Wie können wir helfen?
DMARC & DKIM
DKIM und DMARC sind weitere Verfahren, um steigende die SPAM-Flut einzudämmen.
DKIM
Was ist DKIM und warum ist es wichtig für E-Mail-Sicherheit?
In der heutigen digitalen Welt ist die Sicherheit von E-Mails entscheidend. DKIM (DomainKeys Identified Mail) ist eine wichtige Technologie, die hilft, die Authentizität von E-Mails zu überprüfen und Manipulationen zu verhindern. Aber was genau ist DKIM und wie funktioniert es? Lassen Sie uns das genauer betrachten.
Was ist DKIM?
DKIM steht für DomainKeys Identified Mail. Es handelt sich um eine Methode zur E-Mail-Authentifizierung, bei der E-Mails digital signiert werden. Diese Signaturen funktionieren wie eine Versiegelung: Sie ermöglichen es dem Empfänger, zu prüfen, ob die E-Mail tatsächlich vom angegebenen Absender stammt und ob sie unterwegs verändert wurde.
Wie funktioniert DKIM?
Digitale Signatur: Bei DKIM wird jede E-Mail kryptografisch mit einem privaten Schlüssel signiert. Dieser private Schlüssel ist nur den autorisierten Mailservern der Absenderdomain bekannt. Diese Signatur erfolgt automatisch im Hintergrund, sobald DKIM aktiviert und eingerichtet ist.
Öffentlicher Schlüssel im DNS: Der zugehörige öffentliche Schlüssel wird als TXT-Record im DNS der Absenderdomain hinterlegt. Jeder empfangende Mailserver oder Spamfilter kann diesen öffentlichen Schlüssel verwenden, um die Signatur der E-Mail zu überprüfen.
Selektoren zur Unterscheidung: Um verschiedene DKIM-Schlüssel zu unterscheiden, verwendet man sogenannte „Selektoren“. Diese Selektoren werden in der DKIM-Signatur angegeben und ermöglichen es, im DNS nach dem entsprechenden öffentlichen Schlüssel zu suchen.
Vorteile von DKIM
Sicherheit: DKIM stellt sicher, dass die E-Mail nicht manipuliert wurde, was das Risiko von Phishing und Spoofing erheblich reduziert.
Verlässlichkeit: Durch die Verwendung eines privaten Schlüssels wird sichergestellt, dass nur autorisierte Mailserver E-Mails für eine bestimmte Domain signieren können.
Weiterleitungsresistenz: Ein großer Vorteil von DKIM im Vergleich zu SPF (Sender Policy Framework) ist, dass die DKIM-Signatur bei automatischen Weiterleitungen erhalten bleibt. Das bedeutet, dass die Authentizität der E-Mail auch nach Weiterleitungen überprüft werden kann.
Einrichtung von DKIM
Die Einrichtung von DKIM ist relativ einfach und erfordert einige grundlegende Schritte:
Erstellen eines Schlüsselpaares: Generieren Sie ein Schlüsselpaar, bestehend aus einem privaten und einem öffentlichen Schlüssel.
Hinterlegen des öffentlichen Schlüssels im DNS: Fügen Sie den öffentlichen Schlüssel als TXT-Record im DNS Ihrer Domain hinzu.
Konfiguration des Mailservers: Richten Sie Ihren Mailserver so ein, dass er ausgehende E-Mails mit dem privaten Schlüssel signiert.
So richten Sie DKIM ein
Die Einrichtung von DKIM ist relativ unkompliziert und erfordert nur wenige Schritte:
- Schlüsselpaar generieren: Erstellen Sie ein Schlüsselpaar, bestehend aus einem privaten und einem öffentlichen Schlüssel.
- Öffentlichen Schlüssel veröffentlichen: Hinterlegen Sie den öffentlichen Schlüssel als TXT-Record im DNS Ihrer Domain.
- Mailserver konfigurieren: Richten Sie Ihren Mailserver so ein, dass er ausgehende E-Mails mit dem privaten Schlüssel signiert.
Beispieleintrag
Hier ist ein Beispiel für einen DMARC-Record in einem DNS-Server:
_dmarc.example.com. IN TXT "v=DMARC1; p=none; rua=mailto:dmarc-reports@example.com; ruf=mailto:dmarc-failures@example.com; fo=1; pct=100"
Wollen wir die einzelnen Teile des DMARC-Records aufschlüsseln:
_dmarc.example.com.: Dies ist der Name des DNS-Records. Er besteht aus dem Präfix _dmarc gefolgt von der Domain, für die der DMARC-Record erstellt wird (in diesem Fall example.com).
