen:

  • Entspannt: Dies bedeutet, dass, wenn die Domäne in der DKIM-Signatur und die Domäne im Absender-Header einfach organisatorisch übereinstimmen, auch dann DKIM passieren wird.
  • Streng: Dies bedeutet, dass DKIM nur dann erfolgreich ist, wenn die Domäne in der DKIM-Signatur und die Domäne im Von-Header exakt übereinstimmen.

Beachten Sie, dass für E-Mails, die die DMARC-Authentifizierung passieren, entweder SPF oder DKIM übereinstimmen müssen.  

Keine DKIM-Signatur einrichten 

Ein sehr häufiger Fall, in dem Ihr DMARC fehlschlägt, ist, dass Sie keine DKIM-Signatur für Ihre Domain angegeben haben. In solchen Fällen weist Ihr E-Mail-Austauschdienstanbieter Ihren ausgehenden E-Mails eine Standard-DKIM-Signatur zu, die nicht mit der Domäne in Ihrem Von-Header übereinstimmt. Der empfangende MTA kann die beiden Domänen nicht abgleichen und daher schlägt DKIM und DMARC für Ihre Nachricht fehl (wenn Ihre Nachrichten sowohl mit SPF als auch mit DKIM abgeglichen sind).

Keine Sendequellen zu Ihrem DNS hinzufügen 

Es ist wichtig zu beachten, dass, wenn Sie DMARC für Ihre Domain einrichten, die empfangenden MTAs DNS-Abfragen durchführen, um Ihre Sendequellen zu autorisieren. Das bedeutet, dass, wenn Sie nicht alle autorisierten Sendequellen im DNS Ihrer Domain aufgelistet haben, Ihre E-Mails DMARC für die Quellen, die nicht aufgelistet sind, nicht zustellen, da der Empfänger sie nicht in Ihrem DNS finden kann. Um sicherzustellen, dass Ihre legitimen E-Mails immer zugestellt werden, sollten Sie daher alle autorisierten E-Mail-Drittanbieter, die berechtigt sind, E-Mails im Namen Ihrer Domain zu versenden, in Ihrem DNS eintragen.

Im Falle einer E-Mail-Weiterleitung

Bei der E-Mail-Weiterleitung durchläuft die E-Mail einen Zwischenserver, bevor sie schließlich an den Empfangsserver zugestellt wird. Bei der E-Mail-Weiterleitung schlägt die SPF-Prüfung fehl, da die IP-Adresse des zwischengeschalteten Servers nicht mit der des sendenden Servers übereinstimmt, und diese neue IP-Adresse wird normalerweise nicht in den SPF-Eintrag des ursprünglichen Servers aufgenommen. Im Gegensatz dazu hat die Weiterleitung von E-Mails in der Regel keinen Einfluss auf die DKIM-E-Mail-Authentifizierung, es sei denn, der zwischengeschaltete Server oder die weiterleitende Instanz nimmt bestimmte Änderungen am Inhalt der Nachricht vor.

Da wir wissen, dass SPF bei der E-Mail-Weiterleitung unweigerlich versagt, wird die weitergeleitete E-Mail bei der DMARC-Authentifizierung als illegitim eingestuft, wenn die sendende Quelle DKIM-neutral ist und sich ausschließlich auf SPF zur Validierung verlässt. Um dieses Problem zu lösen, sollten Sie sich sofort für eine vollständige DMARC-Compliance in Ihrem Unternehmen entscheiden, indem Sie alle ausgehenden Nachrichten sowohl mit SPF als auch mit DKIM abgleichen und authentifizieren, denn damit eine E-Mail die DMARC-Authentifizierung besteht, muss die E-Mail entweder die SPF- oder die DKIM-Authentifizierung und den Abgleich bestehen.

