E-Mail-Spoofing: Das Problem mit DMARC

Über zahlreiche Sicherheitslücken in DMARC, die das Spoofing von Mails erlauben, wird viel berichtet. Hintergrund ist ein Talk auf der Konferenz Black Hat. Doch die Berichte gehen überwiegend am eigentlichen Problem vorbei. DMARC hat viel grundlegendere Probleme als ein paar Implementierungsbugs.

Das Protokoll DMARC soll verhindern, dass Mails mit falschen Absendern verschickt werden. Es ist der Versuch, eine Designschwäche des E-Mail-Systems zu beheben: Man kann sich nicht drauf verlassen, dass die im Mailprogramm angezeigte Absenderadresse echt ist. Denn das ursprüngliche Mail-Zustellungsprotokoll SMTP sieht keinerlei Verifikation von Absendern vor, jeder kann bei jedem Mailserver Mails mit beliebigen Absenderdaten einliefern.

SPF, DKIM, DMARC: Alles schlecht durchdacht

Um das Spoofing von Mails zu verhindern, gab es immer wieder neue Ansätze, die allerdings alle nicht gut durchdacht sind. Der simpelste Mechanismus hört auf den Namen SPF oder "Sender Policy Framework". Die Idee dabei: In einem zur Domain gehörenden DNS-Record wird abgespeichert, welche Serveradressen für diese Domain Mails verschicken dürfen. SPF ist ein relativ simpel gestricktes Format, das als TXT-Record im DNS abgelegt wird.

Allerdings prüft SPF nicht die normale Absenderadresse einer Mail, die im Header "From" steht und die in Mailprogrammen angezeigt wird. Vielmehr wird nur die sogenannte Envelope-From-Adresse geprüft, die aber der Nutzer überhaupt nicht sieht. Eine Mail, die so aussieht, als käme sie von jemand anderem, kann man damit weiterhin verschicken.

DKIM-Signaturen sind optional

Neben SPF existiert ein weiterer Standard namens DKIM (Domainkeys Identified Mail). Dieser erlaubt es, optional Mails mit einer kryptographischen Signatur zu versehen, der zugehörige öffentliche Signaturschlüssel, mit dem diese geprüft wird, wird ebenfalls im DNS abgelegt.

Das Problem bei DKIM: Es ist optional. Ein Empfänger kann bei Vorhandensein einer Signatur diese prüfen - wenn keine Signatur vorhanden ist, sollte er die Mail aber trotzdem akzeptieren. Theoretisch könnte ein Mailserver natürlich alle Mails ohne DKIM ablehnen, aber das würde natürlich dazu führen, dass Mails ohne Signatur verloren gehen, weshalb das nicht praktikabel ist. DKIM wird aber teilweise als eins von mehreren Signalen genutzt, um zu prüfen, ob eine Mail Spam sein könnte.

Internet of Crimes: Warum wir alle Angst vor Hackern haben sollten (Deutsch) Gebundene Ausgabe

SPF und DKIM verhindern für sich genommen also erstmal kein Spoofing von Mail-Absendern. Hier kommt nun DMARC ins Spiel, ein Standard, der SPF und DKIM wirksam machen soll. Nutzt man DMARC in Kombination mit SPF, dann wird tatsächlich die Adresse im From-Header geprüft. Wenn man DKIM mit DMARC nutzt, sind Signaturen nicht mehr optional. Das Problem ist aber, dass die Einführung von DMARC zu einer ganzen Reihe von Kompatibilitätsproblemen führt.