Was ist E-Mail-Sicherheit?
E-Mail-Sicherheit ist der Prozess zur Verhinderung von E-Mail -basierten Cyber-Angriffen und unerwünschter Kommunikation. Es umfasst den Schutz von Posteingängen vor Übernahme, den Schutz von Domänen vor Spoofing , das Stoppen von Phishing-Angriffen , das Verhindern von Betrug, das Blockieren der Malware- Zustellung, das Filtern von Spam und die Verwendung von Verschlüsselung zum Schutz des Inhalts von E-Mails vor unbefugten Personen.
Sicherheit und Datenschutz sind im ursprünglichen Design nicht in E-Mail integriert, und trotz der Bedeutung von E-Mail als Kommunikationsmethode sind diese immer noch nicht standardmässig in E-Mail integriert. Infolgedessen ist E-Mail ein wichtiger Angriffsvektor für Organisationen als auch für Einzelpersonen.
Welche Arten von Angriffen erfolgen per E-Mail?
Einige der häufigsten Arten von E-Mail-Angriffen sind:
Betrug: E-Mail-basierte Betrugsangriffe können eine Vielzahl von Formen annehmen, von den klassischen Vorschussbetrügereien, die sich an normale Menschen richten, bis hin zu BEC-Nachrichten (Business Email Compromise) , die darauf abzielen, Buchhaltungsabteilungen von Unternehmen dazu zu bringen, Geld auf illegitime Konten zu überweisen. Häufig verwendet der Angreifer Domain-Spoofing, um die Geldanforderung so aussehen zu lassen, als käme diese aus einer legitimen Quelle.
Phishing: Ein Phishing-Angriff versucht, das Opfer dazu zu bringen, dem Angreifer vertrauliche Informationen zu geben. E-Mail-Phishing-Angriffe können Benutzer auf eine gefälschte Webseite leiten, die Anmeldeinformationen sammelt, oder den Benutzer einfach dazu zwingen, die Informationen an eine E-Mail-Adresse zu senden, die geheim vom Angreifer kontrolliert wird. Auch Domain-Spoofing ist bei solchen Angriffen üblich.
Malware: Zu den per E-Mail übermittelten Arten von Malware gehören unter anderem Spyware, Scareware, Adware und Ransomware . Angreifer können Malware auf verschiedene Arten per E-Mail versenden. Eine der häufigsten ist das Einfügen eines E-Mail-Anhangs, der bösartigen Code enthält.
Kontoübernahme: Angreifer übernehmen E-Mail-Posteingänge von legitimen Benutzern für eine Vielzahl von Zwecken, zum Beispiel um deren Nachrichten zu überwachen, Informationen zu stehlen oder legitime E-Mail-Adressen zu verwenden, um Malware-Angriffe und Spam an ihre Kontakte weiterzuleiten.
E-Mail-Abfangen: Angreifer können E-Mails abfangen, um die darin enthaltenen Informationen zu stehlen, oder On-Path-Angriffe durchführen, bei denen sie sich für beide Seiten einer Konversation ausgeben. Die gebräuchlichste Methode hierfür ist die Überwachung von Netzwerkdatenpaketen in drahtlosen lokalen Netzwerken (WLAN) , da das Abfangen einer E-Mail auf dem Weg über das Internet äusserst schwierig ist.
E-Mail-Domain-Spoofing
E-Mail-Domänen-Spoofing ist bei mehreren Arten von E-Mail-basierten Angriffen wichtig, da es Angreifern ermöglicht, Nachrichten von scheinbar legitim erscheinenden Adressen zu senden. Diese Technik ermöglicht es Angreifern, eine E-Mail mit einer gefälschten „Von“-Adresse zu versenden. Wenn Chuck beispielsweise Bob mit einer E-Mail austricksen möchte, könnte Chuck Bob eine E-Mail von der Domain „@vertrauter-absender.com“ senden, obwohl Chuck die Domain „vertrauter-absender.com“ nicht wirklich besitzt oder diese repräsentiert Organisation.
Wie übernehmen Angreifer E-Mail-Konten?
Angreifer können einen gestohlenen Posteingang für eine Vielzahl von Zwecken verwenden, darunter das Versenden von Spam, das Initiieren von Phishing-Angriffen, das Verteilen von Malware, das Sammeln von Kontaktlisten oder das Verwenden der E-Mail-Adresse, um weitere Konten des Benutzers zu stehlen.