Ihre Domain wird gespoofed

Wenn Sie Ihre DMARC-, SPF- und DKIM-Protokolle ordnungsgemäß für Ihre Domain konfiguriert haben, Ihre Richtlinien durchgesetzt sind und gültige fehlerfreie Datensätze vorliegen, und das Problem keiner der oben genannten Fälle ist, dann ist der wahrscheinlichste Grund, warum Ihre E-Mails DMARC nicht bestehen, dass Ihre Domain gespoofed oder gefälscht wird. Dies ist der Fall, wenn Imitatoren und Bedrohungsakteure versuchen, E-Mails zu versenden, die scheinbar von Ihrer Domain kommen, indem sie eine bösartige IP-Adresse verwenden.

Aktuelle E-Mail-Betrugsstatistiken haben ergeben, dass E-Mail-Spoofing-Fälle inletzter Zeit zunehmen und eine sehr große Bedrohung für den Ruf Ihres Unternehmens darstellen. In solchen Fällen, wenn Sie DMARC auf einer Ablehnungsrichtlinie implementiert haben, wird diese fehlschlagen und die gefälschte E-Mail wird nicht in den Posteingang des Empfängers zugestellt. Daher kann Domain-Spoofing die Antwort darauf sein, warum DMARC in den meisten Fällen fehlschlägt.

Wir empfehlen Ihnen, sich bei unserem kostenlosen DMARC Analyzer anzumelden und mit dem DMARC Reporting und Monitoring zu beginnen.

  • Mit einer "none"-Richtlinie können Sie Ihre Domain mit DMARC (RUA) Aggregate Reports überwachen und Ihre ein- und ausgehenden E-Mails genau im Auge behalten, was Ihnen hilft, auf unerwünschte Zustellungsprobleme zu reagieren
  • Danach helfen wir Ihnen bei der Umstellung auf eine durchgesetzte Richtlinie, die Ihnen letztendlich dabei hilft, Immunität gegen Domain-Spoofing und Phishing-Angriffe zu erlangen
  • Mit Hilfe unserer Threat Intelligence-Engine können Sie bösartige IP-Adressen notieren und direkt von der PowerDMARC-Plattform aus melden, um zukünftigen Impersonation-Angriffen zu entgehen
  • Die DMARC (RUF) Forensic Reports von PowerDMARC helfen Ihnen, detaillierte Informationen über Fälle zu erhalten, in denen Ihre E-Mails DMARC nicht bestanden haben, so dass Sie dem Problem auf den Grund gehen und es beheben können

Verhindern Sie Domain-Spoofing und überwachen Sie Ihren E-Mail-Verkehr mit PowerDMARC, noch heute!

Gut, Sie haben gerade den gesamten Prozess der Einrichtung von DMARC für Ihre Domain durchlaufen. Sie haben Ihre SPF-, DKIM- und DMARC-Einträge veröffentlicht, alle Ihre Berichte analysiert, Zustellungsprobleme behoben, Ihre Durchsetzungsstufe von p=none auf Quarantäne und schließlich auf reject erhöht. Sie sind offiziell zu 100 % DMARC-erzwungen. Herzlichen Glückwunsch! Jetzt erreichen nur noch Ihre E-Mails die Posteingänge der Empfänger. Niemand wird sich für Ihre Marke ausgeben, wenn Sie es verhindern können.

Das war's also, richtig? Ihre Domain ist gesichert und wir können alle glücklich nach Hause gehen, weil wir wissen, dass Ihre E-Mails sicher sein werden. Richtig...?

Nun, nicht ganz. DMARC ist ein bisschen wie Sport und Diät: Sie machen es eine Weile und verlieren einen Haufen Gewicht und bekommen ein paar kranke Bauchmuskeln, und alles läuft super. Aber wenn Sie damit aufhören, werden all die Fortschritte, die Sie gerade gemacht haben, langsam wieder verschwinden, und das Risiko des Spoofings beginnt sich wieder einzuschleichen. Aber flippen Sie nicht aus! Genau wie bei Diät und Training ist das Fitwerden (d.h. die 100%ige Durchsetzung) der schwierigste Teil. Sobald Sie das geschafft haben, müssen Sie es nur noch auf dem gleichen Niveau halten, was viel einfacher ist.