– IN TXT: Dies gibt an, dass es sich um einen TXT-Record handelt.
– “v=DMARC1; p=none; rua=mailto:dmarc-reports@example.com; ruf=mailto:dmarc-failures@example.com; fo=1; pct=100“: Dies ist der Inhalt des DMARC-Records.
Hier sind die wichtigsten Parameter, die im DMARC-Record verwendet werden:
– `v=DMARC1`: Dies gibt die Version des DMARC-Protokolls an (immer `DMARC1`).
– `p=none`: Dies gibt die Richtlinie an, die angewendet wird, wenn eine E-Mail die Authentifizierung nicht besteht. Mögliche Werte sind:
– `none`: Keine Maßnahmen ergreifen, nur Berichte sammeln.
– `quarantine`: E-Mails, die die Authentifizierung nicht bestehen, in den Spam-Ordner verschieben.
– `reject`: E-Mails, die die Authentifizierung nicht bestehen, vollständig ablehnen.
– `rua=mailto:dmarc-reports@example.com`: Diese Angabe gibt die E-Mail-Adresse an, an die aggregierte Berichte gesendet werden sollen.
– `ruf=mailto:dmarc-failures@example.com`: Diese Angabe gibt die E-Mail-Adresse an, an die Forensic-Berichte (detaillierte Berichte über einzelne fehlerhafte E-Mails) gesendet werden sollen.
– `fo=1`: Diese Einstellung bestimmt, wann Forensic-Berichte gesendet werden sollen. Der Wert `1` bedeutet, dass ein Bericht bei jedem Fehler gesendet wird.
– `pct=100`: Diese Angabe gibt den Prozentsatz der E-Mails an, auf die die Richtlinie angewendet werden soll (in diesem Fall 100%, also alle E-Mails).
Ein DMARC-Record kann flexibel an die Bedürfnisse der Organisation angepasst werden, und die Parameter können je nach Sicherheitsanforderungen und Reporting-Bedarf variieren.
Fazit
DKIM ist ein leistungsstarkes Werkzeug zur Sicherstellung der E-Mail-Authentizität und zur Vermeidung von Manipulationen. Durch die Implementierung von DKIM können Sie nicht nur die Sicherheit Ihrer E-Mail-Kommunikation erhöhen, sondern auch das Vertrauen Ihrer Empfänger stärken. In Kombination mit anderen Technologien wie SPF und DMARC (Domain-based Message Authentication, Reporting & Conformance) bietet DKIM einen umfassenden Schutz gegen E-Mail-Betrug und Missbrauch.
DMARC
– Domain-based Message Authentication, Reporting and Conformance:
Um SPF und DKIM effektiv gegen gefälschte Absenderdomains einzusetzen, führt DMARC zwei zusätzliche Überprüfungen durch:
Überprüfung 1: Stimmt die im Return-Path (Envelope-From) angegebene Domain mit der Absenderdomain überein, die im Mailclient des Empfängers sichtbar ist? Und ist das System, das diese E-Mail gesendet hat, durch SPF berechtigt, im Namen dieser Domain E-Mails zu versenden?
Überprüfung 2: Entspricht die in der DKIM-Signatur angegebene Domain der Absenderdomain, die im Mailclient des Empfängers sichtbar ist? Und ist die DKIM-Signatur gültig?
Wenn eine dieser beiden Überprüfungen mit „Ja“ beantwortet werden kann, ist der DMARC-Check erfolgreich bestanden.
Falls keine der beiden Überprüfungen erfolgreich ist, kann der Domaininhaber eine von drei Empfehlungen setzen, die von den meisten Spamfiltern und Mailservern berücksichtigt und umgesetzt werden:
– None (Nichts tun, nur Monitoring)
– Quarantine (E-Mail soll im Spamordner landen)
– Reject (E-Mail soll abgewiesen werden)
Doch DMARC bietet noch mehr:
Es wäre ideal, wenn der Domaininhaber Rückmeldungen erhält, welche Systeme im Namen seiner Domain E-Mails versenden und ob diese E-Mails den DMARC-Check bestehen. Wenn legitime E-Mails den DMARC-Check nicht bestehen, kann dies die Zustellbarkeit negativ beeinflussen.
