Im vierten Teil unserer E-Mail-Sicherheit Beitragsreihe möchten wir euch über eine Neuerung unserer E-Mail-Sicherheits-Vorgaben informieren.
Nachdem wir im ersten und zweiten Beitrag über die E-Mail, E-Mailstatistiken an der RWTH Aachen sowie über das SMTP-Protokoll und seine Tücken berichteten und euch im dritten Beitrag über das Identifikationsprotokoll DKIM und DMARC informierten, geht es in diesem vierten Teil nun um eine neue E-Mail-Sicherheitsvorgabe. Denn damit die RWTH auch in Zukunft einen sicheren E-Mail-Dienst bereitstellen kann, haben wir uns dazu entschlossen, die Auswertung der DMARC-Policy eines Absenders bei der Mailannahme am zentralen Mailgateway der Hochschule einzuführen. Was das nun bedeutet, erfahrt ihr in diesem Blogbeitrag.
Zum Hintergrund der bisherigen Konfigurationsoptionen
Maildomänenbesitzende können über unterschiedliche Einstellungen und geeignete Maßnahmen verfügen. So kann zum Beispiel durch das Setzen von speziellen DNS-Einträgen sichergestellt werden, dass ein empfangendes Mailsystem eine E-Mail dahingehend überprüfen kann, ob ein absendendes Mailsystem dazu berechtigt ist, Mails mit einer bestimmten Absenderadresse zu versenden. Dieses Verfahren wird als Sender Policy Framework (SPF)-Eintrag verstanden, welches E-Mails als vertrauenswürdige oder problematische Quelle einstuft. Des Weiteren kann der absendende Mailserver über E-Mail-Header-Informationen eine digitale Signatur (DKIM) bilden: Damit kann der empfangende Mailserver einer Nachricht überprüfen, dass eine Header-Information während der Übermittlung einer E-Mail nicht verändert wurde.
Neue E-Mail-Sicherheits-Vorgabe: Auswertung der DMARC-Policy
Neben diesen beiden grundlegenden Konfigurationsoptionen kann nun ein Maildomänenbesitzer ebenfalls einem empfangenden Mailserver eine Empfehlung aussprechen. Basierend auf den veröffentlichten Vorgaben (DNS-Einträge) des Maildomänenbesitzers, kann der empfangende Mailserver (RWTH Mailserver) entscheiden, wie mit E-Mails umzugehen ist, die den Vorgaben nicht oder nicht vollständig entsprechen. Diese Anweisung, die ein Maildomänenbesitzer erteilen kann, wird als DMARC-Policy bezeichnet.
Das zentrale Mailgateway der RWTH wertet als neue E-Mail-Sicherheitsvorgabe somit nun bei eingehenden E-Mails die DMARC-Policy der Domain des Absenders einer E-Mail aus. Basierend auf den dort gemachten Einstellungen und Empfehlungen entscheidet das Mailgateway, ob eine E-Mail als vertrauenswürdig eingestuft wird oder nicht. Wenn eine E-Mail als nicht vertrauenswürdig gilt, dann wird die E-Mail-Annahme abgelehnt, basierend auf den Einstellungen des Maildomänenbesitzers.
Besteht Handlungsbedarf?
Auf Seiten des Endanwenders (Studierende und Mitarbeitende der RWTH) besteht derzeit kein Handlungsbedarf, da die RWTH für sich selbst derzeit keinen DMARC-Eintrag im DNS veröffentlicht hat. Allerdings kann es sein, dass die Hochschule umgeleitete E-Mails aus anderen Postfächern aufgrund der neuen Konfiguration nicht mehr annimmt, wenn die veröffentlichte DMARC-Richtlinie der E-Mail-Domäne des Absenders dies so vorsieht.
Ihr habt Fragen rund um das Thema E-Mail-Sicherheit? Dann schreibt uns eine Nachricht an das IT-ServiceDesk.
Verantwortlich für die Inhalte dieses Beitrags sind Lina-Louise Kaulbach und Thomas Pätzold.
Vorschlag für Teil fünf: ARC. Sieht man immer häufiger in Headern und ist anscheinend eine Lösung für das Problem von Weiterleitungen mit DMARC.
Hallo Jakob,
vielen Dank für deinen Kommentar.
Wir nehmen deinen Hinweis gerne mit auf!
Viele Grüße
Das IT Center Blog Team