Spoofing-Abwehr für eigene Domains: SPF, DKIM, DMARC

SPF, DKIM & DMARC

Auf Grund der offenen und dezentralisierten Struktur von SMTP ist E-Mail Spoofing ein geläufiges Problem. Jeder Server, der am Internet angeschlossen ist, kann eine E-Mail versenden, dabei Ihre E-Mail verwenden und damit Ihre Identität missbrauchen. Wenn Sie eine eigene Domain mit Mailfence verwenden, empfehlen wir Ihnen die folgenden E-Mail-Spoofing Abwehrmaßnahmen einzusetzen.

Sender Policy Framework (SPF)

Der Sender Policy Framework (SPF)-Eintrag informiert den Empfänger darüber, welche Hosts oder IP-Adressen E-Mails für Ihre Domain versenden können. Sie müssen dazu DNS-Einträge vom Typ ‚TXT‘ über Ihren Hosting Provider, Domain Registrar oder DNS Provider ergänzen. Wir empfehlen Ihnen, in der Hilfedokumentation Ihres Providers nach weiteren Informationen über das Ergänzen von TXT-Einträgen nachzusehen.

In Ihrem SPF-Eintrag können Sie die folgende Domain _spf.mailfence.com mit den folgenden Werten ‚einschließen‘:
Wenn E-Mails ausschließlich über mailfence.com-Server verschickt werden (Webmail, authentifiziertes SMTP, Weiterleiten):
v=spf1 include:_spf.mailfence.com -all
Wenn E-Mail auch von anderen Servern verschickt werden, verwenden Sie bitte:
v=spf1 include:_spf.mailfence.com ~all
Dieser Eintrag hilft dabei, Ihre Domain vor Angreifern/Spammern zu schützen, die E-Mails mit gefälschten Headern versenden, und verleiht Ihren versendeten E-Mail mehr Legitimität.

 

DomainKeys Identified Mail (DKIM)

DomainKeys Identified Mail (DKIM) st eine Methode zur E-Mail-Authentifizierung, die kryptografisch verifiziert, ob eine E-Mail von autorisierten Servern verschickt und während der Übertragung nicht modifiziert wurde. Für den Fall, dass Sie möchten, dass wir die DKIM-Signatur (empfohlen) für E-Mails, die über unsere Server mit einer Absenderadresse verschickt werden, die Ihre Domain enthalten, aktivieren sollen, benachrichtigen Sie uns bitte per E-Mail.

Bitte nennen Sie uns dabei Ihre Domain und den Login-Namen für Ihr Benutzerkonto, so dass wir Sie darüber in Kenntnis setzen können, wenn wir die Einstellung für Ihre Domain aktiviert haben.

Hinweis: Derzeit wird jede Ihrer E-Mails mit dem Mailfence-Domain-DKIM-Schlüssel signiert, so dass Sie nichts in Ihrer DNS-Zone einrichten müssen. Dies entlastet den Benutzer von der Generierung, Verwaltung, Rotation und sicheren Entsorgung von kompromittierten, überflüssigen oder veralteten privaten DKIM-Schlüsseln.

Domain-based Message Authentication, Reporting and Conformance (DMARC)

Nachdem wir uns mit SPF und DKIM beschäftigt haben, stellt sich die Frage, was ein Empfänger-Server tun soll, wenn er eine E-Mail erhält, die bei diesen Checks durchfiel. An dieser Stelle kommt Domain-based Message Authentication, Reporting and Conformance (DMARC) ins Spiel, das es dem Domain-Besitzer erlaubt, festzulegen, was bei gescheiterten Checks passieren soll bzw. entsprechendes Feedback/Berichte zu erhalten.

Sie müssen dazu DNS-Einträge des Typs ‚TXT‘ (_dmarc.ihredomain.com) über Ihren Hosting Provider, Domain Registrat oder DNS-Provider ergänzen lassen. Wir empfehlen Ihnen, in der Hilfedokumentation Ihres Providers nach weiteren Informationen über das Ergänzen von TXT-Einträgen nachzusehen.

v=DMARC1; p=none; rua=reports@ihredomain.com;

Das “p=” legt die Aktion fest, die ausgeführt werden soll, wenn E-Mails bei DMARC durchfallen. „none“ bedeutet grundsätzlich gar nichts zu tun und die Vorgabe des Empfängers zu befolgen. Die anderen Optionen sind Quarantäne und Zurückweisen, der oben genannte Eintrag entspricht allerdings dem „Report only“-Modus (empfohlen) und hat keine Auswirkungen auf das Zustellen der E-Mail. Falls Sie planen, Quarantäne oder Zurückweisen zu nutzen, stellen Sie sicher, dass Sie die Risiken kennen, die dabei für Ihre E-Mail-Übertragung entstehen.

‚reports@ihredomain.com‘ ist die E-Mail-Adresse, an die Sie DMARC-Berichte anderer Service Provider erhalten werden.

Randnotiz zu SPF, DKIM und DMARC:

  • Wenn Sie einen bestehenden DNS-Eintrag modifizieren, wird es einige Zeit dauern, bis die Änderung wirksam wird (von einigen Stunden bis zu einigen Tagen, in Abhängigkeit vom TTL-Wert für vorherige Einträge)
  • Es gibt verschiedene externe Tools, die Sie nutzen können um SPF (z.B. http://www.kitterman.com/spf/validate.html), DKIM (z.B. http://dkimvalidator.com) oder beides (z.B. https://www.mail-tester.com) zu testen.

Die ultimative Verteidigung gegen Spoofing: Digitale Signaturen

Neben all den Abwehrmaßnahmen gegen Spoofing und Manipulation über SPF, DKIM oder DMARC, bietet Mailfence Ihnen die Möglichkeit, Ihre E-Mails mit OpenPGP-Signaturen digital zu signieren. Unserer Meinung nach ist dies die ultimative Verteidigung gegen Spoofing und Manipulation. Sie können ein OpenPGP-Schlüsselpaar Ihrer Wahl einrichten und haben damit volle Kontrolle über das Schlüsselpaar. Sie können außerdem jederzeit entscheiden, welche E-Mails Sie signieren möchten und welche nicht – oder können alle Ihre ausgehenden E-Mail standardmäßig signieren.

Sie haben weitere Fragen? Unser Support steht Ihnen jederzeit gerne zur Verfügung.

Ihr sicheres E-Mail-Konto – jetzt!

Mailfence ist ein sicherer und vertraulicher E-Mail-Service.


Verbreiten Sie die gute Nachricht !

Werner Grohmann

Werner Grohmann ist Online-Redakteur und Content Marketingberater für deutsche und internationale IT-Unternehmen. Er ist für die deutsche Version des Mailfence Blogs verantwortlich.

Das könnte Dich auch interessieren …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

code

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.