Quelle: Eigene Darstellung
In diesem Beitrag unserer E-Mail-Sicherheits-Reihe möchten wir euch über eine bevorstehende Verschärfung der SPF-Policy informieren, die ab dem 28. November 2024 für die RWTH Aachen gilt. Mit der Umstellung wird zukünftig verhindert, dass RWTH-E-Mail-Adressen als Absenderadressen von Mailservern außerhalb der RWTH Aachen verwendet werden können. Damit wird die E-Mail-Sicherheit an unserer Universität weiter erhöht. Bitte beachtet, dass sich dieser Beitrag hauptsächlich an Mailadministratoren der RWTH-Einrichtungen richtet.
Hintergrund SPF-Protokoll und Anwendung der SPF-Policy
Im Blogartikel „E-Mail-Sicherheit – Das SMTP-Protokoll und seine Tücken (Versand und Empfang)“ haben wir euch erklärt, wozu das SPF-Protokoll dient und wie dieses implementiert werden kann. Für die RWTH wurde für jede Maildomäne ein SPF-Rekord im DNS bereitgestellt, der die IP-Adressen beinhaltet, die berechtigt sind, Absender-Mailadressen aus dem Namensbereich der RWTH zu verwenden. Ein solcher SPF-Rekord sieht wie folgt aus:
SPF-Rekord
Quelle: Eigene Darstellung
Innerhalb dieses DNS-Rekords kann konfiguriert werden, wie ein empfangender Mailserver mit E-Mails einer bestimmten Maildomäne umgehen soll. Im Falle der Maildomänen der RWTH ist derzeit hinterlegt, dass wir den Empfänger bitten, den SPF-Rekord zur Prüfung heranzuziehen.
Der Empfänger sollte jedoch großzügig prüfen. Dies wird durch „~All“ gekennzeichnet. Das bedeutet, dass wir nicht ausschließen können, dass verschiedene Empfänger unsere E-Mails unterschiedlich behandeln und diese ggf. ablehnen oder annehmen, obwohl die absendende IP-Adresse nicht berechtigt ist, E-Mails mit einer Absenderadresse im Namensbereich der RWTH zu versenden.
Diese Policy wollen wir nun verbindlicher gestalten und den Zusatz ~All in -All ändern. Das Minus vor dem „All“ bedeutet nun, dass der SPF-Rekord geprüft werden muss. Damit erteilen wir den Empfängern den dringenden Rat, E-Mails aus dem Namensbereich der RWTH abzulehnen, wenn sie von einer nicht autorisierten IP-Adresse als Absenderadresse gesendet wurden. Das IT Center erhofft sich dadurch langfristig eine Verbesserung der E-Mail-Reputation und E-Mail-Sicherheit gegenüber den Mitarbeitenden für die RWTH-Maildomänen.
Wann erfolgt die Umstellung?
Ab dem 28. November 2024 werden wir unseren eigenen SPF-Rekord auswerten und die Absender-Mailadressen mit dem ggf. hinterlegten SPF-Rekord abgleichen. Sollte die Prüfung ein Fail oder ein SoftFail ergeben, werden wir die Annahme dieser Mails am zentralen Mailgateway ablehnen.
Welche Folgen hat die Umstellung?
Endnutzende, also Studierende und Mitarbeitende, die ihre @[<Institut>]rwth-aachen.de oder ähnliche Adresse ausschließlich in ihrem E-Mail-Client (Thunderbird, Smartphone etc.) verwenden, sollten von dieser Umstellung nichts bemerken.
Sollten von RWTH-Einrichtungen Systeme betrieben werden, die E-Mails z. B. Statusmails etc. versenden, müssen diese so konfiguriert werden, dass die E-Mails an smarthost.rwth-aachen.de oder smarthost-tls.rwth-aachen.de gesendet werden. Es wird dringend davon abgeraten, die DNS-Auflösung für die Mailzustellung zu verwenden. Dies würde dazu führen, dass die E-Mails von uns abgewiesen werden. Des Weiteren werden E-Mails, die von z. B. Dienstleistern externer Mailserver mit Absenderadressen aus dem Namensbereich der RWTH über externe Mailserver versendet werden, abgelehnt. Wir bitten um entsprechende Prüfung. Solltet ihr ein solches Nutzungsszenario implementiert haben, so bitten wir um Rücksprache.
Weitere Informationen
Wer mehr zum Thema E-Mail-Sicherheit erfahren möchte, kann sich in den fünf bereits erschienenen Blogbeiträgen der E-Mail-Sicherheitsreihe einen umfassenden Überblick verschaffen:
- https://blog.rwth-aachen.de/itc/2022/06/15/e-mail-1/
- https://blog.rwth-aachen.de/itc/2022/07/27/e-mail-2/
- https://blog.rwth-aachen.de/itc/2022/09/07/e-mail-3/
- https://blog.rwth-aachen.de/itc/2023/08/30/e-mail-4/
- https://blog.rwth-aachen.de/itc/2024/03/13/e-mail-5/
Verantwortlich für die Inhalte dieses Beitrags ist Thomas Pätzold.
Schreibe einen Kommentar