natali_mis - stock.adobe.com

E-Mail-Authentifizierung in Exchange mit SPF, DKIM und DMARC

Mit der Kombination mehrerer Technologien können Exchange-Administratoren E-Mail-Spoofing eindämmen – und so Benutzer und Unternehmensmarke schützen.

Ein Klick auf eine Phishing-E-Mail – und schon kann sich ein Unternehmen ein Sicherheitsproblem einfangen und seinen Ruf nachhaltig schädigen. So etwas lässt sich aber verhindern: Um bösartige Angriffe zu stoppen, können Administratoren in Exchange Technologien zur Authentifizierung von E-Mails nutzen.

Ein Unternehmen, das einen Sicherheitsverstoß verhindern möchte, kann Exchange E-Mail-Authentifizierungsprotokolle in Verbindung mit den Verschlüsselungsfunktionen der Plattform implementieren.

Der E-Mail-Markenschutz verhindert, dass Akteure Ihren Firmennamen für ein böswilliges Schema verwenden. Markenmissbrauch tritt regelmäßig auf. Schauen wir uns einige Beispiele an:

  • Haben Sie jemals eine E-Mail von Ihrem Kreditkartenunternehmen erhalten, bei der Sprache oder Wortwahl ziemlich ungewöhnlich waren? Wenn Sie die Absenderadresse genauer betrachteten, bemerkten Sie wahrscheinlich, dass die E-Mail nicht von Ihrer Kreditkartenfirma stammen konnte.
  • Hat Ihr CEO jemals eine E-Mail erhalten, in der Geld von Ihrer Buchhaltungsabteilung angefordert wurde? Auch hier hat die Sprache oder das Format der Nachricht wahrscheinlich deutlich gemacht, dass es sich nicht um eine interne Nachricht handelt. Aber allein die Tatsache, dass eine externe Partei eine solche E-Mail gesendet hat und Ihr CEO sie erhalten hat, ist ein Problem.
  • Hat ein Mitarbeiter auf einen Link in einer E-Mail geklickt, der ihn zu einer Website führte, auf der er persönliche Daten eingeben sollte – um dann herauszufinden, dass die Website gefälscht ist?

Dies sind nur einige Beispiele dafür, wie eine Person außerhalb Ihres Unternehmens eine E-Mail versenden kann, die Ihre Unternehmensmarke missbraucht. Um solchen Versuchen entgegenzutreten, sollten Ihre technischen Teams Technologien zur Authentifizierung von E-Mails einsetzen – insbesondere SPF, DKIM und DMARC.

Erste Schritte mit SPF

SPF steht für Sender Policy Framework – ein Verfahren, das das Fälschen der Absenderadresse einer E-Mail verhindern soll. SPF ist ein großer Schritt in Richtung Markenschutz, da es Adress-Spoofing problemlos erkennen kann. Es entstand ursprünglich als Verfahren zur Abwehr von Spam. Bei SPF trägt sich der Inhaber einer Domain in das Domain Name System (DNS) ein, welche Computer zum Versand von E-Mails für diese Domain berechtigt sind. Der Eintrag vom Typ TXT kann einfach zu Ihrem externen DNS hinzugefügt werden.

Ihre SPF TXT-Datei sollte einen Eintrag für Ihre Organisation enthalten sowie die IP-Adresse und den DNS-Namen von allen weiteren Akteuren, die E-Mails mit Ihrem Domainnamen versenden dürfen. Wenn Ihr SPF TXT-Datensatz korrekt ist, dann ist dies ein erster Schritt, um nur zulässige E-Mails zu senden – und Nachrichten zu blockieren, die Ihrer Marke schaden könnten.

Es gibt in Exchange jedoch einige Einschränkungen bei SPF TXT-Datensätzen. Sie können nur bis zu zehn DNS-Records angeben. Da SPF-Einträge schnell an ihre Grenzen stoßen, sollten daher auch andere Optionen zum Markenschutz genutzt werden.

Wie DKIM-Signaturen das Spoofing stoppen

DomainKeys Identified Mail (DKIM) -Signaturen wurden ursprünglich von Yahoo entwickelt und sind seit Ende 2013 ein Internet-Standard. Eine DKIM-Signatur bietet zusätzlichen Markenschutz bei entsprechender Konfiguration. DKIM platziert eine domänenbasierte Signatur in den Nachrichtenkopf. Diese identifiziert die Nachricht als intern, um E-Mail-Spoofing-Versuche zu verhindern.