Sie können eine Reihe von Methoden anwenden, um in ein E-Mail-Konto einzudringen:
Kauf von Listen mit zuvor gestohlenen Zugangsdaten: Im Laufe der Jahre gab es viele Verletzungen des Schutzes personenbezogener Daten, und Listen mit gestohlenen Benutzernamen/Passwörtern kursieren im Darknet. Ein Angreifer kann eine solche Liste erwerben und die Anmeldeinformationen verwenden, um in Benutzerkonten einzudringen, häufig über Credential Stuffing .
Brute-Force-Angriffe: Bei einem Brute-Force-Angriff lädt ein Angreifer eine Anmeldeseite und verwendet einen Bot, um die Anmeldeinformationen eines Benutzers schnell zu erraten. Ratenbegrenzung und Beschränkungen bei der Passworteingabe stoppen diese Methode effektiv.
Phishing-Angriffe: Der Angreifer hat möglicherweise einen früheren Phishing-Angriff durchgeführt, um an die Anmeldeinformationen des E-Mail-Kontos des Benutzers zu gelangen.
Webbrowser-Infektionen: Ähnlich wie bei einem On-Path-Angriff kann eine böswillige Partei den Webbrowser eines Benutzers infizieren, um alle Informationen zu sehen, die sie auf Webseiten eingeben, einschliesslich ihres E-Mail-Benutzernamens und Passworts.
Spyware: Der Angreifer hat möglicherweise bereits das Gerät des Benutzers infiziert und Spyware installiert, um alles zu verfolgen, was er eingibt, einschliesslich seines E-Mail-Benutzernamens und Passworts.
Die Verwendung der Multi-Faktor-Authentifizierung (MFA) anstelle der Ein-Faktor-Passwortauthentifizierung ist eine Möglichkeit, Posteingänge vor Kompromittierung zu schützen. Unternehmen möchten möglicherweise auch verlangen, dass ihre Benutzer einen Single-Sign-On-Dienst (SSO) verwenden, anstatt sich direkt bei E-Mail anzumelden.
Wie schützt die Verschlüsselung E-Mails?
Verschlüsselung ist der Prozess der Verschlüsselung von Daten, sodass nur autorisierte Parteien sie entschlüsseln und lesen können. Verschlüsselung ist wie das Umhüllen eines Briefes mit einem versiegelten Umschlag, sodass nur der Empfänger den Inhalt des Briefes lesen kann, obwohl beliebig viele Parteien den Brief auf seinem Weg vom Absender zum Empfänger bearbeiten.
Die Verschlüsselung ist nicht automatisch in E-Mails integriert; Das bedeutet, dass das Versenden einer E-Mail wie das Versenden eines Briefes ohne Umschlag ist, der seinen Inhalt schützt. Da E-Mails oft persönliche und vertrauliche Daten enthalten, kann dies ein grosses Problem darstellen.
So wie ein Brief nicht sofort von einer Person zur anderen geht, gehen E-Mails nicht direkt vom Absender zum Empfänger. Stattdessen durchqueren sie mehrere verbundene Netzwerke und werden von Mailserver zu Mailserver geroutet, bis sie schliesslich den Empfänger erreichen. Jeder, der sich mitten in diesem Prozess befindet, könnte die E-Mail abfangen und lesen, wenn sie nicht verschlüsselt ist, einschliesslich des E-Mail-Dienstanbieters. Der wahrscheinlichste Ort, an dem eine E-Mail abgefangen wird, befindet sich jedoch in der Nähe des Ursprungs der E-Mail durch eine Technik namens Packet Sniffing (Überwachung von Datenpaketen in einem Netzwerk).
Verschlüsselung ist wie das Umhüllen einer E-Mail mit einem versiegelten Umschlag. Die meisten E-Mail-Verschlüsselungen funktionieren mit der Kryptografie mit öffentlichen Schlüsseln (weitere Informationen). Einige E-Mail-Verschlüsselungen sind Ende-zu-Ende. Dies schützt E-Mail-Inhalte des E-Mail-Dienstanbieters zusätzlich zu externen Parteien.
Wie helfen DNS-Einträge, E-Mail-Angriffe zu verhindern?
Das Domain Name System (DNS) speichert öffentliche Aufzeichnungen über eine Domain, einschliesslich der IP-Adresse dieser Domain. Das DNS ist unerlässlich, damit Benutzer eine Verbindung zu Websites herstellen und E-Mails senden können, ohne sich lange alphanumerische IP-Adressen merken zu müssen.
Es gibt spezielle Arten von DNS-Einträgen, die sicherstellen, dass E-Mails von einer legitimen Quelle und nicht von einem Imitator stammen: SPF-Einträge, DKIM-Einträge und DMARC-Einträge . E-Mail-Dienstleister prüfen E-Mails anhand dieser drei Aufzeichnungen, um festzustellen, ob sie von dem Ort stammen, von dem sie vorgeben zu stammen, und ob sie während der Übertragung nicht verändert wurden.
