• IT-Karriere:
  • Services:

E-Mail-Spoofing: Das Problem mit DMARC

DMARC ist ein Protokoll zur Verhinderung von E-Mail-Spoofing mit vielen Problemen und wurde daher von den großen Mailanbietern nie scharf gestellt.

Eine Analyse von veröffentlicht am
Ein falscher Absender in der Mail? DMARC hilft da nur begrenzt, da der Standard ohne Plan eingeführt wurde.
Ein falscher Absender in der Mail? DMARC hilft da nur begrenzt, da der Standard ohne Plan eingeführt wurde. (Bild: Piqsels/CC0 1.0)

Über zahlreiche Sicherheitslücken in DMARC, die das Spoofing von Mails erlauben, wird viel berichtet. Hintergrund ist ein Talk auf der Konferenz Black Hat. Doch die Berichte gehen überwiegend am eigentlichen Problem vorbei. DMARC hat viel grundlegendere Probleme als ein paar Implementierungsbugs.

Das Protokoll DMARC soll verhindern, dass Mails mit falschen Absendern verschickt werden. Es ist der Versuch, eine Designschwäche des E-Mail-Systems zu beheben: Man kann sich nicht drauf verlassen, dass die im Mailprogramm angezeigte Absenderadresse echt ist. Denn das ursprüngliche Mail-Zustellungsprotokoll SMTP sieht keinerlei Verifikation von Absendern vor, jeder kann bei jedem Mailserver Mails mit beliebigen Absenderdaten einliefern.

SPF, DKIM, DMARC: Alles schlecht durchdacht

Um das Spoofing von Mails zu verhindern, gab es immer wieder neue Ansätze, die allerdings alle nicht gut durchdacht sind. Der simpelste Mechanismus hört auf den Namen SPF oder "Sender Policy Framework". Die Idee dabei: In einem zur Domain gehörenden DNS-Record wird abgespeichert, welche Serveradressen für diese Domain Mails verschicken dürfen. SPF ist ein relativ simpel gestricktes Format, das als TXT-Record im DNS abgelegt wird.

Allerdings prüft SPF nicht die normale Absenderadresse einer Mail, die im Header "From" steht und die in Mailprogrammen angezeigt wird. Vielmehr wird nur die sogenannte Envelope-From-Adresse geprüft, die aber der Nutzer überhaupt nicht sieht. Eine Mail, die so aussieht, als käme sie von jemand anderem, kann man damit weiterhin verschicken.

DKIM-Signaturen sind optional

Stellenmarkt
  1. Computacenter AG & Co. oHG, München
  2. MorphoSys AG, Planegg

Neben SPF existiert ein weiterer Standard namens DKIM (Domainkeys Identified Mail). Dieser erlaubt es, optional Mails mit einer kryptographischen Signatur zu versehen, der zugehörige öffentliche Signaturschlüssel, mit dem diese geprüft wird, wird ebenfalls im DNS abgelegt.

Das Problem bei DKIM: Es ist optional. Ein Empfänger kann bei Vorhandensein einer Signatur diese prüfen - wenn keine Signatur vorhanden ist, sollte er die Mail aber trotzdem akzeptieren. Theoretisch könnte ein Mailserver natürlich alle Mails ohne DKIM ablehnen, aber das würde natürlich dazu führen, dass Mails ohne Signatur verloren gehen, weshalb das nicht praktikabel ist. DKIM wird aber teilweise als eins von mehreren Signalen genutzt, um zu prüfen, ob eine Mail Spam sein könnte.

Internet of Crimes: Warum wir alle Angst vor Hackern haben sollten (Deutsch) Gebundene Ausgabe

SPF und DKIM verhindern für sich genommen also erstmal kein Spoofing von Mail-Absendern. Hier kommt nun DMARC ins Spiel, ein Standard, der SPF und DKIM wirksam machen soll. Nutzt man DMARC in Kombination mit SPF, dann wird tatsächlich die Adresse im From-Header geprüft. Wenn man DKIM mit DMARC nutzt, sind Signaturen nicht mehr optional. Das Problem ist aber, dass die Einführung von DMARC zu einer ganzen Reihe von Kompatibilitätsproblemen führt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
DKIM und Mailinglisten - ein ungelöstes Problem 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

My1 24. Aug 2020

das geht auch.

Christoph... 20. Aug 2020

Ich betreibe selber eine kleine Mailing-Liste unter Exim. DKIM und somit auch...

inco 17. Aug 2020

Hier im Forum haben schon einige angemerkt dass, das richtige Weiterleiten...

My1 12. Aug 2020

ja domains müssen für DKIM/SPF/DMARC halt selbst das entsprechend klar machen, ist ja...

phade 12. Aug 2020

Es geht ja bei SPF, DKIM und DMARC darum, dass man sich bestätigen will, von wem (als...


Folgen Sie uns
       


Übersetzung mit DeepL - Tutorial

Wir zeigen im Video, wie die Windows-Version des Übersetzungsprogramms DeepL funktioniert.

Übersetzung mit DeepL - Tutorial Video aufrufen
IT-Unternehmen: Die richtige Software für ein Projekt finden
IT-Unternehmen
Die richtige Software für ein Projekt finden

Am Beginn vieler Projekte steht die Auswahl der passenden Softwarelösung. Das kann man intuitiv machen oder mit endlosen Pro-und-Contra-Listen, optimal ist beides nicht. Ein Praxisbeispiel mit einem Ticketsystem.
Von Markus Kammermeier

  1. Anzeige Was ITler tun können, wenn sich jobmäßig nichts (mehr) tut
  2. IT-Jobs Lohnt sich ein Master in Informatik überhaupt?
  3. Quereinsteiger Mit dem Master in die IT

Videokonferenzen: Bessere Webcams, bitte!
Videokonferenzen
Bessere Webcams, bitte!

Warum sehen in Videokonferenzen immer alle schlecht aus? Die Webcam-Hersteller sind (oft) schuld.
Ein IMHO von Martin Wolf

  1. Webcam im Eigenbau Mit wenigen Handgriffen wird die Pi HQ Cam zur USB-Kamera

MCST Elbrus: Die Zukunft von Russlands eigenen Prozessoren
MCST Elbrus
Die Zukunft von Russlands eigenen Prozessoren

32 Kerne für Server-CPUs, eine Videobeschleunigung für Notebooks und sogar SSDs: In Moskau wird die Elbrus-Plattform vorangetrieben.
Ein Bericht von Marc Sauter

  1. Anzeige Verkauf von AMDs Ryzen-5000-Serie startet
  2. Alder Lake S Intel bestätigt x86-Hybrid-Kerne für Desktop-CPUs
  3. Core i5-L16G7 (Lakefield) im Test Intels x86-Hybrid-CPU analysiert

    •  /