Inhaltsverzeichnis
Definition
DMARC ist ein offenes E-Mail-Authentifizierungsprotokoll, das den E-Mail-Kanal auf Domänenebene schützt. Die DMARC-Definition beinhaltet das Erkennen und die Verhinderung von Spoofing-Techniken, die bei Phishing, Business Email Compromise (BEC), und anderen E-Mail-basierten Angriffen eingesetzt werden. Aufbauend auf den bestehenden Standards SPF und DKIM, ist DMARC die erste und einzige weit verbreitete Technologie, die sicherstellt, dass der „From“-Header der Domäne vertrauenswürdig ist. Der Domänenbesitzer kann einen DMARC-Eintrag im Domain Name System (DNS) veröffentlichen und eine Richtlinie erstellen, die definiert, was im Falle einer fehlgeschlagenen Authentifizierung mit der E-Mail geschehen soll.
Beispiele
- Domain-Spoofing: Ein Angreifer fälscht die Domain eines Unternehmens, um eine E-Mail legitim erscheinen zu lassen.
- Email-Spoofing: Ein Begriff für Spoofing-Aktivitäten mit E-Mails.
- Business Email Compromise (BEC): Eine E-Mail, die anscheinend von einem leitenden Angestellten innerhalb des Unternehmens stammt, der darum bittet, Geld oder vertrauliche Informationen zu senden.
- Impostor Emails: Eine gefälschte E-Mail, in der ein Betrüger vorgibt, jemand anderes zu sein.
- Phishing-Email: Eine E-Mail, in der Opfer dazu verleitet werden sollen, Malware zu installieren oder ihre Zugangsdaten mitzuteilen. Eine Phishing-Mail sieht oft wie die einer bekannten Firma/Organisation aus, um legitim zu erscheinen.
- Consumer-Phishing: Eine gefälschte E-Mail, die an die Kunden des Unternehmens gesendet wird, um Zugangsdaten zu stehlen.
- Partner-Spoofing: Gefälschte Geschäfts-E-Mails zwischen Partnern in der Lieferkette, in denen versucht wird, Zahlungsdetails zu ändern, um Geld abzuschöpfen.
- Whaling: Gefälschte E-Mails, die an einen leitenden Mitarbeiter des Unternehmens gesendet werden, um einen großen finanziellen Gewinn zu erzielen.
Standards
- Domänenbasierte Nachrichtenauthentifizierung, Berichterstellung und Konformität (DMARC): Ein E-Mail-Validierungssystem, das E-Mail-Spoofing erkennt und verhindert. Es hilft bei der Bekämpfung bestimmter Techniken, die häufig bei Phishing und E-Mail-Spam eingesetzt werden, z. B. E-Mails mit gefälschten Absenderadressen, die von scheinbar legitimen Unternehmen stammen.
- Sender Policy Framework (SPF): Ein E-Mail-Validierungsprotokoll, das E-Mails erkennt und blockiert. Der empfangende Mail-Exchanger kann überprüfen, ob eingehende E-Mails einer Domäne von einer IP-Adresse stammen, die von den Administratoren dieser Domäne autorisiert wurde.
- DomainKeys Identified Mail (DKIM): Eine E-Mail-Authentifizierungsmethode, die E-Mail-Spoofing erkennt. Sie ermöglicht es dem Empfänger zu überprüfen, ob eine E-Mail tatsächlich vom Eigentümer dieser Domäne gesendet und autorisiert wurde.
- Binding Operational Directive 18-01: Das US Heimatschutz-Ministerium hat die Binding Operational Directive 18-01 herausgegeben, mit den Behörden ihre E-Mail- und Web-Sicherheit verbessern können. Die Behörden müssen SPF, DMARC und STARTTLS effizient umsetzen.
