{"id":12573,"date":"2022-09-07T11:00:39","date_gmt":"2022-09-07T09:00:39","guid":{"rendered":"https:\/\/blog.rwth-aachen.de\/itc\/?p=12573"},"modified":"2024-10-25T15:56:56","modified_gmt":"2024-10-25T13:56:56","slug":"e-mail-3","status":"publish","type":"post","link":"https:\/\/blog.rwth-aachen.de\/itc\/2022\/09\/07\/e-mail-3\/","title":{"rendered":"E-Mail-Sicherheit \u2013 Warum sind Umleitungen schlecht?"},"content":{"rendered":"<div class=\"twoclick_social_bookmarks_post_12573 social_share_privacy clearfix 1.6.4 locale-de_DE sprite-de_DE\"><\/div><div class=\"twoclick-js\"><script type=\"text\/javascript\">\/* <![CDATA[ *\/\njQuery(document).ready(function($){if($('.twoclick_social_bookmarks_post_12573')){$('.twoclick_social_bookmarks_post_12573').socialSharePrivacy({\"txt_help\":\"Wenn Sie diese Felder durch einen Klick aktivieren, werden Informationen an Facebook, Twitter, Flattr, Xing, t3n, LinkedIn, Pinterest oder Google eventuell ins Ausland \\u00fcbertragen und unter Umst\\u00e4nden auch dort gespeichert. N\\u00e4heres erfahren Sie durch einen Klick auf das <em>i<\\\/em>.\",\"settings_perma\":\"Dauerhaft aktivieren und Daten\\u00fcber-tragung zustimmen:\",\"info_link\":\"http:\\\/\\\/www.heise.de\\\/ct\\\/artikel\\\/2-Klicks-fuer-mehr-Datenschutz-1333879.html\",\"uri\":\"https:\\\/\\\/blog.rwth-aachen.de\\\/itc\\\/2022\\\/09\\\/07\\\/e-mail-3\\\/\",\"post_id\":12573,\"post_title_referrer_track\":\"E-Mail-Sicherheit+%E2%80%93+Warum+sind+Umleitungen+schlecht%3F\",\"display_infobox\":\"on\"});}});\n\/* ]]> *\/<\/script><\/div><p><div id=\"attachment_12575\" style=\"width: 310px\" class=\"wp-caption alignright\"><a href=\"https:\/\/blog.rwth-aachen.de\/itc\/files\/2022\/08\/Weiterleitung_Mail-scaled.jpg\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-12575\" class=\"size-medium wp-image-12575\" src=\"https:\/\/blog.rwth-aachen.de\/itc\/files\/2022\/08\/Weiterleitung_Mail-300x200.jpg\" alt=\"Illustration Mailverkehr\" width=\"300\" height=\"200\" srcset=\"https:\/\/blog.rwth-aachen.de\/itc\/files\/2022\/08\/Weiterleitung_Mail-300x200.jpg 300w, https:\/\/blog.rwth-aachen.de\/itc\/files\/2022\/08\/Weiterleitung_Mail-1024x683.jpg 1024w, https:\/\/blog.rwth-aachen.de\/itc\/files\/2022\/08\/Weiterleitung_Mail-768x512.jpg 768w, https:\/\/blog.rwth-aachen.de\/itc\/files\/2022\/08\/Weiterleitung_Mail-1536x1024.jpg 1536w, https:\/\/blog.rwth-aachen.de\/itc\/files\/2022\/08\/Weiterleitung_Mail-2048x1365.jpg 2048w\" sizes=\"auto, (max-width: 300px) 100vw, 300px\" \/><\/a><p id=\"caption-attachment-12575\" class=\"wp-caption-text\">Quelle: <a href=\"https:\/\/de.freepik.com\/fotos-kostenlos\/nachrichten-neben-einem-laptop-schwimmend_928684.htm#page=2&amp;query=mail&amp;position=5&amp;from_view=search\" target=\"_blank\" rel=\"noopener\">Freepik<\/a><\/p><\/div><\/p>\n<p>Im dritten Teil der Beitragsreihe E-Mail-Sicherheit geht es um das Identifikationsprotokoll DKIM und die Standardmethode zur E-Mail-Authentifizierung DMARC.<\/p>\n<p>In unserem <a href=\"https:\/\/blog.rwth-aachen.de\/itc\/2022\/06\/15\/e-mail-1\/\" target=\"_blank\" rel=\"noopener\">ersten Beitrag<\/a> und <a href=\"https:\/\/blog.rwth-aachen.de\/itc\/2022\/07\/27\/e-mail-2\/\" target=\"_blank\" rel=\"noopener\">zweiten Beitrag<\/a> zu dem Thema E-Mail-Sicherheit haben wir euch \u00fcber die Entstehung des E-Mail-Versands und die aktuellen Statistiken im Mail-Verkehr an der RWTH informiert. Zus\u00e4tzlich haben wir euch erkl\u00e4rt, was das SMTP-Protokoll ist und welche Probleme es birgt.<\/p>\n<p><!