E-Mail - Maßnahmen gegen gefälschte Absenderadressen

Frage:

Welche Maßnahmen werden gegen gefälschte Absenderadressen ergriffen?

Antwort:

Wir kombinieren SPF, DKIM und DMARC, um E-Mails mit gefälschten Absenderadressen zu erkennen.

Problem: Gefälschte Absenderadressen

Grundsätzlich ist es jederzeit möglich, dass jemand eine E-Mail mit einer gefälschten Absenderadresse verschickt. Durch derartige E-Mails können eine Reihe von Schäden verursacht werden. Beispiele dafür wären:

  • Erfolgreiche Phishing-Angriffe führen zur Infektion von Computern und in Folge dessen zu Datenverlusten und/oder Versand von Spam.
  • Der Ruf des vorgeblichen Absenders gerät in Mitleidenschaft.
  • Bei Privatpersonen entstehen ggf. auch finanzielle Schäden in Folge von Betrug.

Aus diesen Gründen sind Gegenmaßnahmen gegen E-Mails mit gefälschten Absenderadressen wichtig. Dabei gibt es zwei Perspektiven, die berücksichtigt werden:

  1. Eingehende E-Mails, die aus dem Internet an uns gesendet werden
  2. Ausgehende E-Mails von uns, die ins Internet versendet werden

Maßnahme 1: SPF

Mit dem Sender Policy Framework (SPF) kann der Inhaber der Domain "hs-hannover.de" angeben, welche Mailserver für den Versand von E-Mails im Namen dieser Domain zuständig sind. Zusätzlich kann vorgegeben werden, was mit E-Mails passieren soll, die nicht von den angegebenen Mailservern stammen. Dadurch wird ausgeschlossen, dass beliebige Mailserver die Domain "hs-hannover.de" in Absenderadressen verwenden dürfen.

Empfängt ein Mailserver im Internet eine E-Mail, die vorgeblich von it-support@hs-hannover.de stammt, kann dieser Mailserver über DNS nachschlagen, ob der sendende Mailserver wirklich autorisiert ist, diese E-Mail zu verschicken. Schlägt dieser Test fehl, wird die betroffene E-Mail oft abgelehnt; der Absender erhält eine Fehlermeldung.

Problem: Je nach Einstellung kann SPF in Kombination mit E-Mail-Weiterleitungen Probleme verursachen, sofern die Absenderadresse während der Weiterleitung nicht angepasst wird. Die meisten modernen Mailinglisten verwenden eigene Absenderadressen, und umschiffen dieses Problem damit.

Aktueller Stand: Alle uns bekannten Mailserver sind erlaubte Absender im Namen von hs-hannover.de. Alle übrigen Server sind explizit nicht autorisiert.

Maßnahme 2: DKIM

Mit DomainKeys Identified Mail (DKIM) kann der Inhaber der Domain "hs-hannover.de" kryptografische Schlüssel erzeugen, mit denen wichtige Teile einer E-Mail vor ihrem Versand signiert werden.

Empfängt ein Mailserver im Internet eine so signierte E-Mail, kann dieser über DNS den dazugehörigen Schlüssel nachschlagen und die Signatur überprüfen.

  • Eine korrekte Signatur ist ein gutes Zeichen dafür, dass die E-Mail wirklich vom angegebenen Absender stammt. Auf jeden Fall wurde die E-Mail von einem Mailserver versendet, der den passenden privaten Schlüssel zum Signieren besitzt.
  • Eine kaputte Signatur kann ein Hinweis auf eine manipulierte E-Mail sein; dahinter muss jedoch keine Absicht stecken, da manche Mailserver bei der Weiterleitung einer E-Mail Änderungen vornehmen, die zum Signaturbruch führen.
  • Eine fehlende Signatur hat keine Aussagekraft; die E-Mail kann dennoch von dem angegebenen Absender stammen.

Aktueller Stand: Ausgehende E-Mails mit Absender *@hs-hannover.de, *@stud.hs-hannover.de und *@extern.hs-hannover.de werden signiert.

Maßnahme 3: DMARC

Mit Domain-based Message Authentication, Reporting and Conformance (DMARC) können die Maßnahmen SPF und DKIM verwendet werden, um zu bestimmen, unter welchen Umständen eine E-Mail von dem in der E-Mail angegebenen Absender stammt. Weiterhin kann bestimmt werden, wie mit E-Mails umgegangen werden soll, die gegen die vorgegebene DMARC-Richtlinie der Absenderdomain verstoßen.

Aktueller Stand: Es werden noch keine Regeln mit DMARC erzwungen, sondern lediglich Informationen darüber gesammelt, wie viele E-Mails mit Absenderadressen unter "hs-hannover.de" sich an die SPF-Regeln halten, beziehungsweise wie viele E-Mails über eine korrekte DKIM-Signatur verfügen. Sobald die Erfolgsquote hoch genug ist, wird eine Quarantäne-Richtlinie in Kraft treten.

Weitere Fragen?

Wenden Sie sich an den ITServiceDesk:

E-Mail an IT-Support@hs-hannover.de
oder legen Sie ein Ticket im OTRS an.

Campus Linden, Raum 1B.0.43
Tel: +49 511 9296 4444

Campus Kleefeld, Raum 3C.1.02
Tel: +49 511 9296 3333