SPF und DKIM
Sender Policy Framework (SPF) ist ein E-Mail-Validierungsprotokoll, mit dem Unternehmen festlegen können, wer E-Mails von ihren Domänen aus versenden darf. Die Unternehmen erstellen einen SPF-Eintrag im Domain Name System (DNS) und autorisieren somit die Absender. Der DMARC-Eintrag enthält die genehmigten IP-Adressen von E-Mail-Absendern, einschließlich der IP-Adressen von Dienstanbietern, die E-Mails im Namen des Unternehmens versenden dürfen. Die Veröffentlichung und Überprüfung von SPF-Einträgen ist eine zuverlässige Anti-Phishing-Methode. Neben Phishing stoppt diese Maßnahme auch alle anderen E-Mail-basierten Bedrohungen, die „From“-Adressen und Domains fälschen.
DomainKeys Identified Mail (DKIM) ist ein E-Mail-Authentifizierungsprotokoll, mit dem der Empfänger überprüfen kann, ob eine E-Mail vom Eigentümer dieser Domäne autorisiert wurde. Es ermöglicht einem Unternehmen, die Verantwortung für die Übertragung einer E-Mail zu übernehmen, indem eine digitale Signatur angehängt wird. Die Verifizierung erfolgt durch kryptographische Authentifizierung anhand des öffentlichen Schlüssels, der im DNS hinterlegt wird. Die Signatur stellt sicher, dass die E-Mail seit dem Zeitpunkt, an dem die digitale Signatur angehängt wurde, nicht mehr verändert wurde.
DMARC testen und verifizieren
Damit eine E-Mail die DMARC-Authentifizierung besteht, muss sie die SPF-Authentifizierung und den SPF-Abgleich und/oder die DKIM-Authentifizierung und den DKIM-Abgleich bestehen. Wenn eine E-Mail die DMARC-Authentifizierung nicht besteht, können die Sender den Empfängern über eine DMARC-Richtlinie Anweisungen erteilen, was mit dieser E-Mail geschehen soll. Der Domänenbesitzer kann drei Richtlinien durchsetzen: Keine Aktion („none“ – die E-Mail wird dem Empfänger zugestellt und der DMARC-Bericht wird an den Domänenbesitzer gesendet), Quarantäne („quarantine“ – die E-Mail wird in den Spam-Ordner verschoben) und Zurückweisen („reject“ – die Nachricht wird nicht zugestellt).
Die DMARC-Richtlinie „Keine Aktion“ ist ein guter erster Schritt. Der Domänenbesitzer erhält DMARC-Berichte und kann sicherstellen, dass alle legitimen E-Mails ordnungsgemäß authentifiziert werden. Sobald der Domänenbesitzer sicher ist, dass er alle legitimen Absender identifiziert und Authentifizierungsprobleme behoben hat, kann er zu einer Politik des „Zurückweisens“ übergehen und Phishing, Business Email Compromise und andere E-Mail-Angriffe blockieren. Als E-Mail-Empfänger kann ein Unternehmen sicherstellen, dass ihr E-Mail-Gateway die beim Domänenbesitzer implementierten DMARC-Richtlinie durchsetzt. Dadurch werden Mitarbeiter vor eingehenden E-Mail-Bedrohungen geschützt.
Die SPF-Authentifizierung beginnt mit der Identifizierung aller legitimen IP-Adressen, die E-Mails von einer bestimmten Domäne senden sollen, und veröffentlicht diese Liste dann im DNS. Bevor eine E-Mail zugestellt wird, überprüfen die E-Mail-Provider den SPF-Eintrag, indem sie die Domäne, die in der „From“-Adresse enthalten ist, im versteckten technischen Header der E-Mail nachschlagen. Wenn die IP-Adresse nicht im SPF-Eintrag der Domäne aufgeführt ist, schlägt die SPF-Authentifizierung fehl.
Bei der DKIM-Authentifizierung definiert der Absender zunächst, welche Felder er in seine DKIM-Signatur aufnehmen möchte. Zu diesen Feldern können die Absenderadresse, der Hauptteil der E-Mail, der Betreff und mehr gehören. Diese Felder müssen dann während der Übertragung unverändert bleiben, sonst schlägt die DKIM-Authentifizierung fehl. Daraufhin erstellt die E-Mail-Plattform des Absenders einen Hashwert der in der DKIM-Signatur enthaltenen Textfelder. Sobald der Hashwert erzeugt ist, wird er mit einem privaten Schlüssel verschlüsselt, auf den nur der Absender Zugriff hat. Nachdem die E-Mail gesendet wurde, ist es Sache des E-Mail-Gateways oder des Mailbox-Providers des Verbrauchers, die DKIM-Signatur zu validieren. Dies geschieht durch das Auffinden eines öffentlichen Schlüssels, der mit dem privaten Schlüssel übereinstimmt. Die DKIM-Signatur wird dann wieder in ihren ursprünglichen Hashwert entschlüsselt.
