E-Mail ist bis heute der wichtigste Kommunikationskanal für Unternehmen und das bevorzugte Kommunikationsmittel von Verbrauchern. Gleichzeitig gilt: Bedrohungsakteure folgen der Masse. Sie setzen also weiterhin auf E-Mails, um Phishing, Spam und andere Betrugsversuche zu verteilen. Google, Yahoo und Apple stellen sich dem jedoch entgegen und legen neue Anforderungen für die E-Mail-Authentifizierung fest, die E-Mail-Missbrauch durch Bedrohungsakteure verhindern sollen. Diese fundamentale Änderung ist sehr wichtig für Verbraucher. Da Google, Yahoo und Apple die neuen Anforderungen ab dem ersten Quartal 2024 durchsetzen werden, bleibt Unternehmen jedoch nicht viel Zeit für die Vorbereitung.
Obwohl diese Regeln in wenigen Wochen in Kraft treten, hat mehr als ein Viertel (27 %) der Forbes Global 2000-Unternehmen sie noch nicht umgesetzt. Das kann zu Schwierigkeiten führen, wenn sie ihre Kunden per E-Mail erreichen wollen. Gleichzeitig steigt das Risiko für Kunden durch E-Mail-Betrug und sonstige Angriffe, denn unser State of the Phish-Bericht 2023 hat gezeigt, dass 44 % der weltweiten Verbraucher E-Mails bereits als sicher betrachten, wenn sie ein bekanntes Markendesign nutzen.
Proofpoint führte eine Analyse der Forbes Global 2000-Unternehmen und ihrer Implementierung des offenen DMARC-Protokolls (Domain-based Message Authentication Reporting and Conformance) durch. Dieses weit verbreitete Authentifizierungsprotokoll verifiziert die Identität des E-Mail-Kommunikationspartners zuverlässig und verhindert dadurch, dass Website-Domain-Namen imitiert und missbraucht werden. Die Analyse zeigte folgende interessante Ergebnisse:
- Mehr als ein Viertel (27 %) der Global 2000 haben noch keinen DMARC-Datensatz implementiert und sind damit also gänzlich für die neue E-Mail-Authentifizierung unvorbereitet.
- Überraschende 69 % verhindern nicht aktiv, dass betrügerische E-Mails an ihre Kunden gesendet werden. Weniger als ein Drittel (31 %) haben die höchstmöglichen Schutzmaßnahmen implementiert, sodass verdächtige E-Mails die Posteingänge ihrer Kunden gar nicht erst erreichen.
- 27 % verfügen über eine Überwachungsrichtlinie, die jedoch nicht verhindert, dass unzulässige E-Mails die Posteingänge der Empfänger erreichen. Nur 15 % haben eine Quarantänerichtlinie implementiert, die unzulässige E-Mails in den Spam-/Junk-Ordner weiterleitet.
E-Mail-Authentifizierung wird schon seit Jahren standardmäßig empfohlen. Dabei ist DMARC der Goldstandard beim Schutz vor E-Mail-Nachahmung, einer der am häufigsten eingesetzten Techniken bei E-Mail-Betrug und Phishing-Angriffen. Unsere Analyse der Global 2000-Unternehmen zeigt jedoch, dass viele Unternehmen diese Authentifizierungstechnologie noch nicht implementiert haben – und das innerhalb kürzester Zeit nachholen müssen, wenn sie weiterhin E-Mails an ihre Kunden senden möchten. Bei Unternehmen, die diese Vorgabe nicht einhalten, könnten die Nachrichten direkt in die Spam-Ordner der Kunden zugestellt oder grundsätzlich abgelehnt (d. h. blockiert) werden.
Die Implementierung ist jedoch nicht immer ganz einfach, weil dazu verschiedene technische Schritte und regelmäßige Wartungsmaßnahmen notwendig sind. Nicht alle Unternehmen verfügen über die internen Ressourcen oder Kenntnisse, um die Anforderungen zeitnah umzusetzen. Dokumente wie die Technische Kurzvorstellung von Proofpoint sowie das Kit zum Thema E-Mail-Authentifizierung bieten aber einen guten Einstieg in die Materie. Außerdem stellt Proofpoint ein Tool zur Verfügung, mit dem Sie den DMARC- und SPF-Datensatz Ihrer Domain überprüfen und selbst einen DMARC-Datensatz für die Domain erstellen können. Dieses Tool gehört zur umfassenden Lösung Proofpoint Email Fraud Defense, die Funktionen für gehostetes SPF, gehostetes DKIM und gehostetes DMARC enthält – und damit nicht nur die Bereitstellung und Wartung vereinfacht, sondern auch die Sicherheit verbessert. Mit dieser Lösung erhalten Sie zudem Unterstützung von erfahrenen Beratern, die Ihnen bei der DMARC-Implementierung und Umsetzung der neuen Anforderungen von Google, Yahoo und Apple zur Seite stehen. Für Anwendungen oder externe SaaS-Versender, die den DMARC-Standard nicht einhalten können, ist Proofpoint Secure Email Relay eine gute Option, die vertrauenswürdige Domains vor Missbrauch schützt.
Ebenso wie alle anderen Sicherheitstools ist auch DMARC kein Allheilmittel. Vielmehr stellt das Protokoll eine weitere Sicherheitsebene dar, die Ihre übrigen Schutzmaßnahmen stärkt. Die neuen E-Mail-Anforderungen sind für Ihr Unternehmen eine gute Gelegenheit, bestehende E-Mail-Sicherheitslücken zu schließen. Wir lassen Sie dabei aber nicht allein und stellen Ihnen die Experten und Materialien zur Verfügung, damit Sie das Thema E-Mail-Bedrohungen umfassend angehen können.