Bei der E-Mail-Sicherheit gibt es viel mehr, als man auf den ersten Blick sieht. Wir sind uns alle bewusst, dass E-Mails einer der am stärksten betroffenen Bereiche für Phishing nach persönlichen Daten und sensiblen Informationen sind.
Hacker werden immer besser darin, authentisch aussehende Nachrichten zu erstellen, die so viele Menschen dazu verleiten, auf einen Call-to-Action zu klicken und den Spoofern die Informationen zu liefern, nach denen sie suchen – oft Anmeldedaten und finanziellen Zugang.
E-Mail-Authentifizierung – was ist das?
E-Mail-Authentifizierung is the system designed to protect your reputation by checking when you send an email campaign that you’re who you say you are. The four concepts are simple enough, yet setting each of the methods can be tricky. However, the protection offered when combined is as good as you can put in place under our current systems.
Was sind die möglichen Methoden?
Die vier typischen E-Mail-Authentifizierungsmethoden sind heute die folgenden
- SPF – Sender Policy Framework
Dieser Standard führt die ursprüngliche Prüfung durch, um sicherzustellen, dass jede E-Mail von einer vertrauenswürdigen IP-Adresse stammt. - DKIM – DomainKeys Identified Mail
Eine weitere Identitätsprüfung, aber dieses Mal unter Verwendung eines Chiffrierschlüssels als digitale Signatur. - DMARC – Domain Message Authentication Reporting und Konformität
DMARC stellt sicher, dass die E-Mails sowohl SPF als auch DKIM erfüllen, bevor sie zugestellt werden. - BIMI – Markenindikatoren zur Identifizierung von Meldungen
BIMI liefert eine letzte Prüfung, die sich auf die Glaubwürdigkeit des Absenders konzentriert und das Markenimage des Absenders im Posteingang des Empfängers anzeigt (sofern derzeit unterstützt).
Wir werden im weiteren Verlauf einen genaueren Blick auf jede dieser Funktionen werfen, aber zunächst werden wir erklären, warum sie so wichtig sind und ein wenig über ihre Funktionsweise berichten.
Wie funktioniert die E-Mail-Authentifizierung?
Jede der Authentifizierungsmethoden (SPF DKIM DMARC BIMI) wendet eine Sicherheitsebene auf Ihre E-Mails an, die Ihre E-Mail-Domäne verwendet, um zu verifizieren, dass Sie derjenige sind, der Sie vorgeben zu sein.
- Der Absender definiert die Richtlinien/Regeln, wie seine Domain authentifiziert wird.
- Sie konfigurieren dann die Domain-DNS- und E-Mail-Server, um diese Regeln zu implementieren.
- Empfängerserver verifizieren eingehende E-Mails, indem sie sie mit den im DNS der Domain festgelegten Regeln abgleichen.
- Bei Authentifizierung verarbeitet der Empfängerserver die E-Mail sicher. Schlägt die Authentifizierung fehl, wird die Nachricht blockiert oder unter Quarantäne gestellt oder entsprechend der Authentifizierungsregelung verwaltet.
Was sind die Vorteile?
Wie Sie sehen, riskieren Sie, wenn Sie keine E-Mail-Authentifizierung einrichten, abgelehnte E-Mails, höhere Spam-Raten und niedrigere Zustellungsraten.
Ihre sorgfältig durchdachten, schön gestalteten und erstellten Nachrichten haben eine weitaus geringere Chance, in den Posteingängen zu landen, für die sie bestimmt sind.
Schlimmer noch: Ohne Ihre E-Mail-Authentifizierungsmethoden ist Ihre Marke viel leichter zu fälschen, was Sie und Ihre Kunden weit offen für E-Mail-Angriffe, Hacks und Phishing lässt.
Einrichten der E-Mail-Authentifizierung
To set up your domain to manage each authentication method, you need access to the DNS settings ( Domain Name System) through your domain registration service.
Sobald Sie auf die DNS-Einstellungen zugreifen, fügen Sie verschiedene TXT- und CNAME-Einträge zu Ihrer Domain hinzu.
