Sicherheit für E-Mails

Was sind DNS-Einträge?

SPF, DMARC und DKIM sind drei Arten von DNS-Einträgen, die auf unterschiedliche Weise die Sicherheit deiner E-Mails erhöhen sollen. Hierbei meint E-Mail-Sicherheit jedoch nicht einen aktiven Virenschutz oder eine Art aktive Firewall für Hackerangriffe, etc. – E-Mail-Sicherheit durch DNS-Einträge betrifft hier die Prüfung und Identifikation der Absender-Domains.

Maustaste, die auf das Wort "Security" zeigt
Quelle: pexels.com | @pixabay

Wieso ist das relevant?

Wir haben festgestellt, dass verschiedene Hosting- und Mailserver-Anbieter ihre Richtlinien zur E-Mail- Sicherheit verschärfen. So werden E-Mails, die von dahingehend fehlerhaft konfigurierten Mailservern versendet werden, vermehrt abgelehnt und zu Fehlermeldungen führen.

Wenn du dich also fragst, warum das Senden an oder Empfangen mit Standard-Mailanbietern wie z.B. Web.de, GMX.de oder G-Mail immer öfter fehlschlägt, ist vielleicht das der Grund.

Doch wofür ist das Ganze dann gut?

Schauen wir in unserem Postfach in den Spam-Ordner, stellen wir fest:
Es gibt viele Mailversender, die so tun, als wären sie Banken, große Versanddienstleister, Prinzen aus dem Ausland, die uns ihre Millionen überschreiben wollen oder auch unsere Verwandten.

Die jetzt „angezogenen Zügel“ bei den Maildienstleistern sind die logische Konsequenz und dienen nur dem Ziel, dass wir alle uns bei Versand und Empfang von Mails sicherer sein können, dass das Gegenüber auch das ist, was es vorgibt zu sein.

Kleiner Tipp am Rande:

Wenn E-Mails nicht zugestellt werden können oder anderweitige Fehlermeldungen auftauchen, die nicht zugeordnet werden können, sprecht uns gerne an und wir schauen, ob wir das Problem aus der Welt schaffen können.

Das Verfahren im technischen Detail:

SPF

Mit einem SPF-Eintrag wird (per DNS eines Absende-Servers) festgelegt, von welchen IP-Adressen oder Domains E-Mails über den Absende-Server versendet werden dürfen. SPF hilft also dem Empfänger-Server E-Mails zu identifizieren, die von einem nicht zum Versand autorisierten Absender gesendet wurden.

Vidualisierung des SPF Vorgangs
Die Grafik beschreibt, wie ein Spam-Bot mit der Domain beispiel.de versucht, über den Mailserver von userfreunde.de E-Mails zu versenden. In diesem Fall wird vom Mailserver des Empfängers der SPF-Eintrag des Absende-Servers (userfreunde.de) abgerufen und geprüft, ob der Absender () über den userfreunde-Server senden darf. Wenn weder die Domain oder die IP-Adresse des Absenders hinterlegt ist, kann die E-Mail als Spam erkannt werden.

DKIM

Der DKIM-Eintrag dient der digitalen Signatur von E-Mails und der Sicherstellung der Authentizität von E-Mail-Absendern. Um das zu bewirken, wird der E-Mail eine (nicht sichtbare) Signatur hinzugefügt, die der Absende-Domain zugeordnet ist. Damit wird das Fälschen des Absenders einer E-Mail erschwert.

Visualisierung des DKIM Eintrags
Die Grafik beschreibt, wie der Mailserver des Absenders (userfreunde.de) die E-Mail mit dem privaten Schlüssel signiert. Der Empfänger-Mailserver ruft den öffentlichen Schlüssel des Absenders aus den DNS-Einträgen ab. Mittels des asymmetrischen Verfahrens von Public- und Private-Key, kann die E-Mail- Signatur geprüft und validiert werden.

DMARC

DMARC kombiniert die beiden anderen Protokolle SPF und DKIM. Die DMARC-Richtlinie bestimmt, welche Überprüfungen genau durchgeführt werden, bzw. wie mit E-Mails verfahren wird, die den SPF- oder DKIM-Regeln nicht entsprechen. Mit DMARC werden also (ebenfalls mit Hilfe von DNS-Einträgen) Handlungen definiert, wie ein Empfänger-Server bei Verstößen gegen SPF und DKIM mit einer E-Mail verfahren soll. Das lässt sich stufenweise mit bestimmten Parametern regulieren.

Kontakt