Was ist ein DNS-SPF-Eintrag?
Ein Sender Policy Framework (SPF)-Eintrag ist eine Art DNS-TXT-Eintrag , der alle Server auflistet, die berechtigt sind, E-Mails von einer bestimmten Domäne zu senden.
Ein DNS-TXT-Eintrag („Text“) ermöglicht es einem Domain- Administrator, beliebigen Text in das Domain Name System (DNS) einzugeben . TXT-Einträge wurden ursprünglich für den Zweck erstellt, wichtige Hinweise bezüglich der Domain aufzunehmen, haben sich aber seitdem weiterentwickelt, um anderen Zwecken zu dienen.
SPF-Einträge wurden ursprünglich erstellt, weil das für E-Mails verwendete Standardprotokoll — das Simple Mail Transfer Protocol ( SMTP ) — die „Von“-Adresse in einer E-Mail nicht von Natur aus authentifiziert. Das bedeutet, dass sich ein Angreifer ohne SPF oder andere Authentifizierungsdatensätze leicht als Absender ausgeben und den Empfänger dazu verleiten kann, Massnahmen zu ergreifen oder Informationen weiterzugeben, die er sonst nicht tun würde.
Stellen Sie sich SPF-Datensätze wie eine Gästeliste vor, die von einem Türsteher verwaltet wird. Wenn jemand nicht auf der Liste steht, wird der Türsteher ihn nicht hereinlassen. Wenn ein SPF-Eintrag die IP-Adresse oder Domäne eines Absenders nicht auf seiner Liste hat, wird der empfangende Server (Türsteher) diese E-Mails entweder nicht zustellen oder markiere sie als Spam.
SPF-Einträge sind nur einer von vielen DNS-basierten Mechanismen, mit denen E-Mail-Server bestätigen können, ob eine E-Mail von einer vertrauenswürdigen Quelle stammt. Domain-based Message Authentication Reporting and Conformance ( DMARC ) und DomainKeys Identified Mail ( DKIM ) sind zwei weitere Mechanismen, die für die E-Mail-Authentifizierung verwendet werden.
Es ist erwähnenswert, dass SPF-Einträge zu einem bestimmten Zeitpunkt einen dedizierten DNS-Eintragstyp hatten. Der dedizierte Datensatztyp ist inzwischen veraltet und es dürfen nur noch TXT-Datensätze verwendet werden.
Wie prüft ein Mailserver einen SPF-Eintrag?
Mailserver durchlaufen beim Überprüfen eines SPF-Eintrags einen relativ einfachen Prozess:
Server A sendet eine E-Mail. Seine IP-Adresse ist 192.0.2.0 und der Rückweg, den die E-Mail verwendet, ist . (Eine Rückwegadresse unterscheidet sich von der „Von“-Adresse und wird speziell zum Sammeln und Verarbeiten von unzustellbaren Nachrichten verwendet.)
Der Mail-Server, der die Nachricht empfängt (Server B), nimmt die Return-Path-Domain und sucht nach seinem SPF-Eintrag.
Wenn Server B einen SPF-Eintrag für die Domäne des Rückwegs findet, durchsucht er den SPF-Eintrag nach der IP-Adresse von Server A in seiner Liste autorisierter Absender. Wenn die IP-Adresse im SPF-Eintrag aufgeführt ist, besteht die SPF-Prüfung und die E-Mail wird durchgelassen. Wenn die IP-Adresse nicht im SPF-Eintrag aufgeführt ist, schlägt die SPF-Prüfung fehl. In diesem Fall wird die E-Mail zurückgewiesen oder als Spam markiert.
Wie sieht ein SPF-Eintrag aus?
SPF-Einträge müssen bestimmten Standards entsprechen, damit der Server versteht, wie der Inhalt zu interpretieren ist. Hier ist ein Beispiel für die Kernkomponenten eines SPF-Eintrags:
v=spf1 ip4=192.0.2.0 ip4=192.0.2.1 include:examplesender.email -all
Dieses Beispiel teilt dem Server mit, um welche Art von Eintrag es sich handelt, gibt die genehmigten IP-Adressen und einen Drittanbieter für diese Domäne an und teilt dem Server mit, was mit nicht konformen E-Mails zu tun ist. Lassen Sie uns aufschlüsseln, wie die einzelnen Komponenten dies erreichen:
v=spf1teilt dem Server mit, dass dies einen SPF-Eintrag enthält. Jeder SPF-Eintrag muss mit dieser Zeichenfolge beginnen.
