E-Mail-Spoofing: Das Problem mit DMARC
DMARC ist ein Protokoll zur Verhinderung von E-Mail-Spoofing mit vielen Problemen und wurde daher von den großen Mailanbietern nie scharf gestellt.

Über zahlreiche Sicherheitslücken in DMARC, die das Spoofing von Mails erlauben, wird viel berichtet. Hintergrund ist ein Talk auf der Konferenz Black Hat. Doch die Berichte gehen überwiegend am eigentlichen Problem vorbei. DMARC hat viel grundlegendere Probleme als ein paar Implementierungsbugs.
- E-Mail-Spoofing: Das Problem mit DMARC
- DKIM und Mailinglisten - ein ungelöstes Problem
- Die beliebteste DMARC-Policy: Nichts tun
Das Protokoll DMARC soll verhindern, dass Mails mit falschen Absendern verschickt werden. Es ist der Versuch, eine Designschwäche des E-Mail-Systems zu beheben: Man kann sich nicht drauf verlassen, dass die im Mailprogramm angezeigte Absenderadresse echt ist. Denn das ursprüngliche Mail-Zustellungsprotokoll SMTP sieht keinerlei Verifikation von Absendern vor, jeder kann bei jedem Mailserver Mails mit beliebigen Absenderdaten einliefern.
SPF, DKIM, DMARC: Alles schlecht durchdacht
Um das Spoofing von Mails zu verhindern, gab es immer wieder neue Ansätze, die allerdings alle nicht gut durchdacht sind. Der simpelste Mechanismus hört auf den Namen SPF oder "Sender Policy Framework". Die Idee dabei: In einem zur Domain gehörenden DNS-Record wird abgespeichert, welche Serveradressen für diese Domain Mails verschicken dürfen. SPF ist ein relativ simpel gestricktes Format, das als TXT-Record im DNS abgelegt wird.
Allerdings prüft SPF nicht die normale Absenderadresse einer Mail, die im Header "From" steht und die in Mailprogrammen angezeigt wird. Vielmehr wird nur die sogenannte Envelope-From-Adresse geprüft, die aber der Nutzer überhaupt nicht sieht. Eine Mail, die so aussieht, als käme sie von jemand anderem, kann man damit weiterhin verschicken.
DKIM-Signaturen sind optional
Neben SPF existiert ein weiterer Standard namens DKIM (Domainkeys Identified Mail). Dieser erlaubt es, optional Mails mit einer kryptographischen Signatur zu versehen, der zugehörige öffentliche Signaturschlüssel, mit dem diese geprüft wird, wird ebenfalls im DNS abgelegt.
Das Problem bei DKIM: Es ist optional. Ein Empfänger kann bei Vorhandensein einer Signatur diese prüfen - wenn keine Signatur vorhanden ist, sollte er die Mail aber trotzdem akzeptieren. Theoretisch könnte ein Mailserver natürlich alle Mails ohne DKIM ablehnen, aber das würde natürlich dazu führen, dass Mails ohne Signatur verloren gehen, weshalb das nicht praktikabel ist. DKIM wird aber teilweise als eins von mehreren Signalen genutzt, um zu prüfen, ob eine Mail Spam sein könnte.
SPF und DKIM verhindern für sich genommen also erstmal kein Spoofing von Mail-Absendern. Hier kommt nun DMARC ins Spiel, ein Standard, der SPF und DKIM wirksam machen soll. Nutzt man DMARC in Kombination mit SPF, dann wird tatsächlich die Adresse im From-Header geprüft. Wenn man DKIM mit DMARC nutzt, sind Signaturen nicht mehr optional. Das Problem ist aber, dass die Einführung von DMARC zu einer ganzen Reihe von Kompatibilitätsproblemen führt.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
DKIM und Mailinglisten - ein ungelöstes Problem |
das geht auch.
Ich betreibe selber eine kleine Mailing-Liste unter Exim. DKIM und somit auch...
Hier im Forum haben schon einige angemerkt dass, das richtige Weiterleiten...
ja domains müssen für DKIM/SPF/DMARC halt selbst das entsprechend klar machen, ist ja...
Es geht ja bei SPF, DKIM und DMARC darum, dass man sich bestätigen will, von wem (als...