Brand Protection

    Verbannen Sie E-Mail-Spoofers mit DMARC

    Gefälschte E-Mails sind eine große Gefahr für die Öffentlichkeit und den Ruf Ihres Unternehmens. SPF und DKIM sind kein ausreichender Schutz - aber DMARC bietet eine Lösung, die Cyberkriminelle in die Schranken weisen wird.

    by Scott McKellar
    62BLOG_1.jpg

    Gefälschte E-Mails können sowohl für die Empfänger als auch für die Organisationen, die sie zu versenden scheinen, ernsthafte Probleme verursachen.

    Niemand scheint sicher zu sein - im Januar 2021 wurde sogar das australische Cybersicherheitszentrum mit Phishing-Nachrichten getäuscht, um die Verbraucher abzuzocken. Systeme wie Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM) können bei der Authentifizierung von E-Mails helfen, sind aber allein nicht in der Lage, E-Mail-Spoofers zu bekämpfen, da die E-Mails von einer externen Quelle stammen. Das macht DMARC zu einem wichtigen Instrument im Kampf gegen die Betrüger. 

    Wie E-Mail-Spoofing Ihr Unternehmen treffen kann

    Was würde es für die Marke und den Ruf Ihres Unternehmens bedeuten, wenn eine Gruppe oder eine Einzelperson sozial manipulierte oder Phishing-E-Mails im Namen Ihres Domänennamens verschicken würde? 

    Diese E-Mails sind in der Regel sehr gezielt. Sie werden über Ihre Grenzen hinaus an einen Ihrer Partner, Kunden oder Lieferanten geliefert. Und sie kommen mit einer gefälschten "Absender"-Adresse, oft die Ihres CEO oder CFO. Dabei handelt es sich nicht um eine ähnliche Domäne oder einen Anzeigenamen mit einer kostenlosen E-Mail-Adresse dahinter. Stattdessen verwenden die Cyberkriminellen die tatsächlichen E-Mail-Adressen Ihrer Führungskräfte, um Daten oder Geldmittel von Menschen zu stehlen, die Ihrer Marke vertrauen.  

    Die gefälschte E-Mail trägt in der Regel eine andere "Antwort-an"-Adresse, z. B. eine Google Mail-Adresse, oder enthält eine ähnlich aussehende URL im Nachrichtentext. Derartige Taktiken sind weit verbreitet und wirksam. Die von Mimecast durchgeführte Untersuchung von Unternehmen in Australien und Neuseeland ergab, dass 47 % der Befragten im Jahr 2020 eine betrügerische Nutzung der Marke ihres Unternehmens durch gefälschte E-Mails sahen. Weltweit werden täglich über drei Milliarden solcher E-Mails verschickt. 

    Wenn diese E-Mails den Anschein erwecken, von Ihrem Konto zu stammen, schaden sie dem Ruf Ihrer Marke. Eine bessere Authentifizierung kann Ihr Unternehmen vor Missbrauch schützen und Ihre eigene E-Mail-Zustellung unterstützen. 

    SPF und DKIM haben ihre Grenzen

    Wenn ein Cyberkrimineller eine gefälschte E-Mail von Ihrer Domäne aus versendet, umgeht er häufig die SPF- und DKIM-Authentifizierung. Die "Kopfzeile von"-E-Mail-Adresse (P2), die der Empfänger in seinem Posteingang sieht, stimmt jedoch genau mit der Adresse Ihrer Führungskraft überein. 

    Wie ist das möglich, werden Sie sich fragen? Das liegt an den Grundlagen der E-Mail und der Tatsache, dass E-Mail zwei Absenderadressen erwartet.  

    Die erste Absenderadresse (P1) wird oft als Bounce-Adresse, Rücksendeadresse oder "Umschlag von"-Adresse bezeichnet. Dies ist die E-Mail-Adresse, die der Empfänger der Nachricht niemals sehen wird. Sie wird während der Übertragung der Nachricht verwendet, um dem empfangenden Mailserver mitzuteilen, wo Bouncebacks zugestellt werden sollen. 

    Es ist die zweite Adresse, die "Kopfzeile von"-Adresse (P2), die der Empfänger in seinem Posteingang sieht. Leider hat diese Adresse nichts mit der SPF- oder DKIM-Validierung zu tun, die der empfangende Mailserver durchführt, bevor er die Nachricht annimmt.