Dann kommt der Teil „Gästeliste“ des SPF-Eintrags oder die Liste der autorisierten IP-Adressen. In diesem Beispiel teilt der SPF-Eintrag dem Server mit, dass ip4=192.0.2.0 und ip4=192.0.2.1autorisiert sind, E-Mails im Namen der Domäne zu senden.
include:examplesender.net ist ein Beispiel für das include-Tag, das dem Server mitteilt, welche Drittorganisationen berechtigt sind, E-Mails im Namen der Domain zu senden. Dieses Tag signalisiert, dass der Inhalt des SPF-Eintrags für die enthaltene Domain (examplesender.net ) überprüft werden soll und die darin enthaltenen IP-Adressen ebenfalls als autorisiert gelten sollen. Mehrere Domains können in einen SPF-Eintrag aufgenommen werden, aber dieses Tag funktioniert nur für gültige Domains.
Teilt dem Server schliesslich mit, -all dass Adressen, die nicht im SPF-Eintrag aufgeführt sind, nicht berechtigt sind, E-Mails zu senden, und abgelehnt werden sollten.
Alternative Optionen sind hier ~all, was besagt, dass nicht aufgelistete E-Mails als unsicher oder Spam markiert, aber dennoch akzeptiert werden, und seltener , +allwas bedeutet, dass jeder Server E-Mails im Namen Ihrer Domain senden kann.
Während das in diesem Artikel verwendete Beispiel ziemlich einfach ist, können SPF-Einträge sicherlich komplexer sein. Hier sind nur ein paar Dinge, die Sie beachten sollten, um sicherzustellen, dass SPF-Einträge gültig sind:
Einer Domäne kann nicht mehr als ein SPF-Eintrag zugeordnet sein.
Der Eintrag muss mit der all Komponente enden oder eine redirect:Komponente enthalten (was darauf hinweist, dass der SPF-Eintrag von einer anderen Domain gehostet wird).
Ein SPF-Eintrag darf keine Grossbuchstaben enthalten.
Weitere Informationen finden Sie in der offiziellen SPF-Eintragsdokumentation .
Warum werden SPF-Einträge verwendet?
Es gibt viele Gründe, warum Domainbetreiber SPF-Einträge verwenden:
Angriffe verhindern: Wenn E-Mails nicht authentifiziert werden, sind Unternehmen und E-Mail-Empfänger einem Risiko für Phishing- Angriffe, Spam-E-Mails und E-Mail-Spoofing ausgesetzt. Mit SPF-Einträgen ist es für Angreifer schwieriger, eine Domäne zu imitieren, wodurch die Wahrscheinlichkeit dieser Angriffe verringert wird.
Verbesserung der E-Mail-Zustellbarkeit: Bei Domains ohne veröffentlichten SPF-Eintrag werden die E-Mails möglicherweise zurückgewiesen oder als Spam markiert. Im Laufe der Zeit können unzustellbare E-Mails oder als Spam markierte E-Mails die Fähigkeit einer Domain beeinträchtigen, die Posteingänge ihrer Zielgruppe zu erreichen, und die Bemühungen zur Kommunikation mit Kunden, Mitarbeitern und anderen Unternehmen beeinträchtigen.
DMARC-Konformität: DMARC ist ein E-Mail-Validierungssystem, mit dem sichergestellt werden kann, dass E-Mails nur von autorisierten Benutzern gesendet werden. DMARC-Richtlinien schreiben vor, was Server mit E-Mails tun sollen, die SPF- und DKIM-Prüfungen nicht bestehen. Basierend auf den DMARC-Richtlinienanweisungen werden diese E-Mails entweder als Spam markiert, abgelehnt oder normal zugestellt. Domänenadministratoren erhalten Berichte über ihre E-Mail-Aktivität, die ihnen helfen, ihre Richtlinie anzupassen.
Was ist DKIM?
DomainKeys Identified Mail (DKIM) ist eine Methode zur E-Mail-Authentifizierung, die Spammer und andere böswillige Parteien daran hindert, sich als legitime Domain auszugeben.
Alle E-Mail-Adressen haben eine Domain – den Teil der Adresse nach dem „@“-Symbol. Spammer und Angreifer versuchen möglicherweise, sich beim Senden von E-Mails für Phishing-Angriffe oder andere Betrügereien als Domäne auszugeben.
Wie funktioniert DKIM?
Es gibt zwei Hauptaspekte von DKIM: den DKIM-Eintrag, der in den DNS- Einträgen (Domain Name System) für die Domain gespeichert wird, und den DKIM-Header, der an alle E-Mails von der Domain angehängt wird.