Okay, genug mit den Analogien, kommen wir zur Sache. Wenn Sie gerade DMARC auf Ihrer Domain implementiert und durchgesetzt haben, was ist dann der nächste Schritt? Wie können Sie Ihre Domain und Ihre E-Mail-Kanäle weiterhin sicher halten?

Was ist nach dem Erreichen der DMARC-Durchsetzung zu tun?

Der Hauptgrund dafür, dass die E-Mail-Sicherheit nicht einfach endet, nachdem Sie eine 100%ige Durchsetzung erreicht haben, ist, dass sich Angriffsmuster, Phishing-Betrügereien und Absenderquellen ständig ändern. Ein beliebter Trend bei E-Mail-Betrügereien hält oft nicht einmal länger als ein paar Monate an. Denken Sie an die WannaCry-Ransomware-Angriffe im Jahr 2018 oder sogar an etwas so Aktuelles wie die WHO-Coronavirus-Phishing-Betrügereien Anfang 2020. Davon sieht man im Moment nicht viel in freier Wildbahn, oder?

Cyberkriminelle ändern ständig ihre Taktiken, und bösartige Sendequellen ändern und vermehren sich ständig, und Sie können nicht viel dagegen tun. Was Sie tun können, ist Ihre Marke auf alle möglichen Cyberangriffe vorzubereiten, die auf Sie zukommen könnten. Und das geht am besten durch DMARC-Überwachung und -Transparenz.

Auch nach der Durchsetzung müssen Sie immer noch die volle Kontrolle über Ihre E-Mail-Kanäle haben. Das bedeutet, dass Sie wissen müssen, welche IP-Adressen E-Mails über Ihre Domain senden, wo Sie Probleme mit der E-Mail-Zustellung oder Authentifizierung haben, und jeden potenziellen Spoofing-Versuch oder bösartigen Server, der eine Phishing-Kampagne in Ihrem Namen durchführt, identifizieren und darauf reagieren müssen. Je mehr Sie Ihre Domain überwachen, desto besser werden Sie sie verstehen. Und folglich werden Sie in der Lage sein, Ihre E-Mails, Ihre Daten und Ihre Marke besser zu schützen.

Warum DMARC-Überwachung so wichtig ist

Neue E-Mail-Quellen identifizieren
Wenn Sie Ihre E-Mail-Kanäle überwachen, überprüfen Sie nicht nur, ob alles in Ordnung ist. Sie werden auch nach neuen IPs suchen, die E-Mails von Ihrer Domain senden. Ihr Unternehmen wechselt vielleicht von Zeit zu Zeit seine Partner oder Drittanbieter, was bedeutet, dass deren IPs autorisiert werden könnten, E-Mails in Ihrem Namen zu versenden. Handelt es sich bei der neuen Sendequelle um einen Ihrer neuen Anbieter oder um jemanden, der versucht, sich als Ihre Marke auszugeben? Wenn Sie Ihre Berichte regelmäßig analysieren, werden Sie eine eindeutige Antwort darauf haben.

Mit PowerDMARC können Sie Ihre DMARC-Berichte nach jeder Sendequelle für Ihre Domaineinsehen .

Neue Trends des Domain-Missbrauchs verstehen
Wie ich bereits erwähnt habe, finden Angreifer immer neue Wege, um sich als Marken auszugeben und Menschen dazu zu bringen, ihnen Daten und Geld zu geben. Aber wenn Sie nur alle paar Monate einen Blick auf Ihre DMARC-Berichte werfen, werden Sie keine verräterischen Anzeichen für Spoofing bemerken. Wenn Sie den E-Mail-Verkehr in Ihrer Domäne nicht regelmäßig überwachen, werden Sie keine Trends oder Muster in verdächtigen Aktivitäten bemerken, und wenn Sie von einem Spoofing-Angriff betroffen sind, werden Sie genauso ahnungslos sein wie die Personen, die von der E-Mail betroffen sind. Und glauben Sie mir, das ist nie ein gutes Bild für Ihre Marke.

