E-Mail-Kommunikation absichern
Vertrauenswürdig
Veröffentlicht in Ausgabe 10/2021 - PRAXIS
Fragen wir IT-Administratoren – ganz gleich, wie viel Berufserfahrung diese mitbringen –, gehört die Administration von Mailservern zur Königsdisziplin der Aufgabenbereiche. Zu viele fragile Systemeinstellungen, zu viele Fallstricke und vor allem: öffentliche Pranger in Form von Sperrlisten, wenn bei der Konfiguration mal etwas schiefgelaufen ist. Umso mehr Respekt erhalten die Admins, die erfolgreich Mailserver verwalten und diese dauerhaft verfügbar halten und sicherstellen, dass auch ausgehende E-Mails zuverlässig beim Empfänger ankommen.
Insbesondere Microsoft und die aus Redmond kontrollierten E-Mail-Dienstleister gelten als besonders streng bei der Annahme von E-Mails fremder Server. Während die einen unken, Microsoft filtert ganz gezielt fremde Anbieter, um die Kundenzahlen eigener Dienste zu steigern, lässt sich dieses Vorurteil bei genauem Hinsehen nicht bestätigen. Microsoft bietet umfassende Informationen über die Blockade von Mailservern und Handlungsempfehlungen auf einer eigens dafür eingerichteten Webseite an [1]. Wer seinen Mailserver im Griff hat, bleibt in der Regel von Problemen bei der Auslieferung an Live-, Hotmail- oder Outlook-Server verschont.
Sicherer E-Mail-Versand
Auch wenn das Filtern von Spam und das Erkennen von Schadsoftware beim Empfang von E-Mails eine große Rolle für die Unternehmenssicherheit spielen, behandelt der Security-Tipp dieses Mal nur die Absicherung des Versands von E-Mails. Die vorgestellten Maßnahmen tragen aber mittelbar auch zur Sicherheit der eigenen E-Mail-Konten bei, solange die anderen Mailserver diese ebenfalls einsetzen. Da sich gefälschte Absender bereits vor der Annahme der E-Mails blockieren lassen, verringert sich das eingehende Spam-Aufkommen automatisch. Die Integration entsprechender Tests für empfangende Mailserver ist in der Dokumentation von Exim und Postfix beschrieben.
Fragen wir IT-Administratoren – ganz gleich, wie viel Berufserfahrung diese mitbringen –, gehört die Administration von Mailservern zur Königsdisziplin der Aufgabenbereiche. Zu viele fragile Systemeinstellungen, zu viele Fallstricke und vor allem: öffentliche Pranger in Form von Sperrlisten, wenn bei der Konfiguration mal etwas schiefgelaufen ist. Umso mehr Respekt erhalten die Admins, die erfolgreich Mailserver verwalten und diese dauerhaft verfügbar halten und sicherstellen, dass auch ausgehende E-Mails zuverlässig beim Empfänger ankommen.
Insbesondere Microsoft und die aus Redmond kontrollierten E-Mail-Dienstleister gelten als besonders streng bei der Annahme von E-Mails fremder Server. Während die einen unken, Microsoft filtert ganz gezielt fremde Anbieter, um die Kundenzahlen eigener Dienste zu steigern, lässt sich dieses Vorurteil bei genauem Hinsehen nicht bestätigen. Microsoft bietet umfassende Informationen über die Blockade von Mailservern und Handlungsempfehlungen auf einer eigens dafür eingerichteten Webseite an [1]. Wer seinen Mailserver im Griff hat, bleibt in der Regel von Problemen bei der Auslieferung an Live-, Hotmail- oder Outlook-Server verschont.
Sicherer E-Mail-Versand
Auch wenn das Filtern von Spam und das Erkennen von Schadsoftware beim Empfang von E-Mails eine große Rolle für die Unternehmenssicherheit spielen, behandelt der Security-Tipp dieses Mal nur die Absicherung des Versands von E-Mails. Die vorgestellten Maßnahmen tragen aber mittelbar auch zur Sicherheit der eigenen E-Mail-Konten bei, solange die anderen Mailserver diese ebenfalls einsetzen. Da sich gefälschte Absender bereits vor der Annahme der E-Mails blockieren lassen, verringert sich das eingehende Spam-Aufkommen automatisch. Die Integration entsprechender Tests für empfangende Mailserver ist in der Dokumentation von Exim und Postfix beschrieben.
