Beschreibung
Die Sicherheit von E-Mails ist von entscheidender Bedeutung, da E-Mail-Systeme häufig Ziel von Cyberangriffen sind. Durch die Implementierung bestimmter Sicherheitsmaßnahmen können Organisationen die Sicherheit ihrer E-Mail-Kommunikation erheblich verbessern.
Empfohlene Maßnahmen
- MX-Eintrag setzen: Der MX (Mail Exchange) Eintrag ist ein DNS-Eintrag, der angibt, welcher Mailserver E-Mails für eine bestimmte Domain empfängt. Durch das korrekte Setzen dieses Eintrags wird sichergestellt, dass E-Mails korrekt zugestellt werden. Ein solcher Eintrag muss direkt auf einen A-Eintrag oder einen AAAA-Eintrag verweisen.
- SPF konfigurieren: SPF (Sender Policy Framework) ist ein Mechanismus zur Überprüfung der Echtheit des Absenders einer E-Mail. Es definiert, welche Server berechtigt sind, E-Mails für eine bestimmte Domain zu senden.
- DKIM konfigurieren: DKIM (DomainKeys Identified Mail) ist ein Mechanismus zur Überprüfung der Echtheit von E-Mails. Durch DKIM wird jede ausgehende E-Mail digital signiert, um sicherzustellen, dass sie tatsächlich von der angegebenen Domain stammt und während der Übertragung nicht manipuliert wurde.
- DMARC konfigurieren: DMARC (Domain-based Message Authentication, Reporting, and Conformance) ermöglicht es einer Organisation, Richtlinien für die Überprüfung von DKIM- und SPF-Signaturen festzulegen und zu kommunizieren. Dadurch können gefälschte E-Mails besser erkannt und blockiert werden.
Beispiel:
MX
MX-Eintrag:
| Type | Domain Name | Preferences | Adresse | TTL |
MX |
example.com |
20 |
mail.example.com |
45000 |
Der obige Eintrag gibt an, dass der Mailserver mail.example.com Mails für die Domäne example.com Mails empfangen kann.
Die Priorität des Mailservers wird durch die Preference 20 angegeben. Kleinere Zahlen haben eine höhere Priorität. Das bedeutet, dass ein anderer Eintrag mit einem höheren Wert nur dann verwendet wird, wenn der erste Eintrag nicht funktioniert.
SPF
DNS-TXT-Eintrag:
| Type | Name | Inhalt | TTL |
TXT |
example.com |
v=spf1 ip4:192.0.2.0/24 ip4:198.51.100.123 include:spf.example2.net -all |
6000 |
v=spf1: Signalisiert dem Server, dass es sich um einen SPF-Eintrag (Version 1) handelt.ip4:192.0.2.0/24 ip4:198.51.100.123: Zulässige IP-Adressen für den Versand von E-Mails von dieser Domain aus.include:spf.example2.net: Mögliche Drittanbieter, die ebenfalls zum Versenden von E-Mails berechtigt sind, können eingebunden werden. In diesem Fall muss der Server auch den SPF-Eintrag dieser Domain überprüfen.-all: Teilt dem Server mit, dass alle anderen IP-Adressen, die nicht in der Liste aufgeführt sind, keine E-Mails versenden dürfen und abgewiesen werden.
DKIM
DNS-TXT-Eintrag:
| Type | Name | Inhalt | TTL |
| TXT | selector1._domainkey.example.com | "v=DKIM1; k=rsa; p=MIGfMA0GCSqGS [...]YQIDAQAB" | 6000 |
selector1: ist der Selector, der in dem DKIM-Signature Header-Feld verwendet wird.v=DKIM1: Signalisiert dem Server, dass es sich um einen DKIM-Eintrag (Version 1) handelt.k=rsa: spezifiziert, dass RSA für die Verschlüsselung verwendet wird.p=: enthält den öffentlichen Schlüssel, der verwendet wird, um die DKIM-Signatur zu überprüfen.
E-Mail Header Beispiel mit einer DKIM-Signature:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=example.com; s=selector1; h=from:to:subject:date:content-type:content-transfer-encoding; bh=d7K3k5fDx3 [...] l9X2x5Nh7gZ4g=; b=ZgNt7LbQp7h2B1wXo3r [...] SiX4j9w==;
v: DKIM-Version (zum Beispiel "v=1")a: Der verwendete Algorithmus zur Signatur (z. B. "rsa-sha256").d: Die d-Marke oder Identifikation der Domäne, die die Signatur erstellt hat.s: Der Selektor, der spezifiziert, welcher öffentliche Schlüssel verwendet wird, um die Signatur zu verifizieren.h: Eine Liste von Kopfzeilenfeldern, die für die Signatur verwendet wurden.bh: Der "Body Hash" (Hash des E-Mail-Inhalts).b: Der eigentliche Signaturwert, der aushundbherzeugt wird.
DMARC
DNS-TXT-Eintrag:
| Type | Name | Inhalt | TTL |
TXT |
example.com |
v=DMARC1; p=reject; adkim=s; aspf=s; rua=mailto:dmarc@example.com; ruf=mailto:dmarc@example.com |
6000 |
v=DMARC1: Signalisiert dem Server, dass es sich um einen DMARC-Eintrag (Version 1) handelt.p=reject: Dieser Eintrag gibt an, was mit der E-Mail geschehen soll, wenn der DKIM- und der SPF-Eintrag nicht gesetzt sind. In diesem Fall wird die E-Mail blockiert. Die Alternativen sindnoneundquarantine.adkim=s: Die DKIM-Prüfung muss strict durchgeführt werden. Die Alternative wäre r für "ralaxed".aspf=s: Wieadkimnur für SPFrua=mailto:dmarc@example.com: Hier wird die E-Mail-Adresse angegeben, an die aggregierte Berichte (Aggregate Reports) gesendet werden sollen. Diese Berichte enthalten Informationen über den Zustellstatus von E-Mails, die von der DMARC-Richtlinie betroffen sind.ruf=mailto:dmarc@example.com: Hier wird die E-Mail-Adresse angegeben, an die forensische Berichte (Forensic Reports) gesendet werden sollen. Diese Berichte enthalten detaillierte Informationen über E-Mails, die die DMARC-Prüfung nicht bestanden haben, einschließlich der Kopfzeilen und des Inhalts der betreffenden E-Mails.