Bösartige IPs finden und auf eine schwarze Liste setzen
Es reicht nicht aus, nur herauszufinden, wer genau versucht, Ihre Domain zu missbrauchen, Sie müssen ihn so schnell wie möglich ausschalten. Wenn Sie Ihre Sendequellen kennen, ist es viel einfacher, eine bösartige IP zu lokalisieren, und wenn Sie sie gefunden haben, können Sie diese IP an ihren Hosting-Provider melden und sie auf eine schwarze Liste setzen lassen. Auf diese Weise beseitigen Sie diese spezifische Bedrohung dauerhaft und vermeiden einen Spoofing-Angriff.

Mit Power Take Down finden Sie den Standort einer bösartigen IP, ihre Missbrauchshistorie und lassen sie entfernen.

Kontrolle über die Zustellbarkeit
Selbst wenn Sie DMARC sorgfältig auf 100 % Durchsetzung bringen konnten, ohne Ihre E-Mail-Zustellraten zu beeinträchtigen, ist es wichtig, kontinuierlich eine gleichbleibend hohe Zustellbarkeit sicherzustellen. Denn was nützt Ihnen all die E-Mail-Sicherheit, wenn keine der E-Mails ihr Ziel erreicht? Indem Sie Ihre E-Mail-Berichte überwachen, können Sie sehen, welche E-Mails bestanden haben, fehlgeschlagen sind oder nicht mit DMARC übereinstimmen, und die Quelle des Problems entdecken. Ohne Überwachung wäre es unmöglich zu wissen, ob Ihre E-Mails zugestellt werden, geschweige denn, das Problem zu beheben.

PowerDMARC bietet Ihnen die Möglichkeit, Berichte basierend auf ihrem DMARC-Status anzuzeigen, sodass Sie sofort erkennen können, welche E-Mails nicht durchkamen.

 

Unsere hochmoderne Plattform bietet eine 24×7-Domain-Überwachung und stellt Ihnen sogar ein dediziertes Sicherheitsreaktionsteam zur Verfügung, das eine Sicherheitsverletzung für Sie beheben kann. Erfahren Sie mehr über den erweiterten Support von PowerDMARC.

Auf den ersten Blick scheint Microsofts Office 365-Suite ziemlich... süß zu sein, oder? Sie erhalten nicht nur eine ganze Reihe von Produktivitäts-Apps, Cloud-Speicher und einen E-Mail-Dienst, sondern sind auch mit Microsofts eigenen E-Mail-Sicherheitslösungen vor Spam geschützt. Kein Wunder, dass es die am weitesten verbreitete E-Mail-Lösung für Unternehmen ist, mit einem Marktanteil von 54 % und über 155 Millionen aktiven Benutzern. Sie sind wahrscheinlich auch einer davon.

Aber wenn ein Cybersicherheitsunternehmen einen Blog über Office 365 schreibt, muss doch mehr dahinterstecken, oder? Nun, ja. Da ist etwas. Lassen Sie uns also darüber sprechen, was genau das Problem mit den Sicherheitsoptionen von Office 365 ist, und warum Sie das wirklich wissen müssen.

Was die Sicherheit von Microsoft Office 365 ausmacht

Bevor wir über die Probleme damit sprechen, lassen Sie uns das erst einmal schnell aus dem Weg schaffen: Microsoft Office 365 Advanced Threat Protection (was für ein Zungenbrecher) ist ziemlich effektiv bei der grundlegenden E-Mail-Sicherheit. Es wird in der Lage sein, Spam-E-Mails, Malware und Viren davon abzuhalten, ihren Weg in Ihren Posteingang zu finden.