Der wohl wichtigste Schritt ist das Einrichten eines SPF-Eintrags im DNS der Domain. SPF steht für Sender Policy Framework und erlaubt die Angabe autorisierter ausgehender Mailserver. Obwohl bereits 2004 entworfen, wurde SPF erst 2014 zum empfohlenen Standard der Internet Engineering Task Force (IETF) [2]. Aus einer Stichprobe von über 3000 Domains deutscher Unternehmen haben wir die DNS-Einträge untersucht und die Anzahl gültiger SPF-Einträge ermittelt. Etwa 25 Prozent dieser Domains haben keinen SPF-Eintrag hinterlegt. Damit können Empfänger nicht nachprüfen, ob der einliefernde Mailserver tatsächlich Nachrichten für die Absender-Domain versenden darf.
Das öffnet Tür und Tor für Betrüger im Bereich von Phishing und CEO-Fraud. Verschaffen Sie sich einen Überblick über sendende Mailserver Ihres Unternehmens und tragen Sie diese als SPF-Eintrag in das DNS ein. Wenn Sie diese Liste nicht ohne Weiteres ermitteln können, beschränken Sie den Versand zumindest auf die Subnetze Ihres Unternehmens und der beauftragten Dienstleister für den Mailversand. Das ist immer noch besser, als gar keinen SPF-Eintrag zu hinterlegen. Beachten Sie, dass der Eintrag für die Domain eingetragen werden muss, die als Domain-Part in den E-Mails genutzt wird, nicht etwa für den (eingehenden) Mailserver.
Signaturen mit DKIM
Mit Domain Key Identified Mail (DKIM) [3] lassen sich ausgehende EMails mit einem privaten Schlüssel signieren. Der öffentliche Schlüssel des Servers wird im DNS der Domain hinterlegt. Auch hier gilt, dass der Eintrag für den Domain-Part der E-Mail angelegt sein muss. Im Gegensatz zu SPF lassen sich hier aber mehrere Schlüssel mit unterschiedlichen Selektoren verwalten, was DNS-Einträge für unterschiedliche Subdomains zur Folge hat. Für einen Selektor mit dem Namen "it-admin" wäre der passende DNS-Eintrag unter "it-admin._domainkey. it-adminstrator.de" zu erstellen.
Die Selektoren werden der E-Mail mit der Signatur mitgegeben, sodass der empfangene Mailserver die korrekte Domain zum Erhalt des öffentlichen Schlüssels auswählen kann. Da der Selektor von Server zu Server unter Umständen unterschiedlich ausfällt, und sogar empfohlen wird, diesen regelmäßig zu ändern, ist im Rahmen dieser Betrachtung keine umfassende Aussage über die Implementierung von DKIM im Internet möglich. Als untere Schranke lässt sich aber zumindest festhalten, dass etwa 13 Prozent der getesteten Domains einen der Standardselektoren aus Dokumentationen und Tutorials eingetragen haben. Ob damit tatsächlich ausgehende E-Mails signiert werden, lässt sich aber, ohne eine signierte E-Mail zu empfangen, nicht zuverlässig sagen.
Richtlinien mit DMARC
Während SPF-Einträge bereits eine Handlungsanweisung mitbringen, wie mit Absendern zu verfahren ist, die nicht im Eintrag erwähnt sind, sollten E-Mails ohne DKIM-Signatur nicht ohne weiteres abgewiesen werden. Aufgrund der unterschiedlichen Selektoren gibt es keinen einheitlichen DNS-Eintrag, um die Existenz eines DKIM-Schlüssels zu prüfen.
