17. Nov. 2022

Mehr E-Mail-Sicherheit durch DMARC-Automatisierung


E-Mails haben sich zum meistgenutzten Einfallstor für Cyberattacken entwickelt. Kompromittierte Nachrichten stellen für Unternehmen allerdings nicht nur eine unmittelbare Bedrohung dar. Missbrauchen Cyberkriminelle Unternehmensnamen für breit angelegte Betrugs- und Phishingkampagnen, leidet auch das Ansehen und Vertrauen einer Marke. Der effektive Einsatz von „Domain-based Message Authentication, Reporting and Conformance“ (DMARC) kann Unternehmen dabei unterstützen, ausreichend Kontrolle über den Angriffsvektor E-Mail zu gewinnen, um sowohl das Firmenimage zu schützen als auch ihre Abwehrmaßnahmen gegen E-Mailbedrohungen zu stärken.

Von Peter Pendelin

Ob im Berufs- oder Privatleben: Jeder E-Mail-Nutzer hat mindestens einmal eine Nachricht erhalten, in der ein betrügerischer Absender versucht hat, unter anderem Namen aufzutreten. Im E-Mail-Header geben sie sich unter anderem als Mitarbeiter von Onlineshops, Verkaufsplattformen, Bezahldiensten und Finanzinstituten aus. Die Taktik zielt darauf ab, auf Grund einer bestehenden Geschäftsbeziehung vom Empfänger unmittelbar als vertraut eingeordnet zu werden. Dies erhöht die Chancen, dass das Opfer vertrauliche Daten preisgibt oder ohne jeglichen Argwohn auf böswillige Links klickt. Unternehmen, deren Namen für derartige Spoofing-Kampagnen missbraucht werden, sind in diesen Fällen ebenfalls Opfer, spüren das aber erst an den Auswirkungen: Beispielsweise kann sich dies in einem erhöhten Aufkommen an Supportanfragen niederschlagen, wenn verunsicherte Kunden sich auf Grund fragwürdiger Nachrichten an das Unternehmen wenden. Langfristig kann der Missbrauch des Unternehmensnamens für kriminelle Zwecke auch das Vertrauen in die Marke beeinträchtigen und das Geschäft schädigen. Kommt es so weit, dass bestimmte Betrugskampagnen eine breite Öffentlichkeit erreichen, erwarten Kunden auch entsprechende Gegenmaßnahmen von den betroffenen Unternehmen.

E-Mail-Authentifizierung mit DMARC

E-Mails haben einen entscheidenden Konstruktionsfehler: Ihnen fehlt eine Authentifizierungsfunktion des Absenders, womit Spoofing ermöglicht wird. Der einzige Weg derzeit, um den Missbrauch von E-Mailadressen zu unterbinden, ist DMARC. Mit dem kostenlosen DMARC-Authentifizierungsprotokoll können Unternehmen alle Versanddomänen der in ihrem Namen verschickten E-Mailnachrichten auf ihre Legitimität hin überprüfen. Und das gilt sowohl für innerhalb des Unternehmens wie auch durch Drittparteien verschickte Nachrichten. Zudem können die Absender Richtlinieneinträge mit Parametern veröffentlichen, welche die Verarbeitung von E-Mails, die angeblich von der E-Mail-Domäne des Absenders stammen, auf der Empfängerseite steuern, sollten diese eine Reihe von Authentifizierungsprüfungen nicht bestehen.

Wie DMARC eingerichtet wird

Um DMARC einzurichten, müssen Unternehmen ihre Richtlinien als TXT-Datei in ihrem DNS-Server eintragen. Außerdem benötigen Unternehmen das Sender Policy Framework (SPF) und Domain Keys Identified Mail (DKIM). SPF ist ein E-Mail-Authentifizierungsstandard, mit dem Domänenbesitzer angeben können, welche Server berechtigt sind, E-Mails mit ihrer Domäne in der E-Mail-Adresse „Mail From:“ zu versenden. DKIM ist ein E-Mail-Authentifizierungsstandard, der einen Domainnamen kryptografisch mit einer E-Mail-Nachricht verknüpft. Die Absender fügen kryptografische Signaturen in die E-Mail-Nachrichten ein, die von den Empfängern mithilfe von im DNS gehosteten öffentlichen Schlüsseln verifiziert werden können.

Ist alles eingerichtet, können Unternehmen von DMARC Reports von E-Mail-Empfängern sammeln und betrügerische E-Mails oder E-Mail-Absender, die ihren Domänen- oder Firmennamen verwenden, leichter aufspüren. Das wird auch über einen Eintrag im eigenen DNS-Server konfiguriert. Wenn E-Mails vom Mailbox-Provider empfangen werden, prüft der Empfänger, ob DMARC für diese Domäne aktiviert wurde. Wenn vorhanden, lässt die DMARC-Richtlinie eine von vier Möglichkeiten zu, was mit dieser Nachricht geschehen soll:

  • Wenn die E-Mail die DMARC-Authentifizierung besteht, geht sie in den Posteingang.
  • Schlägt die Authentifizierung fehl, wird sie entweder in den Junkordner verschoben (p=quarantine)
  • oder, während der Einführungsphase von DMARC sehr wichtig, trotzdem zugestellt (p=none),
  • oder direkt während des Mail-Empfangs abgelehnt (p=reject).

Bei Fällen, in denen die DMARC-Authentifizierung fehlschlägt, kann ein Mailserver einen Report versenden. Das muss der jeweilige Server auf der Empfängerseite unterstützen.

