In der heutigen Zeit tauchen immer mehr Meldungen bezüglich „Phishing Mails“ auf. Unter Phishing versteht man das Erlangen von persönlichen Daten wie z.B. Zugangsdaten zum Onlinebanking oder Accountdaten von E-Maildiensten durch unbefugte Personen. Das Vorgehen dahinter ist meist das Gleiche. Die „Datendiebe“ kopieren dabei das Design sowie die Inhalte der originalen und offiziellen E-Mails und versuchen somit den Empfänger mit dieser Kopie zu täuschen um darauf hin an die Daten des Empfängers zu gelangen.
Schon durch einen Klick auf einen Button wie „Verifizieren Sie hier Ihre Daten“ und der Eingabe dieser Daten kommen die Datendiebe an diese Information und wissen zusätzlich das es Sie gibt um noch mehr gefälschte Mails an Sie zu versenden.
Doch das meist gefährlichste Kriterium daran ist, dass selbst die E-Mail Adresse des Absenders geändert werden kann. Somit ist es den Datendieben möglich, im Namen großer und bekannter Unternehmen bzw. über Ihr Unternehmen E-Mails zu versenden. Dies ist nicht nur ein Problem dahingehend, dass dies dem Ruf Ihres Unternehmen schaden kann sondern auch das die Reputation Ihrer Mailserver darunter leidet.
In den letzten Jahren wurde immer wieder von großen Datenbeständen berichtet welche zum Verkauf angeboten wurden. Darunter auch Firmen wie Adobe oder Dropbox. Es liegt Nahe, dass diese Daten durch Phishing Angriffe abgefangen wurden. Denn meist werden diese Phishingmails in großer Masse versendet um an möglichst viele Daten zu kommen.
Werden diese E-Mails dann von den empfangenden E-Mail Providern als Spam eingestuft, wird dies auch negative Auswirkungen auf Ihren regulären Newsletter Versand haben. Doch nicht nur die technischen Auswirkungen sind zu beachten. Firmen die Opfer von Phishing-Attacken sind, verlieren schnell das Vertauen und Ansehen Ihrer Kunden.

Genau diesem Problem hat sich DMARC (Domain-based Message Authentication, Reporting & Conformance) angenommen. Um jedoch die DMARC Lösung zu verstehen, werden wir Ihnen vorerst die grundlegenden Bausteine vorstellen, die eine Vorraussetzung für den Schutz von Phishing E-Mails bilden.

SPF (Sender Policy Framework)

Mit dem Sender Policy Framework ist es möglich, einen oder mehrere Mailserver für den Versand von E-Mails mit Ihrer Domain als Absender zu autorisieren. Dies geschieht über einen TXT Eintrag in dem Domain Name System (DNS) Ihrer Domain.
Durch diesen Eintrag können die empfangenden Mailserver der E-Mail Provider ein Prüfung vornehmen ob der Mailserver der die E-Mails versendet hat auch dazu berechtigt ist. Ist die Prüfung erfolgreich wird die Wahrscheinlichkeit erhöht, dass Ihre Mails bei dem Empfänger (bzw. dem Provider des Empfängers) nicht im Spam Ordner landen. Zudem wird es schwieriger das Unbefugte in Ihrem Namen E-Mails versenden können.
Im folgenden finden Sie ein Beispiel eines SPF Eintrages:

v=spf1 a mx include:spf.ihredomain.de -all

Dieser Eintrag autorisiert mehrere IP-Adressen welche über Ihre Domain versenden dürfen:

  • Die IP-Adresse welche in Ihrem A-Record Ihres DNS hinterlegt ist.
  • Die IP-Adresse welche in Ihrem MX-Record Ihres DNS hinterlegt ist.
  • Die IP-Adressen welche hinter der Domain „spf.ihredomain.de“ hinterlegt sind.

Zudem wird durch den Parameter „-all“ festgelegt, dass sämtliche Mails die nicht von einem der genannten Server kommt abgelehnt werden. Zusätzlich gibt es verschiedene Präfixe die eingesetzt werden können:

  • +all erlaubt allen Servern den Versand unabhängig von den vorher definierten.
  • ~all erlaubt allen Servern den Versand, markiert aber E-Mails von nicht definierten Servern als Spam/Phishing
  • ?all ignoriert die Einstellungen und überlässt dem Empfänger die weitere Verabeitung.

Haben Sie den SPF Eintrag erstellt, sollten Sie diesen mit diversen Tools korrekte Syntax und Funktion testen.

DKIM (DomainKeys Identified Mail)

Das Ziel von DKIM ist es sicherzustellen, dass eine E-Mail auf dem Weg vom Versender zum Empfänger nicht verändert wurde. Jede E-Mail wird beim Versand mit einem privaten (geheimen) Schlüssel unterschrieben. Man spricht hierbei auch von einer Signierung. Der private Schlüssel ist nur dem Versender bekannt. Der Empfänger kann dann mit einem öffentlichen Schlüssel die Signierung überprüfen.
Wie auch bei SPF kann man mit DKIM die Reputation Ihrer Mailserver bei den Empfängern (Providern) erhöhen und zusätzlichen Schutz gegen Veränderungen der E-Mails ermöglichen. Auch die Umsetzung von DKIM ist dem des SPF ähnlich. Es wird genauso ein weiterer TXT Eintrag in dem DNS Ihrer Domain eingetragen.
Hier ein Beispiel eines DKIM Eintrages in Ihrem DNS:

bc._domainkey.ihredomain.de IN TXT
 
"v=DKIM1;k=rsa;
p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDOCTHqIIQhGNISLchxDvv2X8NfkW7MEHG
mtawoUgFub8V1vXhGikCwYNqFR5swP6UCxVutX81B3+5SCDJ3rMYcu3tC/E9hd1phV+cjftSF
LeJ+xe+3xwK+V18kM16kBPYvcZ/38USzMBa0XqDYw7LuMGmYf3gA/yJhaexYXa/PYwIDAQAB"

