Quelle: Freepik
Im dritten Teil der Beitragsreihe E-Mail-Sicherheit geht es um das Identifikationsprotokoll DKIM und die Standardmethode zur E-Mail-Authentifizierung DMARC.
In unserem ersten Beitrag und zweiten Beitrag zu dem Thema E-Mail-Sicherheit haben wir euch über die Entstehung des E-Mail-Versands und die aktuellen Statistiken im Mail-Verkehr an der RWTH informiert. Zusätzlich haben wir euch erklärt, was das SMTP-Protokoll ist und welche Probleme es birgt.
DKIM – Ein Identifikationsprotokoll zur Sicherstellung der Authentizität von E-Mail-Absende-Adressen
Um für euch einen sicheren E-Mail-Austausch bewerkstelligen zu können, will das IT Center in Zukunft einen weiteren Sicherheitsmechanismus implementieren: DKIM (Domain Keys).
Während SPF (Sender Policy Framework), das wir euch im zweiten Beitrag näher erläutert haben, sicherstellt, dass der absendende Mailserver berechtigt ist E-Mails für eine E-Maildomäne zu versenden, soll DKIM (Domain Keys) die Authentizität sicherstellen. DKIM soll also dafür sorgen, dass die E-Mail inhaltlich auf dem Transportweg beispielsweise nicht von einem kompromittierten Mailserver verändert werden kann. So wird beim absendenden Mailserver eine digitale Signatur berechnet, die vom empfangenden Mailserver überprüft werden kann. Hierdurch kann sichergestellt werden, dass eine E-Mail auf dem Transportweg tatsächlich nicht verändert wurde
Wie bei SPF wird hier ebenfalls ein DNS (Domain Name System) Eintrag verwendet, der in diesem Fall einen öffentlichen Schlüssel bereitstellt. Mithilfe des Schlüssels kann der empfangende Mailserver dann die Signatur prüfen.
In dem untenstehenden Beispiel hat der Mailprovider GMX bereits DKIM aktiviert. Der entsprechende Eintrag im Mailheader sieht wie folgt aus:
Quelle: Eigene Darstellung
DMARC – Standardmethode zur E-Mail-Authentifizierung
Das Verfahren DMARC (Domain-based Message Authentication, Reporting and Conformance) kombiniert SPF und DKIM.
DMARC betrachtet die Seite der Person, die die E-Mail empfängt, und kann eine Regel vorgeben, wie mit Mails umgegangen werden soll, deren SPF- und DKIM-Prüfung Fehler aufweisen.
Nun könnte man natürlichen den Schluss ziehen:
„Ist doch super, dann lass uns doch einfach SPF, DKIM und DMARC implementieren, dann sind wir doch „sicher“ “.
Doch leider ist dem nicht so, denn insbesondere die Implementierung bringt auch Einschränkungen mit sich.
Besonders betroffen von diesen Einschränkungen sind automatische E-Mail-Umleitungen. Im Gegensatz zur Weiterleitung bleibt hier die ursprüngliche Absende-Adresse der E-Mail erhalten. Der umleitende Mailserver tritt nun jedoch als Versender dieser E-Mail auf. Und das mit einer Absende-Adresse einer Domain, für die er nicht autorisiert ist.
Hier ein Beispiel:
- mail@Person1.de schickt eine E-Mail an Person2@rwth-aachen.de.
- Auf dem Konto Person2@rwth-aachen.de ist eine Umleitung nach Person2@gmail.com konfiguriert.
- Die E-Mail wird zunächst an die RWTH geliefert und dort unter Beibehaltung des Absenders mail@Person1.de an Gmail.com umgeleitet.
- Aus Sicht von Gmail.com tritt nun der Mailserver der RWTH als Absender einer E-Mail der Domain @Person1.de auf, für die er jedoch gar nicht autorisiert ist.
- Die SPF-Prüfung schlägt in diesem Fall fehl. Die E-Mail wird möglicherweise als SPAM eingestuft oder sogar ganz abgelehnt.
Was genau passiert, bestimmt im Wesentlichen die im DNS publizierte DMARC Policy der Maildomänen-Inhabenden. In keinem Fall kann der umleitende Server einen Einfluss auf die Art und Weise der Zustellung nehmen.
Nun könnte man auch sagen:
„Oh, schade. Dann lass uns auf DMARC verzichten.“
Doch weit gefehlt! Die Anzahl Mailserver, die eine DMARC-Implementierung voraussetzen, um E-Mails von einer Maildomäne anzunehmen, steigt. Es ist davon auszugehen, dass sich DMARC defakto als Standard durchsetzen wird. Daher ist auch die RWTH Aachen bestrebt DKIM und DMARC für ihre Maildomänen zu implementieren.
Was kann jeder Einzelne tun?
Ihr könnt euch die unterschiedlichen Regelsätze im Webfrontend [0] des Mailsystems ansehen. Falls Ihr für Euer Postfach eine Umleitungsregel definiert habt könnt Ihr diese jetzt schon in eine Weiterleitungsregel umwandeln. Bei einer Weiterleitungsregel wird eine neue E-Mail mit Eurer E-Mail-Adresse als Absender generiert. Wenn Ihr diese Regel nicht mehr benötigt, könnt ihr sie natürlich auch ganz entfernen. Moderne E-Mail-Programme können auch mit mehreren eingebundenen E-Mail-Konten umgehen und bieten teilweise sogar konsolidierte Ansichten für die Posteingänge.
In unserem vierten und letzten Teil der Blogreihe zur E-Mail-Sicherheit werden wir euch genauer erklären wie Ihr eine Weiterleitungsregel für euer Postfach einrichtet.
[0] https://mail.rwth-aachen.de
Verantwortlich für die Inhalte dieses Beitrags sind Morgane Overath und Thomas Pätzold.
„Falls Ihr für Euer Postfach eine Umleitungsregel definiert habt könnt Ihr diese jetzt schon in eine Weiterleitungsregel umwandeln“.
RWTH-interne oder Domain-interne Umleitungen (Beispiel: funktionsadresse@iii.rwth-aachen.de zu nutzer@iii.rwth-aachen.de) sind kein Problem? Kann das problematisch werden falls die RWTH selbst einen DMARC-Eintrag im DNS veröffentlicht?
Hallo Jan,
vielen Dank für deinen Kommentar.
Ja, das ist derzeit unproblematisch und wird es wohl auch bleiben, denn wir überprüfen die DMARC-Policy nur bei der Mailannahme aus dem Internet.
Viele Grüße
Das IT Center Blog Team