DKIM, SPF und was Sie gegen Spammer tun können

Jeder kennt die seltsamen eMails, die scheinbar von eigentlich vertrauenswürdigen Absendern stammen. Angebote für Online-Casinos, Medikamente oder Dating-Services etc.
Der Grund dafür ist, dass sich die Absenderadresse von Mails relativ einfach fälschen lässt.

Können Sie verhindern, dass auch Ihre Absenderadresse gefälscht wird? Die schnelle Antwort ist nein. Jedenfalls nicht, ohne dass sich alle auf verschlüsselten und signierten Mailversand einigen.

Sie können aber dennoch Schritte ergreifen, um zu signalisieren, dass die von Ihnen verschickten Mails vertrauenswürdig sind.

Das Grundprinzip ist einfach: Ein Server, der eine eMail annehmen soll, erkundigt sich zunächst, ob die Mail tatsächlich von einem Server kommt, der berechtigt ist, von dieser Domain Mails zu verschicken. Nur bei positiver Antwort nimmt er die Mail an.

SPF (Sender Policy Framework)

Nutzt ein Mailversender SPF (Sender Policy Framework), verzeichnet er für jede Domain, welche Server Mails für diese verschicken dürfen.

Diese Information ist im DNS hinterlegt. DNS steht für Domain Name System und es sorgt dafür, dass unsere Anfrage nach einer URL wie www.ihresite.de an den richtigen Server weitergeleitet wird (der unter einer IP-Adresse wie 190.0.2.42 erreichbar ist).

So kann jeder Server, der eine Mail bekommt einfach nachsehen, ob diese Mail von einem berechtigten Server verschickt wurde.

Dazu muss lediglich im DNS-Eintrag ein zusätzlicher Texteintrag hinterlegt werden, der angibt, welche Server Mails für die jeweilige Domain verschicken dürfen.

DKIM (DomainKeys Identified Mail)

Ein weiteres System ist DKIM (DomainKeys Identified Mail). Es kann SPF ergänzen, indem es sicherstellt, dass der Inhalt der verschickten Mail auf dem Weg zum Empfänger nicht verändert wurde.

Grundlage ist wie bei den meisten kryptografischen Verfahren ein Schlüsselpaar:

  1. ein privater Schlüssel
  2. ein öffentlicher Schlüssel

Mit dem privaten Schlüssel codiert der Absender seine Nachricht. Der Empfänger kann mit dem öffentlichen Schlüssel dann prüfen, ob die Nachricht tatsächlich vom Empfänger stammt – nur dann passt der öffentliche Schlüssel. Und er passt auch nur dann, wenn die Nachricht auf ihrem Weg nicht verändert wurde.

Beim DKIM hängt nun der verschickende Server an jede E-Mail eine kryptografische Signatur an. Diese kann der empfangende Server mit Hilfe des öffentlichen Schlüssels prüfen. Die Signatur ist also sozusagen die digitale Unterschrift, welche bestätigt, dass diese Mail tatsächlich von diesem Server kommt.

Sicherer wäre es, wenn die ganze Mail verschlüsselt würde. Da sich das Verschlüssen von Mails aber immer noch nicht in der breiten Masse durchgesetzt hat, wird das nicht gemacht.

Wie stellt man aber sicher, dass die angehängte (verschlüsselte) digitale Unterschrift nicht einfach an eine beliebige andere Mail angehängt wird? Oder dass ein Betrüger (Phishing/Phisher) nicht eine Mail nimmt, die er von einer Bank bekommen hat und z.B. seine URL einträgt, um seine Opfer dorthin zu locken?

Hash

Der Trick ist, dass der Mailserver vor dem Verschicken einen so genannten Hash des Mailinhalts errechnet. Wörtlich bedeutet "hash" soviel wie "das Gehackte" – ein Hash sieht aus wie eine durch den Fleischwolf gedrehte Nachricht, ist also nur Zeichensalat.

Der Hash ist sozusagen eine Quersumme der eMail. Ändert man nur ein einziges Zeichen in der Mail, ändert sich der Hash. Und es ist praktisch unmöglich, den Text so zu manipulieren, dass derselbe Hash herauskommt wie beim Original.

Der verschickende Mailserver verschlüsselt nun den Hash und hängt ihn an die Mail an. Der empfangende Server muss nun nur prüfen, ob der öffentliche Schlüssel zum Hash passt. Dann prüft er, ob Hash und Inhalt der Mail zusammenpassen und weiß in diesem Fall, dass diese Mail tatsächlich so von dem Absender stammt, von dem sie behauptet zu stammen.

Besser zusammen: DMARC

Screenshot Website DMARC

Die Website dmarc.org bietet Hintergrundinfos für Betreiber von Mailservern und Interessierte.

SPF und DKIM lassen sich auch kombinieren. So bieten Profi-Tools zum Newsletterversand wie Evalanche die Möglichkeit an, SPF- wie DKIM-Einträge zu nutzen.

Der Vorteil ist, dass sich die Zustellbarkeit von Mails deutlich erhöht und die Wahrscheinlichkeit sinkt, dass die Mails als Spam markiert werden.

Einige Unternehmen haben sich zur DMARC-Initiative zusammengeschlossen, um das voranzutreiben – siehe hier im Blog unter Keine Pishing-Mails und kein Spam mehr dank DMARC?.

Grenzen

Wogegen auch SPF und DKIM natürlich nicht helfen ist, wenn der Rechner des tatsächlichen Absenders gehackt wurde. Dann verschickt der Rechner unter Umständen Mails, von denen der Nutzer nichts mitbekommt – ganz korrekt signiert mit seiner digitalen Unterschrift.

Für die Sicherheit seiner Server muss nach wie vor jeder weiterhin sorgen.




Keine Kommentare möglich.