DMARC gegen Spam, Phishing und Spoofing
Spam-, Phishing- und Spoofing-Mails werden täglich und massenweise von Cyberkriminellen versandt. Solche betrügerischen oder verfälschten E-Mails versuchen sich als echte Nachrichten von legitimen Absendern zu tarnen und die E-Mail-Empfänger zu täuschen. Manipulierte E-Mails mit gefälschten Absenderdaten (Spoofing) oder gefälschtem Inhalt (Phishing) sind zu einem ernstzunehmenden Problem der E-Mail-Kommunikation geworden, weil sie große Schäden bei den Empfängern verursachen und E-Mail-Dienste sowie ehrliche Absender kompromittieren. Das Festlegen und Umsetzen einer strengen DMARC-Richtlinie hilft bei der Lösung dieses Sicherheitsproblems.
Was ist DMARC?
DMARC (Domain-based Message Authentication, Reporting and Conformance; RFC 7489) ist ein technischer Standard, der E-Mail-Absender und -Empfänger vor Phishing, Spoofing und Spam effektiv schützt und Missbrauchsversuche bei Nutzung von E-Mail effektiv reduziert.
Mit DMARC kannst Du:
- die E-Mail-Authentifizierungsmethoden definieren und registrieren;
- die Aktionen festlegen, die ausgeführt werden sollen, wenn die Authentifizierungsprüfungen einer eingegangenen Mail fehlschlagen;
- die Protokollierung, Berichterstattung und Statistiken über die Anwendung der DMARC-Policies aktivieren.
SPF, DKIM, DMARC
DMARC ist kein eigenständiger E-Mail-Authentifizierungsprotokoll, sondern baut auf den bekannten Authentifizierungsstandards SPF (Sender Policy Framework; RFC 7208) und DKIM (DomainKeys Identified Mail; RFC 6376) auf und nutzt das DNS-Protokoll. SPF-Einträge werden mit einem SPF-Tool im öffentlichen DNS konfiguriert.
SPF und DKIM werden im DMARC als Basisprotokolle zur E-Mail-Authentifizierung, -Autorisierung und -Identitätsprüfung verwendet. Basierend auf SPF und DKIM ermöglicht die DMARC-Technologie einem Empfängerserver zu entscheiden, ob eine Mail zugestellt, in Spam verschoben oder abgelehnt wird. DMARC sendet zusammenfassende Berichte an den E-Mail-Domainadministrator über Probleme bei der Nachrichtenüberprüfung und -übermittlung.
SPF, DKIM und DMARC sind die drei Standards, die im Bündel arbeiten, verschiedene Funktionen der E-Mail-Authentifizierung und -Autorisierung ermöglichen und zur Erhöhung der E-Mail-Sicherheit beitragen, indem sie sich gegenseitig unterstützen und ergänzen. Jeder dieser Standards löst seine spezifischen Aufgaben. Mit SPF können Absender festlegen, von welchen IP-Adressen aus Absender ihre E-Mails für eine bestimmte Empfänger-Domain senden dürfen. DKIM bietet ein Verschlüsselungsverfahren und eine digitale Signatur, mit denen überprüft wird, dass eingegangene Mail-Nachrichten nicht gefälscht und nicht manipuliert wurden. Mit der digitalen DKIM-Signatur werden ähnlich einer S/MIME- oder PGP-Signatur die Integrität der Mail und die Authentizität des Absenders sichergestellt.
DMARC integriert die SPF- und DKIM-Authentifizierungsmechanismen in einem gemeinsamen Framework und ermöglicht Domaininhabern zu deklarieren, wie E-Mails der jeweiligen Domäne behandelt werden, wenn eine Sicherheitsprüfung fehlschlägt.
Wie funktioniert DMARC?