Mit "Domain-based Message Authentication, Reporting & Conformance" (DMARC) lassen sich entsprechende Richtlinien für Domains festlegen. Damit bestimmen Sie auch unabhängig von spezifischen DKIM-Selektoren, dass E-Mails von einer Domain immer mit DKIM signiert sein müssen. Mit der zugehörigen Richtlinie legen Sie dann fest, ob nicht-signierte E-Mails vom Empfänger ignoriert, in Quarantäne verschoben oder direkt abgelehnt werden sollen.
Zusätzlich können Sie angeben, für welchen relativen Anteil Ihrer E-Mails die DKIM-Signatur zu überprüfen ist. Um ganz sicherzugehen, sollten Sie hier natürlich 100 Prozent verifizieren lassen. In der Implementierungsphase, aber auch dauerhaft zur Information können Sie URIs hinterlegen, an die forensische und zusammenfassende Reports der DMARC-Prüfung gesendet werden. Hier sollten Sie sicherstellen, dass Sie die ein- bis mehrmals täglich gesendeten Reports der unterschiedlichen Mailserver auch empfangen und verarbeiten können.
Um die Berichte per E-Mail zu erhalten, geben Sie eine mailto-URI mit Ihrer E-Mail-Adresse an. Achten Sie aber darauf, dass diese zur geprüften Domain passt, ansonsten verweigern andere Mailserver zunächst den Versand der Statistiken aus Sicherheitsgründen. Dieses Verhalten lässt sich durch zusätzliche DNS-Einträge weiter anpassen und auch andere Domains für den Empfang von DMARC-Reports verwenden.
Stille Post mit SRS
Ein weiterer Aspekt beim Betrieb von Mailservern – vor allem, wenn Sie Mailinglisten unterhalten oder Weiterleitungen auf externe E-Mail-Adressen erlauben – ist das Sender Rewriting Scheme (SRS). Angenommen, Sie richten die Weiterleitung einer E-Mail-Adresse, etwa "verteiler@it-administrator.de", an externe Empfänger ein. Ihr eingehender Mailserver wird damit zum Relay externer Absender und verschickt in deren Namen E-Mails an alle angegebenen Empfänger der Weiterleitung. So funktionieren auch Mailinglisten, etwa die der populären Software Mailman [4], im Standardfall.
Die Mailserver dieser Empfänger sollten die E-Mail von Ihrem Server ablehnen, weil Ihr Mailserver vermutlich nicht im SPF-Record des ursprünglichen Absenders eingetragen ist. Was in diesem Fall helfen kann, ist das Einrichten eines SRS-Dienstes auf dem Mailserver, der die Absender-Adressen weitergeleiteter E-Mails mit einem eingerichteten Filter auf eine temporär gültige E-Mail-Adresse Ihres Servers umschreibt. Mit dieser neuen Absenderadresse besteht die E-Mail dann die SPF-Überprüfung, für die temporäre Adresse ist ja Ihr Server im SPF-Eintrag hinterlegt, und die E-Mail kann erfolgreich weitergeleitet werden.
Fazit
Für die sichere Nutzung des Mediums E-Mail müssen Server auch für die Prüfung ausgehender Nachrichten umfassend konfiguriert werden. Dabei ist die Konfiguration selbst gar nicht kompliziert und für die meisten Mailserver in wenigen Stunden umgesetzt. So verhindern Sie als Administrator, dass fremde Mailserver im Namen der eigenen Domain E-Mails versenden und Schaden anrichten können.
Bei konsequentem Einsatz der vorgestellten Techniken sichern Sie Ihren Mailserver gegen dieses Szenario also ab. Damit gelingt auch der zuverlässige Versand von Nachrichten des eigenen Mailservers an besonders restriktive Mailserver großer Unternehmen wie Microsoft oder Google.
(dr)
Link-Codes
[1] Outlook-Seite zu Versandproblemen: https://sendersupport.olc.protection.outlook.com/pm/troubleshooting.aspx
[2] RFC 7208 zu SPF: https://www.rfc-editor.org/rfc/rfc7208.txt
[3] RFC 4870 zu DKIM: https://www.rfc-editor.org/rfc/rfc4870.txt
[4] Mailman: https://list.org