Thought Leadership
Phishing und Spam sind die größten Gefahren und Ärgernisse des modernen Online-Zeitalters. Moderne Ansätze der IT-Security wie SPF, DKIM und DMARC erlauben es aber, jede E-Mail auf einen Spam- oder Phishing-Verdacht zu überprüfen.
Ärgernisse mit Spam
Spam erhält praktisch jeder Internetnutzer mit einer eigenen E-Mail-Adresse. Diese unverlangten, massenhaften versandten Werbemails sollen uns über neueste Angebote von Shops informieren, in denen wir schon eingekauft haben und die wir eigentlich für seriös halten, manchmal stammen sie auch von vollkommen unbekannten Absendern. Wir fragen uns, wie diese an unsere Mailadresse gelangt sind. Nicht jeder Spam erreicht uns: Moderne Mail-Server schützen vor vielen dieser Nachrichten automatisch. Es genügt, dass sie von mehreren anderen Nutzern in den Spam-Ordner verbannt wurden. Solche Lösungen verwenden bevorzugt Firmenkunden, sie sind inzwischen sehr ausgereift. Dennoch lässt sich unerwünschte Werbung bislang nicht vollkommen unterbinden, denn deren Absender werden immer erfinderischer. Die Nutzer suchen daher längst nach Lösungen, die einen wesentlich umfassenderen, wenn nicht kompletten Schutz vor Spam bieten. Spam hält uns auf, verstopft das E-Mail-Postfach und kann schlimmstenfalls zu nicht gewollten Aktionen verleiten – manchmal klickt ein Nutzer doch auf die Nachricht. Die größten Bedenken herrschen allerdings bezüglich der Unterscheidung zwischen Spam und Phishing.
Phishing
Hierbei versuchen Kriminelle, mit einer Mail, über eine Webseite oder einen Messenger-Dienst den Nutzer zum Klick auf einen gefährlichen Link zu verleiten. Wer diesen präparierten Link anklickt, lädt sich möglicherweise eine Schadsoftware auf den Rechner, die künftig die eigenen Passwörter ausspioniert oder den PC für ein Botnetz missbraucht. Eine traditionelle Form des Phishings fordert den Nutzer direkt auf, seine Zugangsdaten und eine TAN für sein Online-Banking einzugeben, wodurch eine Kontoabbuchung ermöglicht wird. Phishing-E-Mails werden gern mit gefälschten (gespooften) E-Mail-Adressen generiert. Der Nutzer gewinnt den Eindruck, dass diese Mail von einer vertrauenswürdigen Einrichtung wie der eigenen Bank oder einer Behörde stammt. Auch Mailadressen aus dem privaten Umfeld des Nutzers könnten in leichter Abwandlung verwendet werden. Die Gefahren durch Phishing sind sehr hoch. Betroffen sind nicht nur Privatnutzer, sondern auch Unternehmen, denen auf diese Weise sensible Entwicklungs- und Finanzdaten gestohlen werden. Um diese Risiken für die IT-Security einzudämmen, haben sich verschiedene namenhafte Hersteller zusammengesetzt und nach Lösungen gesucht, darunter Microsoft, Google, Yahoo und andere. Es ging um das Vermeiden und Unterbinden von Spam und Spoofing. Drei dieser Ansätze stellen wir im Folgenden vor.
Sender Policy Framework (SPF)
Das SPF dient der Spam-Abwehr und ist im RFC 4408 (Requests for Comments = “Bitte um Kommentare”, heute gültige Standards im Internet) dokumentiert. Mithilfe des Domain Name Systems wird dabei definiert, welcher Server eine Mail von einer bestimmten Domain versenden kann. Im DNS kennt ein bestimmter Nameserver die offiziellen Daten und kann daher überprüfen, ob die Mail von der angegebenen Adresse stammen kann. Der Inhaber der Domain muss vorher in das DNS eingetragen haben, welche Rechner für diese Domains Mails versenden dürfen. DomainKeys Identified Mail (DKIM)
Das im RFC 6376 dokumentierte DKIM kann feststellen, ob eine Mail unverändert vom vorgegebenen Absender stammt. Die Integritätsprüfung funktioniert über das Public-Key-System. Hierbei handelt es sich um ein asymmetrisches Verschlüsselungsverfahren, bei dem die beiden Parteien einer Kommunikation keinen gemeinsamen Schlüssel nutzen. Jeder Nutzer verwendet ein Schlüsselpaar, bestehend aus einem geheimen privaten und einem nicht geheimen öffentlichen Schlüssel. Da der private Schlüssel niemals herausgegeben wird, gilt das Public-Key-System als sehr sicher. Beim DomainKeys Identified Mail steht der öffentliche Schlüssel auf dem DNS als TXT-Record zur Verfügung. Die Mails erhalten vor dem Versenden eine digitale Signatur, die der empfangende Mail-Server mit dem öffentlichen Schlüssel im Domain Name System verifiziert. Wenn dieses verwendete Public-Key-System die Verifizierung verweigert, kann das empfangende Anwendungsprogramm eine Mail in den Spam-Ordner einsortieren oder auch gänzlich verweigern.
Domain-based Message Authentication, Reporting and Conformance (DMARC)
Die Domain-based Message Authentication übernimmt auch das Reporting und eine Konformitätsüberprüfung, sie bietet gleichermaßen Schutz vor Phishing und Spoofing, also gefälschten Mails. Da Letztere bevorzugt beim Phishing (sonst kaum) zum Einsatz kommen, ist die eindeutige Zielrichtung des im RFC 7489 dokumentierten Standards das Verhindern von Phishing. Die beiden anderen beschriebenen Verfahren dienen als Voraussetzungen für DMARC. Nach den DMARC-Spezifikationen kann der Mail-Absender zusätzliche Empfehlungen zum Umgang mit der E-Mail abgeben, wenn diese nicht den SPF- und/oder DKIM-Anforderungen entspricht.
Anwendung im Office365
Alle drei Lösungen für die IT-Security können sehr komfortabel im Office365 implementiert werden – ohne zusätzliche Lizenzen, Hard- oder Software. Wenn Sie an diesem umfassenden Schutz vor Spam, Spoofing und Phishing Interesse haben, kontaktieren Sie uns bitte!
Autor: Manojlo Mitrovic, IT-System Engineer, Bison IT Services AG