Anders als bei den SPF Einträgen, kann man beliebig viele verschiedene DKIM Einträge im DNS hinterlegen. Diese werden durch einen eindeutigen Prefix unterschieden. In diesem Beispiel ist der Prefix „bc“ (für BACKCLICK) vorangestellt. Darauf folgt „_domainkey“ + Ihre Domain. In den Anführungsstrichen befinden sich nun weitere Parameter:

  • v gibt die zu benutzende DKIM Version an (derzeitig ist DKIM1 Standard).
  • k gibt den Typ der Verschlüsselung an (in diesem Fall RSA).
  • p gibt den öffentlichen Schlüssel, welcher zum Prüfen der Signierung Ihrer E-Mails benutzt wird, an.

Bei einer optimalen Umsetzung des DKIM Standards werden E-Mail Provider Phishingmails in Ihrem Namen erkennen und diese als Fälschung markieren. Testen Sie auch hier vor dem Einsatz Ihren DKIM Eintrag auf korrekte Syntax.

DMARC (Domain-based Message Authentication, Reporting & Conformance)

Wenn Sie SPF und DKIM für Ihre Server und Domains korrekt eingerichtet haben, können Sie DMARC benutzen. Denn SPF und DKIM sind die Voraussetzungen von DMARC.
Mit DMARC haben Sie die Möglichkeit, zu bestimmen was mit Ihren E-Mails passieren soll wenn diese die SPF oder DKIM Prüfungen nicht bestehen. Diese Vorgaben werden auch hier wieder über einen DNS TXT Eintrag eingetragen.
Das Besondere daran ist, dass sie zusätzlich eine E-Mail Adresse mit angeben können, an welche regelmäßig Auswertungen von den Providern Ihrer E-Mail Empfänger gesendet werden. Diese Auswertungen enthalten wichtige Informationen zu Ihren E-Mails wie zum Beispiel welche E-Mails bei den Prüfungen durchgefallen sind oder von welchen Mailservern diese E-Mails versandt wurden.
Mit Hilfe dieser Auswertungen könne Sie gezielt gegen Phisher vorgehen. Entweder durch sogenannte „Take Down Services“ oder durch eine Anzeige bei den Strafverfolgungsbehörden.
Das folgende Beispiel zeigt den Aufbau eines DMARC Eintrages:

v=DMARC1; p=none; pct=100; rua=mailto:name@ihredomain.de;

Die beiden wichtigsten Parameter sind p und pct. Diese geben an, was mit den E-Mails passieren soll die die Prüfungen nicht bestehen:

  • v=DMARC1 – Version des DMARC Protocolls (derzeit ist DMARC1 Standard).
  • p=none – E-Mails werden nicht weiter behandelt.
  • p=quarantine – E-Mails werden unter Quarantäne gestellt.
  • p=reject – E-Mails werden abgelehnt.
  • pct=50 – Auf 50% der E-Mails wird die mit dem P-Parameter definierte Regel angewendet.
  • rua=mailto:name@ihredomain.de – E-Mail Adresse für den Erhalt der Auswertungen.

Zusätzlich zu dem rua (Reporting URI of Aggregate Reports) Parameter gibt es noch den Parameter ruf (Reporting URI of Forensic Reports). Diese unterscheiden sich in soweit voneinander, dass bei ruf detailierte Auswertungen (Betreff, Mail-Header etc.) zu jeder E-Mail versendet werden und bei rua eine Zusammenfassung der Auswertungen (Mails pro Versand-IP, Anzahl fehlerhafter Mails etc.). Eine Nutzung beider Parameter ist möglich (rua=mailto:allreports@ihredomain.de; ruf=mailto:failreports@ihredomain.de).
Sollten Sie sich für den Einsatz von DMARC entscheiden, fangen Sie mit der geringsten Stufe an (z.B. p=none;) und nähern Sie sich langsam den nächsten Stufen (z.B. p=quarantine;pct=5%;). Versuchen Sie Probleme anhand der Auswertungen zu erkennen und zu beheben.
Sollten Sie durch die Auswertungen feststellen, dass alle Ihre Mailserver die DMARC Prüfungen bestehen, können Sie sich auf die höchste Stufe (p=reject;) begeben.
Da die Auswertungen meist unübersichtlich gestaltet sind, gibt es diverse Tools um die Darstellung verständlicher zu machen.

Fazit: Der Nutzen der E-Mail Verifizierungen im E-Mail Marketing

Welche Vorteile erlangen Sie durch die oben genannten Umsetzungen für Ihre E-Mail Marketing Kampagnen? Als Erstes können Sie sich gegen die Benutzung Ihrer Domains von unbefugten Versendern schützen. Dies ist ein wichtiger Faktor für das Ansehen Ihrer Firma. Durch Phishing-Attacken sinkt das Vertrauen in Ihr Unternehmen und wird sich im Umkehrschluss auch in Ihren Umsätzen wiederspiegeln. Versuchen Sie also durch die oben genannten Möglichkeiten sämtliche Sicherheitslücken zu minimieren um Ihr Ansehen nicht zu gefährden.

Des Weiteren stellen Sie sicher, dass Ihre Mailserver nicht durch diese Vorfälle an Reputation bei den Providern Ihrer Empfänger verlieren. Diese Reputation ist sehr wichtig, denn bei einer zu hohen negativen Reputation kann es vorkommen, dass Die Provider Ihre E-Mails direkt blockieren.
Zudem wird nicht nur die negative Beeinflussung verhindert, sondern es kann damit auch eine positive Reputation für Ihre Mailserver aufgebaut werden.