Dies ist gut genug, wenn Sie nur nach einem grundlegenden Anti-Spam-Schutz suchen. Aber genau das ist das Problem: Low-Level-Spam wie dieser stellt normalerweise nicht die größte Bedrohung dar. Die meisten E-Mail-Anbieter bieten eine Art Basisschutz, indem sie E-Mails aus verdächtigen Quellen blockieren. Die wirkliche Bedrohung - die Art, bei der Ihr Unternehmen Geld, Daten und Markenintegrität verlieren kann - sindE-Mails, die sorgfältig so gestaltet sind, dass Sie nicht erkennen, dass sie gefälscht sind.

Dies ist der Zeitpunkt, an dem Sie in den Bereich der ernsthaften Cyberkriminalität gelangen.

Wovor Microsoft Office 365 Sie nicht schützen kann

Die Sicherheitslösung von Microsoft Office 365 funktioniert wie ein Anti-Spam-Filter, der mithilfe von Algorithmen feststellt, ob eine E-Mail anderen Spam- oder Phishing-E-Mails ähnlich ist. Aber was passiert, wenn Sie von einem weitaus raffinierteren Angriff betroffen sind , der Social Engineering nutzt oder auf einen bestimmten Mitarbeiter oder eine Gruppe von Mitarbeitern abzielt?

Dabei handelt es sich nicht um gewöhnliche Spam-E-Mails, die an Zehntausende von Personen auf einmal verschickt werden. Business Email Compromise (BEC) und Vendor Email Compromise (VEC ) sind Beispiele dafür, wie Angreifer ein Ziel sorgfältig auswählen, durch Ausspionieren der E-Mails mehr Informationen über das Unternehmen in Erfahrung bringen und zu einem strategischen Zeitpunkt eine gefälschte Rechnung oder Anfrage per E-Mail versenden, in der sie um die Überweisung von Geld oder die Freigabe von Daten bitten.

Bei dieser Taktik, die allgemein als Spear-Phishing bekannt ist, wird der Anschein erweckt, dass die E-Mail von jemandem aus Ihrem eigenen Unternehmen oder von einem vertrauenswürdigen Partner oder Anbieter stammt. Selbst bei sorgfältiger Prüfung können diese E-Mails sehr realistisch aussehen und sind selbst für erfahrene Cybersicherheitsexperten fast unmöglich zu erkennen.

Wenn ein Angreifer vorgibt, Ihr Chef oder der CEO Ihres Unternehmens zu sein und Ihnen eine E-Mail schickt, ist es unwahrscheinlich, dass Sie überprüfen, ob die E-Mail echt aussieht oder nicht. Genau das macht BEC und CEO-Betrug so gefährlich. Office 365 ist nicht in der Lage, Sie vor dieser Art von Angriffen zu schützen, da diese scheinbar von einer echten Person stammen und die Algorithmen sie nicht als Spam-E-Mails betrachten.

Wie können Sie Office 365 gegen BEC und Spear Phishing absichern?

Domain-based Message Authentication, Reporting & Conformance, kurz DMARC, ist ein E-Mail-Sicherheitsprotokoll, das die vom Domain-Besitzer bereitgestellten Informationen nutzt, um Empfänger vor gefälschten E-Mails zu schützen. Wenn Sie DMARC auf der Domain Ihrer Organisation implementieren, überprüfen die Empfangsserver jede einzelne E-Mail, die von Ihrer Domain kommt, anhand der von Ihnen veröffentlichten DNS-Einträge.

Aber wenn Office 365 ATP gezielte Spoofing-Angriffe nicht verhindern kann, wie macht es dann DMARC?

Nun, DMARC funktioniert ganz anders als ein Anti-Spam-Filter. Während Spam-Filter eingehende E-Mails prüfen, die in Ihren Posteingang gelangen, authentifiziert DMARC ausgehende E-Mails, die von der Domain Ihrer Organisation gesendet werden. Das bedeutet, dass, wenn jemand versucht, sich als Ihre Organisation auszugeben und Ihnen Phishing-E-Mails zu senden, diese E-Mails in den Spam-Ordner geworfen oder ganz blockiert werden, solange Sie DMARC-konform sind.