Mit DMARC-Regeln werden Domaininhaber über Missbrauch ihrer Domain automatisch benachrichtigt. Anhand der SPF- und DKIM-Parameter werden die eingehenden Mails auf Legitimität und Integrität geprüft. Es werden auch automatische Reports mit Statusmeldungen, Fehlermeldungen und Statistiken an die hinterlegten E-Mail-Adressen gesendet. Diese Informationen helfen, die Schutzmechanismen zu kotrollieren und zu verbessern.
DMARC bietet keine neuen Spamfilter, sondern hilft den Missbrauch zu identifizieren und zu analysieren. Der Domaininhaber registriert im DNS eine Richtlinie, die festlegt, was mit gefälschten E-Mails passieren soll. Der Schutz vor gefälschten E-Mails funktioniert mit DMARC in den folgenden Schritten:
- Der Absender versendet eine E-Mail.
- Der Mail-Server des Absenders signiert die Mail mit DKIM.
- Die Mail wird zum Mail-Server des Empfängers übermittelt.
- Auf dem Mail-Server des Empfängers wird die eingegangene Mail einer üblichen Sicherheitskontrolle (Blacklists, Rate-Limits, Virencheck u.a.) unterzogen.
- Nachdem die Standardkontrolle der Mail erfolgreich abgeschlossen ist, wird die Mail mithilfe der DMARC-Policy auf Legitimität geprüft:
- Die validen DKIM-Domains werden aus der Mail extrahiert;
- SPF wird geprüft;
- eine passende DMARC-Aktion wird angewandt: “Check erfolgreich” (OK) / “Spam” (eine verdächtige Mail) / “Löschen” (eine inkorrekte oder unzulässige Mail).
- Wenn die Mail die DMARC-Kontrolle bestanden hat, wird sie mit weiteren Standardmethoden (Antispam-Filter etc.) auf Legitimität geprüft.
- Der Empfänger erhält die Mail.
Die Einführung von DMARC
DMARC erfordert die Autorisierung aller legitimen Mails. Dazu müssen nicht nur die Autorisierungsmethoden SPF und DKIM eingesetzt werden, sondern auch sichergestellt, dass die Autorisierung für alle legitimen Mails der jeweiligen Absender-Domain erfolgt. Daher sollte die Einführung von DMARC mit dem folgenden Ansatz beginnen:
- Den von Deiner Domain und den Subdomains ausgehenden legitimen Mailverkehr analysieren und kategorisieren. Für jede Kategorie von Mails musst Du SPF implementieren und die Möglichkeiten herausfinden, Mails mit DKIM zu signieren.
- SPF für die Domain und Subdomains implementieren. Der Sender muss SPF-Datensätze und den öffentlichen DKIM-Schlüssel für die berücksichtigten Versand-Domains (DMARC Policy Domain) konfigurieren. Es wird empfohlen, die Ablehnungsrichtlinie für Domains anzuwenden, die besonders sicherheitsrelevant sind. Obwohl viele Empfänger Mails bei SPF nicht blocken, selbst wenn strenge Richtlinien veröffentlicht werden, verwenden sie SPF zum Gewichtsklassifizieren. In der Praxis wird genau dieser SPF-Modus am häufigsten verwendet und entspricht den Empfehlungen des Standards.
- Einen DMARC-Datensatz mit Policy “p=none” für die primäre Domain und die Subdomains veröffentlichen.
- DKIM bereitstellen. Es wird empfohlen, die Schlüssellänge von 1024 oder 2048 Bit zu verwenden. Mit fo=1 in der DMARC-Richtlinie kannst Du ausführliche Berichte zu allen Problemen mit SPF und DKIM erhalten, auch für Mails, die die DMARC-Autorisierung bestanden haben.
