E-Mail-Spoofing: Das Problem mit DMARC

DMARC ist ein Protokoll zur Verhinderung von E-Mail-Spoofing mit vielen Problemen und wurde daher von den großen Mailanbietern nie scharf gestellt.

Eine Analyse von veröffentlicht am
Ein falscher Absender in der Mail? DMARC hilft da nur begrenzt, da der Standard ohne Plan eingeführt wurde.
Ein falscher Absender in der Mail? DMARC hilft da nur begrenzt, da der Standard ohne Plan eingeführt wurde. (Bild: Piqsels/CC0 1.0)

Über zahlreiche Sicherheitslücken in DMARC, die das Spoofing von Mails erlauben, wird viel berichtet. Hintergrund ist ein Talk auf der Konferenz Black Hat. Doch die Berichte gehen überwiegend am eigentlichen Problem vorbei. DMARC hat viel grundlegendere Probleme als ein paar Implementierungsbugs.

Das Protokoll DMARC soll verhindern, dass Mails mit falschen Absendern verschickt werden. Es ist der Versuch, eine Designschwäche des E-Mail-Systems zu beheben: Man kann sich nicht drauf verlassen, dass die im Mailprogramm angezeigte Absenderadresse echt ist. Denn das ursprüngliche Mail-Zustellungsprotokoll SMTP sieht keinerlei Verifikation von Absendern vor, jeder kann bei jedem Mailserver Mails mit beliebigen Absenderdaten einliefern.

SPF, DKIM, DMARC: Alles schlecht durchdacht

Um das Spoofing von Mails zu verhindern, gab es immer wieder neue Ansätze, die allerdings alle nicht gut durchdacht sind. Der simpelste Mechanismus hört auf den Namen SPF oder "Sender Policy Framework". Die Idee dabei: In einem zur Domain gehörenden DNS-Record wird abgespeichert, welche Serveradressen für diese Domain Mails verschicken dürfen. SPF ist ein relativ simpel gestricktes Format, das als TXT-Record im DNS abgelegt wird.

Allerdings prüft SPF nicht die normale Absenderadresse einer Mail, die im Header "From" steht und die in Mailprogrammen angezeigt wird. Vielmehr wird nur die sogenannte Envelope-From-Adresse geprüft, die aber der Nutzer überhaupt nicht sieht. Eine Mail, die so aussieht, als käme sie von jemand anderem, kann man damit weiterhin verschicken.

DKIM-Signaturen sind optional

Stellenmarkt
  1. Data Engineer (m/w/d)
    Matrix42 AG, Frankfurt am Main
  2. Scrum Master (m/w/d)
    Vodafone GmbH, Düsseldorf
Detailsuche

Neben SPF existiert ein weiterer Standard namens DKIM (Domainkeys Identified Mail). Dieser erlaubt es, optional Mails mit einer kryptographischen Signatur zu versehen, der zugehörige öffentliche Signaturschlüssel, mit dem diese geprüft wird, wird ebenfalls im DNS abgelegt.

Das Problem bei DKIM: Es ist optional. Ein Empfänger kann bei Vorhandensein einer Signatur diese prüfen - wenn keine Signatur vorhanden ist, sollte er die Mail aber trotzdem akzeptieren. Theoretisch könnte ein Mailserver natürlich alle Mails ohne DKIM ablehnen, aber das würde natürlich dazu führen, dass Mails ohne Signatur verloren gehen, weshalb das nicht praktikabel ist. DKIM wird aber teilweise als eins von mehreren Signalen genutzt, um zu prüfen, ob eine Mail Spam sein könnte.

Internet of Crimes: Warum wir alle Angst vor Hackern haben sollten (Deutsch) Gebundene Ausgabe

SPF und DKIM verhindern für sich genommen also erstmal kein Spoofing von Mail-Absendern. Hier kommt nun DMARC ins Spiel, ein Standard, der SPF und DKIM wirksam machen soll. Nutzt man DMARC in Kombination mit SPF, dann wird tatsächlich die Adresse im From-Header geprüft. Wenn man DKIM mit DMARC nutzt, sind Signaturen nicht mehr optional. Das Problem ist aber, dass die Einführung von DMARC zu einer ganzen Reihe von Kompatibilitätsproblemen führt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
DKIM und Mailinglisten - ein ungelöstes Problem 
  1. 1
  2. 2
  3. 3
  4.  


My1 24. Aug 2020

das geht auch.

Christoph... 20. Aug 2020

Ich betreibe selber eine kleine Mailing-Liste unter Exim. DKIM und somit auch...

inco 17. Aug 2020

Hier im Forum haben schon einige angemerkt dass, das richtige Weiterleiten...

My1 12. Aug 2020

ja domains müssen für DKIM/SPF/DMARC halt selbst das entsprechend klar machen, ist ja...

phade 12. Aug 2020

Es geht ja bei SPF, DKIM und DMARC darum, dass man sich bestätigen will, von wem (als...



Aktuell auf der Startseite von Golem.de
Drucker
Ohne Tinte kein Scan - Klage gegen Canon

In den USA wurde eine Sammelklage gegen Canon eingereicht: Klagegrund ist, dass einige 3-in-1-Geräte nur scannen, wenn Tinte vorhanden ist.

Drucker: Ohne Tinte kein Scan - Klage gegen Canon
Artikel
  1. Streaming: Squid Game soll Netflix 900 Millionen US-Dollar bringen
    Streaming
    Squid Game soll Netflix 900 Millionen US-Dollar bringen

    Die südkoreanische Serie Squid Game ist dabei, sich zu Netflix' größtem Erfolg zu entwickeln: Die Survival-Serie bricht mehrere Rekorde.

  2. Microsoft: Xbox-Kühlschrank kostet 100 Euro
    Microsoft
    Xbox-Kühlschrank kostet 100 Euro

    Microsoft bringt wie angekündigt einen Minikühlschrank im Design der Xbox Series X auf den Markt, der auch nach Deutschland kommen wird.

  3. Silicon Valley: Apple entlässt #Appletoo-Aktivistin
    Silicon Valley
    Apple entlässt #Appletoo-Aktivistin

    Apple hat Janneke Parrish gekündigt, die sich für die Offenlegung von Diskriminierung in dem Unternehmen einsetzte. Auch Netflix entlässt offenbar eine Aktivistin.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 37% Rabatt auf Corsair-Produkte • Mehrwertsteuer-Aktion bei MediaMarkt • Crucial BX500 1 TB 69€ • Aerocool Aero One White 41,98€ • Creative Sound BlasterX G5 89,99€ • Alternate (u. a. AKRacing Core SX 248,99€) • Gamesplanet Anniv. Sale Classic & Retro [Werbung]
    •  /