IT-Sicherheit: Cloudflare kümmert sich auch um E-Mail-Sicherheit
Das IT-Unternehmen Cloudflare bietet seit Montag Sicherheitslösungen für E-Mails(öffnet im neuen Fenster) an. Vor allem Firmen sollen sich mit dem "Security DNS Wizard" besser vor Phishing-E-Mails und Adress-Spoofing ihrer Domain schützen können.
Cloudflare nutzt dafür bereits in DNS bereitgestellte Mechanismen: Sender Policy Framework (SPF), Domainkeys Identified Mail (DKIM) und Domain-based Message Authentication Reporting and Conformance (DMARC). Mit dem SPF kann festgelegt werden, von welchen Domains und IP-Adressen E-Mails mit einer bestimmten Absender-Domain verschickt werden dürfen. Das soll verhindern, dass Dritte beispielsweise E-Mails verschicken dürfen, die in der Envelope-From-Adresse die eigene Firmen-Domain enthalten.
Bei DKIM gibt es eine zusätzliche Überprüfung mittels einer Signatur, die der empfangende E-Mail-Server überprüfen kann, und mit DMARC lässt sich festlegen, was passiert, wenn eine E-Mail den SPF- und DKIM-Check nicht korrekt durchläuft. "Es ist nicht trivial, das richtig zu konfigurieren, insbesondere für weniger erfahrene Benutzer. Wenn die Konfiguration zu streng ist, werden legitime E-Mails abgelehnt oder als Spam markiert. Und wenn die Konfiguration zu locker ist, könnte die Domain für E-Mail-Spoofing missbraucht werden" , so Cloudflare. Mit dem Konfigurationsassistenten von Cloudflare soll dies zum Schutz der Domain einfacher werden.
Kritik an SPF, DKIM und DMARC
An SPF, DKIM und DMARC gibt es viel Kritik : SPF überprüft beispielsweise nicht den From-Header, der dem Empfänger tatsächlich angezeigt wird. DKIM ist optional - wenn E-Mails ohne Signatur versendet werden, werden sie in der Regel dennoch akzeptiert. DMARC beseitigt einige der Schwächen, führt aber wiederum zu Kompatibilitätsproblemen, etwa bei Mailinglisten.
Cloudflares Tool soll vor allem Firmen mehr Schutz ihrer Domain ermöglichen. Gegenüber Wired(öffnet im neuen Fenster) sagte Cloudflares CEO Matthew Prince, dass so auch die Verbreitung der Mechanismen verbessert werden soll.
Das Unternehmen kündigte außerdem ein Produkt namens "Advanced Email Security Suite" an, das auch eingehende E-Mails von Unternehmen auf Sicherheitsbedrohungen(öffnet im neuen Fenster) scannen soll, um die Sicherheits- und Spam-Erkennungsmechanismen des eigentlichen E-Mail-Anbieters zu unterstützen. Dass damit Kunden zusätzlich Cloudflare ihre E-Mails anvertrauen müssen, kommentiert der CEO damit, dass Cloudflare sich jeden Tag das Vertrauen seiner Kunden verdienen müsse. "Wir machen kein Geschäft mit Werbung, wir verkaufen keine Kundendaten" , so Prince gegenüber Wired.