E-Mail - Maßnahmen gegen gefälschte Absenderadressen

Frage:

Wie werden E-Mails mit gefälschten Absenderadressen bekämpft?

Antwort:

Wir setzen auf eine Kombination von verschiedene Maßnahmen.

E-Mails mit gefälschten Absenderadressen werden von Angreifern oft für Phishing-Angriffe eingesetzt, um ihre Opfern möglichst glaubwürdig zu einer Handlung zu verleiten. Aus diesem Grund setzen wir auf eine Kombination verschiedener Maßnahmen, um derartige Angriffe einzudämmen.

1. SPF-Richtlinien

Das Sender Policy Framework (SPF) ermöglicht die Prüfung von Absenderadressen im sogenannten Envelope-Sender. Beim Envelope-Sender handelt es sich um die Absenderadresse einer E-Mail, die während der SMTP-Sitzung vom versendenden Mailserver im MAIL FROM:-Kommando angegeben wurde.

Mit SPF können die Inhaber einer Domain einen DNS-Eintrag publizieren, in dem die IP-Adressen von Mailservern aufgelistet werden, die für die Benutzung dieser Domain im Envelope-Sender autorisiert sind.

In unserem Fall sieht unsere SPF-Richtlinie vor, dass nur unsere ausgehenden Mailserver zur Benutzung von unseren Domains im Envelope-Sender autorisiert sind.

Beispiel: Erhält ein empfangender Mailserver das Kommando MAIL FROM: <foo@example.com>, so gilt die SPF-Richtlinie der Domain example.com. Ist die IP-Adresse des sendenden Mailservers durch diese autorisiert, wird die E-Mail akzeptiert. Ist die IP-Adresse des sendenden Mailserver nicht autorisiert, so kann laut SPF-Richtlinie die E-Mail akzeptiert, markiert oder abgelehnt werden.

2. DKIM-Signaturen

Mit DomainKey Identified Mail (DKIM) ist es möglich, E-Mails vor dem Versand mit einer digitalen Signatur zu versehen. Dabei wird für Teile der E-Mail (meistens die From:-Kopfzeile, einige weitere Kopfzeilen und Teile des E-Mail-Body) mit einer Hashfunktion eine Prüfsumme berechnet. Diese wird zusammen mit weiteren Informationen dann mit einem privaten Schlüssel auf dem Mailserver verschlüsselt. Der öffentliche Schlüssel wird über einen Texteintrag im DNS einer Domain hinterlegt.

Empfängt ein anderer Mailserver eine E-Mail mit DKIM-Signatur, so kann dieser den entsprechenden öffentlichen Schlüssel über einen DNS-Eintrag nachschlagen. Anschließend ist er in der Lage, die Prüfsumme durch eigene Berechnung zu bestätigen, und somit die Korrektheit der DKIM-Signatur zu bestätigen.

Eine korrekte DKIM-Signatur gibt keine Auskunft darüber, ob die E-Mail Spam oder kein Spam ist. Sie bedeutet lediglich, dass die fragliche E-Mail von einem Mailserver verarbeitet wurde, der von der in der Signatur benutzten Domain autorisiert ist. Die in der DKIM-Signatur benutzte Domain ist erst einmal unabhängig von der Absenderdomain.

Beispiel: Erhält ein Mailserver eine E-Mail mit DKIM-Signatur, so wird aus den Signaturdaten zunächst die Domain herausgeholt, die den öffentlichen Schlüssel zum Prüfen der Signatur im DNS hinterlegt hat. Durch erfolgreiche Prüfung der DKIM-Signatur kann darauf geschlossen werden, dass die E-Mail von der Domain signiert wurde und somit von dieser verarbeitet/autorisiert wurde.

Eine Aussage über die Legitimität der in der E-Mail verwendeten Absenderadresse wird hier nicht getroffen. Allerdings können alle von einer Domain signierten E-Mails zur Bildung einer "Domainreputation" beitragen.

3. DMARC-Richtlinien

Mit DMARC (Domain-based Message Authentication, Reporting & Conformance) werden die beiden zuvor erwähnten Bausteine SPF und DKIM instrumentalisiert, um eine effektive Autorisierung von Absenderadressen zu ermöglichen. Ausgangspunkt hierfür ist die From:-Kopfzeile einer E-Mail, welche die tatsächlich von E-Mail-Clients angezeigte Absenderadresse enthält. Aus dieser Absenderadresse wird die Absenderdomain abgeleitet, deren Richtlinien für diese E-Mail geprüft werden sollen.

Die Absenderdomain definiert über einen DNS-Eintrag ihre DMARC-Richtlinie. Diese enthält unter anderem Informationen darüber, wie mit E-Mails umgegangen werden soll, die gegen ihre DMARC-Richtlinie verstoßen. Dabei kann zwischen den Optionen none (Tue nichts), quarantine (Markieren) und reject (Ablehnen) gewählt werden.

Neben den Ergebnissen der SPF- und DKIM-Prüfung fließen auch die dabei involvierten Domains ein - diese müssen mit der Domain übereinstimmen, deren DMARC-Richtlinie umgesetzt wird (sogenanntes Alignment).

Beispiel: Ein Mailserver empfängt eine E-Mail. Die From:-Kopfzeile in der E-Mail enthält die Absenderadresse bar@example.com. Es gilt somit die DMARC-Richtlinie der Domain example.com.

Zusätzlich müssen SPF- und DKIM-Prüfung nicht nur erfolgreich gewesen sein, sondern die dabei involvierte Domain muss ebenfalls example.com (strict alignment) oder *.example.com (relaxed alignment) lauten.

Für SPF bedeutet dies, dass im Envelope-Sender ebenfalls example.com oder eine Subdomain davon zum Einsatz gekommen sein muss. Für DKIM bedeutet dies, dass die DKIM-Signatur mit einem Schlüssel durchgeführt wurde, dessen öffentlicher Teil im DNS von example.com oder einer Subdomain davon nachgeschlagen werden kann.

4. Spamfilter

Als letztes Glied in der Kette kommt unser Spamfilter zum Einsatz, der die E-Mails auf inhaltlicher Ebene untersucht. Mit Hilfe von aktuellen Definitionslisten, die uns vom Hersteller zur Verfügung gestellt werden, können so die bereits bekannte Spam- und Phishing-E-Mails erkannt und markiert werden. Mehr Informationen dazu finden Sie hier.

Weiterführende Informationen

Weitere Fragen?

Wenden Sie sich an den ITServiceDesk:

E-Mail an IT-Support@hs-hannover.de
oder legen Sie ein Ticket im OTRS an.

Campus Linden, Raum 1B.0.43
Tel: +49 511 9296 4444

Campus Kleefeld, Raum 3C.1.02
Tel: +49 511 9296 3333