- Zu einer echten DMARC-Policy wechseln. In DMARC-Policy legst Du fest, wie mit nicht authentifizierten Mails (bei nicht bestandenem Authentifizierungscheck) zu verfahren. Verwende die Policy “quarantine” nicht für längere Zeit, da dies bestehende Probleme maskieren kann und Du ggf. nur aus aggregierten Berichten über die aufgetretenen Probleme erfährst, deren Empfang mehr als einen Tag dauern kann. Du kannst damit beginnen, die Ablehnungsrichtlinie um ca. 10% zu aktivieren (p=reject; pct=10), um potenzielle Probleme für Zustellungsfehler verfolgen zu können. Es wird jedoch nicht empfohlen, eine solche Richtlinie über einen längeren Zeitraum beizubehalten: Denn für die verbleibenden 90% wird die Quarantänerichtlinie angewendet, und einzelne Probleme können so übersehen werden.
- Optimierung der DMARC-Richtlinien.
Zur Optimierung kannst du die folgenden DMARC-Parameter verwenden: p – DMARC-Richtlinie; sp – Richtlinie für Subdomains, die keine eigenen Richtlinien veröffentlichen; pct – Prozentsatz der Mail, für die die jeweilige Richtlinie gilt; rua – die Mailadresse, an die statistische Berichte gesendet werden; ruf – die Mailadresse, an die forensische Berichte gesendet werden; fo – bei Verstößen Benachrichtigungen senden (fo=1) bzw. nicht senden (fo=0) adkim – Überprüfungsmodus für Domänenkonformität DKIM aspf – Überprüfungsmodus für Domänenkonformität SPF und From
Es gibt verschiedene Tools zur Visualisierung von DMARC-Reports. Dmarcian bietet kostenpflichtige und kostenlose Dienste (für kleinere E-Mail-Mengen) sowie ein praktisches kostenloses XML-Viewer zum Anzeigen von DMARC-Reports. Agari und Proofpoint bieten auch kommerzielle Dienste zur Implementierung und Unterstützung von DMARC an.
Fazit
Privatpersonen, Unternehmen und Organisationen bemühen sich, Spam, Malware und Phishing aus dem Mailverkehr herauszufiltern. Vor DMARC war es eine schwierige Aufgabe, eingehende E-Mails auf Echtheit zu kontrollieren und ihre Integrität sicherzustellen. Wenn die automatischen Filter der Mail-Server jedoch fehlschlagen und reale Mails vom Spam und Betrug nicht unterscheiden können, liegt die Aufgabe schon beim Endbenutzer als dem E-Mail-Empfänger, solche gefährlichen Mails sicher zu identifizieren und zu löschen. Viele unerfahrene Benutzer öffnen unbekannte Mails, um die Nachrichten zu lesen, und nehmen dadurch hohe Sicherheitsrisiken auf sich. Das ist der Grund, warum E-Mail-Anteil an mehr als 90% aller Internet-Angriffe fällt.
DMARC zielt darauf ab, der sendenden Domain aggregiertes und forensisches Feedback über Wirksamkeit ihrer E-Mail-Authentifizierungsstrategie zu geben. Das Hauptziel von DMARC ist es, verfälschte Mails auf Mailservern vorzeitig herauszufiltern und zu blocken, bevor sie die Empfänger erreichen. Für E-Mail-Sicherheit ist DMARC eine erforderliche Schutzmaßnahme, jedoch keine leichte Aufgabe. Nur auf den ersten Blick scheint es ausreichend zu sein, einen Eintrag im DNS zu veröffentlichen. Um Missbrauch im Hinblick auf DMARC-Reporting auszuschließen, ist gemäß RFC 7489 ein Authentifizierungs- und Verifizierungssystem umzusetzen.
DMARC ermutigt Absender dazu, ihre ausgehenden E-Mails umfassend zu authentifizieren, wodurch der E-Mail-Dienst sicher und zuverlässig funktioniert. DMARC ist besonders effektiv und erhöht das Sicherheitsniveau der E-Mail-Dienste, wenn DMARC zusammen mit weiteren Sicherheitstechniken und Schutzmechanismen wie S/MIME, PGP/OpenPGP und TLS-basierten Protokollen (HTTPS, SMTPS, IMAPS, POP3S u.a.) zum Einsatz kommt.