Bimi: Google wechselt Authentifizierung nach E-Mail-Spoofing
Google hat eigenen Angaben zufolge einen Fehler behoben, der es Angreifern ermöglichte, dass Spoofing-E-Mails von Gmail fälschlicherweise als authentisch angezeigt wurden. Das berichtet The Register unter Berufung auf eine Antwort des Unternehmens(öffnet im neuen Fenster) .
Das eigentliche technische Problem ergibt sich dabei aus der Funktionsweise des von Google unterstützten Industriestandard Brand Indicators for Message Identification (Bimi) . Unternehmen, die den Bimi-Standard umsetzen, können damit dafür sorgen, dass ihr Logo durch Gmail angezeigt wird.
Darauf aufbauend begann Google Anfang Mai damit, zusätzlich dazu für Bimi-Absender einen blauen Haken anzuzeigen(öffnet im neuen Fenster) , der die E-Mails als authentisch markiert. Entwickler und Sicherheitsexperte Chris Plummer fand aber einen Fehler(öffnet im neuen Fenster) , durch den auch Spoofing-E-Mails mit einem blauen Haken versehen werden können.
Bimi soll mehr Sicherheit bringen
Bei Bimi können Unternehmen, die ihre E-Mails über SPF oder DKIM authentifizieren und zusätzlich dazu auf DMARC setzen, ihre verifizierten Logos über das E-Mail-System bereitstellen. Dabei setzt Bimi auf sogenannte Mark Verifying Authorities.
Diese sollen ähnlich zu den Certificate Authorities (CA) im TLS-System funktionieren und zertifizieren, dass ein Logo tatsächlich zu einem angegebenen Unternehmen gehört. Das Logo selbst wird dann über einen weiteren DMARC DNS Record bereitgestellt und an der Stelle des Avatars in der E-Mail-Übersicht dargestellt.
Der von Plummer gefundene Bug in SPF machte es aber möglich, eine Spoofing-E-Email so zu erstellen, dass diese von Gmail als authentifiziert angesehen wird. Google verlangt von den teilnehmenden Unternehmen deshalb, dass diese DKIM zur Authentifizierung nutzen, um weiter von dem Bimi-Programm profitieren zu können.