Ihre E-Mails gehen raus, kommen aber nicht mehr bei den Empfängern an? Willkommen bei Authentifizierungsproblemen (und ihren Lösungen)!
319,6 Milliarden E-Mails werden täglich weltweit empfangen und versandt (Zahlen für 2021, Quelle Statista) wobei es sich in großer Mehrheit um Spam-Mails handelt. Selbstverständlich haben Sie als Unternehmen oder öffentliche Behörde ein Anti-Spam-Programm eingerichtet, das Ihre Benutzer vor dieser unaufhörlichen Mailflut schützt. So weit, so gut.
Und eines Tages stellen Sie fest, dass die Empfänger Ihre Nachrichten nicht mehr erhalten! Die E-Mails gehen raus, kommen aber nicht an. Ihre IT-Abteilung erklärt kategorisch, dass alles ist richtig konfiguriert ist und keine Störungen gemeldet werden: Das Problem liegt nicht bei Ihnen, sondern bei den Empfängern. Sie empfangen Ihre E-Mails nicht mehr und es handelt sich um ein – leicht vermeidbares – Authentifizierungsproblem.
Wir bieten Ihnen hier einen kleinen Überblick über das Thema E-Mail-Sicherheit, los geht’s!
Authentifizierung Ihrer E-Mails: Wozu?
Die Authentifizierung der E-Mails ist ein Verfahren, bei dem der Mailserver Ihres Empfängers die Echtheit (Authentizität) Ihrer Nachrichten erkennt. Stellen Sie sich die E-Mail-Authentifizierung wie einen digitalen Personalausweis vor: dank ihm erkennen Ihre Mailserver und Spam-Filtersysteme, dass Ihre E-Mails tatsächlich von Ihnen stammen.
Die Authentifizierung von E-Mails ist für alle Organisationen unerlässlich, da sie die Zustellbarkeit der E-Mails gewährleistet. Ohne die Authentifizierung besteht die Gefahr, dass Ihre E-Mails automatisch aussortiert werden und nicht mehr beim Empfänger ankommen.
Für die Authentifizierung liegen drei Hauptstandards vor, mit denen bestätigt werden kann, dass eine E-Mail tatsächlich von der Person stammt, für die sie sich ausgibt: SPF, DKIM und DMARC.
SPF: Sender Policy Framework
Mit SPF kann festgelegt werden, welche IP-Adressen berechtigt sind, E-Mails für eine bestimmte Domain zu senden, und somit wird verhindert, dass E-Mails mit Ihrer Domain als Absenderadresse von anderen Servern als Ihren eigenen versandt werden. Die IPs, die E-Mails für einen Domainnamen versenden dürfen, werden in einem DNS-TXT-Eintrag aufgelistet.
SPF ist jedoch nicht immer ausreichend.
Eine durch SPF bestätigte Mail kann gefälscht werden
In einer E-Mail gibt es 2 E-Mail-Absenderadressen:
- Die Umschlagadresse, die von den Servern für das Routing der E-Mails verwendet wird,
- Die in der E-Mail selbst (in den Kopfzeilen) vorhandene Adresse, die in den E-Mail-Clients der Nutzer angezeigt wird.
SPF stützt sich jedoch nur auf die E-Mail-Absenderadresse des Umschlags. Folglich ist es möglich, in einer E-Mail die E-Mail-Adresse des Absenders, die für einen Nutzer sichtbar ist, zu ändern oder zu fälschen, obwohl die E-Mail auf SPF-Ebene gültig ist!
Beispielsweise kann ein Spammer von einem Server aus eine Nachricht senden, bei der das „from“ (die Absenderadresse) des Briefumschlags spam@spammer.de lautet, die im Kopf der Mail vorhandene Adresse jedoch directeur@meinunternehmen.com ist.
Wird die E-Mail von einem Server, der im SPF von spammer.de aufgelistet ist, an den Server von meinunternehmen.com gesendet, ist der SPF gültig und der Empfänger sieht eine „zulässige“, von directeur@meinunternehmen.com gesendete E-Mail.
Probleme mit E-Mail-Weiterleitungen
SPF kann auch zu Problemen mit E-Mail-Weiterleitungen führen, wenn die Unterstützung für SRS (Sender Rewriting Scheme) nicht hinzugefügt wird.
Zur Information: SRS ist in BlueMind ab BlueMind 4.7 implementiert.
SPF allein erweist sich schnell als unzureichend, da er nicht verhindert, dass Ihr Domainname in den Kopfzeilen der Nachricht, also der E-Mail-Adresse, die der Benutzer sieht, missbraucht wird. Aufgrund dieser Unzulänglichkeiten des SPF wurde DKIM geschaffen.
DKIM: Domain Keys Identified Mail
Mit DKIM können Sie die versandten Nachrichten mit einer digitalen Signatur versehen, damit der Empfänger der Nachricht sicher ist, dass die E-Mail nicht gefälscht ist.
Der sendende Mailserver oder das System zum Versand von E-Mails (das ein Antispam-Programm sein kann, wenn die ausgehenden E-Mails durch ein Antispam-Programm geleitet werden) signiert die Nachrichten mit einem privaten Schlüssel, der mit der Domain des Senders verknüpft ist. Der öffentliche Schlüssel wird wiederum im DNS-Server veröffentlicht, damit er für alle zugänglich ist.