Daher kann im DMARC-Eintrag (ebenfalls ein öffentlicher Eintrag im DNS der jeweiligen Domain) eine E-Mail-Adresse hinterlegt werden. An diese Adresse können Mailserver, die eine oder mehrere E-Mails von einer Domain mit einem DMARC-Eintrag empfangen haben, sogenannte DMARC-Berichte senden.
In diesen Berichten steht, wie viele E-Mails ein Mailserver von einer bestimmten Domain erhalten hat und wie viele davon den SPF-, DKIM- und DMARC-Check bestanden oder nicht bestanden haben. Diese Informationen können zur Fehlerbehebung genutzt werden, um sicherzustellen, dass alle Systeme korrekt eingerichtet sind. Da es ständig Änderungen geben kann, ist es sinnvoll, die Berichte regelmäßig zu überwachen.
Zusätzlich können Domaininhaber anhand der DMARC-Berichte erkennen, ob ihre Domain für E-Mail-Spoofing-Angriffe missbraucht wird.
Einrichtung eines DMARC-Records
DNS-Verwaltung öffnen:
Melden Sie sich bei Ihrem DNS-Hosting-Anbieter an und öffnen Sie die DNS-Verwaltung für die Domain, für die Sie den DMARC-Record einrichten möchten.
Neuen TXT-Record hinzufügen:
Fügen Sie einen neuen TXT-Record hinzu. Die genaue Methode kann je nach Anbieter variieren, aber im Allgemeinen gibt es eine Option wie “Add Record” oder “Neuen Eintrag hinzufügen”.
Füllen Sie die folgenden Felder aus:
- Name (host):
_dmarc.example.com
- Typ:
TXT
- Wert: (Text):
v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@example.com; ruf=mailto:dmarc-failures@example.com; fo=1; pct=100
Hier ist eine Beispielkonfiguration:
v=DMARC1
: Version des DMARC-Protokolls.p=quarantine
: Richtlinie, die besagt, dass E-Mails, die den DMARC-Check nicht bestehen, in den Spam-Ordner verschoben werden sollen. Andere Optionen sindnone
(nur Berichte sammeln) undreject
(E-Mails ablehnen).rua=mailto:dmarc-reports@example.com
: E-Mail-Adresse für aggregierte Berichte.ruf=mailto:dmarc-failures@example.com
: E-Mail-Adresse für Forensik-Berichte (optional).fo=1
: Forensik-Option, die festlegt, wann Berichte gesendet werden (1 bedeutet, bei jedem Fehler).pct=100
: Prozentsatz der E-Mails, auf die die Richtlinie angewendet wird (100% bedeutet alle E-Mails).
_dmarc.example.com. IN TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@example.com; ruf=mailto:dmarc-failures@example.com; fo=1; pct=100"
Wichtige Hinweise
- Testen: Verwenden Sie Tools wie
dmarcian.com
odermxtoolbox.com
, um sicherzustellen, dass Ihr DMARC-Record korrekt konfiguriert ist. - Überwachung: Überwachen Sie regelmäßig die DMARC-Berichte, die an die angegebene E-Mail-Adresse gesendet werden, um sicherzustellen, dass alles ordnungsgemäß funktioniert und keine legitimen E-Mails blockiert werden.
Mit diesen Schritten haben Sie erfolgreich einen DMARC-Record für Ihre Domain eingerichtet und können nun die Vorteile dieser zusätzlichen Sicherheitsmaßnahme nutzen.
Empfehlung
Online-Kurs: Mail Plus Server einrichten
In diesem Online-Kurs lernst Du, wie Du Deinen eigenen E-Mail-Server auf der Synology installieren kannst. Ich zeige Dir, die verschiedenen Installationsmethoden und welche Schritte beim Provider durchzuführen sind und wie die Clientsysteme, wie Outlook und Thunderbird, eingebunden werden.
Remote Support Unterstützung
Sie möchten gerne Ihren eigenen Mail-Server installieren, aber benötigen dafür professionelle Unterstützung? Dann wird Ihnen ein persönliches Remote-Coaching mit mir sicher weiterhelfen. Buchen Sie Ihren persönlichen Remote-Support und ich zeige ich Ihnen per TeamViewer, wie der Mail-Plus-Server in Ihrer Umgebung eingerichtet wird.