Und hören Sie sich das an - es bedeutet auch, dass, wenn ein Cyberkrimineller Ihre vertrauenswürdige Marke nutzt, um Phishing-E-Mails zu versenden, auch Ihre Kunden nicht damit zu tun hätten. DMARC hilft tatsächlich auch, Ihr Unternehmen zu schützen.

Aber es gibt noch mehr: Office 365 gibt Ihrem Unternehmen eigentlich keinen Einblick in einen Phishing-Angriff, es blockiert lediglich Spam-E-Mails. Aber wenn Sie Ihre Domain richtig absichern wollen, müssen Sie genau wissen, wer oder was versucht, sich als Ihre Marke auszugeben, und sofort Maßnahmen ergreifen. DMARC liefert diese Daten, einschließlich der IP-Adressen der missbräuchlich sendenden Quellen, sowie die Anzahl der von ihnen gesendeten E-Mails. PowerDMARC hebt dies auf die nächste Stufe mit erweiterten DMARC-Analysen direkt auf Ihrem Dashboard.

Erfahren Sie mehr darüber, was PowerDMARC für Ihre Marke tun kann.

 

Während Organisationen auf der ganzen Welt Wohltätigkeitsfonds zur Bekämpfung von Covid-19 einrichten, wird in den elektronischen Kanälen des Internets eine andere Art von Kampf ausgetragen. Tausende von Menschen auf der ganzen Welt sind während der Coronavirus-Pandemie Opfer von E-Mail-Spoofing und Covid-19-E-Mail-Betrug geworden. Es kommt immer häufiger vor, dass Cyberkriminelle in ihren E-Mails echte Domainnamen dieser Organisationen verwenden, um legitim zu erscheinen.

Beim jüngsten aufsehenerregenden Coronavirus-Betrug wurde weltweit eine E-Mail verschickt, die angeblich von der Weltgesundheitsorganisation (WHO) stammte und in der um Spenden für den Solidarity Response Fund gebeten wurde. Die Absenderadresse lautete "[email protected]", wobei "who.int" der echte Domänenname der WHO ist. Die E-Mail entpuppte sich als Phishing-Betrug, aber auf den ersten Blick deutete alles darauf hin, dass der Absender echt war. Schließlich gehörte die Domäne zur echten WHO.

Antwortfonds spenden

Dies war jedoch nur einer in einer wachsenden Reihe von Phishing-Betrügereien, die E-Mails im Zusammenhang mit dem Coronavirus verwenden, um Geld und sensible Informationen von Menschen zu stehlen. Aber wenn der Absender einen echten Domain-Namen verwendet, wie können wir dann eine legitime E-Mail von einer gefälschten unterscheiden? Warum sind Cyberkriminelle so leicht in der Lage, E-Mail-Domain-Spoofing bei einer so großen Organisation einzusetzen?

Und wie finden Einrichtungen wie die WHO heraus, wenn jemand ihre Domain für einen Phishing-Angriff nutzt?

E-Mail ist das weltweit am meisten genutzte Kommunikationsmittel im Geschäftsleben, und doch ist es ein völlig offenes Protokoll. Es gibt kaum Möglichkeiten zu überwachen, wer welche E-Mails von welcher E-Mail-Adresse aus sendet. Dies wird zu einem großen Problem, wenn sich Angreifer als vertrauenswürdige Marke oder öffentliche Person tarnen und Menschen dazu auffordern, ihnen ihr Geld und ihre persönlichen Daten zu geben. Tatsächlich waren über 90 % aller Datenschutzverletzungen in Unternehmen in den letzten Jahren mit E-Mail-Phishing in der einen oder anderen Form verbunden. Und E-Mail-Domain-Spoofing ist eine der führenden Ursachen dafür.

