Die Echtdaten eines einzigen Tages einer einzigen Domäne zeigen, wie dramatisch das Problem wirklich ist:

Wenn nur einige Empfänger diese Mails als belästigend oder gar gefährlich melden, gerät die Absender-Domain immer stärker in Verruf und am Ende landen auch die legitimen Nachrichten und Newsletters im Spam-Ordner der Adressaten. 

E-Mail war einmal Vertrauenssache

E-Mail war eine der ersten Anwendungen des jungen Internets und nur für den Nachrichtenaustausch unter Bekannten gemacht. Dass das Internet irgendwann die Welt umspannen und Milliarden von Menschen miteinander verbinden würde, konnte sich noch niemand vorstellen. So kam es wie es kommen musste: manche Prüfungen entfielen, weil sich ohnehin alle untereinander kannten, Rechenzeit kostbar und Datenleitungen langsam waren. Daher ist es sehr einfach, Mail unter falschem Namen zu versenden und das benutzen Spammer, Spoofer und Phisher aus aller Welt, um auf überaus lukrativen Raubzug zu gehen. 2020 betrug der Anteil der Spam-Mail in manchen Monaten mehr als 50% des gesamten Mail-Aufkommens. Täglich wurden weltweit 320 Milliarden Spam-E-Mails verschickt und das richtete mehr als 20 Milliarden Dollar Schaden an. Kann man das besser machen?

Versandbedingungen

Um zu verstehen, warum Spam-Mail beinahe unausweichlich ist, betrachtet man am besten den Weg einer E-Mail vom Absender zum Empfänger (das Titelbild dieses Artikels veranschaulicht den Weg der E-Mail durch's Netz). Der Versand von Mail läuft über vier Stationen:

• Der Absender schreibt die Nachricht und versendet sie an sein Mail-Konto.
   
• Das Mail-Konto wird von einem Mail-Server verwaltet, der die Nachricht an den Mail-Server des Adressaten weiterleitet.
   
• Sobald der Adressat seinen Mail-Server kontaktiert und die Nachricht abholt, ist der Versand abgeschlossen.
   

In diesem Verfahren überprüft der Mail-Server des Absenders, ob die Nachricht wirklich vom Kontoinhaber stammt. Ist der Mail-Server gut konfiguriert und die Verbindung mit einem Kennwort geschützt, ist dieser erste Teil des Versands problemlos. Sogar auf einem gut konfigurierten Mail-Server zählt nur, dass das zum Versandkonto passende Kennwort übergeben wird, die Absenderadresse wird überhaupt nicht beachtet. Weiters gibt es auch noch „offene Mail-Server” die ohne Anmeldung jede E-Mail mit jedem beliebigen Absender akzeptieren und weiterleiten. Wenn Mail mit Ihrem Absender und üblem Spam als Inhalt bei Ihren Bekannten ankommt, leidet Ihr Ruf, ohne dass Sie es bemerken.

Daher sollte die eigene Domäne für den Mail-Versand mit Nachdruck vor Fälschungen geschützt werden.

Der erste Schritt: SPF

Um diese Lücke zu stopfen, wurde SPF ab 2006 entwickelt. Seit 2014 wird SPF von immer mehr Mail-Anbietern verwendet, um die Auslieferung zweifelhafter Mail zu unterbinden. Dabei fragt der empfangende Mail-Server den zuständigen Domain-Server, ob der sendende Mail-Server bekannt ist. Diese Anfrage ist sehr unkompliziert und liefert schnell ein Resultat. 

Bank-Sicherheit: DKIM

DKIM benutzt einen in der E-Mail mitgesandten Schlüssel, um dessen Echtheit mit dem an der Versand-Domäne hinterlegten 2048 Bit langen Schlüssel abzugleichen. Weil dieses Schlüsselpaar einmalig und nach besten Bank-Standards fälschungssicher ist, kann der Empfänger sicher sein, dass die Nachricht wirklich von der angegebenen Absenderadresse stammt. Dieses Niveau der Sicherheit wird inzwischen von allen größeren Mail-Diensten gefordert und nur authentifizierte E-Mail wird als unbedenklich ausgeliefert, alle anderen E-Mails landen entweder als "zweifelhaft" im Spam-Ordner des Empfängers oder werden als „nicht zustellbar” an den Absender zurückgesandt. Durch diese hohe Sicherheit wurde DKIM in den letzten Jahren immer bedeutender und im geschäftlichen Austausch beinahe unverzichtbar.

Schützt die anderen: DMARC

SPF und DKIM verschaffen dem Empfänger die Sicherheit, dass die Post wirklich vom angegebenen Absender kommt. DMARC geht einen Schritt weiter und stellt sicher, dass E-Mail, die nur so aussieht wie von Ihnen, als Spam, Spoof oder Phishing erkannt wird. Mit DMARC trägt Ihre E-Mail sozusagen Maske, damit sich niemand ein Virus einfängt oder sonstwie Opfer von Cyber-Kriminalität wird. Dazu wird ein dritter Schlüssel am Server hinterlegt, der nicht der Authentifizierung dient, sondern der aktiv bei Missbrauchsversuchen Warnungen an den Systemverantwortlichen versendet und - je nach Einstellung - sogar die Löschung solcher E-Mails am Auslieferungsserver zulässt. So können bei erkanntem Missbrauch geeignete Abwehrmaßnahmen ergriffen und Adressaten gefälschter E-Mail geschützt werden. Das untergräbt einerseits das Geschäftsmodell der Internet-Betrüger und schützt andererseits den guten Namen Ihrer Versand-Domäne. So sorgt DMARC langfristig dafür, dass Ihre E-Mail auch wirklich beim Adressaten ankommt.

E-Mail zeitgemäß sicher

Immer mehr Mail-Server werden nach den Standards SPF, DKIM und DMARC gesichert und immer öfter landen E-Mails oder Newsletters von Domänen, die keine Authentifizierung anbieten, im Spam Ordner oder werden erst gar nicht zugestellt. Da hilft auch keine Ausnahmeregel im Mail-Filter, denn die Prüfung erfolgt beim ausliefernden Mail-Server, um besten Schutz und geringste Störung des Adressaten zu gewährleisten. Wenn Sie sicher sein wollen, dass Ihre Nachrichten störungsfrei den Empfänger erreichen, sollten Sie so bald wir möglich alle Ihre Domänen, über die Sie E-Mail versenden, zeitgemäß sichern lassen. Alle nötigen Arbeiten werden am Server innerhalb kurzer Zeit durchgeführt und sind sofort wirksam. Für unsere Kunden begleiten wir den gesamten Prozess der SPF/DKIM/DMARC Einführung, der auch eine mehrmonatige Beobachtung und Nachjustierung der Einstellungen beinhaltet.