Der Ziel-Mailserver (oder das Empfangssystem) erhält die signierte E-Mail und muss die Gültigkeit der DKIM-Signatur feststellen. Hierfür ruft er den öffentlichen Schlüssel der Absenderdomain ab und prüft, ob dieser die Gültigkeit der Nachricht bestätigt.
Dadurch wird sichergestellt, dass die Nachricht tatsächlich von den offiziellen Servern der Absenderdomain ausgestellt wurde und dass es sich bei der Nachricht um die ursprüngliche, unveränderte Nachricht handelt.
Mit DKIM kann nachgewiesen werden, dass:
- Die Kopfzeilen der E-Mail seit dem Versand durch den ursprünglichen Absender nicht verändert wurden.
- Der Absender der E-Mail die DKIM-Domain besitzt oder vom Besitzer dieser Domain zugelassen ist.
Generell sind DKIM-Signaturen für Endbenutzer nicht sichtbar, die Validierung eingehender E-Mails erfolgt auf Serverebene oder durch den Anti-Spam für eingehende Nachrichten.
Wenn die DKIM-Signatur von Ihrem Anti-Spam für ausgehende Nachrichten nicht berücksichtigt wird (oder wenn Sie keinen Anti-Spam für ausgehende Nachrichten haben), können Sie dank BlueMind leicht eine Lösung wie open DKIM auf der Ebene des Hauptservers oder auf der Ebene eines Edge (Relay) integrieren.
DMARC: Domain Based Message Authentication, Reporting & Conformance
DMARC soll Phisher, Spammer und andere illegitime Akteure daran hindern, eine Absenderdomain zu fälschen und sich als jemand anderes auszugeben (Spoofing).
DMARC vereinheitlicht die Authentifizierungsmechanismen von SPF und DKIM in einem gemeinsamen Rahmen. Dank ihm können Domainbesitzer festlegen, wie eine E-Mail behandelt werden soll, wenn sie den SPF- oder DKIM-Standard nicht erfüllt. Dies erfolgt über eine sogenannte „Policy“ (Richtlinie), die im DMARC-DNS-Eintrag festgelegt wird. Die Policy kann durch eine der drei folgenden Optionen definiert werden:
- None: Alle von Ihrer Domain versandte E-Mails werden so behandelt, wie es ohne DMARC-Validierung geschehen würde.
- Quarantine: Der Server des Empfängers kann die E-Mail akzeptieren, muss sie aber an einer anderen Stelle als im Posteingang des Empfängers ablegen (in der Regel im Spam-Ordner).
- Reject: die Nachricht wird vollständig abgelehnt.
Beachten Sie, dass eine E-Mail nicht unbedingt im Posteingang landet, selbst wenn sie die DMARC-Prüfung besteht. Bevor eine E-Mail ihr Endziel erreicht, wird sie wahrscheinlich noch weiteren Prüfungen unterzogen, wie z. B. der Suche nach unerwünschten Inhalten oder dem Ruf des Absenders.
Eine erfolgreiche DMARC-Implementierung muss langsam von verschiedenen Quarantäne-Prozentsätzen bis zu einer vollständigen Ablehnung übergehen. Eine erfolgreiche Praxis erfordert zudem, dass der Absender regelmäßig die DMARC-Berichte überwacht. Diese Berichte melden die Phishing-Versuche Ihrer Domain oder wenn Ihre eigene Nachricht aufgrund eines Fehlers von DKIM oder SPF zurückgewiesen wird.
Müssen unbedingt alle drei Standards implementiert werden?
Nein, nicht unbedingt. Es wird aber dringend empfohlen.
Während SPF und DKIM zunehmend verwendet werden, dauert es bei DMARC noch etwas, bis es sich durchsetzt. Vorsichtige E-Mail-Administratoren konfigurieren jedoch alle drei Standards für die von ihnen verwalteten Domains, da immer mehr Internetprovider und E-Mail-Anbieter alle drei anwenden.
Die Implementierung dieser drei Authentifizierungsstandards gewährleistet die Zustellung Ihrer E-Mails und verbessert die Zustellbarkeit, da sie zeigt, dass Ihre E-Mail-Domänen wirklich die sind, für die sie sich ausgeben. Zudem wird hierdurch belegt, dass Sie sich an die bewährten Verfahren halten und dazu beitragen, Spam, Phishing und andere Sicherheitsprobleme von E-Mails zu verhindern.
Fazit
Einer authentifizierten E-Mail können Sie vertrauen, da der Absender und der Inhalt über die SPF- und DKIM-Prüfung als konform bestätigt wurden.
Es besteht kein Grund, diese Authentifizierung nicht zu integrieren, da sie keine Auswirkungen auf den Benutzer oder die Nutzung der E-Mail hat!
Die Aktivierung der E-Mail-Authentifizierung ist ein bewährtes Verfahren, damit Ihre Nachrichten zugestellt werden und zudem der Ruf Ihrer Marke geschützt wird, denn hierdurch wird die Gefahr vermieden, dass ein unbefugter Absender Ihre Domain ohne Ihre Zustimmung oder ohne Ihr Wissen nutzen kann.