Schwierigkeiten bei manueller Nutzung von DMARC

Die Idee hinter DMARC ist, Unternehmen Transparenz darüber zu bieten, wer in ihrem Namen E-Mails verschickt. Diese Erkenntnisse sollen dazu dienen, die IT-Sicherheitsmaßnahmen zu verfeinern und zu verbessern. Doch obwohl weltweit 2,5 Milliarden E-Mail-Postfächer DMARC-fähig sind, ist DMARC in vielen Unternehmen aus verschiedenen Gründen eher eine suboptimal genutzte Insellösung:

  • Unzureichende Datenauswertung

    DMARC generiert zweierlei Arten von Reports: Aggregate (RUA) und Forensic (RUF). Die RUA-Berichte enthalten Informationen über den Authentifizierungsstatus der im Namen der unternehmenseigenen Domäne gesendeten Nachrichten und zeigen, welche Nachrichten die DKIM- und SPF-Validierung bestanden haben und welche nicht.

    Die RUF-Reports informieren über Fälle, die die DMARC-, SPF- oder DKIM-Validierung nicht bestanden haben, und können dabei helfen, die Quelle dieser Nachrichten zu identifizieren. Sowohl RUA- als auch RUF-Reports werden in maschinenlesbaren Dateiformaten ausgegeben, was in vielen Unternehmen Analyse und Korrelation erschwert. Bleiben die verfügbaren Daten ungenutzt, ist der Mehrwert, den DMARC bieten kann, gering.

  • Schlechte Richtlinienanwendung

    Die Einrichtung von DMARC-Datensätzen und die Implementierung von Richtlinien ist zwar nicht komplex, aber es ist zeitaufwändig, sie korrekt durchzuführen, wenn man bedenkt, von wie vielen Domains ein Unternehmen versendet (z. B. Personalabteilung, Lohnbuchhaltung, Marketing, IT/Applikationen). Hinzu kommen noch Drittanbieter und Cloud/SaaS-Anbieter, die im Namen des Unternehmens E-Mails verschicken (z. B. Marketo, HubSpot, MailChimp). All diese Domains benötigen für ihre DMARC-Authentifizierung einen SPF- und/oder DKIM-Abgleich. Diese wiederum haben beide ihre eigenen Abgleichsmodi, die entweder auf „gelockert“ oder „streng“ eingestellt werden können. Die Fülle an Fällen, die berücksichtigt und angelegt werden muss, erhöht zwangsläufig die Wahrscheinlichkeit, dass der legitime E-Mailverkehr dadurch beeinträchtigt wird. Für Unternehmen ist es entsprechend praktikabler, die Richtlinien eher moderat zu gestalten, als die Auswirkungen von Reject-Policies auf falsch-positive Fälle zu beheben. Ihr Ansatz ist dadurch jedoch weniger effektiv.

Automatisierung ermöglicht den effektiven Einsatz von DMARC

Im Zeitalter der Datenschutzverletzungen ist die IT-Abteilung bereits mit der ständigen Verfolgung von Spam und Phishing-Angriffen überfordert. Das Abgleichen und Bewerten von Domains sind jedoch Vorgänge, die sich gut standardisieren und automatisieren lassen. Eine automatisierte SaaS-Lösung kann dabei helfen, DMARC nahtlos in die IT-Prozesse zu integrieren und die Vorteile bestmöglich zu nutzen:

  • Automatisierte DMARC-Implementierung: Alle vom Unternehmen genutzten Domains, einschließlich derjenigen, die über Drittanbieter versendet werden, werden automatisch erfasst und in den Richtlinieneintrag aufgenommen.
  • Datenverarbeitung und Analyse: RUA- und RUF-Berichte werden automatisiert ausgewertet und generieren regelmäßig Daten, die zielführend zur Verfeinerung und Erweiterung der Richtlinien beitragen.
  • Automatische Anwendung von Reject-Richtlinien: Mit zu der aufwändigsten Aufgabe für IT-Teams gehört die Erstellung und Verwaltung von DMARC Reject-Richtlinien. Mithilfe der automatisiert generierten Daten können diese zuverlässig für DMARC umgesetzt werden.
  • Integration in SOAR und SIEM: Automatisierte Lösungen lassen sich in SOAR- und SIEM-Plattformen integrieren. Über verschiedene native APIs ist es möglich, benutzerdefinierte Automatisierungen zu entwickeln und komplexe, systemübergreifende Prozesse zu orchestrieren.

Automatisierung hilft Unternehmen dabei, die DMARC-Technik wirkungsvoll einzusetzen. Die korrekte Anwendung von Richtlinien verbessert nicht nur die Zustellbarkeit. Eine konsequent angewendete Reject-Policy entzieht auch der Kriminalität den Boden: Werden E-Mails, die unberechtigterweise den Unternehmensnamen nutzen, nicht mehr zugestellt, sind sie Hackerkampagnen wertlos und werden nicht weiter verwendet. In der Folge verschwindet das unnötig entstandene Aufkommen an Supportanfragen und das Kundenvertrauen sowie das Unternehmensimage bleiben geschützt.

 

Peter Pendelin ist Principal Solutions Engineer bei Fortra, mit Sitz in Regensburg. Sein Verantwortungsbereich sind Großkunden und Interessenten in der DACH-Region. Bevor er ins technische Account-Management wechselte, arbeitete er in der Entwicklungsabteilung als technischer Architekt im Bereich Verschlüsselung. Mit über 25 Jahren Erfahrung in der IT-Sicherheit bei verschiedenen Herstellern bringt Peter ein breites Spektrum an Wissen in seine Rolle ein.