Wie kann man E-Mails absichern? 2. Teil

27.10.2022 | Petra Alm

Der zweite Teil unserer Serie über die E-Mail-Absicherung ist dem Schutz der Domain gewidmet, von welcher die E-Mails abgesendet werden. Wie kann man sie vor dem Missbrauch vonseiten Spammer und Betrüger (Identitätsverfälschung) absichern und sicherstellen, dass die von dieser Domain abgesendeten E-Mails immer ihrem Empfänger zugestellt werden, ohne dass sich um Spam oder Phishing handeln würde? Und ebenfalls schauen wir uns die Frage der Absicherung der E-Mails bei ihrer Übertragung an.

Verhindern Sie, dass Betrüger Ihre Domain missbrauchen

In dem ersten Teil dieser Serie haben Sie erfahren, dass die E-Mails die Identität des Absenders nicht überprüfen können und dass sie sich gegen die Verfälschung seiner Identität auch nicht wehren können. Was Sie in das Feld Absender schreiben, das wir dem Empfänger der E-Mail auch angezeigt.

Beispiel des gefälchsten Absenders
Welchen Namen Sie als den Absender einstellen...
Beispiel des gefälchsten Absenders
Der wird auch angezeigt.

Niemand will verdächtige Nachrichten von einem gefälschten Absender, der nicht überprüft werden kann, erhalten. Erinnern Sie sich zum Beispiel an die bekannten erpresserischen E-Mails, die den Nutzern damit gedroht haben, Videos mit ihrer Befriedigung zu veröffentlichen, sollte den Betrügern ein Bitcoin nicht überwiesen werden. Diesen hat dabei genügt, die Adresse des Absenders zu verfälschen, um dem Nutzer vorzugaukeln, dass die E-Mail von seiner Adresse abgesendet worden ist.

Nun erfahren Sie, wie Sie dieses Risiko minimieren und die Domain, die die Post absendet, richtig absichern können. Wenn Sie das Absenden von Spam und Phishing verunmöglichen, werden Sie dadurch auch die Erfolgsquote der Zustellung Ihrer echten Nachrichten an den Empfängern erhöhen.

Technologien für die E-Mail-Absicherung

Während der 50-jährigen Geschichte der E-Mails wurden viele Methoden entdeckt, wie ihre Vertrauenswürdigkeit und Sicherheit erhöht werden könnten. Fast eine Hälfte der gesendeten Nachrichten ist aber immer noch unerwünschter Spam (der Anteil wird glücklicherweise niedriger, einmal hat der Spam mehr als 70 % aller Nachrichten gebildet). Die Eliminierung von Spam und Absicherung von E-Mails stellt deshalb ein Thema für jeden Verwalter dar.

Machen wir uns mit den Basistools für die E-Mal-Absicherung bekannt. Jeder IT-Verwalter kennt mindestens einige von den folgenden unschätzbaren Helfern, dank welchen Sie die Nutzung von E-Mails wieder angenehm machen und die Sicherheit der Nutzer erhöhen können.

Tools für die Absicherung von E-Mails:

  • SPF: Mit dem SPF-Eintrag (TXT-Eintrag in DNS) bestimmen Sie, welche Server und Domains dazu autorisiert sind, E-Mails im Namen Ihres Unternehmens abzusenden. Es handelt sich um den primären Schutz vor dem Spam-Missbrauch der Domain.
  • DKIM: Dieses Protokoll unterzeichnet die E-Mails mit einem Schlüssel, der sich im DNS befindet und den der Empfänger überprüfen kann. Ein positives Ergebnis beweist, dass die Nachricht nicht geändert worden ist und dass die E-Mail tatsächlich von der Domain des Absenders stammt.
  • DMARC: Knüpft an SPF und DKIM an. Mit diesem Protokoll definieren Sie, was mit der Nachricht passieren soll, wenn sie die SPF- und DKIM-Regeln nicht erfüllt – Sie kann in die Quarantäne verschoben, oder ganz abgelehnt werden. Beim eingeschalteten DMARC werden den Verwaltern Meldungen per E-Mail zugestellt und somit werden sie über eine richtige Einstellung, oder über die Versuche, die Domain zu missbrauchen, informiert.
  • S/MIME: Protokoll und Standard für die Mailabsicherung. Kann die Identität bestätigen, die Nachricht digital versiegeln und Ende-zu-Ende verschlüsseln. Dieser Technologie werden wir uns näher in dem zweiten Teil unserer Serie widmen.