In dem Bemühen, E-Mails zu sichern, wurden Protokolle wie Sender Policy Framework (SPF) und Domain Keys Identified Mail (DKIM) entwickelt. SPF prüft die IP-Adresse des Absenders mit einer genehmigten Liste von IP-Adressen, und DKIM verwendet eine verschlüsselte digitale Signatur zum Schutz von E-Mails. Obwohl beide Verfahren für sich genommen effektiv sind, haben sie jeweils ihre eigenen Schwachstellen. DMARC, das 2012 entwickelt wurde, ist ein Protokoll, das sowohl die SPF- als auch die DKIM-Authentifizierung nutzt, um E-Mails zu schützen, und verfügt über einen Mechanismus, der dem Domainbesitzer einen Bericht sendet, wenn eine E-Mail die DMARC-Validierung nicht besteht.

Das bedeutet, dass der Domain-Besitzer benachrichtigt wird, wenn eine E-Mail von einer nicht autorisierten dritten Partei gesendet wird. Und, was besonders wichtig ist, er kann dem E-Mail-Empfänger mitteilen, wie er mit nicht authentifizierten E-Mails verfahren soll: Er kann sie in den Posteingang stellen, in Quarantäne verschieben oder sie ganz ablehnen. Theoretisch sollte dies die Überflutung der Posteingänge mit schlechten E-Mails verhindern und die Zahl der Phishing-Angriffe reduzieren. Warum funktioniert es also nicht?

Kann DMARC Domain-Spoofing und Covid-19-E-Mail-Betrug verhindern?

Die E-Mail-Authentifizierung erfordert, dass Absenderdomänen ihre SPF-, DKIM- und DMARC-Einträge im DNS veröffentlichen. Laut einer Studie hatten 2018 nur 44,9 % der Alexa-Top-1-Millionen-Domains einen gültigen SPF-Eintrag veröffentlicht, und nur 5,1 % hatten einen gültigen DMARC-Eintrag. Und das, obwohl Domains ohne DMARC-Authentifizierung fast viermal so häufig von Spoofing betroffen sind wie Domains, die gesichert sind. Es mangelt an einer ernsthaften DMARC-Implementierung in der gesamten Unternehmenslandschaft, und es ist über die Jahre nicht viel besser geworden. Selbst Organisationen wie UNICEF haben DMARC noch nicht mit ihren Domains implementiert, und sowohl das Weiße Haus als auch das US-Verteidigungsministerium haben eine DMARC-Richtlinie von p = none, was bedeutet, dass sie nicht durchgesetzt wird.

Eine Umfrage, die von Experten der Virginia Tech durchgeführt wurde, hat einige der schwerwiegendsten Bedenken ans Licht gebracht, die von großen Firmen und Unternehmen genannt werden, die die DMARC-Authentifizierung noch nicht einsetzen:

  1. Einsatzschwierigkeiten: Die strikte Durchsetzung von Sicherheitsprotokollen bedeutet in großen Institutionen oft einen hohen Koordinationsaufwand, für den sie oft nicht die Ressourcen haben. Darüber hinaus haben viele Organisationen keine große Kontrolle über ihr DNS, so dass die Veröffentlichung von DMARC-Einträgen zu einer noch größeren Herausforderung wird.
  2. Der Nutzen überwiegt nicht die Kosten: Die DMARC-Authentifizierung hat in der Regel direkte Vorteile für den Empfänger der E-Mail und nicht für den Domaininhaber. Das Fehlen einer ernsthaften Motivation, das neue Protokoll zu übernehmen, hat viele Unternehmen davon abgehalten, DMARC in ihre Systeme zu integrieren.
  3. Risiko des Bruchs des bestehenden Systems: Die relative Neuheit von DMARC macht es anfälliger für eine unsachgemäße Implementierung, was das sehr reale Risiko mit sich bringt, dass legitime E-Mails nicht durchgelassen werden. Unternehmen, die auf den E-Mail-Verkehr angewiesen sind, können sich das nicht leisten und führen DMARC daher gar nicht erst ein.