--more--><\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h3><span style=\"color: #00549f;\"><strong>DKIM &#8211; Ein Identifikationsprotokoll zur Sicherstellung der Authentizit\u00e4t von E-Mail-Absende-Adressen<\/strong><\/span><\/h3>\n<p>Um f\u00fcr euch einen sicheren E-Mail-Austausch bewerkstelligen zu k\u00f6nnen, will das IT Center in Zukunft einen weiteren Sicherheitsmechanismus implementieren: DKIM (Domain Keys).<\/p>\n<p>W\u00e4hrend SPF (Sender Policy Framework), das wir euch im zweiten Beitrag n\u00e4her erl\u00e4utert haben, sicherstellt, dass der absendende Mailserver berechtigt ist E-Mails f\u00fcr eine E-Maildom\u00e4ne zu versenden, soll DKIM (Domain Keys) die Authentizit\u00e4t sicherstellen. DKIM soll also daf\u00fcr sorgen, dass die E-Mail inhaltlich auf dem Transportweg beispielsweise nicht von einem kompromittierten Mailserver ver\u00e4ndert werden kann. So wird beim absendenden Mailserver eine digitale Signatur berechnet, die vom empfangenden Mailserver \u00fcberpr\u00fcft werden kann. Hierdurch kann sichergestellt werden, dass eine E-Mail auf dem Transportweg tats\u00e4chlich nicht ver\u00e4ndert wurde<\/p>\n<p>Wie bei SPF wird hier ebenfalls ein DNS (Domain Name System) Eintrag verwendet, der in diesem Fall einen \u00f6ffentlichen Schl\u00fcssel bereitstellt. Mithilfe des Schl\u00fcssels kann der empfangende Mailserver dann die Signatur pr\u00fcfen.<\/p>\n<p>In dem untenstehenden Beispiel hat der Mailprovider GMX bereits DKIM aktiviert. Der entsprechende Eintrag im Mailheader sieht wie folgt aus:<\/p>\n<div id=\"attachment_12578\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/blog.rwth-aachen.de\/itc\/files\/2022\/08\/DKIM1.jpg\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-12578\" class=\"size-large wp-image-12578\" src=\"https:\/\/blog.rwth-aachen.de\/itc\/files\/2022\/08\/DKIM1-1024x29.jpg\" alt=\"Mailheader bei Implementierung von DKIM\" width=\"1024\" height=\"29\" srcset=\"https:\/\/blog.rwth-aachen.de\/itc\/files\/2022\/08\/DKIM1-1024x29.jpg 1024w, https:\/\/blog.rwth-aachen.de\/itc\/files\/2022\/08\/DKIM1-300x8.jpg 300w, https:\/\/blog.rwth-aachen.de\/itc\/files\/2022\/08\/DKIM1-768x21.jpg 768w, https:\/\/blog.rwth-aachen.de\/itc\/files\/2022\/08\/DKIM1.jpg 1218w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/a><p id=\"caption-attachment-12578\" class=\"wp-caption-text\">Quelle: Eigene Darstellung<\/p><\/div>\n<p>&nbsp;<\/p>\n<h3><span style=\"color: #00549f;\"><strong>DMARC<\/strong><strong> \u2013 Standardmethode zur E-Mail-Authentifizierung<\/strong><\/span><\/h3>\n<p>Das Verfahren DMARC (Domain-based Message Authentication, Reporting and Conformance) kombiniert SPF und DKIM.<\/p>\n<p>DMARC betrachtet die Seite der Person, die die E-Mail empf\u00e4ngt, und kann eine Regel vorgeben, wie mit Mails umgegangen werden soll, deren SPF- und DKIM-Pr\u00fcfung Fehler aufweisen.<\/p>\n<p>Nun k\u00f6nnte man nat\u00fcrlichen den Schluss ziehen:<\/p>\n<p>\u201eIst doch super, dann lass uns doch einfach SPF, DKIM und DMARC implementieren, dann sind wir doch \u201esicher\u201c \u201c.<\/p>\n<p>Doch leider ist dem nicht so, denn insbesondere die Implementierung bringt auch Einschr\u00e4nkungen mit sich.<\/p>\n<p>Besonders betroffen von diesen Einschr\u00e4nkungen sind automatische E-Mail-Umleitungen. Im Gegensatz zur Weiterleitung bleibt hier die urspr\u00fcngliche Absende-Adresse der E-Mail erhalten. Der umleitende Mailserver tritt nun jedoch als Versender dieser E-Mail auf. Und das mit einer Absende-Adresse einer Domain, f\u00fcr die er nicht autorisiert ist.<\/p>\n<p><strong>Hier ein Beispiel: <\/strong><\/p>\n<ol>\n<li>mail@Person1.de schickt eine E-Mail an Person2@rwth-aachen.de.<\/li>\n<li>Auf dem Konto Person2@rwth-aachen.de ist eine Umleitung nach Person2@gmail.com konfiguriert.<\/li>\n<li>Die E-Mail wird zun\u00e4chst an die RWTH geliefert und dort unter Beibehaltung des Absenders mail@Person1.de an Gmail.com umgeleitet.