DKIM verwendet digitale Signaturschemata, die auf Public-Key-Kryptografie basieren, um zu authentifizieren, woher eine E-Mail stammt, dass sie tatsächlich von einem Server stammt, der E-Mails von dieser Domäne sendet. Es wird ein Paar kryptografischer Schlüssel verwendet: ein privater Schlüssel für den Absender zum Signieren von Nachrichten und ein öffentlicher Schlüssel für den Empfänger zum Verifizieren von Signaturen. Ein Empfänger kann den öffentlichen Schlüssel nicht zum Signieren von Nachrichten verwenden und umgekehrt.
Der E-Mail-Anbieter generiert den öffentlichen Schlüssel und den privaten Schlüssel. Sie geben den öffentlichen Schlüssel an den Domaininhaber, der den öffentlichen Schlüssel in einem öffentlich verfügbaren DNS-Eintrag – dem DKIM-Eintrag – speichert.
Alle von dieser Domain gesendeten E-Mails enthalten einen DKIM-Header, der einen Datenabschnitt enthält, der mit dem privaten Schlüssel signiert ist: Dies wird als „digitale Signatur“ bezeichnet. Ein E-Mail-Server kann den DKIM-DNS-Eintrag überprüfen, den öffentlichen Schlüssel erhalten und den öffentlichen Schlüssel verwenden, um die digitale Signatur zu verifizieren.
Dieser Prozess stellt auch sicher, dass die E-Mail während der Übertragung nicht geändert wurde. Die digitale Signatur wird nicht überprüft, wenn E-Mail-Kopfzeilen oder der E-Mail-Text geändert wurden – wie ein manipulationssicheres Siegel auf einer Medikamentendose.
Was ist ein DKIM-Eintrag?
Ein DKIM-Eintrag speichert den öffentlichen DKIM-Schlüssel – eine zufällige Zeichenkette, die verwendet wird, um alles zu verifizieren, was mit dem privaten Schlüssel signiert wurde. E-Mail-Server fragen die DNS-Einträge der Domain ab, um den DKIM-Eintrag und den öffentlichen Schlüssel anzuzeigen.
Ein DKIM-Eintrag ist eigentlich ein DNS-TXT-Eintrag («Text»). TXT-Einträge können verwendet werden, um beliebigen Text zu speichern, den ein Domänenadministrator mit seiner Domäne verknüpfen möchte. DKIM ist eine von vielen Anwendungen für diese Art von DNS-Eintrag.
Was ist DMARC?
Domain-based Message Authentication Reporting and Conformance (DMARC) ist eine Methode zur Authentifizierung von E-Mail-Nachrichten. Eine DMARC-Richtlinie teilt einem empfangenden E-Mail-Server mit, was zu tun ist, nachdem die Einträge des Sender Policy Framework (SPF) und der DomainKeys Identified Mail (DKIM) einer Domäne überprüft wurden, bei denen es sich um zusätzliche E-Mail-Authentifizierungsmethoden handelt.
DMARC und andere E-Mail-Authentifizierungsmethoden sind erforderlich, um E-Mail- Spoofing zu verhindern. Jede E-Mail-Adresse hat eine Domain, das ist der Teil der Adresse, der nach dem „@“-Symbol kommt. Böswillige Parteien und Spammer versuchen manchmal, E-Mails von einer Domäne zu senden, zu deren Verwendung sie nicht berechtigt sind – wie jemand, der die falsche Absenderadresse auf einen Brief schreibt. Sie können dies tun, um unter anderem zu versuchen, Benutzer zu täuschen (wie bei einem Phishing-Angriff).
Zusammen funktionieren DMARC, DKIM und SPF wie eine Hintergrundprüfung für E-Mail-Absender, um sicherzustellen, dass sie wirklich die sind, für die sie sich ausgeben.
Was ist eine DMARC-Richtlinie?
Eine DMARC-Richtlinie legt fest, was mit einer E-Mail passiert, nachdem sie mit SPF- und DKIM-Einträgen verglichen wurde. Eine E-Mail besteht entweder SPF und DKIM oder besteht sie nicht. Die DMARC-Richtlinie bestimmt, ob ein Fehler dazu führt, dass die E-Mail als Spam markiert, blockiert oder an den vorgesehenen Empfänger zugestellt wird. (E-Mail-Server können E-Mails immer noch als Spam markieren, wenn kein DMARC-Eintrag vorhanden ist, aber DMARC bietet klarere Anweisungen dazu, wann dies zu tun ist.)