Spoofing: Schlechte Mails in gutem Namen
Ihre Kunden vertrauen auf Ihren guten Namen und den guten Namen Ihrer Marke. Ohne zu zögern öffnen sie Ihre Nachrichten, klicken auf Download-Buttons oder loggen sich mit ihren Zugangsdaten auf verlinkten Webseiten ein. Doch was passiert, wenn ein anderer Ihren guten Namen missbraucht, um Spam-Mails, Phishing-Mails, Viren und Trojaner zu versenden? Würden Sie’s bemerken? Und was können Sie dagegen tun?
Eine E-Mail in meinem Namen – ja geht denn das so einfach?
Ja, das geht so einfach. Im Simple Mail Transfer Protocol (SMTP), das beim Versenden von E-Mails zum Einsatz kommt, ist zunächst keine Überprüfung der Absender-Adresse vorgesehen. Beim Versand einer E-Mail kann prinzipiell zunächst einmal jede beliebige Absender-Adresse benutzt weden – sei es die eigene Adresse, die Adresse eines anderen oder eine Adresse, die überhaupt nicht existiert.
Wie erfahre ich, ob gefälschte E-Mails in meinem Namen verschickt werden?
Oftmals ist es für Versender relativ schwierig, zeitnah von gefälschten E-Mails in ihrem Namen zu erfahren. Mit etwas Glück gibt es vielleicht einen Empfänger, der sich über eine schädliche E-Mail bei Ihnen beschwert. Mit Pech aber kann es passieren, dass Sie den Missbrauch Ihrer Sender-Domain erst dann bemerken, wenn diese Domain bereits auf zahlreichen Blacklists zu finden ist und Sie mit massiven Zustellbarkeitsproblemen zu kämpfen haben.
Gibt es eine Möglichkeit, meine Organisation als rechtmäßigen Absender zu identifizieren?
Es gibt verschiedene Möglichkeiten, um zu signalisieren, dass man mit hoher Wahrscheinlichkeit der rechtmäßige Absender einer E-Mail ist. Eine Option ist der Einsatz des Sender Policy Framework (SPF). Hierbei hinterlegt der Besitzer einer Domain einen sog. SPF-Eintrag, der genau festlegt, welche Server mit welchen IP-Adressen im Namen seiner Domain E-Mails versenden dürfen – und welche eben nicht. Ein zweiter Weg ist der Einsatz einer DKIM-Signatur. Bei diesem Verfahren hinterlegt der Besitzer einer Domain einen öffentlichen Schlüssel und versieht jede seiner E-Mails mit einer digitalen Signatur im Header. Der Empfänger kann die Signatur in der E-Mail mit dem öffentlichen Schlüssel vergleichen und feststellen, ob beide zusammenpassen oder nicht.
Warum genügt das nicht?
Stellen Sie sich vor, ein E-Mail-Provider erhält eine E-Mail in Ihrem Namen. Er prüft SPF und DKIM und stellt fest, dass die E-Mail mit großer Wahrscheinlichkeit nicht von Ihnen stammt. Nun liegt es am E-Mail-Provider, zu entscheiden, wie er mit dieser E-Mail verfährt – in den Posteingang des Empfängers legen, in den Spam-Ordner befördern oder die E-Mail erst gar nicht zustellen? Wie auch immer der Provider sich entscheidet: Sie können seine Entscheidung nicht beeinflussen – und Sie erfahren nichts von der Existenz der gefälschten E-Mail, die Ihre Domain im Absender trägt.
Was ist DMARC und was kann DMARC?
DMARC ist eine technische Spezifikation, die von einer Gruppe von Unternehmen und Organisationen entwickelt wurde – darunter AOL, Gmail, Hotmail, Yahoo, Facebook und ReturnPath. Dank DMARC sollen in Zukunft immer mehr E-Mail-Sender und E-Mail-Empfänger zusammen darüber entscheiden, was mit potenziell gefälschten Nachrichten geschehen soll – geprüft wird auf der Basis von SPF und DKIM. So werden nicht nur die Empfänger Ihrer E-Mails, sondern auch Ihr guter Name geschützt. Im DMARC-Eintrag können Sie eine Empfehlung darüber aussprechen, was mit Nachrichten geschehen soll, die bei der DMARC-Prüfung durchfallen: Soll der empfangende Mailserver die E-Mail trotzdem zustellen, in den Spam-Ordner legen oder die E-Mail einfach ablehnen? Als Versender können Sie sich außerdem verschiedene Arten von Reports von den teilnehmenden Organisationen zusenden lassen – ganz einfach per E-Mail. Diese Reports sind ein wertvolles Monitoring-Instrument: Sie ermöglichen es Ihnen, genau zu kontrollieren, ob gefälschte E-Mails in Ihrem Namen verschickt werden – und auch festzustellen, ob es Probleme mit der Authentifizierung der von Ihnen versendeten E-Mails gibt. So behalten Sie jederzeit den Überblick und die Kontrolle über Ihre Absender-Domain.
Und das funktioniert?
DMARC ist ein relativ neues Verfahren, das noch in den Kinderschuhen steckt. Nicht alle E-Mail-Provider haben DMARC bereits implementiert. Und auch bei denjenigen Providern, die DMARC bereits einsetzen, gibt es mitunter kleinere technische Schwierigkeiten. Versender sollten daher vorsichtig ans Werk gehen, was die eigene DMARC-Policy betrifft. Eine ausführliche Testphase ist unbedingt empfehlenswert – anderenfalls besteht das Risiko, dass im Falle einer technischen Panne der Großteil der eigenen, authentischen Kommunikation schlichtweg nicht zugestellt wird.
Die Erstellung des DMARC-Records, die ausführliche Testphase und die regelmäßige, sachkundige Auswertung der Reports – all das benötigt Wissen, Erfahrung und Zeit. Insgesamt sind wir jedoch der Meinung: Der Aufwand zahlt sich aus. Dank DMARC können Versender ihren guten Namen und ihre Empfänger besser vor Schäden durch betrügerische E-Mails schützen – und optimieren damit zugleich die Zustellbarkeit ihrer E-Mail-Kampagnen.