    DMARC funktioniert mit SPF und DKIM 

    SPF und DKIM sind nach wie vor relevant; DMARC hängt sogar von diesen bestehenden Authentifizierungsprotokollen ab. SPF bietet eine IP-Authentifizierung gegenüber der versteckten Adresse des Umschlags von (P1) und hat die Rückstreuung - fälschlicherweise automatisierte Bounce-Nachrichten, die von Mail-Servern gesendet werden - in der Regel als Nebeneffekt von eingehendem Spam - drastisch reduziert. Wenn ich an meine über 15-jährige Arbeit mit E-Mails zurückdenke, erinnere ich mich an eine Zeit, in der E-Mail-Backscatter ein echtes Ärgernis war. Aber das ist lange her, und zum Glück hat der Lichtschutzfaktor viel dazu beigetragen, das meiste davon zu verhindern. 

    DKIM ermöglicht Integritätsprüfungen, mit denen festgestellt werden kann, ob eine E-Mail von Punkt A nach Punkt B manipuliert wurde. Dazu werden ein öffentlicher und ein privater Schlüssel verwendet, wobei der öffentliche Schlüssel in einem DNS-TXT-Eintrag öffentlich zugänglich ist. Dadurch kann der empfangende Mailserver den öffentlichen Schlüssel verwenden, um zu prüfen, ob sich die Integrität der Nachricht nicht geändert hat. DMARC arbeitet sowohl mit SPF als auch mit DKIM und baut auf deren Stärken auf, um eine Lösung zu schaffen. 

    DMARC ist ein neuer Standard

    Wie kann ein Unternehmen also verhindern, dass ein Angreifer den Domänennamen seiner Marke in der P2-Adresse fälscht? DMARC (Domain-based Message Authentication, Reporting, and Conformance), ein 2012 geschaffener Internetstandard, ermöglicht es Ihnen, die Kontrolle über die Domain Ihres Unternehmens zurückzugewinnen.  

    DMARC schützt die Domänennamen, die Ihrer Organisation gehören, vor Spoofing. Das DMARC-Protokoll ist kein drittes Authentifizierungsprotokoll zusätzlich zu SPF und DKIM, sondern arbeitet mit diesen beiden bestehenden Authentifizierungsprotokollen zusammen. DMARC bringt vier wesentliche Vorteile mit sich: 

    1. Sichtbarkeit der (rechtmäßigen oder unrechtmäßigen) Spoofing-Angriffe auf Ihre Domain durch Berichterstattung.
    2. Eine Möglichkeit, Ihre Domain zu sperren und das Spoofing der P2-Adresse zu verhindern.
    3. Identifizierung von Schatten-IT, d. h. ein Kollege hat sich vielleicht bei einem Drittanbieterdienst wie Mailchimp angemeldet, um seine Arbeit zu erleichtern, aber die IT-Abteilung noch nicht darüber informiert.
    4. Verbesserte Zustellbarkeit legitimer E-Mails, die Sie an Ihre Interessenten und Kunden senden. DMARC-konforme E-Mails weisen eine weitaus bessere E-Mail-Hygiene auf, und das empfangende E-Mail-System hat eine bessere Chance, die Nachricht zu akzeptieren und an den Posteingang des Empfängers zu übermitteln, anstatt sie in einem Junk-Mail-Ordner abzulegen.

     Wie DMARC Spoofing verhindert 

    DMARC ermöglicht es Ihnen, Spoofing bei der P2-Adresse zu verhindern, indem Sie sich auf diese Adresse konzentrieren und auf Übereinstimmung prüfen. Der Abgleich kann mit einem oder beiden bestehenden Authentifizierungsprotokollen durchgeführt werden: 

    1. DMARC-konforme E-Mails, die sich auf SPF stützen, müssen zunächst SPF passieren. Zweitens wird die Ausrichtung überprüft: Die "Absenderdomäne" in der Adresse P2 muss mit der Domäne in der Adresse "Umschlag von" (P1) übereinstimmen.
    2. Das Hinzufügen von DMARC zu DKIM erfordert erstens, dass DKIM weitergegeben werden muss, und zweitens, dass die P2-Domäne, die der Empfänger in seinem Posteingang sieht, mit der DKIM-Domäne übereinstimmen muss, die zum Signieren der Nachricht verwendet wurde.

    E-Mails, die sowohl SPF als auch DKIM bestehen und über beide eine Ausrichtung erreichen, werden als "vollständig ausgerichtet" bezeichnet. So hat Ihre Post die bestmögliche Chance, zugestellt zu werden. 

