Absenderauthentifizierung gegen Angriffe per E-Mail

Besser durchschaubar

Sven Krohlas

E-Mail ist seit Jahren der Angriffsvektor Nummer eins auf IT-Systeme. Dennoch finden Methoden zur Absenderauthentifizierung bei großen Mailboxprovidern hierzulande kaum Unterstützung. ARC und DMARC-PSD sollen eine breitere Umsetzung bewirken.

Mit dem Sender Policy Framework (SPF), DomainKeys (DKIM) und dem darauf aufbauenden Domain-based Message Authentication, Reporting, and Conformance (DMARC) existiert ein ganzes Framework von Verfahren zum Überprüfen der Absender-Domain von E-Mails. Doch es ist längst nicht perfekt. SPF ermöglicht es, die vor dem Übertragen der eigentlichen E-Mail im SMTP-Dialog genutzten Domains zu authentifizieren. DKIM wiederum erstellt eine Signatur über den Mailinhalt und ausgewählte Header-Zeilen.

Mit der Kombination lässt sich prüfen, ob eine Nachricht von der vorgeblichen Absender-Domain stammt. DKIM gibt aber nicht vor, was im Fehlerfall passieren soll. Eine Empfehlung zum Umgang mit dem Prüfungsergebnis beim Empfänger liefert schließlich DMARC. Es erwartet zudem, dass die Prüfung von SPF oder DKIM auf die für den Empfänger sichtbare Domain in der Header-Zeile „From: …“ erfolgt (DMARC Alignment), die sich vom „Envelope-From“ unterscheiden kann, das der Absender während des SMTP-Dialogs angibt.

Läuft eine Nachricht indirekt über mehrere administrative Domänen, liegt es in der Natur von SPF, dass die ursprüngliche Absenderinformation verloren geht oder nicht mehr verifizierbar ist. Würde eine Zwischenstation beispielsweise das Envelope-From der Originalnachricht bei der Übergabe zur nächsten Station beibehalten, schlüge die Prüfung im Regelfall fehl, denn der SPF-Eintrag der Absender-Domain sollte ausschließlich zum Versand berechtigte Rechner aus der eigenen administrativen Domain und Infrastruktur von zum Versand genutzten Dienstleistern angeben.

Zur korrekten Weitergabe an die nächste Station kann das Mail-Relay daher Header- und Envelope-From an die Infrastuktur des Weiterleitenden anpassen, beim Envelope-From beispielsweise mittels Sender Rewriting Scheme. Dank SRS können Nichtzustellbarkeitsnachrichten an den ursprünglichen Absender zurückgehen, es erhöht jedoch den Aufwand im Betrieb: Entweder die SPF-Prüfung scheitert an der nächsten Station oder das DMARC Alignment passt bei der Prüfung auf SPF nicht mehr.

DKIM wiederum kann viele Formen indirekter Mailflüsse auch nach Vorgabe des DMARC Alignment überstehen, stößt jedoch manchmal ebenfalls an seine Grenzen. Ändert eine Zwischenstation den Nachrichteninhalt oder den Header, wird nicht nur SPF, sondern auch die DKIM-Überprüfung in den meisten Fällen nicht mehr bezüglich der ursprünglichen Absender-Domain klappen. Und dieses Szenario ist alles andere als konstruiert: Mailinglisten fügen einer Nachricht Header-Zeilen hinzu, ändern den Betreff und oft sogar den Inhalt durch Hinzufügen eines Footers mit Informationen zur Mailingliste. Mailgateways scannen Nachrichten, ersetzen Links durch Umleitungen auf Proxys zum Abgleich mit URL-Blacklists beim Aufruf der URL und entfernen eventuell verdächtige Anhänge.

Insbesondere Mailinglisten leiden daher unter den DMARC-Limitierungen. Inzwischen wird bei Absender-Domains mit DMARC-Umsetzung je nach Konfiguration der Liste oft der Absender in den Reply-To-Header übernommen, bei Domains ohne DMARC bleibt er im From-Header erhalten. Möchte ein Listenteilnehmer an den Absender oder die Liste antworten, müssen daher je nach Absender-Domain andere Aktionen folgen. Gute Nutzbarkeit sieht anders aus. Gelöst werden soll dieses Problem mit Authenticated Received Chain (ARC, siehe unten).