Tools und bewährte Praktiken
- Aufgrund des Umfangs sowie der mangelnden Klarheit der DMARC-Berichte, die ein E-Mail-Absender empfängt, kann sich die vollständige Implementierung der DMARC-Authentifizierung als schwierig erweisen.
- DMARC-Parsing-Tools können Organisationen dabei helfen, die in den DMARC-Berichten enthaltenen Informationen zu nutzen.
- Zusätzliche Daten und Einblicke, die über die in den DMARC-Berichten enthaltenen Informationen hinausgehen, helfen Unternehmen dabei, E-Mail-Absender schneller und genauer zu identifizieren. Dadurch wird der Implementierungsprozess der DMARC-Authentifizierung beschleunigt und das Risiko minimiert, dass legitime E-Mails blockiert werden.
- Professionelle Service-Berater mit DMARC-Expertise können Unternehmen bei der DMARC-Implementierung unterstützen. Die Berater helfen dabei, alle legitimen Absender zu identifizieren, Authentifizierungsprobleme zu beheben und können sogar mit den E-Mail-Serviceanbietern zusammenarbeiten, um sicherzustellen, dass sie sich ordnungsgemäß authentifizieren.
- Unternehmen können innerhalb von wenigen Minuten einen DMARC-Eintrag erstellen und durch DMARC-Berichte Sichtbarkeit erlangen, indem sie die DMARC-Richtlinie „keine Aktion“ durchsetzen.
- Durch die ordnungsgemäße Identifizierung aller legitimen E-Mail-Absender – einschließlich E-Mail-Serviceanbieter von Dritten – und die Behebung von Authentifizierungsproblemen, sollten Unternehmen einen hohen Vertrauensgrad erreichen, bevor sie die DMARC-Richtlinie „Zurückweisen“ durchsetzen.
DMARC
Was ist ein DMARC Eintrag? Mehr über Domänenbasierte Nachrichtenauthentifizierung, Berichterstellung und Konformität mit Proofpoint's DMARC Definition.
Schulen Sie Ihre Anwender mit simulierten Phishing-Angriffen
Proofpoints Anti-Phishing-Test und die Phishing-Simulation sensibilisieren Ihre Mitarbeiter für Phishing. Erhöhen Sie jetzt das Sicherheitsbewusstsein im Team.
Was ist Business E-Mail Compromise (BEC)?
Eine Business-E-Mail-Compromise-Attack (BEC) kann zu einer Datenverletzung führen. Erfahren Sie mehr und schützen Sie sich mit Proofpoints BEC-Protection!
Malware in E-Mail-Anhängen
Viele Computerviren werden über gefährliche E-Mail-Anhänge verbreitet. Erfahren Sie jetzt, wie Sie sich besser schützen und gefährliche Mails erkennen.
Was bedeutet E-Mail-Sicherheit?
Wie sichern Sie am besten Ihre E-Mails? Lernen Sie mit Proofpoint, worauf es bei E-Mail-Sicherheit für private sowie geschäftliche Kommunikation ankommt.
So schützt Proofpoint EFD jenseits von DMARC
Der plattformbasierte Sicherheitsansatz integriert sich nahtlos mit anderen Proofpoint-Lösungen, damit Sie umfassenden und flexiblen Schutz erhalten.
E-Book: Den Spieß umdrehen
In unserem E-Book wird erläutert, wie Sie Anwender schulen, damit sie verdächtige E-Mails wie Phishing erkennen und melden – ohne dabei einen unnötigen Mehraufwand zu erzeugen, der die IT- und Sicherheitsteams dazu zwingt, blinden Alarmen auf den Grund zu gehen.