Um die Werte Ihrer Domain-Einstellungen herauszufinden, müssen Sie sich an Ihren E-Mail-Host wenden. Er wird Ihnen die Einstellungen für Ihre SPF-Einträge zur Verfügung stellen, Ihren DKIM-Selektor in seinem Hosting-Bereich generieren und Ihnen zeigen, wie Sie Ihre DMARC-Richtlinie implementieren, da sich die Hosts oft in ihrer Konfiguration unterscheiden.
You’ll add another TXT record to include a BIMI record, including the path to your brand image file .
SPF – Sender Policy Framework
SPF ist die Standard-Authentifizierung, die in den frühen Tagen der E-Mail-Entwicklung geschaffen wurde. Wo er einst für frühe E-Mail-Systeme geeignet war, birgt er für moderne Mail-Methoden einige Probleme. Deshalb ist es notwendig, alle vier Methoden zu verwenden, um eine Form der vollständigen Abdeckung zu liefern.
SPF records are stored in plain text within the domain DNS and dictate the IP addresses with permission to send from the domain .
Wenn der E-Mail-Server des Empfängers einen DNS-Lookup durchführt, um den SPF-Eintrag abzurufen, verwendet er den Wert im Rückkanal der Nachricht.
Probleme mit der SPF-Authentifizierung
Syntax – Despite being text records, the syntax can get tricky when entering the DNS records . If they’re not precise, then authentication will fail, even if the message and sender are genuine.
Identifizieren von genehmigten IP-Adressen – Gemeinsam genutzte Systeme, wie z. B. Cloud-Plattformen, können mehrere Dienste mit dynamisch zugewiesenen IP-Adressen hosten. Obwohl die IP bestimmt und autorisiert werden kann, kann sie auch jedem anderen erlauben, dieselbe freigegebene IP zu verwenden, indem Ihr SPF-Eintrag verwendet wird.
SPF can be spoofed – SPF uses the hidden return path field for authentication—not the ‘from’ field, which recipients can clearly view. A hacker, phishing for information, can present a valid looking domain and email address in the ‘from’ field, yet have their own email as the return-path, using their own authentication system to get through server checks.
SPF unterstützt keine E-Mail-Weiterleitung – Ein Empfängerserver kann eine weitergeleitete Nachricht nicht validieren, weil die identifizierende Domäne die des weiterleitenden Servers zu sein scheint und nicht die ursprüngliche Domäne.
Wie Sie sehen, ist das, was einmal eine akzeptable Methode war, jetzt deutlich fehlerhaft. Sie bietet die Grundlagen, auf denen man für eine größere Allround-Sicherheit aufbauen kann. Als eigenständige Methode reicht sie jedoch bei der heutigen Technologie einfach nicht mehr aus.
DKIM – DomainKeys Identified Mail
DKIM verwendet die Verschlüsselung mit öffentlichen/privaten Schlüsseln, um E-Mails zu signieren. Es verifiziert, dass E-Mails von der Domain gesendet wurden und dass die E-Mail während der Übertragung nicht verändert wurde.
Es ist eine sicherere Authentifizierungsmethode, da sie sicherstellt, dass die Nachricht während der Zustellung nicht verändert wurde. Ein weiterer Vorteil ist, dass die DKIM-Authentifizierung die Weiterleitung von E-Mails überlebt.
The domain owner creates cryptographic keys in pairs: public and private. The public key is placed as a TXT record on the domain’s DNS. When an email is sent, a ‘hash’ is generated based on the contents of the message . This hash is encrypted with the domain’s private key and attached to the header of the email.
Der E-Mail-Server des Empfängers liest die verschlüsselten Informationen mithilfe des im DNS gehosteten öffentlichen Schlüssels, und wenn alles übereinstimmt, wird die Authentifizierung gewährt.
DKIM-Selektoren
Jede Domäne kann mehrere Selektoren verwenden. Diese Werte werden verwendet, um eindeutige Eigenschaften zu identifizieren, z. B. Subdomänen, Benutzer, Standorte und Dienste. Jeder Selektor arbeitet mit einem eigenen öffentlichen Schlüssel und verzichtet auf einen einzigen, gemeinsamen Schlüssel für alle Eventualitäten.