Bei allen oben genannten Technologien gilt es: falls die Information in dem Köpfchen der Nachricht den Domaininformationen widerspritcht, sollte der Empfänger eine solche Nachricht für Spam halten. Wenn die Signatur der Nachricht verletzt wird (sie wird zum Beispiel geändert), wird der Empfänger auf einen Signaturfehler hingewiesen.

Der Server des Empfängers (also der Server, der die E-Mails empfängt), muss sich nach den Informationen aus den oben genannten Protokollen natürlich nicht richten, aber es liegt in seinem Interesse, nur die echten Nachrichten und nicht Spam zuzustellen und seine Nutzer zufrieden zu machen.

Wie kann man die Technologien für die Absicherung benutzen?

Falls Sie einen Mailserver verwalten, dann hängt die richtige Ausnutzung und Einstellung der genannten Technologien nur von Ihnen ab. Dadurch tragen Sie eine große Verantwortung, denn wenn Sie an die Maßnahmen verzichten, wird Ihren Nutzern eine große Menge von Spam zugestellt und sie können einfach zum Ziel von Phishing werden. Und wenn Sie die Absicherung unrichtig einstellen, zum Beispiel wegen fehlender Erfahrungen, dann können Sie die richtige Mailzustellung auf der Domain bedrohen, oder ganz verunmöglichen.

Sind Sie nur ein Nutzer einer E-Mailadresse ohne den Serverzugang? Dann müssen Sie die empfohlene Absicherung von Ihrem IT-Verwalter oder direkt von dem Lieferanten des Dienstes erfordern.

In beiden Fällen ist es aber günstiger, diese Sorgen Profis zu überlassen, die Ihnen eine perfekte Absicherung und Betrieb Ihres Mailclients garantieren können. Dadurch kommen wir zu den E-Mail-Anbietern, zu welchen auch ZONER a. s. und das Projekt CZECHIA.com gehören. Mit CZECHIA.com können Sie alle oben erwähnten Vorteile ausnutzen, und gleichzeitig erwerben Sie einen dreifachen Schutz Ihrer Mails – eine Antiviren-, Antispam- und Antiphishingfunktion. Somit werden Sie vor Spam, Viren und Betrügern geschützt.

Mit der Aufgabe, die E-Mail-Server zu verwalten, sollte man die Administratoren betrauen. Die Nutzer erwarten, dass der Dienst funktionieren wird, obwohl sie dann sowieso nicht schätzen können, wenn alles in Ordnung ist: wegen der verbreiteten Funktionen „gratis“ herrscht die Meinung vor, dass man für die E-Mail-Dienste nicht zahlen muss. Wenn dem Nutzer aber zum Beispiel eine bestimmte Nachricht nicht zugestellt wird, äußert er gleich seine Unzufriedenheit, weil er nicht weißt, wie die E-Mail funktioniert. Der Öffentlichkeit ist die Komplexität des ganzen Prozesses des Zusendens und Empfangens von E-Mails (siehe Wikipedia) und konsequent auch ihrer Absicherung leider nicht bekannt.

Wie kann man die Sicherheit noch erhöhen?

DANE, MTA-STS und BIMI sind weitere Technologien, die die Mailabsicherung erhöhen können.

Das Prinzip von DANE besteht darin, den kryptographischen Abdruck des Zertifikats in dem DNS-Eintrag in der Zone der Domain zu veröffentlichen. Hier kann ihn jeder finden und sich von der Echtheit des genutzten Zertifikats überzeugen. Im Fall der E-Mail-Dienste wird das Zertifikat (angegeben in dem TLSA Eintrag DANE) für die Absicherung der Kommunikation zwischen Servern genutzt. Das Vertrauen in DANE verlässt sich auf DNSSEC, welche die Echtheit der Informationen in der DNS-Zone der Domain garantiert.