    Wie die DMARC-Richtlinien für Sie arbeiten 

    Da DMARC etwa 30 Jahre nach der E-Mail entwickelt wurde (das Simple Mail Transfer Protocol, kurz SMTP, stammt aus dem Jahr 1982), besteht kein Grund zur Sorge, dass DMARC die Zustellung legitimer Nachrichten verhindert. DMARC deckt Sie ab, und das Protokoll verwendet Richtlinien, um mit dem empfangenden E-Mail-Server zu kommunizieren und zu bestimmen, welche Maßnahmen ergriffen werden sollten. DMARC-Richtlinien umfassen: 

    1. Keine: Dies wird auch als "Überwachungsmodus" bezeichnet. Sie weist den empfangenden Mailserver an, keine anderen Maßnahmen zu ergreifen, als einen DMARC-Bericht an die in Ihrem DMARC-Eintrag veröffentlichten Adressen zu senden, und zwar für Ihren aggregierten Bericht (der Daten aus zahlreichen Nachrichten enthält) und/oder den forensischen Bericht (der den Text einer einzigen fehlgeschlagenen E-Mail zeigt).
    2. Quarantäne: Das Verschieben Ihrer Domäne in eine Quarantäne-Richtlinie dient oft dazu, den empfangenden E-Mail-Server anzuweisen, alle E-Mails, die nicht DMARC-konform sind, zurückzuhalten oder als Junk zu behandeln. In der Regel haben Sie die letzten Monate damit verbracht, die DMARC-Berichte zu prüfen und positive Maßnahmen zu ergreifen, um alle kritischen Anwendungen, Systeme und Dienste, auf die Ihr Unternehmen angewiesen ist (CRM, Gehaltsabrechnung, HR-Systeme usw.) anzugleichen, bevor Sie diesen Zustand erreichen.
    3. Ablehnen: Sobald Sie sich anhand Ihrer Berichte davon überzeugt haben, dass nichts übersehen wurde und alle legitimen Systeme DMARC-konforme E-Mails versenden, können Sie Ihre Domänen in eine DMARC-Richtlinie mit Ablehnung (p=reject ) überführen. Zu diesem Zeitpunkt haben Sie den größten Teil der Arbeit erledigt, um die Authentifizierung und die DMARC-Anpassung in Ihrem Mailflow nachzurüsten. Es ist für Gegner nicht mehr möglich, den Ruf Ihrer Marke und ihrer Domänennamen gegen Sie zu verwenden, da das Protokoll den empfangenden E-Mail-Server anweist, betrügerische Nachrichten zu verwerfen. 

    Das Ziel ist natürlich, Ihre Domänen auf eine "Ablehnungs"-Richtlinie umzustellen, aber es ist sehr wichtig, den Postfluss durch die Analyse von DMARC-Berichten zu überwachen. Daher ist es am besten, mit einer DMARC-Richtlinie von "keine" zu beginnen. 
     
    Unten sehen Sie ein Beispiel für einen DNS TXT DMARC-Eintrag, in dem Sie die konfigurierte DMARC-Richtlinie und die Ziel-E-Mail-Adressen für DMARC-Berichte (rua = aggregierte Berichte, ruf= forensische Berichte) sehen:

    _dmarc.INTXT"v=DMARC1; p=none;
    rua=mailto: z987654321+1@rep.dmarcanalyzer.com; 
    ruf=mailto: z987654321+1@for.dmarcanalyze.com;
    pct=100; fo=1;" 

     

    DMARC und E-Mail-Spoofing 

    Aufbauend auf SPF und DKIM kann DMARC gefälschte E-Mails mit Ihren Domänennamen verhindern und Cyberkriminelle davon abhalten, sich als Ihre Führungskräfte auszugeben. Die Einführung sollte schrittweise erfolgen, wobei Ihr Unternehmen von einer "Keine"-Richtlinie über eine "Quarantäne"-Richtlinie zu einer "Ablehnung"-Richtlinie übergehen sollte, wobei Sie Ihre Systeme nach und nach überwachen. 

    Die Einführung von DMARC bringt weitere Vorteile mit sich. Die Wahrscheinlichkeit, dass Ihre E-Mail die gewünschten Empfänger erreicht, ist größer, und Sie sind in einer guten Position, um zukünftige Protokolle wie BIMI (Brand Indicators for Message Identification) zu übernehmen. DMARC bietet Sicherheit für heute und Möglichkeiten für die Zukunft. 

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang