Diagramm der E-Mail Authentifizierung

E-Mail mit höchster Sicherheit

Jeder hat ihn, jeder kennt ihn: den Mail-Spam. Die Inbox ächzt, im Werbe-Ordner stapeln sich die Einträge und viel zu oft gehen eigene Mails im Spam-Ordner des Kunden unter. Was aber, wenn die eigene E-Mail plötzlich als Spam betrachtet wird? Spam-Mail ist nicht nur lästig, sie ist auch geschäftsstörend und daher kostspielig. Selbst wenn der Empfänger die wichtige Mail im Spam-Ordner aufspürt, so bleibt doch ein schaler Geschmack zurück und das Vertrauen schwindet. Die Echtdaten eines einzigen Tages zeigen, wie dramatisch das Problem wirklich ist:

Anzahl Google, 19. 3. 2021
768Server weltweit
8000Erkannte E-Mail Fälschungen

Hochgerechnet auf ein Jahr erkennt Google allein fast 3 Millionen gefälschte E-Mails mit einem Absender von @fuerstentum.net

Wenn nur einige Empfänger diese Mails als belästigend oder gar gefährlich melden, gerät die Absender-Domain immer stärker in Verruf und am Ende landen auch die legitimen Nachrichten und Newsletters im Spam-Ordner der Kunden. Daher sollte die eigene Domäne für den Mail-Versand mit Nachdruck vor Fälschungen geschützt werden.

Drei Schlüssel geben dem Empfänger Ihrer Nachricht die Sicherheit, dass sie wirklich von Ihnen kommt und somit in den Eingangsordner gehört. Diese drei Schlüssel sind unter den Acronymen SPF, DKIM und DMARC bekannt und lassen sich bei der Domänen-Verwaltung hinterlegen. Sind diese Schlüssel angelegt, kann das Mail-Programm des Empfängers prüfen, ob die eingetroffene Nachricht wirklich von Ihnen stammt. Das Verfahren benötigt keine neue Hard- oder Software und lässt sich ganz einfach beschreiben:

E-Mail war einmal Vertrauenssache

E-Mail war eine der ersten Anwendungen des jungen Internets und nur für den Nachrichtenaustausch unter Bekannten gemacht. Dass das Internet irgendwann die Welt umspannen und Milliarden von Menschen miteinander verbinden würde, konnte sich niemand vorstellen. So kam es wie es kommen musste: manche Prüfungen entfielen, weil sich ohnehin alle untereinander kannten, Rechenzeit kostbar und Datenleitungen langsam waren. Daher ist es sehr einfach, Mail unter falschem Namen zu versenden und das benutzen Spammer, Spoofer und Phisher aus aller Welt, um auf überaus lukrativen Raubzug zu gehen. 2020 betrug der Anteil der Spam-Mail in manchen Monaten mehr als 50% des gesamten Mail-Aufkommens. Täglich werden weltweit 320 Milliarden Spam-E-Mails verschickt und das richtete im Vorjahr mehr als 20 Milliarden Dollar Schaden an. Kann man das besser machen?

Versandbedingungen

Um zu verstehen, warum Spam-Mail beinahe unausweichlich ist, betrachtet man am besten den Weg einer E-Mail vom Absender zum Empfänger (das Titelbild dieses Artikels veranschaulicht den Weg der E-Mail durch's Netz). Der Versand von Mail läuft über vier Stationen:

  • Der Absender schreibt die Nachricht und versendet sie an sein Mail-Konto.
  • Das Mail-Konto wird von einem Mail-Server verwaltet, der die Nachricht an den Mail-Server des Adressaten weiterleitet.
  • Sobald der Adressat seinen Mail-Server kontaktiert und die Nachricht abholt, ist der Versand abgeschlossen.

In diesem Verfahren überprüft der Mail-Server des Absenders, ob die Nachricht wirklich vom Kontoinhaber stammt. Ist der Mail-Server gut konfiguriert und die Verbindung mit einem Kennwort geschützt, ist dieser erste Teil des Versands problemlos. Allerdings gibt es auch sogenannte „offene Mail-Server”, über die ohne Anmeldung jeder E-Mail mit jeder beliebigen E-Mail Adresse versenden kann. Aber selbst auf einem geschlossenen Server zählt nur, dass das zum Versandkonto passende Kennwort übergeben wird, die Absenderadresse wird überhaupt nicht beachtet.