Erkennen, warum wir DMARC brauchen

Obwohl die von den Unternehmen in der Umfrage geäußerten Bedenken offensichtlich berechtigt sind, macht dies die DMARC-Implementierung für die E-Mail-Sicherheit nicht weniger zwingend erforderlich. Je länger Unternehmen weiterhin ohne eine DMARC-authentifizierte Domain arbeiten, desto mehr setzen wir uns alle der sehr realen Gefahr von E-Mail-Phishing-Angriffen aus. Wie uns die Coronavirus-E-Mail-Spoofing-Betrügereien gelehrt haben, ist niemand davor sicher, ins Visier von Phishing-Angreifern zu geraten oder sich für sie auszugeben. Stellen Sie sich DMARC wie einen Impfstoff vor - je mehr Menschen es nutzen, desto geringer ist die Wahrscheinlichkeit, sich eine Infektion einzufangen.

Es gibt echte, praktikable Lösungen für dieses Problem, die die Bedenken der Leute bezüglich der DMARC-Einführung ausräumen könnten. Hier sind nur ein paar, die die Implementierung um ein Vielfaches steigern könnten:

  1. Reduzierung der Reibungsverluste bei der Implementierung: Die größte Hürde, die der Einführung von DMARC in Unternehmen im Wege steht, sind die damit verbundenen Implementierungskosten. Die Wirtschaft befindet sich in einer Flaute und die Ressourcen sind knapp. Aus diesem Grund ist PowerDMARC zusammen mit unserem Industriepartner Global Cyber Alliance (GCA) stolz darauf, ein zeitlich begrenztes Angebot während der Covid-19-Pandemie bekannt zu geben - 3 Monate unserer kompletten Suite von Apps, DMARC-Implementierung und Anti-Spoofing-Services, völlig kostenlos. Richten Sie Ihre DMARC-Lösung in wenigen Minuten ein und beginnen Sie jetzt mit der Überwachung Ihrer E-Mails mit PowerDMARC.
  2. Verbesserung der wahrgenommenen Nützlichkeit: Damit DMARC einen großen Einfluss auf die E-Mail-Sicherheit hat, braucht es eine kritische Masse an Benutzern, die ihre SPF-, DKIM- und DMARC-Einträge veröffentlichen. Indem DMARC-authentifizierte Domains mit einem "Trusted"- oder "Verified"-Symbol belohnt werden (ähnlich wie bei der Förderung von HTTPS bei Websites), können Domain-Besitzer einen Anreiz erhalten, eine positive Reputation für ihre Domain zu erhalten. Sobald diese einen bestimmten Schwellenwert erreicht, werden Domains, die durch DMARC geschützt sind, wohlwollender betrachtet als solche, die es nicht sind.
  3. Rationalisierte Bereitstellung: Durch die Vereinfachung der Bereitstellung und Konfiguration von Anti-Spoofing-Protokollen werden mehr Domänen der DMARC-Authentifizierung zustimmen. Eine Möglichkeit, dies zu erreichen, besteht darin, das Protokoll in einem "Überwachungsmodus" laufen zu lassen, der es E-Mail-Administratoren ermöglicht, die Auswirkungen auf ihre Systeme zu beurteilen, bevor sie sich für eine vollständige Implementierung entscheiden.

Jede neue Erfindung bringt neue Herausforderungen mit sich. Jede neue Herausforderung zwingt uns dazu, einen neuen Weg zu finden, um sie zu bewältigen. DMARC gibt es nun schon seit einigen Jahren, doch Phishing existiert schon viel länger. In den letzten Wochen hat es durch die Covid-19-Pandemie nur ein neues Gesicht bekommen. Wir von PowerDMARC helfen Ihnen, diese neue Herausforderung anzunehmen. Melden Sie sich hier für Ihren kostenlosen DMARC-Analysator an, damit Sie zu Hause vor dem Coronavirus geschützt sind und Ihre Domain vor E-Mail-Spoofing sicher ist.