In einer früheren Reihe von Blogartikeln habe ich die Mail-Authentisierungsverfahren SPF (Sender Policy Framework), DKIM (Domain Keys Identified Mail) und DMARC (Domain-based Message Authentication, Reporting and Conformance) behandelt und ihre begrenzte Wirksamkeit gegen Spam und Phishing kritisiert. Dabei habe ich über die verschiedenen Probleme bei Fehlkonfigurationen, Mail-Weiterleitungen und Mailinglisten gesprochen.
Meine Meinung zu diesen Verfahren habe ich jedoch mittlerweile etwas revidiert, da ich einen sinnvollen Anwendungszweck entdeckt habe: ActiveGuard von xorlab.
Mail-Authentisierungsverfahren mit ActiveGuard
Wir haben schon früher über das Mail Security Gateway «ActiveGuard» von xorlab berichtet. Während viele andere Mail Gateways sich auf den Reputationsscore des einliefernden Mail Servers, das Alter der Absenderdomäne und den Inhalt der Mails in Bezug auf Spam oder Phishing konzentrieren, geht ActiveGuard darüber hinaus. Es betrachtet auch die regelmässige Kommunikation zwischen Absendern und Empfängern, um zu lernen, welche E-Mails für eine bestimmte Firma oder Organisation relevant sind.
Beispiel: Ich tausche regelmässig Mails mit Personen bei xorlab aus. Daher erkennt ActiveGuard diese regelmässige Kommunikation und lernt die Verkehrsbeziehung zwischen uns. Es erkennt auch die Beziehung zwischen unseren Mail-Domänen. E-Mails von Domänen mit einem hohen «Beziehungs-Score» werden als wichtiger und weniger spamverdächtig betrachtet als Nachrichten von Domänen, mit denen wir noch keinen Kontakt hatten.
Hier in diesem konkreten Fall hat uns die Firma xorlab einen Newsletter geschickt und über ein neues Release informiert. Da ich jedoch nie eine Mail an die Newsletter-Absenderadresse geschickt habe, gibt es keinen persönlichen Beziehungsscore (1). Aber unsere Firmen haben einen regen Austausch, daher besteht ein «trust» auf Organisationsebene (2). ActiveGuard erkennt xorlab als Partner (3) und behandelt die Mails entsprechend.
Allerdings ist ein Mail von diesem Partner nur dann wichtig und vertrauenswürdig, wenn es tatsächlich von xorlab stammt und die Absenderadresse nicht gefälscht wurde (was bekanntlich einfach möglich ist). Hier kommen nun die Mail-Authentisierungsverfahren ins Spiel: Nur wenn SPF und DKIM korrekt sind, gilt der Absender als nicht gefälscht, und wir können uns auf den «Beziehungs-Score» für die Klassifizierung der Mail verlassen.
In diesem Fall stimmt aber die DKIM-Signatur.
Und auch SPF ist korrekt.
(ActiveGuard hat auch korrekt erkannt, dass die Mail von einem berechtigten Newsletter-Versender stammt und nicht von xorlab selbst.)
Um zu wissen, wer mit wem kommuniziert und so ein korrektes Kommunikationsnetzwerk aufzubauen, ist die Authentisierung der Mail-Domänen also wichtig.
Daher rufe ich alle dazu auf, SPF, DKIM und DMARC zu implementieren!
Leider gibt es da noch einiges zu tun:
Der CH Resilience Report von Hardenize zeigt, dass in der Schweiz von den Top 1000 Domains zwar 88% SPF Records veröffentlicht haben, aber nur 18% DMARC im aktiviert haben.
In einer ruhigen Minute plane ich eine umfangreichere Analyse der Schweizer Domänen. Stay tuned.
blenny
blenny ist Principal Security Engineer und langjähriger AVANTEC-Mitarbeiter. Er interessiert sich für Kryptographie, Privacy, Datenschutz, offene Protokolle und beschäftigt sich am liebsten mit den technischen Aspekten der IT- und Informations-Sicherheit.
Thanks for this blog! The 88% actually doesn’t say much as SPF doesn’t prevent the problem of spoofing. DMARC is more important and that’s too low, and even lower when you check the full .ch zone. Spoofing happens on the FROM domain as that one is visible to the average email users. SPF works against the 5321.MAIL FROM / Envelope / Return Path domain which is only visible in the email headers. That’s the reason DMARC was needed 🙂
Hi Lars,
I totally agree with you: SPF does not help a lot against spoofing. I also wrote about this in https://www.tec-bite.ch/warum-mag-google-meine-mails-nicht/. While SPF is a step in the right direction, its limitations highlight the need for implementing DMARC. Regrettably, here in Switzerland, the adoption of DMARC remains disappointingly low. However, I am hopeful that my article will help raising awareness and encouraging greater adoption of DMARC, thus bolstering email security and reducing the risks associated with phishing and spoofed emails.
Vielen Dank für den Artikel. avantec.ch und tec-bite.ch haben „p=none“ im DMARC-Record. Ist die Implementierung so wirklich sinnvoll?
Lieber Erik
Bitte entschuldige die lange Antwortzeit. Du hast natürlich völlig recht.
Eine DMARC Policy von «none» ist nur mässig sinnvoll.
Mittlerweile sind aber alle unsere Domains mit einer Reject Policy versehen.
Liebe Grüsse
Simon