<\/li>\n<li>Aus Sicht von Gmail.com tritt nun der Mailserver der RWTH als Absender einer E-Mail der Domain @Person1.de auf, f\u00fcr die er jedoch gar nicht autorisiert ist.<\/li>\n<li>Die SPF-Pr\u00fcfung schl\u00e4gt in diesem Fall fehl. Die E-Mail wird m\u00f6glicherweise als SPAM eingestuft oder sogar ganz abgelehnt.<\/li>\n<\/ol>\n<p>Was genau passiert, bestimmt im Wesentlichen die im DNS publizierte DMARC Policy der Maildom\u00e4nen-Inhabenden. In <strong>keinem<\/strong> Fall kann der umleitende Server einen Einfluss auf die Art und Weise der Zustellung nehmen.<\/p>\n<p>Nun k\u00f6nnte man auch sagen:<\/p>\n<p>\u201eOh, schade. Dann lass uns auf DMARC verzichten.\u201c<\/p>\n<p>Doch weit gefehlt! Die Anzahl Mailserver, die eine DMARC-Implementierung voraussetzen, um E-Mails von einer Maildom\u00e4ne anzunehmen, steigt. Es ist davon auszugehen, dass sich DMARC defakto als Standard durchsetzen wird. Daher ist auch die RWTH Aachen bestrebt DKIM und DMARC f\u00fcr ihre Maildom\u00e4nen zu implementieren.<\/p>\n<p>&nbsp;<\/p>\n<h3><span style=\"color: #00549f;\"><strong>Was kann jeder Einzelne tun? <\/strong><\/span><\/h3>\n<p>Ihr k\u00f6nnt euch die unterschiedlichen Regels\u00e4tze im Webfrontend [0] des Mailsystems ansehen. Falls Ihr f\u00fcr Euer Postfach eine Umleitungsregel definiert habt k\u00f6nnt Ihr diese jetzt schon in eine Weiterleitungsregel umwandeln. Bei einer Weiterleitungsregel wird eine neue E-Mail mit Eurer E-Mail-Adresse als Absender generiert. Wenn Ihr diese Regel nicht mehr ben\u00f6tigt, k\u00f6nnt ihr sie nat\u00fcrlich auch ganz entfernen. Moderne E-Mail-Programme k\u00f6nnen auch mit mehreren eingebundenen E-Mail-Konten umgehen und bieten teilweise sogar konsolidierte Ansichten f\u00fcr die Posteing\u00e4nge.<\/p>\n<hr \/>\n<p>Verantwortlich f\u00fcr die Inhalte dieses Beitrags sind <a href=\"https:\/\/www.itc.rwth-aachen.de\/go\/id\/epvp\/gguid\/0x37FE353D2993E54A8A3AFC15273BF041\/allou\/1\/\">Morgane Overath<\/a> und <a href=\"https:\/\/www.itc.rwth-aachen.de\/go\/id\/epvp\/gguid\/0xF8B5DAF44FF39F4EBBA707A13059BE0F\/allou\/1\/\">Thomas P\u00e4tzold<\/a>.<\/p>\n<p>&nbsp;<\/p>\n<p>[0] https:\/\/mail.rwth-aachen.de<\/p>","protected":false},"excerpt":{"rendered":"<p>Im dritten Teil der Beitragsreihe E-Mail-Sicherheit geht es um das Identifikationsprotokoll DKIM und die Standardmethode zur E-Mail-Authentifizierung DMARC. In unserem ersten Beitrag und zweiten Beitrag zu dem Thema E-Mail-Sicherheit haben [&hellip;]<\/p>\n","protected":false},"author":3531,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"c2c_always_allow_admin_comments":false,"footnotes":""},"categories":[314,315],"tags":[50,951,81,61,952],"class_list":["post-12573","post","type-post","status-publish","format-standard","hentry","category-it-sicherheit","category-services-support","tag-e-mail","tag-e-mail-sicherheit","tag-it-security","tag-it-sicherheit","tag-umleitung"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/posts\/12573","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/users\/3531"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/comments?post=12573"}],"version-history":[{"count":24,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/posts\/12573\/revisions"}],"predecessor-version":[{"id":20572,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/posts\/12573\/revisions\/20572"}],"wp:attachment":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/media?parent=12573"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/categories?post=12573"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/tags?post=12573"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}