Der Beginn: SPF

Um diese Lücke zu stopfen, wurde SPF ab 2006 entwickelt. Seit 2014 wird SPF von immer mehr Mail-Anbietern verwendet, um die Auslieferung zweifelhafter Mail zu unterbinden. Dabei fragt der empfangende Mail-Server den zuständigen Domain-Server, ob der sendende Mail-Server bekannt ist. Diese Anfrage ist sehr unkompliziert und liefert schnell ein Resultat. Allerdings hat sich herausgestellt, dass sorgfältigere Prüfung bessere Qualität bewirkt und daher entwickelte sich zusätzlich zum SPF schon bald DKIM.

Bank-Sicherheit: DKIM

DKIM benutzt einen in der E-Mail mitgesandten Schlüssel, um dessen Echtheit mit dem an der Versand-Domäne hinterlegten 2048 Bit langen Schlüssel abzugleichen. Weil dieses Schlüsselpaar einmalig und nach besten Bank-Standards fälschungssicher ist, kann der Empfänger sicher sein, dass die Nachricht wirklich von der angegebenen Absenderadresse stammt. Dieses Niveau der Sicherheit wird inzwischen von allen größeren Mail-Diensten gefordert und nur authentifizierte E-Mail wird als unbedenklich ausgeliefert, alle anderen E-Mails landen entweder als "zweifelhaft" im Spam-Ordner des Empfängers oder werden als „nicht zustellbar” an den Absender zurückgesandt. Durch diese hohe Sicherheit wurde DKIM in den letzten Jahren immer bedeutender und im geschäftlichen Austausch beinahe unverzichtbar.

Schützt die anderen: DMARC

SPF und DKIM verschaffen dem Empfänger die Sicherheit, dass die Post wirklich vom angegebenen Absender kommt. DMARC geht einen Schritt weiter und stellt sicher, dass E-Mail, die nur so aussieht wie von Ihnen, als Spam, Spoof oder Phishing erkannt wird. Mit DMARC trägt Ihre E-Mail sozusagen Maske, damit sich niemand ein Virus einfängt oder sonstwie Opfer von Cyber-Kriminalität wird. Dazu wird ein dritter Schlüssel am Server hinterlegt, der nicht der Authentifizierung dient, sondern der aktiv bei Missbrauchsversuchen Warnungen an den Systemverantwortlichen versendet und - je nach Einstellung - sogar die Löschung solcher E-Mails am Auslieferungsserver zulässt. So können bei erkanntem Missbrauch geeignete Abwehrmaßnahmen ergriffen und Adressaten gefälschter E-Mail geschützt werden. Das untergräbt einerseits das Geschäftsmodell der Internet-Betrüger und schützt andererseits den guten Namen Ihrer Versand-Domäne. So sorgt DMARC langfristig dafür, dass Ihre E-Mail auch wirklich beim Adressaten ankommt.

E-Mail zeitgemäß sicher

Immer mehr Mail-Server werden nach den Standards SPF, DKIM und DMARC gesichert und immer öfter landen E-Mails oder Newsletters von Domänen, die keine Authentifizierung anbieten, im Spam Ordner oder werden erst gar nicht zugestellt. Da hilft auch keine Ausnahmeregel im Mail-Filter, denn die Prüfung erfolgt für den besten Schutz und die geringste Störung bereits beim Mail-Server. Wenn Sie sicher sein wollen, dass Ihre Nachrichten störungsfrei den Empfänger erreichen, sollten Sie so bald wir möglich alle Ihre Domänen, über die Sie E-Mail versenden, zeitgemäß sichern lassen. Alle nötigen Arbeiten werden am Server innerhalb kurzer Zeit durchgeführt und sind sofort wirksam. Für unsere Kunden begleiten wir den gesamten Prozess der SPF/DKIM/DMARC Einführung, der auch eine mehrmonatige Beobachtung und Nachjustierung der Einstellungen beinhaltet, für einen Pauschalbetrag, je nach Anzahl der zu schützenden Absende-Domänen. Gerne betreuen wir auch Neukunden, die uns ihre Domain-Verwaltung übertragen. Für Ihre Anfrage stehe ich gerne unter 0664 385 3266 zur Verfügung.

Weitersagen

das fürstentum

Im Atelier für Gestaltung und visuelle Kommunikation im Burgenland, zwischen Themenland und Wechsel, gestalten wir Werbung und Marktkommunikation für alle Medien. Von der Visitenkarte bis zum Radiospot, von der Broschüre bis zum Buch und vom Leitsystem bis zum Fernsehbeitrag sind wir für unsere Klienten tätig. Wir recherchieren, konzipieren, gestalten und produzieren Botschaften für mittelständische Betriebe, vom EPU bis zum weltweit agierenden Konzern, von der panonischen Steppe bis San Francisco. Ihre Kunden sind unser Publikum. Seit 1947.