E-Mail-Spoofing: Das Problem mit DMARC

DMARC ist ein Protokoll zur Verhinderung von E-Mail-Spoofing mit vielen Problemen und wurde daher von den großen Mailanbietern nie scharf gestellt.

Eine Analyse von veröffentlicht am
Ein falscher Absender in der Mail? DMARC hilft da nur begrenzt, da der Standard ohne Plan eingeführt wurde.
Ein falscher Absender in der Mail? DMARC hilft da nur begrenzt, da der Standard ohne Plan eingeführt wurde. (Bild: Piqsels/CC0 1.0)

Über zahlreiche Sicherheitslücken in DMARC, die das Spoofing von Mails erlauben, wird viel berichtet. Hintergrund ist ein Talk auf der Konferenz Black Hat. Doch die Berichte gehen überwiegend am eigentlichen Problem vorbei. DMARC hat viel grundlegendere Probleme als ein paar Implementierungsbugs.

Das Protokoll DMARC soll verhindern, dass Mails mit falschen Absendern verschickt werden. Es ist der Versuch, eine Designschwäche des E-Mail-Systems zu beheben: Man kann sich nicht drauf verlassen, dass die im Mailprogramm angezeigte Absenderadresse echt ist. Denn das ursprüngliche Mail-Zustellungsprotokoll SMTP sieht keinerlei Verifikation von Absendern vor, jeder kann bei jedem Mailserver Mails mit beliebigen Absenderdaten einliefern.

SPF, DKIM, DMARC: Alles schlecht durchdacht

Um das Spoofing von Mails zu verhindern, gab es immer wieder neue Ansätze, die allerdings alle nicht gut durchdacht sind. Der simpelste Mechanismus hört auf den Namen SPF oder "Sender Policy Framework". Die Idee dabei: In einem zur Domain gehörenden DNS-Record wird abgespeichert, welche Serveradressen für diese Domain Mails verschicken dürfen. SPF ist ein relativ simpel gestricktes Format, das als TXT-Record im DNS abgelegt wird.

Allerdings prüft SPF nicht die normale Absenderadresse einer Mail, die im Header "From" steht und die in Mailprogrammen angezeigt wird. Vielmehr wird nur die sogenannte Envelope-From-Adresse geprüft, die aber der Nutzer überhaupt nicht sieht. Eine Mail, die so aussieht, als käme sie von jemand anderem, kann man damit weiterhin verschicken.

DKIM-Signaturen sind optional

Stellenmarkt
  1. Wissenschaftliche*r Mitarbeiter*in KI-bezogene Themen im Bereich Digital Public Services
    Fraunhofer-Institut für Offene Kommunikationssysteme FOKUS, Berlin
  2. Mitarbeiter (m/w/d) IT Netzwerk Administration - Schwerpunkt SD-WAN und LAN
    STRABAG BRVZ GMBH & CO.KG, Stuttgart
Detailsuche

Neben SPF existiert ein weiterer Standard namens DKIM (Domainkeys Identified Mail). Dieser erlaubt es, optional Mails mit einer kryptographischen Signatur zu versehen, der zugehörige öffentliche Signaturschlüssel, mit dem diese geprüft wird, wird ebenfalls im DNS abgelegt.

Das Problem bei DKIM: Es ist optional. Ein Empfänger kann bei Vorhandensein einer Signatur diese prüfen - wenn keine Signatur vorhanden ist, sollte er die Mail aber trotzdem akzeptieren. Theoretisch könnte ein Mailserver natürlich alle Mails ohne DKIM ablehnen, aber das würde natürlich dazu führen, dass Mails ohne Signatur verloren gehen, weshalb das nicht praktikabel ist. DKIM wird aber teilweise als eins von mehreren Signalen genutzt, um zu prüfen, ob eine Mail Spam sein könnte.

Internet of Crimes: Warum wir alle Angst vor Hackern haben sollten (Deutsch) Gebundene Ausgabe

SPF und DKIM verhindern für sich genommen also erstmal kein Spoofing von Mail-Absendern. Hier kommt nun DMARC ins Spiel, ein Standard, der SPF und DKIM wirksam machen soll. Nutzt man DMARC in Kombination mit SPF, dann wird tatsächlich die Adresse im From-Header geprüft. Wenn man DKIM mit DMARC nutzt, sind Signaturen nicht mehr optional. Das Problem ist aber, dass die Einführung von DMARC zu einer ganzen Reihe von Kompatibilitätsproblemen führt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
DKIM und Mailinglisten - ein ungelöstes Problem 
  1. 1
  2. 2
  3. 3
  4.  


My1 24. Aug 2020

das geht auch.

Christoph... 20. Aug 2020

Ich betreibe selber eine kleine Mailing-Liste unter Exim. DKIM und somit auch...

inco 17. Aug 2020

Hier im Forum haben schon einige angemerkt dass, das richtige Weiterleiten...

My1 12. Aug 2020

ja domains müssen für DKIM/SPF/DMARC halt selbst das entsprechend klar machen, ist ja...

phade 12. Aug 2020

Es geht ja bei SPF, DKIM und DMARC darum, dass man sich bestätigen will, von wem (als...



Aktuell auf der Startseite von Golem.de
Astro
Amazons erster Roboter kostet 1.500 US-Dollar

Astro heißt der erste Roboter von Amazon. Es ist eine Art rollender Echo Show mit Schwerpunkt auf Videoüberwachung.

Astro: Amazons erster Roboter kostet 1.500 US-Dollar
Artikel
  1. Amazon Alexa: Neuer Echo Show mit Personenerkennung wird aufgehängt
    Amazon Alexa
    Neuer Echo Show mit Personenerkennung wird aufgehängt

    Amazon erfindet den Echo Show neu: Der Echo Show 15 hat ein besonders großes Display und kann Personen erkennen.

  2. Cupra Urban Rebel: VW-Tochter kündigt Elektrorenner für 25.000 Euro an
    Cupra Urban Rebel
    VW-Tochter kündigt Elektrorenner für 25.000 Euro an

    Autobauer Cupra bringt mit dem Urban Rebel ein günstiges Elektroauto für all jene auf den Markt, denen der ID.Life von VW zu langweilig ist.

  3. Blink Video Doorbell: Amazon stellt Videotürklingel für 60 Euro vor
    Blink Video Doorbell
    Amazon stellt Videotürklingel für 60 Euro vor

    Amazon hat eine Videotürklingel unter dem Blink-Label vorgestellt. Sie soll vor allem mit einem günstigen Preis überzeugen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Echo Show 15 249,99€ • eero 6 Wifi 6 System 3er-Pack 299€ • Saturn-Aktion: Win 10-Laptop oder PC kaufen, kostenloses Upgrade auf Win 11 erhalten • Bosch Professional & PC-Spiele von EA günstiger • Alternate (u. a. Asus TUF Gaming-Monitor 23,8" FHD 165Hz 179,90€) • 6 UHDs kaufen, nur 4 bezahlen [Werbung]
    •  /