Probleme mit der DKIM-Authentifizierung
Mismatched signatures – A valid DKIM signature could use a completely different domain than that shown in the ‘from’ field. It makes phishing from another email domain a simple Prozess .
Schlüsselsicherheit – Ein Hacker, der Nachrichten mit der Domain eines anderen Benutzers signiert, könnte seine E-Mails perfekt mit dem privaten Schlüssel dieser Domain validieren lassen.
Implementierung und Verwaltung von Schlüsseln – Längere, sicherere Schlüssel können bei der Anwendung auf die Domain DNS problematisch sein. Diese langen Datenstrings können leicht falsch angewendet werden, auch beim Kopieren und Einfügen.
To get the best from DKIM, it needs to be partnered with DMARC, bringing the domain used in the ‘from’ field into play. You can see now how each system depends on its previous method to create a complete and effective authentication system.
DMARC – Domain Message Authentication Reporting und Konformität
As already mentioned, DMARC enforces the use of the domain set in the from field to verhindern. hackers and attackers from using alternate domains to bypass safety checks.
Es enthält auch einen Berichtsmechanismus, mit dem der Absender entscheiden kann, was er mit den Authentifizierungsergebnissen tun möchte. Der DMARC-Eintrag steuert, wohin und wie Empfänger-Server Berichte senden.
DMARC schließt also die Lücken zwischen SPF und DKIM und erhöht die Zustellbarkeit von E-Mails. Spammer können diese geschützten Domains nicht mehr missbrauchen; daher baut sich die Domain-Reputation auf, was die Zustellbarkeitsraten immer weiter verbessert.
DMARC-Durchsetzung
Der DMARC-Datensatz gibt vor, was mit E-Mails zu tun ist, die nicht autorisiert wurden. Die Richtlinie hat drei Ergebnisse: nichts tun, in Quarantäne stellen oder zurückweisen. Ein DMARC-Bericht informiert den Domain-Inhaber darüber, woher solche fehlgeschlagenen Nachrichten stammen, und liefert wichtige Informationen über die Verletzung und was er tun kann, um weitere Schutzmaßnahmen zu ergreifen.
BIMI – Markenindikatoren zur Identifizierung von Meldungen
Man hofft, dass die Einbindung der BIMI-E-Mail-Authentifizierung zu einer Steigerung des Engagements durch Zustellbarkeit um etwa 10% führt – das ist keine Zahl, die man auf die leichte Schulter nehmen sollte.
Da diese Authentifizierungsmethode noch in den Kinderschuhen steckt und viele E-Mail-Provider noch auf die Einführung warten, gibt es einige Schritte, die Benutzer unternehmen können, um sicherzustellen, dass sie für die große Einführung bereit sind, wenn sie endlich auf unseren Servern ankommt.
Eines ist sicher, angesichts der Tatsache, dass Google die BIMI-Integration in die G Suite integriert, sollte es nur eine Frage der Zeit sein, bis der Rest der Welt nachzieht.
Wie kann man sich auf BIMI vorbereiten?
Um die BIMI-E-Mail-Authentifizierung zu aktivieren, müssen Sie zunächst Ihre E-Mails mit SPF, DKIM und DMARC authentifizieren und dabei die Ausrichtung sicherstellen (die Domain ist durchgängig dieselbe). Die DMARC-Richtlinie muss entweder auf „Quarantäne“ oder „Ablehnen“ erzwungen werden, und der Domain-DNS muss den richtigen BIMI-Eintrag haben.
Sie müssen auch eine geeignete Logodatei als Link bereitstellen, damit die resultierende Authentifizierung in den Posteingängen Ihrer Empfänger angezeigt wird. Ihr Logo muss im richtigen SVG-Format vorliegen und möglicherweise ein VMC (Verified Mark Certificate) zur Authentifizierung der Datei enthalten.
Vollständige Authentifizierung für Ihre E-Mail-Kampagnen
We’ve learned that each one of these methods on its own won’t provide any kind of one-stop solution to make life simple. However, with a little work to bring each of the systems together as one, you’ll be far more secure in the delivery of your email campaigns and messages than you could ever be without them.
It’s worth the time and effort it takes if it ensures the protection of your service, your Abonnenten and boosts the connectivity and returns on your marketing.