MTA-STS ist eine junge Technologie, die zur Nutzung von vertrauenswürdigen Zertifikaten bei der Übertragung der abgesendeten Mails über SMTP dient. MTA-STS ist einfach gesagt ein Äquivalent von DANE, aber ohne die Bedingung, DNSSEC zu nutzen.

BIMI ermöglicht, einen Indikator des Absenders in dem Mailclient zu nutzen. Damit das Logo aber in den E-Mail-Clients tatsächlich angezeigt wird, benötigen Sie ein VMC-Zertifikat. Mehr über dieses Thema finden Sie in dem dritten Teil unserer Serie.

Verschlüsselung zwischen Mailservern

Bestimmt haben Sie von SSLMarket bereits ein TLS-Zertifikat und mit ihm ist die Absicherung der Webseite schon einfach: Sie brauchen nur das HTTPS einzuschalten und jede neue Verbindung wird schon über das verschlüsselte Protokoll erfolgen. Bei E-Mails ist es aber schwieriger: Hier wird die Absicherung nicht vorausgesetzt und hängt nur von dem Verwalter des Mailserver ab.

In dem ersten Teil dieser Serie haben Sie erfahren, dass wir uns die E-Mail als eine Briefkarte vorstellen können, die auf ihrem Weg jeder lesen kann. Der Inhalt der E-Mail ist vor fremden Augen keineswegs verborgen. Deshalb ist es zu schätzen, wenn die E-Mail mindestens auf ihrem Weg von der TLS-Verschlüsselung geschützt wird. Die Server, die sich die E-Mails austauschen, können dank TLS die Kommunikation verschlüsseln und vor Abhören schützen.

Können wir aber die Sicherheit haben, dass die Nachricht tatsächlich verschlüsselt übertragen wird? Nicht immer. Die Mehrheit der E-Mail-Server bemüht sich, zu verschlüsseln und das Protokoll STARTTLS einzusetzen, aber wenn es nicht gelingt, die Verschlüsselung herzustellen, erfolgt die Kommunikation ohne die Verschlüsselung (und der Nutzer kann es nicht beeinflussen). Deshalb können Sie die Verschlüsselung voraussetzen, Sie können sich aber darüber nicht sicher sein. Sie können versuchen, die Verschlüsselung zu erzwingen (siehe oben DANE und MTA-STS), aber der Maileingang hat immer den Vorrang und falls es nicht gelingt, die Verschlüsselung herzustellen, wird die Nachricht durch einen nicht abgesicherten Kanal zugestellt (ohne TLS).

Der dritte Teil wird sich der Absicherung aus der Sicht des Nutzers widmen

Alle oben erwähnten Technologien dienen dazu, die Authentizität der Domain, von welcher die Mails abgesendet werden, zu bestätigen, oder den Missbrauch der Domain für Spam und Phishing (Verfälschung der Adressen) zu verhindern. Die Identität des Absenders der E-Mail können diese Technologien aber nicht bestätigen. Diesen Aspekt und seine Lösung schauen wir uns das nächste Mal an. In dem dritten Teil unserer Serie erfahren Sie mehr über die Technologie S/MIME, über die Signierung und Verschlüsselung von E-Mails, aber auch über das Prinzip BIMI, welches es ermöglicht, das VMC-Zertifikat anzuwenden. Wie Sie bestimmt schon wissen, erlauben es die VMC-Zertifikate, das Logo des Absenders dem E-Mail-Empfänger anzuzeigen. Es handelt sich um eine junge und vielversprechende Technologie, die Sie dank SSLmarket verwenden können.


Petra Alm
Spezialistin für TLS-Zertifikate
DigiCert TLS/SSL Professional
e-mail: info(at)sslmarket.de