encryption

Was ist ein Sender Policy Framework (SPF)?

December 07, 2016
Mark Guntrip

Viele Organisationen haben für ihre Mitarbeiter und Kunden in Schulungen für E-Mail-Betrug investiert. Dennoch werden Personen von BEC (Business E-Mail Compromise) – sehr gezielte Angriffe mit geringem Volumen, die Mitarbeiter austricksen, indem sie vertraute Unternehmensidentitäten nachahmen – und Anmeldedaten-Phishing-Scams getäuscht. Und sie funktionieren. Gemäß Verizon werden 30 % aller Phishing-Nachrichten von den anvisierten Benutzern geöffnet und 12 % davon klicken auf schädliche Anhänge.

Ihre erste Verteidigungslinie gegen betrügerische E-Mail-Angriffe sollte stets die E-Mail Authentifizierung sein, nicht das Personal. Dadurch entfällt das Rätselraten für die bedrohten Empfänger, da bösartige Nachrichten erkannt und blockiert werden, bevor sie in den Posteingang gelangen.

Es gibt drei Hauptprotokolle für die E-Mail-Authentifizierung, die jedes Unternehmen unbedingt einsetzen sollte:

  • Sender Policy Framework (SPF)
  • DomainKeys Identified Mail (DKIM)
  • Domain-based Message Authentication Reporting and Conformance (DMARC)

In diesem Beitrag sprechen wir über SPF — was es ist, wie es funktioniert und warum es wichtig ist. Doch um SPF zu verstehen, müssen Sie zunächst die Anatomie einer E-Mail-Nachricht verstehen, speziell die Teile, die Sie normalerweise nicht sehen können.

Zwei E-Mail-Kopfzeilen

Jede E-Mail enthält zwei „Kopfzeilen“, eine sichtbare, die Sie über jeder E-Mail-Nachricht sehen können, und eine verborgene, die technischen Zwecken dient. Jede Kopfzeile enthält die „Absenderadresse“, die Sie sehen können (auch „Kopfzeile von“ oder „friendly from“) und die „Umschlag von“-Adresse, die im verborgenen, technischen Titel der E-Mail enthalten ist (auch Rückweg oder „mfrom“). Hier sind Beispiele dafür, wie diese Kopfzeilen aussehen:

Sichtbare Kopfzeile:

Technische, verborgene Kopfzeile:

Beachten Sie dies, wenn Sie weiterlesen, worum es bei SPF geht.

Was ist SPF?

Bei SPF handelt es sich um ein E-Mail-Authentifizierungsprotokoll, mit dem Ihr Unternehmen angeben kann, wer im Namen Ihrer Domäne E-Mails senden darf. Sie können Absender für E-Mail-Provider in einem SPF-Bericht ermächtigen, der im DNS (Domain Name System) veröffentlicht wird. Dieser Bericht umfasst eine Liste genehmigter IP-Adressen und Anbieter-IP-Adressen.

Wie funktioniert SPF?

Bevor eine Nachricht geliefert wird, prüfen E-Mail-Provider den SPF-Bericht, indem die eingeschlossenen Domänen in der „Umschlag von“-Adresse (auch Rückkehrpfad oder „mfrom“) in der verborgenen, technischen Kopfzeile der E-Mail angesehen werden. Wie Sie im obigen Beispiel sehen können, lautet der Domänenname der „Umschlag von“-Adresse „mint.com“. Wenn die IP-Adresse, die eine E-Mail im Namen dieser Domäne sendet, nicht im SPF-Bericht der Domäne aufgeführt ist, dann schlägt die SPF-Authentifizierung fehl. 

Warum ist SPF wichtig?

Da SPF Cyberkriminelle davon abschreckt, Ihre Domäne zu fälschen, werden Spam-Filter sie nicht so leicht auf die schwarze Liste setzen.  Diese verbesserte Reputation erhöht die Zustellbarkeit Ihrer rechtmäßgien E-Mails.

Doch SPF allein reicht nicht aus, um Phishing E-Mails aufzuhalten, die Ihre Mitarbeiter und Kunden bedrohen. Es bringt einige Herausforderungen mit sich:

  • Genauigkeit: Anbieter, die E-Mails bezüglich Ihrer Marke senden, ändern und vermehren sich häufig. Wenn diese Änderungen nicht in Echtzeit einsehbar sind, sind Ihre SPF-Berichte bald überholt.
  • Toleranz: SPF ist eines der vielen Signale, die E-Mail-Anbieter verwenden, um ihre Lieferentscheidungen zu treffen. Ein SPF-Fehler garantiert nicht, dass die Nachricht blockiert wird.
  • Immunität: Wenn eine E-Mail weitergeleitet wird, wird der SPF-Bericht unterbrochen.
  • Schutz: SPF schützt nicht vor der Nachahmung der „Kopfzeile von“-Adresse, die Benutzer auf Ihren E-Mail-Clients sehen können. Cyberkriminelle können SPF umgehen, indem sie eine in ihrem Besitz befindliche Domäne in der „Umschlag von“-Adresse einschließen, und dennoch die Domäne einer echten Marke im sichtbaren Absenderfeld nachahmen.

Zum Glück können andere E-Mail-Authentifizierungstechnologien diese Lücke füllen. Bleiben Sie am Apparat für unseren nächsten Authentifizierungsbeitrag – wir schlüsseln auf, worum es bei einem anderen Protokoll geht – DKIM (DomainKeys Identified Mail).

Ist Ihr SPF-Bericht auf dem Laufenden? Verwenden Sie dieses Tool, um herauszufinden, welche Server berechtigt sind, E-Mail im Namen Ihrer Domänen zu senden.