DomainKeys basiert auf asymmetrischer Verschlüsselung. Die E-Mail wird mit einer digitalen Signatur versehen, die der empfangende Server anhand des öffentlichen Schlüssels, der im Domain Name System der Domäne verfügbar ist, verifizieren kann. Schlägt dies fehl, hat der empfangende Mail Transfer Agent (MTA) oder die empfangende Anwendung die Möglichkeit, die E-Mail zu verweigern oder auszusortieren.

Um DKIM für die Authentifizierung von E-Mails einzurichten, muss Ihr IT-Team DKIM-Signaturen im externen E-Mail-Gateway aktivieren. Von dort erzeugt das System eine DKIM-Signatur, die Sie in Ihrem externen DNS einrichten sollten. Diese Einstellung in beiden Bereichen beweist, dass die DKIM-Signatur in Ihrem Nachrichtenkopf zu Ihrer Organisation gehört.

Drittfirmen, denen Sie erlauben, E-Mails im Namen Ihrer Organisation zu versenden, können ebenfalls DKIM-Signaturen verwenden. Das Unternehmen muss lediglich eine DKIM-Signatur für die Nachrichten erzeugen, die es unter Ihrer Domain versendet, dann müssen Ihre Administratoren diese dem externen DNS hinzufügen. Nicht alle Cloud-Provider von Drittanbietern bieten dies an, fragen Sie also unbedingt danach.

Last, but not least: DMARC

Domain-based Message Authentication, Reporting and Conformance (DMARC) ist die Schlüsselkomponente, mit der SPF und DKIM auf höchstem Niveau arbeiten können. DMARC baut auf SPF und DKIM auf, und legt fest, wie der Empfänger von E-Mails die Authentifizierung durchführt.

Während SPF und DKIM beschreiben, wer eine Mail versenden darf (SPF), beziehungsweise dass diese Mail in bestimmter Weise unverändert vom Absender stammt (DKIM), kann der Absender nach der DMARC-Spezifikation zusätzlich Empfehlungen geben. Beispielsweise, auf welche Art der Empfänger mit einer Mail umgehen sollte, die in einem oder beiden Fällen nicht den Anforderungen entspricht.

Wenn die DMARC-Spezifikation angewendet wird, ist eine konsistente Überprüfung der Authentizität von E-Mails gesichert. Sie gibt dann dem Unternehmen die Möglichkeit, über den Grad des Markenmissbrauchs zu berichten und ihn besser zu verstehen. Das Reporting zeigt sowohl Meldungen, die in Ordnung sind, als auch Meldungen zum Missbrauch der Marke, die sonst nicht sichtbar wären.

Wenn DMARC aktiviert ist, können Sie flexibel entweder DKIM oder SPF oder beide verwenden. Das bedeutet: wenn eine Nachricht SPF oder DKIM passiert, wird sie durchkommen. Aufgrund der Einschränkungen der SPF Records ist die Möglichkeit, DKIM zu verwenden, eine großartige Option.

Möglicher Probleme bewusst sein

Der kombinierte Einsatz von SPF, DKIM und DMARC bietet höchsten Markenschutz.

Die Authentifizierung von E-Mails kann allerdings auch zu einigen schädlichen Nebenwirkungen führen. Sie sollten also Ihr Setup ausgiebig testen. Ich empfehle dringend, ein Drittanbieter-Reporting-Tool zu verwenden, um zu klären, warum bestimmte Nachrichten gestoppt werden, wenn Sie SPF und DMARC verwenden. Ein gutes Tool kann Ihnen helfen, gültige Nachrichten zu Ihrem SPF-Datensatz und DKIM-Signaturen hinzuzufügen, bevor Sie DMARC erzwingen.

Folgen Sie SearchEnterpriseSoftware.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Zurück zum Absender: E-Mail-Sicherheit mit DMARC, SPF und DKIM.

MSCE, MTA und Co.: Microsoft-Zertifizierungen im Überblick.

Was sind die Microsoft IRM-Anforderungen für Exchange 2016?

Erfahren Sie mehr über Collaboration-Software