E-Mail Security

Sender Policy Framework

E-Mail-Authentifizierungsverfahren

spezieller DNS-Eintrag (TXT-Record) festzulegen welche Mailserver berechtigt sind, E-Mails im Namen ihrer Domain zu versenden

Empfänger überprüft ob IP Adresse des Absenders autoorisiert ist

Empfänger extrahiert Domain aus Return-Path des Envelops

v=spf1 [Mechanismen][Modifikatoren]

• v=spf1: Pflichtangabe, die die Version des SPF-Records angibt (aktuell immer „spf1“).

• Mechanismen: Definieren, welche IP-Adressen oder Hostnamen E-Mails für die Domain versenden dürfen. Die

wichtigsten Mechanismen sind:

◦ ip4 und ip6: Erlauben bestimmte IPv4- oder IPv6-Adressen (z. B. Ip4:192.0.2.1).

◦ a: Erlaubt die IP-Adresse(n) des A-Records der Domain (z. B. a:mail.example.com).

◦ mx: Erlaubt die IP-Adresse(n) der Mailserver, die im MX-Record der Domain eingetragen sind.

◦ include: Bezieht die SPF-Regeln einer anderen Domain ein (z. B. include:_spf.google.com für Google

Workspace).

◦ all: Wird als Standardregel am Ende verwendet, um alle nicht explizit erlaubten Server zu behandeln (z. B. -

all für „alle anderen ablehnen“).

• Qualifizierer: Bestimmen, wie mit einer Übereinstimmung umgegangen wird:

◦ + (Standard, „pass“): Erlaubt den Versand

◦ ? (neutral): Keine Aussage, Standardverhalten des Empfängers

◦ ~ (softfail): Markiert als verdächtig, aber nimmt die E-Mail an.

◦ - (fail): Lehnt die E-Mail ab.

• Modifikatoren: Optionale Angaben, z. B. redirect (leitet auf einen anderen SPF-Record um) oder exp (gibt eine

Erklärung bei Fehlern aus).

Es schützt nur die Envelope-From-Adresse, nicht den sichtbaren „From“-Header, und ist allein nicht ausreichend, um alle Formen des E-Mail-Missbrauchs zu verhindern.

Außerdem verursacht es Probleme wenn E-Mails weitergeleitet werden, für den Empfänger der weitergeleiteten E-Mail sieht die Domain des Absenders aber die IP des weiterleitetend Systems.

DomainKeys Identified Mail

signiert jede E-Mail digital mit privatem Schlüssel

Empfänger kann Signatur mit öffentlichen Schlüssel überprüfen

asymmetrische Verschlüsselung

Signaturerstellung: Der sendende Mailserver fügt der E-Mail einen DKIM-Header hinzu, der eine digitale Signatur enthält. Diese Signatur wird mit einem privaten Schlüssel erstellt, der nur dem Absender bekannt ist.

DNS-Eintrag: Der öffentliche Schlüssel wird als TXT-Record im DNS der Absenderdomain veröffentlicht (z. B. selector._domainkey.example.com).

Signaturprüfung: Der empfangende Server extrahiert den öffentlichen Schlüssel aus dem DNS und verifiziert damit die Signatur. Stimmt die Signatur überein, gilt die E-Mail als authentisch und unverändert.

DKIM-Signature: v=1; a=rsa-sha256; d=example.com; s=selector;

c=relaxed/simple; q=dns/txt; t=1234567890;

h=from:to:subject:date;

bh=abc123...; b=dXJhIGJhZCB...;

v: Version des DKIM-Standards (meist „1“).

a: Algorithmus für die Signatur (z. B. „rsa-sha256“).

d: Domain, die die E-Mail signiert hat.

s: Selektor, der den öffentlichen Schlüssel im DNS identifiziert.

c: Canonicalization-Methode (wie Header und Body vorbereitet werden).

h: Liste der Header-Felder, die in die Signatur einbezogen werden.

bh: Hash-Wert des E-Mail-Bodys.

b: Die eigentliche digitale Signatur.

Domain-based Message Authentication, Reporting & Conformance

baut auf SPF und DKIM auf

ermöglicht Domainbesitzern, festzulegen, wie empfangende Mailserver mit E-Mails umgehen sollen, die die SPF- oder DKIM-Prüfung nicht bestehen

DMARC funktioniert in drei Schritten:

1. Authentifizierung: Der empfangende Mailserver prüft, ob die E-Mail die SPF- und/oder DKIM-Prüfung besteht.

1. Richtlinienanwendung: Basierend auf dem DMARC-Eintrag im DNS der Absenderdomain entscheidet der Server, wie mit nicht authentifizierten E-Mails umgegangen wird (z. B. Ablehnung, Quarantäne oder Annahme).

2. Berichterstattung: Der empfangende Server sendet regelmäßig Berichte an die im DMARC-Record angegebene E-Mail-Adresse, die Informationen über Authentifizierungsergebnisse und mögliche Angriffsversuche enthalten.

Ein DMARC-Record wird als TXT-Record im DNS der Domain hinterlegt, z. B. unter _dmarc.example.com. Ein

typischer Eintrag sieht wie folgt aus:

v=DMARC1; p=reject; rua=mailto:dmarc-reports@example.com; ruf=mailto:dmarc-failures@example.com; pct=100;

adkim=r; aspf=r

v: Version des DMARC-Standards (immer „DMARC1“).

p: Richtlinie für nicht authentifizierte E-Mails („none“, „quarantine“ oder „reject“).

rua: Adresse für aggregierte Berichte über Authentifizierungsergebnisse.

ruf: Adresse für forensische Berichte bei Authentifizierungsfehlern.

pct: Prozentsatz der E-Mails, auf die die Richtlinie angewendet wird (Standard: 100).

adkim/aspf: Ausrichtung von DKIM- und SPF-Prüfung („r“ für streng, „s“ für locker).

autonome Softwareprogramme, die mithilfe von KI-Technologien wie maschinellem Lernen, natürlicher Sprachverarbeitung und Entscheidungsalgorithmen komplexe Aufgaben selbstständig erledigen