Checkin ....

 

IT-Security Academy

GlossaryMail Security

April 25, 2024

Beschreibung

Die Sicherheit von E-Mails ist von entscheidender Bedeutung, da E-Mail-Systeme häufig Ziel von Cyberangriffen sind. Durch die Implementierung bestimmter Sicherheitsmaßnahmen können Organisationen die Sicherheit ihrer E-Mail-Kommunikation erheblich verbessern.

Empfohlene Maßnahmen

  • MX-Eintrag setzen: Der MX (Mail Exchange) Eintrag ist ein DNS-Eintrag, der angibt, welcher Mailserver E-Mails für eine bestimmte Domain empfängt. Durch das korrekte Setzen dieses Eintrags wird sichergestellt, dass E-Mails korrekt zugestellt werden. Ein solcher Eintrag muss direkt auf einen A-Eintrag oder einen AAAA-Eintrag verweisen.
  • SPF konfigurieren: SPF (Sender Policy Framework) ist ein Mechanismus zur Überprüfung der Echtheit des Absenders einer E-Mail. Es definiert, welche Server berechtigt sind, E-Mails für eine bestimmte Domain zu senden.
  • DKIM konfigurieren: DKIM (DomainKeys Identified Mail) ist ein Mechanismus zur Überprüfung der Echtheit von E-Mails. Durch DKIM wird jede ausgehende E-Mail digital signiert, um sicherzustellen, dass sie tatsächlich von der angegebenen Domain stammt und während der Übertragung nicht manipuliert wurde.
  • DMARC konfigurieren: DMARC (Domain-based Message Authentication, Reporting, and Conformance) ermöglicht es einer Organisation, Richtlinien für die Überprüfung von DKIM- und SPF-Signaturen festzulegen und zu kommunizieren. Dadurch können gefälschte E-Mails besser erkannt und blockiert werden.
Beispiel:

 

MX

MX-Eintrag:

Type Domain Name Preferences Adresse TTL
MX example.com 20 mail.example.com 45000

Der obige Eintrag gibt an, dass der Mailserver mail.example.com Mails für die Domäne example.com Mails empfangen kann. Die Priorität des Mailservers wird durch die Preference 20 angegeben. Kleinere Zahlen haben eine höhere Priorität. Das bedeutet, dass ein anderer Eintrag mit einem höheren Wert nur dann verwendet wird, wenn der erste Eintrag nicht funktioniert.

SPF

DNS-TXT-Eintrag:

Type Name Inhalt TTL
TXT example.com v=spf1 ip4:192.0.2.0/24 ip4:198.51.100.123 include:spf.example2.net -all 6000

  • v=spf1: Signalisiert dem Server, dass es sich um einen SPF-Eintrag (Version 1) handelt.
  • ip4:192.0.2.0/24 ip4:198.51.100.123: Zulässige IP-Adressen für den Versand von E-Mails von dieser Domain aus.
  • include:spf.example2.net: Mögliche Drittanbieter, die ebenfalls zum Versenden von E-Mails berechtigt sind, können eingebunden werden. In diesem Fall muss der Server auch den SPF-Eintrag dieser Domain überprüfen.
  • -all: Teilt dem Server mit, dass alle anderen IP-Adressen, die nicht in der Liste aufgeführt sind, keine E-Mails versenden dürfen und abgewiesen werden.

DKIM

DNS-TXT-Eintrag:

Type Name Inhalt TTL
TXT selector1._domainkey.example.com "v=DKIM1; k=rsa; p=MIGfMA0GCSqGS [...]YQIDAQAB" 6000

  • selector1: ist der Selector, der in dem DKIM-Signature Header-Feld verwendet wird.
  • v=DKIM1: Signalisiert dem Server, dass es sich um einen DKIM-Eintrag (Version 1) handelt.
  • k=rsa: spezifiziert, dass RSA für die Verschlüsselung verwendet wird.
  • p=: enthält den öffentlichen Schlüssel, der verwendet wird, um die DKIM-Signatur zu überprüfen.

E-Mail Header Beispiel mit einer DKIM-Signature:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=example.com; s=selector1; h=from:to:subject:date:content-type:content-transfer-encoding; bh=d7K3k5fDx3 [...] l9X2x5Nh7gZ4g=; b=ZgNt7LbQp7h2B1wXo3r [...] SiX4j9w==;

  • v: DKIM-Version (zum Beispiel "v=1")
  • a: Der verwendete Algorithmus zur Signatur (z. B. "rsa-sha256").
  • d: Die d-Marke oder Identifikation der Domäne, die die Signatur erstellt hat.
  • s: Der Selektor, der spezifiziert, welcher öffentliche Schlüssel verwendet wird, um die Signatur zu verifizieren.
  • h: Eine Liste von Kopfzeilenfeldern, die für die Signatur verwendet wurden.
  • bh: Der "Body Hash" (Hash des E-Mail-Inhalts).
  • b: Der eigentliche Signaturwert, der aus h und bh erzeugt wird.

DMARC

DNS-TXT-Eintrag:

Type Name Inhalt TTL
TXT example.com v=DMARC1; p=reject; adkim=s; aspf=s; rua=mailto:dmarc@example.com; ruf=mailto:dmarc@example.com 6000

  • v=DMARC1: Signalisiert dem Server, dass es sich um einen DMARC-Eintrag (Version 1) handelt.
  • p=reject: Dieser Eintrag gibt an, was mit der E-Mail geschehen soll, wenn der DKIM- und der SPF-Eintrag nicht gesetzt sind. In diesem Fall wird die E-Mail blockiert. Die Alternativen sind none und quarantine.
  • adkim=s: Die DKIM-Prüfung muss strict durchgeführt werden. Die Alternative wäre r für "ralaxed".
  • aspf=s: Wie adkim nur für SPF
  • rua=mailto:dmarc@example.com: Hier wird die E-Mail-Adresse angegeben, an die aggregierte Berichte (Aggregate Reports) gesendet werden sollen. Diese Berichte enthalten Informationen über den Zustellstatus von E-Mails, die von der DMARC-Richtlinie betroffen sind.
  • ruf=mailto:dmarc@example.com: Hier wird die E-Mail-Adresse angegeben, an die forensische Berichte (Forensic Reports) gesendet werden sollen. Diese Berichte enthalten detaillierte Informationen über E-Mails, die die DMARC-Prüfung nicht bestanden haben, einschließlich der Kopfzeilen und des Inhalts der betreffenden E-Mails.

Sie möchten Ihre IT-Security selbst in den Griff bekommen?

https://checkfix.io/wp-content/uploads/2024/05/Icon-white@2x_50.png
Machen Sie den Hack-Test von CheckFix
https://checkfix.io/wp-content/uploads/2024/05/Icon-white@2x_50.png
Erhalten Sie den Sicherheits-Status IHRES Unternehmens
https://checkfix.io/wp-content/uploads/2024/05/Icon-white@2x_50.png
Erhalten Sie die ToDo CheckList mit den wichtigsten Maßnahmen für Ihre Cybersicherheit
https://checkfix.io/wp-content/uploads/2024/05/Icon-white@2x_50.png
Arbeiten Sie Ihre ToDos mit Ihrem System-Administrator ab und werden Sie Herr über Ihre IT-Sicherheit
Kontakt

E-Mail: office@checkfix.io

Tel.: +43 660 77 24 524

secinto

secinto GmbH

Poststraße 3

8530 Deutschlandsberg

Österreich

E-Mail: office@checkfix.com

*Studie KPMG zur Cybersecurity in Österreich 2023