Anti-Spoofing-Techniken: Nicht jede Kombination führt zum besten Ergebnis
Mit DKIM signiert der Mailserver jede ausgehende Mail. Die Signatur kann dann vom Empfänger überprüft werden und stellt sicher, dass die Mail wirklich von der Absender-Adresse kommt, die in der From-Zeile steht. Dazu muss der empfangende Mailserver oder die Software des Empfängers (beispielsweise Thunderbird oder Outlook) jedoch DKIM interpretieren können und dem Nutzer ein entsprechendes Feedback geben oder Mails mit fehlerhaften Signaturen verwerfen. Konstantinov empfiehlt, die Mail zwar zuzustellen, aber als problematisch zu markieren, beispielsweise über den Spam-Ordner.
Doch auch DKIM lässt sich einfach umgehen. Denn Mailserver oder E-Mailprogramme können zwar über die Signaturen Fehler erkennen, gibt es jedoch keine Signatur, ist DKIM machtlos. Entsprechend können Angreifer weiterhin Mails fälschen und einfach keine DKIM-Signatur verwenden, die Mail wird dann normal zugestellt. Je nach Software könne ein kleines grünes Häkchen, das die DKIM-Verifikation anzeigt, wegfallen, erklärte Konstantinov. Das dürfte den Nutzern jedoch kaum auffallen, wenn es überhaupt eines gebe.
Mit einem weiteren Trick könnten Angreifer sogar das grüne Häkchen sicherstellen, indem sie in der E-Mail einfach eine weitere From-Zeile hinzufügen. DKIM prüfe nämlich üblicherweise die letzte From-Zeile, die Mail-Programme zeigten jedoch die oberste als Absenderadresse an, erklärte Konstantinov. DKIM verifiziert die echte Absenderadresse, während der Nutzer eine gefälschte Adresse angezeigt bekommen, die scheinbar verifiziert wurde.
SPF und DKIM mit DMARC schützen
DMARC (Domain-based Message Authentication, Reporting and Conformance) baue auf SPF und DKIM auf und löse deren zentrale Probleme. So würde von jeder Mail verlangt, dass sie entweder mit DKIM signiert sei oder der SPF-Eintrag stimme. Bei SPF stelle DMARC zudem sicher, dass die From-Zeile überprüft würde.
Die Kombination aus DMARC und DKIM sei zwar sehr sicher, allerdings müssten beide Techniken auch vom empfangenden Mailserver oder E-Mail-Programm benutzt werden. Viele Programme wie der Mailserver Microsoft Exchange unterstützen jedoch DKIM nicht. Daher sei es sinnvoll, auch SPF weiterhin zu aktivieren. Damit falle DMARC aber letztlich auf das Sicherheitsniveau der Kombination aus DMARC und SPF zurück. Denn DMARC verlange entweder eine richtige DKIM-Signatur oder einen richtigen SPF-Eintrag. Zudem schütze DMARC nicht vor Konfigurationsfehlern wie dem Softfail (~all) bei SPF. Konstantinovs Fazit: "Die meisten Domains sollten DMARC aktivieren." Die Verbreitung sei jedoch bisher sehr gering.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
DKIM: Mit Sicherheit gefälschte Mails versenden |
- 1
- 2
naja wenn eine spaßige person eine weiterleitung macht und die from adressen gleich...
Wenn Ich eine Mail die ich bekommen habe weiterleite werde ich dann nicht der neue...
Lies den text oder besser schau den vortrag (obwohl de speaker das zeitmgnt voll verkackt...
Das mit den Sharedhostern verstehe ich jetzt nicht so ganz. Dort hat man doch einen...
E-Mail ist nun mal leider weltweit etabliert und wird uns noch lange begleiten, genauso...