Welche E-Mail-Sicherheitsmaßnahme sollten Sie verwenden? DKIM oder SPF? In diesem Artikel erfahren Sie, was diese Begriffe bedeuten, wann Sie sie verwenden sollten und wie sie zum Schutz Ihrer E-Mail-Domänen beitragen können.

E-Mail war noch nie so wichtig oder so profitabel für E-Mail-Kriminelle. Heutzutage fälschen Betrüger jeglicher Couleur die E-Mail-Domänen von Unternehmen in Phishing-Angriffen und BEC-Betrügereien (Business Email Compromise) , die jedes Jahr Verluste in Höhe von fast 9 Milliarden US-Dollar verursachen. Wenn Sie sich bei diesen Angriffen als Ihr Unternehmen ausgeben, kann Ihr Ruf auf dem Markt erheblich geschädigt werden.

Was also ist SPF (Sender Policy Framework)? Und was ist DKIM (DomainKeys Identified Email)? Beides sind wichtige E-Mail-Sicherheitsstandards, die Hacker daran hindern sollen, Ihre Domänen zu fälschen und für E-Mail-Angriffe auf Ihre Kunden, Partner und die Öffentlichkeit zu nutzen.

Wie Domain-Spoofing funktioniert

Ein Betrüger muss nur einen SMTP-Server einrichten oder kompromittieren, um eine E-Mail zu fälschen. Von dort aus können sie die E-Mail-Adressen ändern für "Von". "Reply-To," und "Rückweg" um den Anschein zu erwecken, dass es sich bei ihren Phishing-E-Mails um offizielle Mitteilungen der Person oder des Unternehmens handelt, für die sie sich ausgeben.

Das Simple Message Transfer Protocol (SMTP), das von E-Mail-Systemen zum Senden, Empfangen oder Weiterleiten ausgehender E-Mails verwendet wird, fehlt ein Mechanismus zur Überprüfung von E-Mail-Adressen, was diesen Identitätsbetrug denkbar macht. Frühe E-Mail-Authentifizierungsmethoden wie S/MIME haben sich nicht durchgesetzt, um diesem Problem wirksam zu begegnen. Doch ab Mitte der 2000er Jahre begannen zwei neue E-Mail-Sicherheitsstandards, SPF und DKIM, dort Erfolg zu haben, wo frühere Strategien versagt hatten.

Wie SPF funktioniert

SPF ermöglicht es E-Mail-Absendern, festzulegen, welche IP-Adressen E-Mails von einer bestimmten Domäne aus senden dürfen, was seine grundlegendste Funktion ist. Durch die Veröffentlichung dieser Richtlinie als TXT-Eintrag im DNS für die angegebene Domäne kann ein Domänenbesitzer beispielsweise festlegen, dass nur die IP-Adresse 5.6.7.8.9 berechtigt ist, E-Mails von @IhreFirmaHier.de.

Mit unserem SPF-Checker-Tool können Sie nach SPF-Einträgen suchen und so feststellen, welche Server E-Mails für Ihre Domains zustellen dürfen.

Die empfangenden E-Mail-Server führen eine DNS-Datensatzabfrage für die sendende Domäne durch, um festzustellen, ob die im SPF-Datensatz angegebene IP-Adresse mit der IP-Adresse übereinstimmt, die zum Senden der E-Mail verwendet wurde. Ist dies nicht der Fall, wird die E-Mail die Authentifizierung nicht bestehen, was dazu beiträgt, dass bösartige E-Mails entfernt werden, die versuchen, die Verbindung zu nutzen.

Wie DKIM funktioniert

Die öffentlichen Schlüssel, die zur Authentifizierung solcher digitalen Signaturen erforderlich sind, werden von DKIM zur Verfügung gestellt. Die empfangenden E-Mail-Provider können dann überprüfen, ob die E-Mail während der Übermittlung nicht verändert wurde. Der TXT-Datensatz mit dem öffentlichen Schlüssel wird vom DNS der übertragenden Domäne angefordert, wenn ein SMTP-Server eine E-Mail mit einer solchen Signatur in der Kopfzeile empfängt. Der E-Mail-Dienstanbieter des Empfängers kann die Nachricht als Spam kennzeichnen oder die IP-Adresse des Absenders ganz sperren, wenn die Prüfung nicht erfolgreich ist oder die Signatur fehlt.

Welche ist besser?

Letztendlich ist dies eine "gemeinsam besser" Situation und nicht eine Entweder-Oder-Entscheidung. Das liegt daran, dass SPF und DKIM beide einen anderen, aber ebenso wichtigen Aspekt der E-Mail-Sicherheit behandeln. Mit SPF kann überprüft werden, ob eine E-Mail, die behauptet, von Ihrem Unternehmen zu stammen, tatsächlich von einer Ihrer anerkannten IP-Adressen gesendet wurde. Außerdem wird mit DKIM überprüft, dass die E-Mail nicht gefälscht oder verändert wurde, bevor sie an den vorgesehenen Empfänger gesendet wurde. Es ist jedoch auch wichtig, daran zu denken, dass DKIM und SPF keine umfassende Lösung für die E-Mail-Authentifizierung bieten, unabhängig davon, ob sie allein oder gemeinsam verwendet werden.

Dazu müssen wir ein weiteres Akronym ins Gespräch bringen:

Warum DMARC den ganzen Unterschied ausmacht

Domain-based Message Authentication, Reporting & Conformance(DMARC), ein gemeinsames E-Mail-Authentifizierungssystem, das SPF und DKIM durch eine Richtlinienebene ergänzt, wurde erstmals 2012 vorgeschlagen. Mithilfe von DMARC können Unternehmen Richtlinien veröffentlichen, in denen festgelegt ist, wann sich E-Mail-Anbieter auf DKIM und SPF für eine bestimmte Domäne verlassen sollten und was zu tun ist, wenn die Nachrichten keine dieser Prüfungen bestehen.

Die strengste Einstellung DMARC enforcement wird abgelehnt (p=ablehnen), der den empfangenden E-Mail-Server anweist, E-Mail-Nachrichten, die die DMARC-Authentifizierung nicht bestehen, zurückzuweisen und zu verhindern, dass sie den vorgesehenen Empfänger erreichen. Ein DMARC-Eintrag kann recht einfach erstellt und einem DNS zugewiesen werden. Allerdings kann die Einrichtung von DMARC für eine große Anzahl von Domänen für große Unternehmen schnell recht schwierig werden.

Erstellen Sie hier ein Skysnag-Konto, um Ihren DMARC-Datensatz zu generieren

Schlussfolgerung

Skysnag automatisiert DMARC, SPF und DKIM für Sie, um die Zustellbarkeit von E-Mails zu erhöhen. Vermeiden Sie daher E-Mail-Spoofing-Angriffe mit der automatisierten Software von Skysnag, mit der Sie die Gültigkeit von E-Mails bestätigen können. Melden Sie sich noch heute über diesen Link für eine kostenlose Testversion an und erhalten Sie einen gesunden Domainnamen für Ihr Unternehmen.